V září 2025 nabyl účinnosti nový zákon o odolnosti subjektů kritické infrastruktury (č. 266/2025 Sb.), který výrazně rozšiřuje povinnosti některých podniků a institucí a implementuje evropskou směrnici o odolnosti kritických služeb.
Koho se to týká?
Zákon se vztahuje na subjekty, jejichž nepřerušené poskytování služeb je stěžejní pro fungování státu, ekonomiky nebo obyvatel (dle přílohy zákona § 2 odst. 1 písm. a). Zde si ověříte, zda vaše činnost vůbec spadá do některého z dotčených odvětví nebo pododvětví a kdo je váš věcně příslušný orgán (gestor). Příloha vyjmenovává například energetiku, dopravu, bankovnictví, zdravotnictví, pitnou vodu, digitální infrastrukturu, veřejnou správu nebo potraviny a ke každému odvětví přiřazuje příslušné ministerstvo, jiný úřad nebo ČNB. V prováděcím nařízení vlády o základních službách a kritériích významnosti se zjistí, zda konkrétní služba je „základní službou“ a splňuje kritérium významnosti. Pokud ano, pak se mělo provést do 1. března 2026 oznámení příslušnému úřadu, že firma je subjektem kritické infrastruktury (KI). Kromě oblastí jako energetika, doprava, bankovnictví a infrastruktura finančních trhů, zdravotnictví, pitná a odpadní voda, digitální infrastruktura, veřejná správa, potraviny, některé oblasti bezpečnosti mohou mezi dotčené firmy patřit i dodavatelé či poskytovatelé služeb, kteří jsou klíčoví pro chod těchto odvětví. Je třeba prověřit, zda se zákon může vztahovat i na Vaši činnost, co nejdříve jmenovat odpovědnou osobu pro koordinaci zavádění nových opatření, a předběžně si interně posoudit rizika a identifikovat možné kritické procesy a vytvořit rozpočty na splnění nových požadavků.
Subjekty musí zároveň splnit tzv. kritérium významnosti, přičemž konkrétní základní služby a „prahy“ pro jednotlivé služby má stanovit prováděcí předpis § 10 odst. 2. Je tedy nutné porovnat své parametry (počet zákazníků, objemy, pokrytí, tržní podíl apod.) s těmito kritérii. Subjektem kritické infrastruktury je firma až po zařazení na neveřejný seznam. Příslušné ministerstvo/ústřední úřad/ČNB nejprve posoudí informace a dá podnět Ministerstvu vnitra, které rozhodne o zařazení. Povinnosti subjektu KI pak plníte ode dne doručení rozhodnutí o zařazení.
Co následuje po oznámení?
Po oznámení vzniká povinnost do 9 měsíců od zařazení zpracovat posouzení rizik, připravit plán odolnosti (opatření k zajištění kontinuity služeb), jmenovat odpovědnou osobu a plnit oznamovací povinnosti vůči státu. Zákon klade důraz také na prověřování vybraných zaměstnanců a dodavatelů, kteří mají přístup ke kritickým systémům nebo informacím. Ověřování spolehlivosti kritických pracovníků by mělo být provedeno hned poté, co se firma za součást kritické infrastruktury k 1. březnu označí.
