Přinášíme druhý ze série článků, kde se věnujeme novému Zákonu o kritické infrastruktuře. První díl naleznete zde.
Dne 19. srpna 2025 vstoupil v účinnost ZOKI,[1] kterým se do českého právního řádu transponovala směrnice CER.[2] V našem minulém článku na téma ZOKI jsme vysvětlili základní pojmy kritické infrastruktury a věnovali jsme se též oznamovací povinnosti poskytovatele základní služby vůči svému gestorovi před zapsáním na seznam subjektů kritické infrastruktury. Tento článek bude shrnovat práva a povinnosti subjektu kritické infrastruktury po jeho zapsání na tento seznam.[3]
Povinnosti subjektu kritické infrastruktury po zařazení na seznam
Subjekt kritické infrastruktury po zařazení na seznam subjektů kritické infrastruktury musí sdělit gestorovi a Ministerstvu vnitra řadu informací, například informace o svých kritických pracovnících nebo kritických dodavatelích. Subjekt kritické infrastruktury má však kromě poskytování informací celou řadu dalších povinností.
Jednou z hlavních povinností subjektu kritické infrastruktury je nahlašování bezpečnostních incidentů Ministerstvu vnitra do 24 hodin od jejich vzniku. Tato povinnost začne platit 10 měsíců od doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury a subjekt kritické infrastruktury bude nucen o incidentů zpracovat závěrečnou zprávu.
Subjekt kritické infrastruktury je dále povinen zpracovat posouzení rizik do 9 měsíců od doručení rozhodnutí o zařazení na seznam. Posouzení rizik spočívá ve vyhodnocování přírodních i člověkem způsobených rizik, která mohou danou základní službu ohrozit a vést ke vzniku bezpečnostního incidentu. Na základě vyhodnocení těchto rizik pak subjekt kritické infrastruktury přijímá různá technická, bezpečnostní a organizační opatření. Další povinností je zpracovat tzv. plán odolnosti do 10 měsíců od doručení rozhodnutí o zařazení na seznam, který má mimo jiné obsahovat řešení a předcházení incidentů a jednotlivá opatření.
Do 10 měsíců od doručení rozhodnutí o zařazení na seznam musí subjekt kritické infrastruktury také určit manažera kritické infrastruktury,[4] kterého nově zřizuje ZOKI, a o němž bude pojednávat nadcházející článek z této série. Subjekt kritické infrastruktury si musí u manažera kritické infrastruktury i u dalších prověřovaných osob ověřit jejich spolehlivost, což spočívá nejen v ověření totožnosti a identity, ale také ve zpracovávání osobních údajů v nezbytné míře.
Subjekt kritické infrastruktury se musí účastnit také cvičení k ověření odolnosti jímž se testuje jeho připravenost na řešení incidentů. Takové cvičení se provádí nejvýše jednou za tři roky.
Další povinností je identifikace kritického dodavatele a jeho oznámení Ministerstvu vnitra a gestorovi. Subjekt kritické infrastruktury musí odůvodnit, proč byl dodavatel označen za kritického, a nahlásit jeho základní identifikační údaje.
Kontrola a sankce
Plnění povinností dle ZOKI kontroluje u subjektu kritické infrastruktury vždy jeho gestor, přičemž subjekt kritické infrastruktury je povinen mu tuto kontrolu umožnit. Zjistí-li gestor při kontrole nedostatky, uloží subjektu kritické infrastruktury nápravná opatření. ZOKI zavádí za porušení povinností vysoké pokuty, které se v případě opakovaného porušení mohou vyšplhat až na 50 milionů Kč, případně 1,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období.
Práva subjektu kritické infrastruktury po zařazení na seznam
Za účelem zajištění své odolnosti a poskytování základní služby je subjekt kritické infrastruktury v nezbytném rozsahu oprávněn:
- při přípravě na krizové situace požádat u gestora o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky;
- během mimořádné události nebo za krizového stavu požádat u gestora o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele; a
- za krizového stavu požádat u gestora o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury.
Na závěr lze shrnout, že ZOKI ukládá subjektům kritické infrastruktury po jejich zařazení na seznam řadu povinností, zejména hlášení bezpečnostních incidentů, zpracování posouzení rizik a plánu odolnosti, určení manažera kritické infrastruktury a identifikaci kritických dodavatelů. Plnění těchto povinností kontroluje gestor a při porušení hrozí vysoké pokuty. Zároveň však ZOKI subjektům kritické infrastruktury dává i určitá oprávnění pro zajištění nepřerušeného poskytování základní služby jako je možnost žádat o přednostní připojení k veřejné komunikační síti, zprostředkování vstupu do uzavřených míst nebo přednostní přístup k základní službě jiného subjektu kritické infrastruktury.
Další článek z naší série bude pojednávat o manažerovi kritické infrastruktury.
[1] zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)
[2] směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES
[3] Z poskytovatele základní služby se zapsáním na seznam subjektů kritické infrastruktury stává subjekt kritické infrastruktury.
Diskuze k článku ()