Kritická infrastruktura 2026: Manuál pro praxi v době legislativního provizoria
Nový zákon o odolnosti subjektů kritické infrastruktury není jen další položka na vašem compliance seznamu. Pokud se vás týká, mění způsob, jak přemýšlíte o odolnosti firmy, řízení rizik i fyzické bezpečnosti.
Nastává ovšem paradoxní situace. Legislativní hodiny tikají, ale klíčové prováděcí předpisy zůstávají zatím jen v návrzích a pracovních verzích. Možná si tak říkáte: jak se coby potenciální subjekt kritické infrastruktury zachovat? A co dělat, když současně spadáte i pod zákon o kybernetické bezpečnosti?
Registrační vakuum: březnový termín vs. chybějící předpis
Nejpalčivější problém, kterému aktuálně čelí právní oddělení velkých společností, které by mohly eventuálně spadat pod zákon o odolnosti subjektů kritické infrastruktury (zkráceně zákon o kritické infrastruktuře nebo ZKI), je datum 1. března 2026. Do tohoto termínu měly subjekty splnit ohlašovací povinnost. K dnešnímu dni (2. 3. 2026, pozn. red.) však vláda stále nevydala nařízení, které má stanovit konkrétní kritéria pro určení těchto subjektů.
Subjekty se tak zatím připravují „naslepo“. Právní jistota, která by u takto důležité regulace měla být základem a samozřejmostí, ustupuje legislativnímu zpoždění. Velké společnosti sice tuší, že se jich regulace pravděpodobně bude týkat, ale nemohou provést plnohodnotné právní posouzení svých povinností. To komplikuje i plánování rozpočtů na compliance.
Jak z této situace ven? Povinnost poskytnout informace dozorovému orgánu vznikne až na základě příslušného vládního nařízení. Vzhledem k tomu, že vláda nestihla nařízení do rozhodného data 1. března 2026 vydat, Ministerstvo vnitra nebude toto datum považovat za rozhodné pro účely sankcionování. Je proto nutné vyčkat na nabytí účinnosti nařízení vlády o základních službách a kritériích významnosti. Teprve potom vznikne subjektům kritické infrastruktury povinnost poskytnout nezbytné informace, a to do jednoho měsíce. Z praktického pohledu to znamená, že i když zákon brzy nabude účinnosti, aktuálně se nikam hlásit nemusíte.
Jsem v tom taky? Průnik kyberbezpečnosti a kritické infrastruktury
Častým mýtem v otázce střetu kyberbezpečnosti a kritické infrastruktury je představa, že pokud vás reguluje jeden zákon, automaticky na vás dopadá i druhý. Tak to ale není. Faktem je, že zákon o kybernetické bezpečnosti je mnohem širší.
Platí sice, že pokud jste subjektem kritické infrastruktury, automaticky se z vás stává poskytovatel regulované služby ve vyšším režimu podle zákona o kybernetické bezpečnosti. Obráceně to však neplatí.
Příklad z praxe: jako velký výrobce automobilových součástek spadáte pod zákon o kybernetické bezpečnosti v rámci regulovaného odvětví „výrobní průmysl“. Zákon o kritické infrastruktuře se však nevztahuje na výrobní průmysl, takže se z vás nestává subjekt kritické infrastruktury.
Automatické propojení – jedenkrát a dost
Abyste se neutopili v duplicitní dokumentaci, vztah mezi zákonem o kritické infrastruktuře a zákon o kybernetické bezpečnosti se řídí jednoduchým pravidlem: jednou a dost.
Pokud tedy spadáte pod zákon o kybernetické bezpečnosti a už připravujete příslušnou dokumentaci, která současně splňuje i náležitosti pro zákon o kritické infrastruktuře, nemusíte vytvářet nový, obsahově totožný dokument. V praxi půjde typicky o oblast řízení rizik, kontinuity činností, fyzické bezpečnosti nebo reakce na incidenty.
Zároveň platí princip srovnatelného účinku. Pokud plníte povinnosti podle zákona o kybernetické bezpečnosti a tato opatření mají stejný nebo srovnatelný účinek jako povinnosti podle zákona o kritické infrastruktuře, ustanovení zákona o kritické infrastruktuře se v tomto rozsahu neuplatní.
Sektory s výjimkou aneb kdy se vás to netýká
Pokud působíte v bankovnictví, infrastruktuře finančních trhů nebo v digitální infrastruktuře, zákon o kritické infrastruktuře vám ukládá jen minimální požadavky. V podstatě se vás týká jen registrace a hlášení změn. Všechna bezpečnostní opatření a řešení incidentů v těchto sektorech upravuje primárně nařízení DORA, podle kterého postupujete.
