Nový zákon o kritické infrastruktuře II. – Práva a povinnosti subjektu kritické infrastruktury
Druhý díl série o věnované kritické infrastruktuře se zaměřuje na praktické dopady zařazení subjektu na seznam kritické infrastruktury, shrnuje nové povinnosti, jako je hlášení incidentů, řízení rizik či zajištění odolnosti, stejně jako práva, která mají zajistit nepřerušené poskytování základních služeb.
Přinášíme druhý ze série článků, kde se věnujeme novému Zákonu o kritické infrastruktuře. První díl naleznete zde.
Dne 19. srpna 2025 vstoupil v účinnost ZOKI,[1] kterým se do českého právního řádu transponovala směrnice CER.[2] V našem minulém článku na téma ZOKI jsme vysvětlili základní pojmy kritické infrastruktury a věnovali jsme se též oznamovací povinnosti poskytovatele základní služby vůči svému gestorovi před zapsáním na seznam subjektů kritické infrastruktury. Tento článek bude shrnovat práva a povinnosti subjektu kritické infrastruktury po jeho zapsání na tento seznam.[3]
Povinnosti subjektu kritické infrastruktury po zařazení na seznam
Subjekt kritické infrastruktury po zařazení na seznam subjektů kritické infrastruktury musí sdělit gestorovi a Ministerstvu vnitra řadu informací, například informace o svých kritických pracovnících nebo kritických dodavatelích. Subjekt kritické infrastruktury má však kromě poskytování informací celou řadu dalších povinností.
Jednou z hlavních povinností subjektu kritické infrastruktury je nahlašování bezpečnostních incidentů Ministerstvu vnitra do 24 hodin od jejich vzniku. Tato povinnost začne platit 10 měsíců od doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury a subjekt kritické infrastruktury bude nucen o incidentů zpracovat závěrečnou zprávu.
Subjekt kritické infrastruktury je dále povinen zpracovat posouzení rizik do 9 měsíců od doručení rozhodnutí o zařazení na seznam. Posouzení rizik spočívá ve vyhodnocování přírodních i člověkem způsobených rizik, která mohou danou základní službu ohrozit a vést ke vzniku bezpečnostního incidentu. Na základě vyhodnocení těchto rizik pak subjekt kritické infrastruktury přijímá různá technická, bezpečnostní a organizační opatření. Další povinností je zpracovat tzv. plán odolnosti do 10 měsíců od doručení rozhodnutí o zařazení na seznam, který má mimo jiné obsahovat řešení a předcházení incidentů a jednotlivá opatření.
Do 10 měsíců od doručení rozhodnutí o zařazení na seznam musí subjekt kritické infrastruktury také určit manažera kritické infrastruktury,[4] kterého nově zřizuje ZOKI, a o němž bude pojednávat nadcházející článek z této série. Subjekt kritické infrastruktury si musí u manažera kritické infrastruktury i u dalších prověřovaných osob ověřit jejich spolehlivost, což spočívá nejen v ověření totožnosti a identity, ale také ve zpracovávání osobních údajů v nezbytné míře.
Subjekt kritické infrastruktury se musí účastnit také cvičení k ověření odolnosti jímž se testuje jeho připravenost na řešení incidentů. Takové cvičení se provádí nejvýše jednou za tři roky.
Další povinností je identifikace kritického dodavatele a jeho oznámení Ministerstvu vnitra a gestorovi. Subjekt kritické infrastruktury musí odůvodnit, proč byl dodavatel označen za kritického, a nahlásit jeho základní identifikační údaje.
Kontrola a sankce
Plnění povinností dle ZOKI kontroluje u subjektu kritické infrastruktury vždy jeho gestor, přičemž subjekt kritické infrastruktury je povinen mu tuto kontrolu umožnit. Zjistí-li gestor při kontrole nedostatky, uloží subjektu kritické infrastruktury nápravná opatření. ZOKI zavádí za porušení povinností vysoké pokuty, které se v případě opakovaného porušení mohou vyšplhat až na 50 milionů Kč, případně 1,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období.
