Nový zákon o kritické infrastruktuře IV. – Kritičtí dodavatelé
Nový zákon o kritické infrastruktuře zásadně mění pohled na dodavatelské vztahy: klíčovou roli nově hrají tzv. kritičtí dodavatelé, jejich identifikace i prověřování. Jaké povinnosti z toho plynou pro organizace a jak se promítají do řízení rizik i každodenní praxe?
Přinášíme čtvrtý ze série článků, kde se věnujeme novému Zákonu o kritické infrastruktuře.
- Nový zákon o kritické infrastruktuře I. – Kdo pod něj spadá?
- Nový zákon o kritické infrastruktuře II. – Práva a povinnosti subjektu kritické infrastruktury
- Nový zákon o kritické infrastruktuře III. – Manažer kritické infrastruktury
S účinností ZOKI,[1] kterým se do českého právního řádu transponovala směrnice CER,[2] přešla problematika kritické infrastruktury ze systému prvků kritické infrastruktury na systém subjektů kritické infrastruktury, kteří jsou mimo jiné povinni identifikovat a oznamovat své kritické dodavatele. Poslední článek ze série o ZOKI se bude věnovat právě převážně kritickým dodavatelům a problematice s nimi související.
Jak je definován kritický dodavatel?
Kritický dodavatel vstupuje do právního vztahu se subjektem kritické infrastruktury a poskytuje mu zboží nebo služby nezbytné pro zajištění poskytování základní služby. Kritickým dodavatelem tak nejsou všichni dodavatelé, ale pouze ti splňující tuto podmínku. Kritickým dodavatelem tak nemůže být například zaměstnanec subjektu kritické infrastruktury. Zavedení pojmu kritický dodavatel má zajistit především identifikaci kritických dodavatelů ze strany subjektu kritické infrastruktury a lepší posouzení rizik subjektu kritické infrastruktury.
Dopad ZOKI na dodavatelský řetězec
ZOKI dopadá nejen na subjekt kritické infrastruktury jako takový, ale i na jeho dodavatelský řetězec, tedy jak na kritické dodavatele, tak obecně, i když v menší míře, na dodavatele subjektu kritické infrastruktury.
Subjekt kritické infrastruktury je povinen označit své kritické dodavatele a bez zbytečného odkladu o nich a jejich kritických pracovnících poskytnout informace Ministerstvu vnitra a příslušnému gestorovi. Za kritického pracovníka se tedy považuje jak kritický pracovník samotného subjektu kritické infrastruktury, tak kritický pracovník jeho kritického dodavatele, tj. fyzická osoba, která je v pracovněprávním vztahu, služebním poměru nebo jiném obdobném vztahu s kritickým dodavatelem a která je nezbytná pro zajištění poskytování základní služby. Subjekt kritické infrastruktury musí také Ministerstvu vnitra sdělit důvody, proč tohoto dodavatele označil za kritického. V případě porušení těchto povinností se subjekt kritické infrastruktury dopouští přestupku dle ZOKI.
Subjekt kritické infrastruktury je povinen přijmout opatření k řízení bezpečnosti dodavatelského řetězce a k řízení bezpečnosti pracovníků dle vypracovaného posouzení rizik. Tato opatření mají předcházet vzniku incidentu, který by mohl narušit řádné poskytování základní služby. Podrobnosti obsahu opatření stanoví prováděcí Vyhláška o plánu odolnosti, posouzení rizik, opatřeních k zajištění odolnosti subjektů kritické infrastruktury a o hlášení incidentu,[3] která doposud neprošla legislativním procesem. Další povinností je ověřovat spolehlivost pracovníků kritického dodavatele subjektem kritické infrastruktury, které spočívá v prokázání totožnosti a bezúhonnosti těchto osob a ve zpracování jejich osobních údajů v nezbytném rozsahu.
Na žádost subjektu kritické infrastruktury jsou kritický dodavatel a jeho pracovníci oprávněni vstoupit do vymezených míst nebo území se zákazem vstupu z důvodu mimořádné události nebo krizového stavu a oprávněni k přednostnímu volání v mobilních sítích mobilních operátorů.
Ne všechny práva a povinnosti však dopadají pouze na kritické dodavatele. Za pozornost stojí novinka v podobě pravomoci Ministerstva vnitra vydávat varování a rozhodovat o stanovení podmínek nebo uložení zákazu využít plnění jakéhokoliv dodavatele[4] (nejen kritického dodavatele). Původní verze důvodové zprávy tento institut popisuje jako zcela mimořádný nástroj, jehož využití má přicházet v úvahu pouze ve výjimečných, závažných a řádně odůvodněných situacích. Ministerstvo vnitra by na jeho základě mohlo vydat varování nebo ve správním řízení stanovit podmínky pro dodávky a poskytování služeb subjektu kritické infrastruktury ze strany dodavatele, který by byl vyhodnocen jako riziko pro bezpečnost České republiky. Ve zvlášť závažných případech by pak mohlo přistoupit i k omezení nebo zákazu takových dodávek či služeb. Po kritice ze strany Hospodářské komory České republiky a Svazu průmyslu a dopravy České republiky se od původní verze tohoto ustanovení upustilo, ovšem jeho současná verze zůstává ve finální důvodové zprávě ZOKI bez povšimnutí.
