Nový zákon o kritické infrastruktuře III. – Manažer kritické infrastruktury
Kdo stojí mezi kritickou infrastrukturou a státem? Manažer kritické infrastruktury je novou klíčovou rolí, která přináší nejen jasně vymezené povinnosti a požadavky, ale i praktické dopady pro fungování organizací. Co tato pozice obnáší a na co si dát pozor?
Přinášíme třetí ze série článků, ve které se věnujeme novému zákonu o kritické infrastruktuře.
Dne 19. srpna 2025 vstoupil v účinnost ZOKI,[1] kterým se do českého právního řádu transponovala směrnice CER.[2] V minulém článku jsme se věnovali právům a povinnostem subjektu kritické infrastruktury, mezi něž patří i povinnost určit manažera kritické infrastruktury. Nyní se zaměříme na osobu manažera kritické infrastruktury, jeho odpovědnost a ostatní problematiku s ním související.
Kdo je manažer kritické infrastruktury?
Manažer kritické infrastruktury funguje jako styčná osoba mezi subjektem kritické infrastruktury a Ministerstvem vnitra, gestorem či Evropskou komisí, kdy těmto institucím musí poskytovat potřebnou součinnost při plnění povinností dle ZOKI. Funkce manažera kritické infrastruktury tak nahrazuje současného „styčného bezpečnostního zaměstnance“. Manažer kritické infrastruktury je přímo podřízen statutárnímu orgánu společnosti, a proto by měl mít přehled o fungování předmětné organizace. Nutno podotknout, že je jeho funkce slučitelná s výkonem jiných funkcí, typicky se jedná o slučitelnost s funkcí manažera kybernetické bezpečnosti.
Pojem „manažer kritické infrastruktury“ je upraven v ust. § 16 ZOKI a má se jednat o osobu splňující podmínky pro výkon citlivé činnosti ve smyslu Zákona o bezpečnostní způsobilosti[3] a požadavky odborné způsobilosti. Odbornou způsobilost manažer kritické infrastruktury naplní, pokud prokáže praxi v zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činnosti po dobu nejméně 3 let v případě, že nedosáhl vysokoškolského vzdělání, nebo po dobu 1 roku v případě, že takového vzdělání dosáhl.
Je-li subjekt kritické infrastruktury součástí koncernu nebo jiné formy obdobného řízení, je přípustné, aby funkci manažera kritické infrastruktury vykonával manažer kritické infrastruktury této řídící osoby. Tedy jedna osoba může být manažerem kritické infrastruktury ve více takto propojených společnostech.
Povinnosti subjektu kritické infrastruktury ve vztahu k manažerovi kritické infrastruktury
Subjekt kritické infrastruktury je povinen v souvislosti s manažerem kritické infrastruktury:
- do 10 měsíců od jeho zařazení na seznam subjektů kritické infrastruktury určit osobu, která bude manažerem kritické infrastruktury;
- bez zbytečného odkladu oznámit určení manažera kritické infrastruktury Ministerstvu vnitra a příslušnému gestorovi;
- vytvářet manažerovi kritické infrastruktury podmínky nezbytné k plnění jeho povinností; a
- požádat u manažera kritické infrastruktury o ověření spolehlivosti, zda splňuje podmínky pro výkon citlivé činnosti podle Zákona o bezpečnostní způsobilosti.
Odpovědnost manažera kritické infrastruktury
Manažer kritické infrastruktury není ze své funkce odpovědný za plnění povinností dle ZOKI, neboť odpovědným je samotný subjekt kritické infrastruktury. V případě, že je manažer kritické infrastruktury v pracovněprávním vztahu se subjektem kritické infrastruktury, může tento subjekt uplatnit vůči manažerovi kritické infrastruktury regresní nárok dle OZ[4] a pracovněprávních předpisů. Musí však jít o situaci, kdy manažer porušil své povinnosti stanovené pracovní smlouvou.
Pokud je manažer kritické infrastruktury v pozici externího pracovníka, může subjekt kritické infrastruktury rovněž uplatnit regresní nárok, avšak pouze dle OZ. ZOKI nestanovuje žádnou speciální odpovědnost manažera kritické infrastruktury.
Lze tedy shrnout, že manažer kritické infrastruktury, kterého ZOKI nově zavádí, je styčnou osobou mezi subjektem kritické infrastruktury a příslušnými orgány veřejné moci. Manažer kritické infrastruktury je přímo podřízen statutárnímu orgánu dané společnosti. Tuto pozici může zastávat pouze osoba, která splňuje požadavky spolehlivosti a odborné způsobilosti. Současně je možné tuto funkci manažera kritické infrastruktury sloučit i s jinými bezpečnostními rolemi. Za plnění povinností podle ZOKI odpovídá samotný subjekt kritické infrastruktury, nicméně v případě porušení pracovních či smluvních povinností může subjekt kritické infrastruktury vůči manažerovi uplatnit regresní nárok podle občanského nebo pracovního práva.
Poslední článek z naší série bude pojednávat o kritických dodavatelích subjektu kritické infrastruktury.
[1] Zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)
[2] Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES
[3] Zákon č. 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti
Další články
Může soud snížit náhradu za spoluvlastnický podíl u „spekulantů“?
Lze snížit náhradu za spoluvlastnický podíl při zrušení a vypořádání spoluvlastnictví, pokud došlo ke spekulativnímu nabytí takového podílu? Nejvyšší soud nyní upřesnil, kdy to možné je – a kdy ne.
EUDAMED: Jednotná databáze mění pravidla hry na trhu zdravotnických prostředků
Evropská databáze zdravotnických prostředků EUDAMED je jednou z nejvýznamnějších novinek, které přináší nařízení o zdravotnických prostředcích (MDR) a nařízení o diagnostických zdravotnických prostředcích in vitro (IVDR).
Sloučení kontrolní agendy krajských státních zastupitelství jako cesta k zachování menších okresních státních zastupitelství
Justice čelí zahlcení. Zatímco ministerstvo plánuje velkou reformu soudů až na rok 2028, efektivnějších úřadů a obřích úspor lze dosáhnout okamžitě. Stačí sloučit dozor a dohled na krajích. Má to však háček: nejdříve musíme utnout bezbřehý instanční dohled, ze kterého se v éře umělé inteligence stal nástroj šikanózních stěžovatelů a anonymů z internetu. Pokud systém nezačne podněty přísně filtrovat, zkolabuje a poškodí ty, kteří pomoc státu skutečně potřebují.
Přelomové rozhodnutí německého soudu k odpovědnosti za výroky AI chatbotů
Dne 12. května 2026 vydal Oberlandesgericht Hamm rozsudek, který představuje zásadní mezník v oblasti přičitatelnosti jednání systémů umělé inteligence podnikatelským subjektům. V rozhodnutí se soud zabýval otázkou, zda může podnik nést odpovědnost za nepravdivé informace generované jeho AI chatbotem, a to i v situaci, kdy k poskytnutí těchto informací nedošlo na základě jeho pokynu a chatbot byl původně trénován na správných údajích.
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
