Česká republika rozšiřuje povinný screening zahraničních investic

Od nabytí účinnosti v květnu 2021 byl zákon o prověřování zahraničních investic poměrně řídce užívaným nástrojem. Povinnému screeningu ze strany MPO každoročně podléhaly jen jednotky transakcí, nízké desítky byly konzultovány dobrovolně a dosud padlo pouze jediné rozhodnutí zakazující zahraniční investici.[1] Pro většinu zahraničních investorů tak byla Česká republika jen rychle odškrtnutým políčkem v seznamu zemí, kde není třeba investici povinně notifikovat. Jen část investorů volila dobrovolnou notifikaci z opatrnosti a snahy předejít možnému prověřování investice po uzavření transakce.

To se nyní mění. Novela zákona o prověřování zahraničních investic, provázaná s novým zákonem o kybernetické bezpečnosti a zákonem o kritické infrastruktuře, s účinností od 1. listopadu 2025 významně rozšířila okruh transakcí, které spadají pod povinnou notifikaci MPO.

Stávající český rámec FDI nadále rozlišuje:

povinný režim, který se vztahuje na investice do zákonem vymezených citlivých cílů, a
režim přezkumu z moci úřední, v jehož rámci může ministerstvo prověřit i jiné zahraniční investice (pokud mohou představovat riziko pro bezpečnost státu), doplněný o dobrovolnou konzultaci, kterou mohou investoři využít k rychlejšímu a závaznému posouzení svého záměru.

Novela zákona se týká výhradně povinného režimu. Dobrovolná konzultace zůstává beze změn, výrazně se rozšiřuje okruh subjektů, které spadají automaticky do povinné notifikace – především díky nové vazbě mezi zákonem o prověřování zahraničních investic a zákonem o kybernetické bezpečnosti.

Jak nový zákon o kybernetické bezpečnosti vymezuje “citlivé cíle“

Jedním z klíčových prvků nové úpravy je propojení zákona o prověřování zahraničních investic s novým zákonem o kybernetické bezpečnosti, který implementuje směrnici NIS2. Novela stanoví, že pro určení, zda je český podnik považován za citlivý a podléhá povinné notifikaci MPO, se nově vychází právě z regulace kybernetické bezpečnosti a z režimu regulovaných služeb (vedle již existujících kategorií zahrnujících vojenský materiál, zboží dvojího užití a kritickou infrastrukturu).

Zákon o kybernetické bezpečnosti zavádí novou kategorii regulovaných subjektů, tzv. „poskytovatele regulované služby v režimu vyšších povinností“.

Tito poskytovatelé jsou registrováni u NÚKIB na základě zákonných kritérií a sektorových prahových hodnot stanovených prováděcí vyhláškou. Jakmile je subjekt jako poskytovatel v režimu vyšších povinností registrován a potvrzen NÚKIB, automaticky se stává citlivým cílem podle zákona o FDI. Tito poskytovatelé měli povinnost se u NÚKIB zaregistrovat nejpozději do 30. prosince 2025.

Propojení obou zákonů je logické: oba předpisy směřují k identifikaci subjektů, jejichž činnost je zásadní pro fungování, bezpečnost či odolnost státu, zejména v oblastech digitální infrastruktury, základních služeb a ochrany kritických dat. Zpřísněné kyberbezpečnostní povinnosti tak nově fungují jako indikátor citlivosti pro účely screeningu zahraničních investic.

Současně tato vazba zajišťuje jasná a předvídatelná pravidla pro investory – je-li cílový podnik registrován u NÚKIB jako poskytovatel regulované služby v režimu vyšších povinností, transakce automaticky vyžaduje schválení podle zákona o prověřování zahraničních investic.

Výsledkem je, že řada podniků, které historicky do žádné bezpečnostní kategorie nespadaly, bude nově klasifikována jako subjekty podléhající povinnému screeningu – a to již při nabytí menšinových podílů (zákon stanoví hranici 10 % hlasovacích práv).

Jak zákon o kybernetické bezpečnosti rozšiřuje okruh citlivých cílů

Okruh poskytovatelů regulované služby v režimu vyšších povinností zahrnuje široké spektrum subjektů, z nichž mnohé dosud nebyly z pohledu screeningu zahraničních investic považovány za bezpečnostně citlivé.

