Donedávna totiž platilo, že sám stát označoval konkrétní budovy a zařízení coby kritickou infrastrukturu, nový předpis to ale obrací – začíná sledovat celé firmy, jejich zaměstnance ale i dodavatele. Subjekty, které vyhodnotí, že jejich nepřerušené poskytování služeb je klíčové pro chod státu, se do této lhůty musí samy identifikovat a oznámit to příslušnému úřadu, nejčastěji resortnímu ministerstvu. Určitě do této kategorie spadnou všechny větší firmy v definovaných oblastech jako jsou energetici, plynaři, velké nemocnice nebo i velké pekárny a potravináři, ale také někteří jejich subdodavatelé.
Česká republika si odvětví, v jejichž rámci se budou definovat subjekty kritické infrastruktury, stanovila poměrně široce. Na pozoru by se tak měly mít firmy operující v energetice, vodním hospodářství, zdravotnictví, dopravě, zemědělství, komunikačních systémech, nouzových službách nebo ve veřejné správě. Ti, kteří se od března ocitnou v režimu kritické infrastruktury, budou muset následně do devíti měsíců vypracovat takzvané posouzení rizik, připravit plán odolnosti a jmenovat zodpovědného manažera – kvalifikovanou osobu s bezpečnostní způsobilostí. Připravit se budou muset rovněž na informační povinnost – nejen na průběžné poskytování dat o službách, kritických pracovnících a dodavatelích, ale také na nahlašování každého incidentu přes tzv. Portál kritické infrastruktury.
Jak vyplývá z výše uvedeného, v personální oblasti budou tyto firmy muset vést seznamy kritických pracovníků uvnitř podniku a ověřovat jejich spolehlivost. A nebudou to jen vlastní zaměstnanci, ale také pracovníci dodavatelů, jež budou mít k jejich kritické infrastruktuře rovněž přístup. To určitě vyvolá tlaky jak na personální oddělení uvnitř těchto firem, tak i na změny subdodavatelských smluv, kde se tito pracovníci a jejich prověření musí nově definovat. U kritických pracovníků bude firma muset provést screening jejich totožnosti a trestní bezúhonnosti, což s sebou ponese přenastavení vnitřních procesů pro práci s osobními údaji klidně stovek až tisíců osob. Představte si, že si jako významná energetická společnost najímáte na úklid kanceláří externí firmu, jejíž někteří pracovníci mohou mít přístup ke kritické infrastruktuře. Pak budete vy muset státu prokazovat, že i tito externí pracovníci subdodavatele prošli nezbytným screeningem.
Zákonem dotčené organizace by měly neprodleně zahájit přípravu, protože například zrovna ověřování spolehlivosti kritických pracovníků nemá v zákoně odklad a mělo by nastoupit hned poté, co se firma za součást kritické infrastruktury k 1. březnu označí. Experti dále doporučují co nejdříve jmenovat odpovědnou osobu pro koordinaci zavádění nových opatření, a předběžně si interně posoudit rizika a identifikovat možné kritické procesy (to už má často spousta větších subjektů zpracováno). Vyplatí se rovněž zmapovat si dodavatelské firmy s přístupem ke kritické infrastruktuře a začít s přípravou pravidel a nástrojů pro screening zaměstnanců. A v neposlední řadě je dobré si vytvořit finanční rámec v rozpočtu 2026 pro implementaci všech nových opatření.
Celá Evropská unie implementuje do svých právních řádů směrnici CER (2022/2557), jejíž nová pravidla mají pomoci zvýšit odolnost všech klíčových služeb pro fungování společnosti proti krizím jako jsou blackouty, virtuální či fyzické útoky nebo militární a hybridní hrozby. Že nejede jen o zbytečnou byrokracii ukázaly třeba nedávné útoky na energetické uzly v Berlíně, které nechaly několik dní desítky tisíc lidí bez proudu. V Polsku to byly žhářské útoky na obchodní centra nebo pokusy o vykolejení vlaků. Česko se zaváděním normy tradičně zaspalo, nicméně od loňského 19. srpna je nový zákon o odolnosti kritické infrastruktury platný a účinný. Rok 2026 tak bude klíčovým pro praktické zavedení nových pravidel a procesů v dotčených firmách a institucích do reálné praxe.
Diskuze k článku ()