Pět chyb, které při přípravě na ZKI možná děláte i vy:
1. Izolovaný přístup
Bezpečnost ve společnosti vnímáte jako izolovaný problém IT oddělení. Zákon o kritické infrastruktuře však vyžaduje fyzickou, personální i digitální bezpečnost. Tyto tři složky proto musíte propojit do jednoho funkčního plánu odolnosti.
<!--[endif]-->2. Podcenění personální bezpečnosti</p>
Společnosti investují do složitých a drahých technologií – firewallů nebo fyzického zabezpečení budov. Často ale přehlížejí klíčový prvek: zaměstnance na kritických pozicích. Regulace zvyšuje nároky na jejich prověřování, protože mají přístup k citlivým informacím a klíčovým technologiím.
<!--[endif]-->3. Chybějící analýza závislosti</p>
Víte, co děláte a kde máte slabá místa. Víte ale, jak jsou na tom ti, na kterých jste kriticky závislí – vaši dodavatelé? Pokud váš poskytovatel cloudu, nebo správce budovy selže, selžete s ním i vy jako subjekt kritické infrastruktury.
<!--[endif]-->4. Dokumentace jako cíl, ne prostředek</p>
Když upřednostníte „papírovou compliance“ před reálným fungováním, zaděláváte si na problém. Dozorové orgány nebude zajímat jen to, že dokumentace existuje. Budou chtít vidět, jak ji skutečně uplatňujete v praxi.
<!--[endif]-->5. Ignorování dopadů na odpovědnost managementu</p>
Zanedbání přípravy na zákon o kritické infrastruktuře může být považováno jako porušení péče řádného hospodáře. Členové statutárních orgánů tak nesou reálné riziko odpovědnosti za to, že nepřijali vhodná opatření.
Shrnutí na závěr
- Zákon sice pracuje s březnovým termínem jako rozhodným pro registraci, ale klíčové nařízení vlády stále chybí. Vyčkejte proto na jeho vydání a následně poskytněte potřebné informace.
- Každý subjekt kritické infrastruktury je automaticky i poskytovatelem regulované služby podle zákona o kybernetické bezpečnosti, a to v režimu vyšších povinností. Opačně to ale neplatí vždy.
- Dokumentaci, kterou připravujete podle zákona o kybernetické bezpečnosti, můžete využít i pro účely zákona o kritické infrastruktuře, pokud splňuje předepsané náležitosti.
- Pokud přípravu podceníte a incident naruší kontinuitu služeb, vystavujete členy statutárního orgánu osobní odpovědnosti za vzniklou škodu.
Další články
Česko zásadně mění přístup k trestání korporací. Místo odsouzení umožní dohodu „bez škraloupu“, stejně jako na Západě
Trestně odpovědné jsou v Česku už pár let nejenom fyzické osoby, ale i ty právnické. Od července 2026 se přitom výrazně rozšiřují možnosti řešení firemní trestní odpovědnosti.
Chybné nebo neexistující odůvodnění jako důvod nepřezkoumatelnosti správního rozhodnutí
Odůvodnění správního rozhodnutí není úřední formalita ani prostor pro mechanické převyprávění spisu. Je to část rozhodnutí, v níž musí být rozpoznatelné, proč správní orgán dospěl právě k danému výroku.
Způsobilost nezletilého právně jednat
Pokud položíme otázku, zda si nezletilý může bez zastoupení rodičem koupit zmrzlinu, bude nejspíše obvyklá odpověď ano. Při otázce za uzavření smlouvy o úvěru na milion korun bude naopak obvyklá odpověď ne. Je však celá řada různých právních jednání a velké rozmezí nezletilosti, kde bude již odpověď složitější. Může nezletilý ve věku 16 let uzavřít smlouvu s psychoterapeutem nebo advokátem? Může nezletilý ve věku 14 let sám oslovit neziskovou organizaci pro pomoc a uzavřít s ní smlouvu o sociální službě?
ESGRR: praktický návod pro poskytovatele ESG ratingů
Již 2. července 2026 nabylo plné účinnosti nové evropské nařízení o transparentnosti a integritě činností v oblasti ESG ratingů (ESGRR)[1], jehož cílem je zvýšit důvěryhodnost, transparentnost a srovnatelnost ESG ratingů, které jsou stále častěji využívány investory, finančními institucemi i emitenty při investičním a finančním rozhodování.
Rozhodnutí valné hromady o rozdělení zisku v rozporu s dohodou společníků
Nejvyšší soud potvrdil, že rozhodnutí valné hromady o rozdělení zisku podle společenské smlouvy nelze prohlásit za neplatné jen proto, že odporuje ústní dohodě společníků.




