Kritická infrastruktura 2026: Manuál pro praxi v době legislativního provizoria

Nastává ovšem paradoxní situace. Legislativní hodiny tikají, ale klíčové prováděcí předpisy zůstávají zatím jen v návrzích a pracovních verzích. Možná si tak říkáte: jak se coby potenciální subjekt kritické infrastruktury zachovat? A co dělat, když současně spadáte i pod zákon o kybernetické bezpečnosti?

Registrační vakuum: březnový termín vs. chybějící předpis

Nejpalčivější problém, kterému aktuálně čelí právní oddělení velkých společností, které by mohly eventuálně spadat pod zákon o odolnosti subjektů kritické infrastruktury (zkráceně zákon o kritické infrastruktuře nebo ZKI), je datum 1. března 2026. Do tohoto termínu měly subjekty splnit ohlašovací povinnost. K dnešnímu dni (2. 3. 2026, pozn. red.) však vláda stále nevydala nařízení, které má stanovit konkrétní kritéria pro určení těchto subjektů.

Subjekty se tak zatím připravují „naslepo“. Právní jistota, která by u takto důležité regulace měla být základem a samozřejmostí, ustupuje legislativnímu zpoždění. Velké společnosti sice tuší, že se jich regulace pravděpodobně bude týkat, ale nemohou provést plnohodnotné právní posouzení svých povinností. To komplikuje i plánování rozpočtů na compliance.

Jak z této situace ven? Povinnost poskytnout informace dozorovému orgánu vznikne až na základě příslušného vládního nařízení. Vzhledem k tomu, že vláda nestihla nařízení do rozhodného data 1. března 2026 vydat, Ministerstvo vnitra nebude toto datum považovat za rozhodné pro účely sankcionování. Je proto nutné vyčkat na nabytí účinnosti nařízení vlády o základních službách a kritériích významnosti. Teprve potom vznikne subjektům kritické infrastruktury povinnost poskytnout nezbytné informace, a to do jednoho měsíce. Z praktického pohledu to znamená, že i když zákon brzy nabude účinnosti, aktuálně se nikam hlásit nemusíte.

Jsem v tom taky? Průnik kyberbezpečnosti a kritické infrastruktury

Častým mýtem v otázce střetu kyberbezpečnosti a kritické infrastruktury je představa, že pokud vás reguluje jeden zákon, automaticky na vás dopadá i druhý. Tak to ale není. Faktem je, že zákon o kybernetické bezpečnosti je mnohem širší.

Platí sice, že pokud jste subjektem kritické infrastruktury, automaticky se z vás stává poskytovatel regulované služby ve vyšším režimu podle zákona o kybernetické bezpečnosti. Obráceně to však neplatí.

Příklad z praxe: jako velký výrobce automobilových součástek spadáte pod zákon o kybernetické bezpečnosti v rámci regulovaného odvětví „výrobní průmysl“. Zákon o kritické infrastruktuře se však nevztahuje na výrobní průmysl, takže se z vás nestává subjekt kritické infrastruktury.

Automatické propojení – jedenkrát a dost

Abyste se neutopili v duplicitní dokumentaci, vztah mezi zákonem o kritické infrastruktuře a zákon o kybernetické bezpečnosti se řídí jednoduchým pravidlem: jednou a dost.

Pokud tedy spadáte pod zákon o kybernetické bezpečnosti a už připravujete příslušnou dokumentaci, která současně splňuje i náležitosti pro zákon o kritické infrastruktuře, nemusíte vytvářet nový, obsahově totožný dokument. V praxi půjde typicky o oblast řízení rizik, kontinuity činností, fyzické bezpečnosti nebo reakce na incidenty.

Zároveň platí princip srovnatelného účinku. Pokud plníte povinnosti podle zákona o kybernetické bezpečnosti a tato opatření mají stejný nebo srovnatelný účinek jako povinnosti podle zákona o kritické infrastruktuře, ustanovení zákona o kritické infrastruktuře se v tomto rozsahu neuplatní.

Sektory s výjimkou aneb kdy se vás to netýká

Pokud působíte v bankovnictví, infrastruktuře finančních trhů nebo v digitální infrastruktuře, zákon o kritické infrastruktuře vám ukládá jen minimální požadavky. V podstatě se vás týká jen registrace a hlášení změn. Všechna bezpečnostní opatření a řešení incidentů v těchto sektorech upravuje primárně nařízení DORA, podle kterého postupujete.

Pět chyb, které při přípravě na ZKI možná děláte i vy:

1. Izolovaný přístup

Bezpečnost ve společnosti vnímáte jako izolovaný problém IT oddělení. Zákon o kritické infrastruktuře však vyžaduje fyzickou, personální i digitální bezpečnost. Tyto tři složky proto musíte propojit do jednoho funkčního plánu odolnosti.

<!--[endif]-->2. Podcenění personální bezpečnosti</p>

Společnosti investují do složitých a drahých technologií – firewallů nebo fyzického zabezpečení budov. Často ale přehlížejí klíčový prvek: zaměstnance na kritických pozicích. Regulace zvyšuje nároky na jejich prověřování, protože mají přístup k citlivým informacím a klíčovým technologiím.

<!--[endif]-->3. Chybějící analýza závislosti</p>

Víte, co děláte a kde máte slabá místa. Víte ale, jak jsou na tom ti, na kterých jste kriticky závislí – vaši dodavatelé? Pokud váš poskytovatel cloudu, nebo správce budovy selže, selžete s ním i vy jako subjekt kritické infrastruktury.

<!--[endif]-->4. Dokumentace jako cíl, ne prostředek</p>

Když upřednostníte „papírovou compliance“ před reálným fungováním, zaděláváte si na problém. Dozorové orgány nebude zajímat jen to, že dokumentace existuje. Budou chtít vidět, jak ji skutečně uplatňujete v praxi.

<!--[endif]-->5. Ignorování dopadů na odpovědnost managementu</p>

Zanedbání přípravy na zákon o kritické infrastruktuře může být považováno jako porušení péče řádného hospodáře. Členové statutárních orgánů tak nesou reálné riziko odpovědnosti za to, že nepřijali vhodná opatření.

Shrnutí na závěr

• Zákon sice pracuje s březnovým termínem jako rozhodným pro registraci, ale klíčové nařízení vlády stále chybí. Vyčkejte proto na jeho vydání a následně poskytněte potřebné informace.
• Každý subjekt kritické infrastruktury je automaticky i poskytovatelem regulované služby podle zákona o kybernetické bezpečnosti, a to v režimu vyšších povinností. Opačně to ale neplatí vždy.
• Dokumentaci, kterou připravujete podle zákona o kybernetické bezpečnosti, můžete využít i pro účely zákona o kritické infrastruktuře, pokud splňuje předepsané náležitosti.
• Pokud přípravu podceníte a incident naruší kontinuitu služeb, vystavujete členy statutárního orgánu osobní odpovědnosti za vzniklou škodu.