Prováděcí vyhláška detailně vymezuje jednotlivé sektory a činnosti, u nichž vzniká povinnost registrace u NÚKIB. U řady kategorií je rozhodující velikost podnikatele – zejména zda splňuje definici malého nebo středního podniku, či zda se jedná o velký podnik. Právě velikost určuje, zda jde o poskytovatele regulované služby v režimu vyšších povinností (a tedy subjekt spadající pod povinnou notifikaci v FDI režimu – u velkých podniků), nebo pouze v režimu nižších povinností (na který se povinná notifikace nevztahuje – u malých a středních podniků).

Mezi dotčené oblasti patří zejména:

digitální infrastruktura a ICT služby
energetika a utility
doprava a řízení provozu
zdravotnictví a farmacie
chemický průmysl a zařízení podléhající prevenci závažných havárií;
finanční služby a tržní infrastruktura

Tato změna představuje výrazný posun oproti dosavadní úpravě, kdy povinné notifikaci podléhala pouze úzká skupina nejkritičtějších subjektů digitální infrastruktury.

Nový zákon o kritické infrastruktuře: úprava, nikoli redefinice povinného režimu

Současně s novým zákonem o kybernetické bezpečnosti byla úprava režimu prověřování zahraničních investic propojena také s novým zákonem o kritické infrastruktuře. Jeho dopad na povinný notifikační režim je však podstatně omezenější.

Podle předchozí právní úpravy mohla být jako kritická infrastruktura označena pouze konkrétní aktiva či provozy. Nová úprava se zaměřuje na operátora kritické infrastruktury jako celek. Dochází tak k posunu od posuzování jednotlivých kritických zařízení k posouzení celého subjektu, který tato zařízení provozuje. Prováděcí předpisy, které mají detailně stanovit pravidla pro toto označení, však ke dni publikace tohoto článku dosud nebyly vydány.

Očekáváme spíše mírné rozšíření okruhu podniků, které budou spadat pod zákon o prověřování zahraničních investic jako provozovatelé kritické infrastruktury. Český koncept kritické infrastruktury zůstane ve srovnání s jinými státy poměrně úzký. Z praktického hlediska tak bude dopad této úpravy na plánování transakcí podstatně menší než změny vyplývající ze zákona o kybernetické bezpečnosti.

Závěr – Dopady novely z roku 2025 na zahraniční investory

Novela zákona o prověřování zahraničních investic účinná od 1. listopadu 2025 představuje nejvýznamnější změnu českého FDI režimu od jeho zavedení. Propojením se zákonem o kybernetické bezpečnosti a doplněním o úpravy v zákoně o kritické infrastruktuře se povinný notifikační režim rozšiřuje z relativně úzkého záběru na mnohem širší okruh společností.

Hlavním motorem této změny je zákon o kybernetické bezpečnosti, který prostřednictvím označení poskytovatelů regulovaných služeb v režimu vyšších povinností poprvé zahrnuje do povinné notifikace celou škálu podniků, které dosud stály mimo povinný režim FDI screeningu.

Pro zahraniční investory z toho vyplývají zejména tyto praktické dopady:

Počet povinných notifikací se výrazně zvýší. Transakce týkající se českých cílových společností působících v digitálních, datově orientovaných, energetických či zdravotnických oborech budou častěji vyžadovat předchozí schválení MPO.
Nutnost včasné due diligence. Investoři by měli v rané fázi prověřit, zda cílová společnost splňuje (nebo může splňovat) podmínky pro zařazení mezi regulované poskytovatele a zda je již registrována u NÚKIB. Lhůta MPO pro rozhodnutí v povinném režimu zůstává dlouhá – 90 dnů od podání s možností prodloužení.
Povinnost se vztahuje i na menšinové podíly. Povinná notifikace se nadále vztahuje již na nabytí 10 % hlasovacích práv, tedy i na čistě finanční investice bez vzniku kontroly.
Dobrovolná konzultace zůstává k dispozici. Pro hraniční nebo nejasné případy představuje dobrovolná konzultace účinný nástroj řízení rizik v situacích, kdy transakce nepodléhá povinnému režimu.

Celkově lze očekávat, že se český FDI screening stane běžnou a nezbytnou součástí plánování přeshraničních transakcí, zejména v oblastech digitálních technologií, infrastruktury, zdravotnictví a průmyslu.