Nový zákon o kritické infrastruktuře II. – Práva a povinnosti subjektu kritické infrastruktury
Druhý díl série o věnované kritické infrastruktuře se zaměřuje na praktické dopady zařazení subjektu na seznam kritické infrastruktury, shrnuje nové povinnosti, jako je hlášení incidentů, řízení rizik či zajištění odolnosti, stejně jako práva, která mají zajistit nepřerušené poskytování základních služeb.
Přinášíme druhý ze série článků, kde se věnujeme novému Zákonu o kritické infrastruktuře. První díl naleznete zde.
Dne 19. srpna 2025 vstoupil v účinnost ZOKI,[1] kterým se do českého právního řádu transponovala směrnice CER.[2] V našem minulém článku na téma ZOKI jsme vysvětlili základní pojmy kritické infrastruktury a věnovali jsme se též oznamovací povinnosti poskytovatele základní služby vůči svému gestorovi před zapsáním na seznam subjektů kritické infrastruktury. Tento článek bude shrnovat práva a povinnosti subjektu kritické infrastruktury po jeho zapsání na tento seznam.[3]
Povinnosti subjektu kritické infrastruktury po zařazení na seznam
Subjekt kritické infrastruktury po zařazení na seznam subjektů kritické infrastruktury musí sdělit gestorovi a Ministerstvu vnitra řadu informací, například informace o svých kritických pracovnících nebo kritických dodavatelích. Subjekt kritické infrastruktury má však kromě poskytování informací celou řadu dalších povinností.
Jednou z hlavních povinností subjektu kritické infrastruktury je nahlašování bezpečnostních incidentů Ministerstvu vnitra do 24 hodin od jejich vzniku. Tato povinnost začne platit 10 měsíců od doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury a subjekt kritické infrastruktury bude nucen o incidentů zpracovat závěrečnou zprávu.
Subjekt kritické infrastruktury je dále povinen zpracovat posouzení rizik do 9 měsíců od doručení rozhodnutí o zařazení na seznam. Posouzení rizik spočívá ve vyhodnocování přírodních i člověkem způsobených rizik, která mohou danou základní službu ohrozit a vést ke vzniku bezpečnostního incidentu. Na základě vyhodnocení těchto rizik pak subjekt kritické infrastruktury přijímá různá technická, bezpečnostní a organizační opatření. Další povinností je zpracovat tzv. plán odolnosti do 10 měsíců od doručení rozhodnutí o zařazení na seznam, který má mimo jiné obsahovat řešení a předcházení incidentů a jednotlivá opatření.
Do 10 měsíců od doručení rozhodnutí o zařazení na seznam musí subjekt kritické infrastruktury také určit manažera kritické infrastruktury,[4] kterého nově zřizuje ZOKI, a o němž bude pojednávat nadcházející článek z této série. Subjekt kritické infrastruktury si musí u manažera kritické infrastruktury i u dalších prověřovaných osob ověřit jejich spolehlivost, což spočívá nejen v ověření totožnosti a identity, ale také ve zpracovávání osobních údajů v nezbytné míře.
Subjekt kritické infrastruktury se musí účastnit také cvičení k ověření odolnosti jímž se testuje jeho připravenost na řešení incidentů. Takové cvičení se provádí nejvýše jednou za tři roky.
Další povinností je identifikace kritického dodavatele a jeho oznámení Ministerstvu vnitra a gestorovi. Subjekt kritické infrastruktury musí odůvodnit, proč byl dodavatel označen za kritického, a nahlásit jeho základní identifikační údaje.
Kontrola a sankce
Plnění povinností dle ZOKI kontroluje u subjektu kritické infrastruktury vždy jeho gestor, přičemž subjekt kritické infrastruktury je povinen mu tuto kontrolu umožnit. Zjistí-li gestor při kontrole nedostatky, uloží subjektu kritické infrastruktury nápravná opatření. ZOKI zavádí za porušení povinností vysoké pokuty, které se v případě opakovaného porušení mohou vyšplhat až na 50 milionů Kč, případně 1,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období.