Práva subjektu kritické infrastruktury po zařazení na seznam
Za účelem zajištění své odolnosti a poskytování základní služby je subjekt kritické infrastruktury v nezbytném rozsahu oprávněn:
- při přípravě na krizové situace požádat u gestora o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky;
- během mimořádné události nebo za krizového stavu požádat u gestora o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele; a
- za krizového stavu požádat u gestora o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury.
Na závěr lze shrnout, že ZOKI ukládá subjektům kritické infrastruktury po jejich zařazení na seznam řadu povinností, zejména hlášení bezpečnostních incidentů, zpracování posouzení rizik a plánu odolnosti, určení manažera kritické infrastruktury a identifikaci kritických dodavatelů. Plnění těchto povinností kontroluje gestor a při porušení hrozí vysoké pokuty. Zároveň však ZOKI subjektům kritické infrastruktury dává i určitá oprávnění pro zajištění nepřerušeného poskytování základní služby jako je možnost žádat o přednostní připojení k veřejné komunikační síti, zprostředkování vstupu do uzavřených míst nebo přednostní přístup k základní službě jiného subjektu kritické infrastruktury.
Další článek z naší série bude pojednávat o manažerovi kritické infrastruktury.
[1] zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)
[2] směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES
[3] Z poskytovatele základní služby se zapsáním na seznam subjektů kritické infrastruktury stává subjekt kritické infrastruktury.
Další články
Srovnatelné pracovní a mzdové podmínky po novém rozhodnutí Nejvyššího soudu – budou zahrnuty veškerá plnění a benefity?
Nejvyšší soud se v lednu tohoto roku zabýval otázkou, zda příspěvek na penzijní připojištění představuje součást „pracovních a mzdových nebo platových podmínek“ ve smyslu § 43a odst. 6 zákoníku práce, tedy zda musí být zohledněn při srovnání podmínek dočasně přiděleného zaměstnance a srovnatelného kmenového zaměstnance zaměstnavatele, ke kterému je zaměstnanec dočasně přidělen.
Mateřství jako překážka výkonu mandátu? Evropský parlament odpovídá změnou pravidel
Evropský parlament schválil změnu volebního aktu, která nově umožní poslankyním během těhotenství a krátce po porodu hlasovat prostřednictvím zmocněnce. Opatření reaguje na dosavadní praktické limity výkonu mandátu a usiluje o vyrovnání podmínek bez narušení jeho podstaty.
5 otázek pro Petra Kohouta: Jak AI mění pravidla veřejných zakázek?
Mgr. Petr Kohout, LL.M. není typický úředník. Jako vedoucí právního oddělení Krajského úřadu Středočeského kraje má na starosti mimo jiné metodiku veřejných zakázek – a zároveň patří k nejhlasitějším propagátorům umělé inteligence ve veřejné správě v Česku. Dvakrát po sobě získal titul Osobnost AI v kategorii veřejná správa, stojí u zrodu Platformy pro AI ve veřejné správě a je spoluautorem e-booku Nástroje AI ve veřejné správě. Na Kongresu Právní prostor 2026, který se konal 28.-29. dubna 2026, vystoupil s příspěvkem „Umělá inteligence ve veřejných zakázkách".
Kdy musí management začít řešit úpadek společnosti?
Turbulentní ekonomické prostředí posledních let přináší otázku, kterou si dnes klade stále více podnikatelů i manažerů: Kdy už je situace firmy natolik vážná, že management musí začít řešit hrozící úpadek?
Investování pod dohledem: Jak regulace formuje crowdfunding úvěrů
Rozvoj investičních platforem přináší vedle nových příležitostí i otázky právní odpovědnosti, regulace a ochrany investorů. V tomto rozhovoru jsme se s Lukášem Hartlem, novým CEO a jednatelem platformy CreditShare, bavili o tom, jak fungují klíčové kontrolní mechanismy, kde vznikají rizika a jakou roli hraje dohled při budování důvěry v tento typ investování.
