Nový zákon o kritické infrastruktuře III. – Manažer kritické infrastruktury
Kdo stojí mezi kritickou infrastrukturou a státem? Manažer kritické infrastruktury je novou klíčovou rolí, která přináší nejen jasně vymezené povinnosti a požadavky, ale i praktické dopady pro fungování organizací. Co tato pozice obnáší a na co si dát pozor?
Přinášíme třetí ze série článků, ve které se věnujeme novému zákonu o kritické infrastruktuře.
Dne 19. srpna 2025 vstoupil v účinnost ZOKI,[1] kterým se do českého právního řádu transponovala směrnice CER.[2] V minulém článku jsme se věnovali právům a povinnostem subjektu kritické infrastruktury, mezi něž patří i povinnost určit manažera kritické infrastruktury. Nyní se zaměříme na osobu manažera kritické infrastruktury, jeho odpovědnost a ostatní problematiku s ním související.
Kdo je manažer kritické infrastruktury?
Manažer kritické infrastruktury funguje jako styčná osoba mezi subjektem kritické infrastruktury a Ministerstvem vnitra, gestorem či Evropskou komisí, kdy těmto institucím musí poskytovat potřebnou součinnost při plnění povinností dle ZOKI. Funkce manažera kritické infrastruktury tak nahrazuje současného „styčného bezpečnostního zaměstnance“. Manažer kritické infrastruktury je přímo podřízen statutárnímu orgánu společnosti, a proto by měl mít přehled o fungování předmětné organizace. Nutno podotknout, že je jeho funkce slučitelná s výkonem jiných funkcí, typicky se jedná o slučitelnost s funkcí manažera kybernetické bezpečnosti.
Pojem „manažer kritické infrastruktury“ je upraven v ust. § 16 ZOKI a má se jednat o osobu splňující podmínky pro výkon citlivé činnosti ve smyslu Zákona o bezpečnostní způsobilosti[3] a požadavky odborné způsobilosti. Odbornou způsobilost manažer kritické infrastruktury naplní, pokud prokáže praxi v zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činnosti po dobu nejméně 3 let v případě, že nedosáhl vysokoškolského vzdělání, nebo po dobu 1 roku v případě, že takového vzdělání dosáhl.
Je-li subjekt kritické infrastruktury součástí koncernu nebo jiné formy obdobného řízení, je přípustné, aby funkci manažera kritické infrastruktury vykonával manažer kritické infrastruktury této řídící osoby. Tedy jedna osoba může být manažerem kritické infrastruktury ve více takto propojených společnostech.
Povinnosti subjektu kritické infrastruktury ve vztahu k manažerovi kritické infrastruktury
Subjekt kritické infrastruktury je povinen v souvislosti s manažerem kritické infrastruktury:
- do 10 měsíců od jeho zařazení na seznam subjektů kritické infrastruktury určit osobu, která bude manažerem kritické infrastruktury;
- bez zbytečného odkladu oznámit určení manažera kritické infrastruktury Ministerstvu vnitra a příslušnému gestorovi;
- vytvářet manažerovi kritické infrastruktury podmínky nezbytné k plnění jeho povinností; a
- požádat u manažera kritické infrastruktury o ověření spolehlivosti, zda splňuje podmínky pro výkon citlivé činnosti podle Zákona o bezpečnostní způsobilosti.
Odpovědnost manažera kritické infrastruktury
Manažer kritické infrastruktury není ze své funkce odpovědný za plnění povinností dle ZOKI, neboť odpovědným je samotný subjekt kritické infrastruktury. V případě, že je manažer kritické infrastruktury v pracovněprávním vztahu se subjektem kritické infrastruktury, může tento subjekt uplatnit vůči manažerovi kritické infrastruktury regresní nárok dle OZ[4] a pracovněprávních předpisů. Musí však jít o situaci, kdy manažer porušil své povinnosti stanovené pracovní smlouvou.
Pokud je manažer kritické infrastruktury v pozici externího pracovníka, může subjekt kritické infrastruktury rovněž uplatnit regresní nárok, avšak pouze dle OZ. ZOKI nestanovuje žádnou speciální odpovědnost manažera kritické infrastruktury.
Lze tedy shrnout, že manažer kritické infrastruktury, kterého ZOKI nově zavádí, je styčnou osobou mezi subjektem kritické infrastruktury a příslušnými orgány veřejné moci. Manažer kritické infrastruktury je přímo podřízen statutárnímu orgánu dané společnosti. Tuto pozici může zastávat pouze osoba, která splňuje požadavky spolehlivosti a odborné způsobilosti. Současně je možné tuto funkci manažera kritické infrastruktury sloučit i s jinými bezpečnostními rolemi. Za plnění povinností podle ZOKI odpovídá samotný subjekt kritické infrastruktury, nicméně v případě porušení pracovních či smluvních povinností může subjekt kritické infrastruktury vůči manažerovi uplatnit regresní nárok podle občanského nebo pracovního práva.
Poslední článek z naší série bude pojednávat o kritických dodavatelích subjektu kritické infrastruktury.
[1] Zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)
[2] Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES
[3] Zákon č. 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti
Další články
Uznání postoupené pohledávky za pravou
Postoupenému dlužníku zůstávají v souladu s § 1884 odst. 1 o. z. zachovány námitky vůči pohledávce, které měl v době postoupení. Občanský zákoník však v § 1884 odst. 2 o. z. rovněž stanoví, že jestliže dlužník proti poctivému postupníkovi uznal pohledávku jako pravou, je povinen jej uspokojit jako svého věřitele
Firmy čeká první odeslání JMHZ. Bez dokončené registrace zaměstnanců výkaz neprojde
Do 20. května musí zaměstnavatelé poprvé odeslat JMHZ za duben. Řada firem ale teprve dokončuje registraci zaměstnanců, bez které systém výkaz nepřijme. Klíčové týdny ukážou reálnou připravenost na novou povinnost.
Éra dálkových odečtů přichází. Připravte se, riskovat se nevyplácí
Přechod na dálkové měření spotřeby tepla a teplé vody není jen další administrativní položkou na seznamu povinností, ale zásadní změnou v tom, jak budeme v bytových domech nakládat s daty a energiemi. Co tato změna přinese a na co se připravit?
Jak ochránit rodinný majetek?
Český právní řád nabízí nástroj, který umožňuje vyčlenit majetek tak, že jej formálně nevlastní nikdo, je chráněn před věřiteli, exekucí i důsledky úpadku jeho původního vlastníka. Svěřenský fond, inspirovaný anglosaským trustem, funguje v Česku od roku 2014 a v praxi je často využíván k ochraně a mezigeneračnímu předání rodinného majetku.
Omnibus I a reporting udržitelnosti: zmírnění pravidel CSRD
Během posledních let se rámec nefinančního reportingu v Evropě vyvíjel dynamicky. Od směrnice 2014/95/EU („NFRD“) ke směrnici (EU) 2022/2464 („CSRD“) a dále v oblasti náležité péče ke směrnici (EU) 2024/1760 („CSDDD“). Nyní přichází další zásadní obrat, a to legislativní balíček EU Omnibus I, jakožto soubor opatření, které mají zjednodušit a zacílit povinnosti tak, aby se snížila administrativní zátěž a nepřiměřené dopady zejména na menší a střední subjekty v dodavatelských řetězcích.