Práva subjektu kritické infrastruktury po zařazení na seznam
Za účelem zajištění své odolnosti a poskytování základní služby je subjekt kritické infrastruktury v nezbytném rozsahu oprávněn:
- při přípravě na krizové situace požádat u gestora o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky;
- během mimořádné události nebo za krizového stavu požádat u gestora o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele; a
- za krizového stavu požádat u gestora o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury.
Na závěr lze shrnout, že ZOKI ukládá subjektům kritické infrastruktury po jejich zařazení na seznam řadu povinností, zejména hlášení bezpečnostních incidentů, zpracování posouzení rizik a plánu odolnosti, určení manažera kritické infrastruktury a identifikaci kritických dodavatelů. Plnění těchto povinností kontroluje gestor a při porušení hrozí vysoké pokuty. Zároveň však ZOKI subjektům kritické infrastruktury dává i určitá oprávnění pro zajištění nepřerušeného poskytování základní služby jako je možnost žádat o přednostní připojení k veřejné komunikační síti, zprostředkování vstupu do uzavřených míst nebo přednostní přístup k základní službě jiného subjektu kritické infrastruktury.
Další článek z naší série bude pojednávat o manažerovi kritické infrastruktury.
[1] zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)
[2] směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES
[3] Z poskytovatele základní služby se zapsáním na seznam subjektů kritické infrastruktury stává subjekt kritické infrastruktury.
Další články
Rizika Shadow AI? Zaměstnanci mohou neúmyslně ohrozit firemní data, porušit dohody o mlčenlivosti nebo GDPR
S rozvojem AI rostou i rizika tzv. Shadow AI, používání neschválených nástrojů a aplikací umělé inteligence při práci s důvěrnými firemními informacemi, daty obchodních partnerů nebo s osobními údaji klientů a zaměstnanců. Zaměstnanci – obvykle v dobré víře a ve snaze zvýšit produktivitu práce – totiž svěří chráněná data nástrojům, nad kterými nemá firma kontrolu a slouží například ke zdokonalování umělé inteligence.
Ekocida: Chybějící dílek v mozaice nejzávažnějších zločinů podle mezinárodního práva
Mezinárodní trestní právo dnes připomíná precizně vyskládanou mozaiku spravedlnosti. Její čtyři dílky, genocida, zločiny proti lidskosti, válečné zločiny a zločin agrese, chrání lidstvo před těmi nejtěžšími zločiny ohrožujícími mezinárodní mír a bezpečnost. Přesto v tomto zdánlivě uceleném obrazu zůstává prázdné místo, skrze které nezadržitelně uniká odpovědnost za činy, které neútočí přímo na integritu jednotlivců, ale na environmentální stabilitu nezbytnou pro zachování civilizace.
Uznání postoupené pohledávky za pravou
Postoupenému dlužníku zůstávají v souladu s § 1884 odst. 1 o. z. zachovány námitky vůči pohledávce, které měl v době postoupení. Občanský zákoník však v § 1884 odst. 2 o. z. rovněž stanoví, že jestliže dlužník proti poctivému postupníkovi uznal pohledávku jako pravou, je povinen jej uspokojit jako svého věřitele
Firmy čeká první odeslání JMHZ. Bez dokončené registrace zaměstnanců výkaz neprojde
Do 20. května musí zaměstnavatelé poprvé odeslat JMHZ za duben. Řada firem ale teprve dokončuje registraci zaměstnanců, bez které systém výkaz nepřijme. Klíčové týdny ukážou reálnou připravenost na novou povinnost.
Éra dálkových odečtů přichází. Připravte se, riskovat se nevyplácí
Přechod na dálkové měření spotřeby tepla a teplé vody není jen další administrativní položkou na seznamu povinností, ale zásadní změnou v tom, jak budeme v bytových domech nakládat s daty a energiemi. Co tato změna přinese a na co se připravit?