Na závěr série
ZOKI představuje významný posun v tom, jak stát i dotčené subjekty nahlížejí na zajištění odolnosti základních služeb v rámci systému jako celku. Nejde již pouze o otázku technického nebo bezpečnostního nastavení, ale o komplexní regulatorní rámec, který dopadá na řízení organizace, rozdělení odpovědností, kontrolní mechanismy, smluvní vztahy i krizovou připravenost.
V této sérii jsme se snažili přiblížit nejen samotné právní zakotvení nové úpravy, ale zejména její praktické důsledky pro subjekty, které mohou být do režimu kritické infrastruktury nově zařazeny nebo na ně budou dopadat související povinnosti. Právě včasná identifikace relevantních dopadů, správné nastavení interních procesů a odpovídající promítnutí požadavků právní úpravy do organizační a smluvní praxe budou pro dotčené subjekty zcela zásadní. Lze očekávat, že v následujícím období bude pozornost zaměřena především na implementaci nových pravidel do každodenního fungování organizací. Rozhodující přitom nebude pouze formální existence interní dokumentace, ale skutečná schopnost povinných subjektů přijatým pravidlům porozumět, účinně je uplatňovat a obstát i v reálných krizových či zátěžových situacích. Právě v tomto směru bude mít kvalitní právní a praktická příprava zásadní význam.
[1] zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)
[2] směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES
[3]Dostupná zde: https://odok.gov.cz/portal/veklep/material/KORNDQ2H6JVT/
[4] § 6 odst. 1 písm. m) ZOKI
Další články
Rozhovor: Monika Novotná, předsedkyně České advokátní komory
JUDr. Monika Novotná, partnerka advokátní kanceláře Rödl & Partner, patří mezi nejvýraznější postavy současné české advokacie. V říjnu 2025 se stala historicky první ženou zvolenou do čela České advokátní komory. Se svým příspěvkem na téma Právní ochrana důvěrnosti komunikace advokáta a klienta v kontextu rozsudku ESLP ve věci Černý a ostatní proti České republice vystoupí již tento týden na Kongresu Právní prostor.
Posledních pár dní na podání daňového přiznání. Kde se nejčastěji chybuje a jak tomu předejít
Poplatníkům, kteří podávají daňové přiznání elektronicky, zbývá čas už jen do pondělí 4. května. Jde zejména o OSVČ, povinnost se ovšem týká i některých zaměstnanců. Řada poplatníků přitom každý rok opakuje stejné přešlapy, které mohou vést k doměření daně, pokutám nebo zbytečným komplikacím s finančním úřadem.
Nová pravidla pro úhradu vakcín: když vyšší spotřeba vede k úsporám na celospolečenské úrovni
Od 1. ledna 2026 vstoupila v účinnost novela zákona o veřejném zdravotním pojištění, která zavádí zcela nový režim pro úhradu léčivých přípravků obsahujících očkovací látky a monoklonální protilátky určené k profylaxi (dále jen „vakcíny"). Nově bude rozhodování o výši a podmínkách úhrady vakcín probíhat ve správním řízení, které povede Státní ústav pro kontrolu léčiv. Do rozhodovacího procesu se zapojí také Ministerstvo zdravotnictví a jeho speciální poradní orgán.
Kdo posuzuje žádost o azyl? Ústavní soud koriguje praxi obecných soudů při výkonu trestu vyhoštění
Ústavní soud vymezil jasné hranice mezi pravomocemi soudů a správních orgánů v případech, kdy se trest vyhoštění střetává se žádostí o mezinárodní ochranu. Připomněl, že o azylu rozhoduje výhradně Ministerstvo vnitra a že vyhoštění začíná až jeho skutečným provedením. Nález tak zásadně mění pohled na střet trestního řízení a mezinárodní ochrany.
Elektrokoloběžky v silničním provozu
Elektrokoloběžky se v posledních letech staly zcela běžnou součástí silničního provozu. Jejich majitelé je používají k vlastnímu transportu jak mezi blízkými obcemi například při každodenním dojíždění do zaměstnání, tak především ve městech. Tam často využívají služeb poskytovaných subjekty nabízejícími tzv. sdílení elektrokoloběžek. S tím vším se samozřejmě pojí účast těchto elektrokoloběžek v provozu na pozemních komunikacích.
