Co Vás zrovna
zajímá.
Menu

Nový zákon o kritické infrastruktuře

Dne 19. srpna 2025 nabyl účinnosti nový zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře), který transponuje směrnici Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (dále jen „Směrnice CER“).

Co nový zákon o kritické infrastruktuře přináší a jak souvisí s novým zákonem o kybernetické bezpečnosti? Na to se podíváme dále v tomto článku.

Směrnice CER
Směrnice CER nahrazuje dřívější směrnici Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu (dále jen „Směrnice EKI“).

Problematika Směrnice EKI byla obsahem zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (dále jen „krizový zákon“).

S ohledem na rozsah změn, které směrnice CER přináší, se zákonodárce rozhodl pro vynětí problematiky kritické infrastruktury z krizového zákona a k vytvoření nového samostatného právního předpisu.

Základní východiska
Právní úprava kritické infrastruktury obecně pracuje s odvětvími kritické infrastruktury, jejichž činnost považuje za stěžejní pro fungování státu. Nový zákon o kritické infrastruktuře dosavadní odvětví a pododvětví rozšiřuje, některá však ze své působnosti vyjímá.

Dále zákon opouští dosavadní systém kritické infrastruktury zaměřený na fyzické objekty a zařízení kritické infrastruktury. Kritickou infrastrukturu nově vnímá prizmatem základní služby, poskytovatele základní služby a subjektu kritické infrastruktury, které si rozebereme níže.

Dosavadní úprava kritické infrastruktury měla zásadní nedostatek, a sice, že nerozeznávala žádné sankce za porušení povinností subjektem kritické infrastruktury. Zákon o kritické infrastruktuře tento nedostatek napravuje a rozlišuje přestupky poskytovatele základní služby a subjektu kritické infrastruktury.

Poskytovatel základní služby
Zásadní je definice tzv. základní služby, kterou je třeba rozumět službu nezbytnou pro zajištění základních funkcí státu, hospodářství, bezpečnosti nebo zdraví obyvatel.

Tyto služby jsou poskytovány v konkrétně vymezených odvětvích a pododvětvích, kterými jsou:

  • energetika (elektřina, dálkové vytápění a chlazení, ropa, zemní plyn, vodík);
  • doprava (letecká, železniční, vodní, silniční, veřejná);
  • bankovnictví;
  • infrastruktura finančních trhů;
  • zdravotnictví;
  • pitná voda;
  • odpadní voda;
  • digitální infrastruktura (služby vytvářející důvěru a elektronická identifikace, veřejné komunikační sítě a veřejně dostupné služby elektronických komunikací, ostatní digitální služby a infrastruktura);
  • veřejná správa;
  • vesmír;
  • výroba, zpracování a distribuce potravin (výroba potravin, skladování a distribuce potravin);
  • bezpečnost (požární ochrana a ochrana obyvatelstva, vnitřní pořádek, státní hmotné rezervy, hydrometeorologická výstražná služba).

Subjekt, který takovou službu poskytuje a zároveň naplňuje alespoň jedno kritérium významnosti stanovené v samostatném nařízení vlády[1], se stává poskytovatelem základní služby.

Poskytovatel základní služby má povinnost nejpozději do tří (3) měsíců od zahájení poskytování základní služby[2] poskytnout informace o jím poskytované základní službě a naplnění kritéria významnosti, o jeho kritické infrastruktuře na území České republiky nebo jiného členského státu EU a základní službě poskytované na území jiného členského státu EU. Tyto informace poskytovatel základní služby poskytne , jinému ústřednímu správnímu úřadu nebo České národní bance (dále jen „ČNB“) a Ministerstvu vnitra ČR (dále jen „MV“).[3]

Subjekt kritické infrastruktury
Ministerstvo, jiný ústřední správní úřad nebo ČNB posoudí poskytnuté informace a podají MV podnět k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.

O podnětu rozhodne MV bez zbytečného odkladu. Proti rozhodnutí MV bude možné podat rozklad, který nemá odkladný účinek. Seznam subjektů kritické infrastruktury bude neveřejný.

Ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury je osoba subjektem kritické infrastruktury a je povinna plnit příslušné povinnosti.

Povinnosti subjektu kritické infrastruktury
Mezi základní povinnosti subjektu kritické infrastruktury dle nového zákona patří zejména:

  • hlásit změny v poskytování základní služby– zejm. pokud začne základní službu poskytovat v jiném rozsahu, začne poskytovat novou základní službu nebo základní službu přestane poskytovat;
  • zpracovat posouzení rizik subjektu kritické infrastruktury– do 9 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury; *
  • poskytnout podklady pro zpracování posouzení rizik České republiky;
  • zpracovat plán odolnosti, který stanoví technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury, a přijímat opatření k zajišťování své odolnosti – do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, po jeho zpracování je třeba jej aktualizovat alespoň každé 4 roky; *
  • určit manažera kritické infrastruktury a vytvářet mu podmínky k plnění povinností – do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, bez zbytečného odkladu pak oznámit jeho určení MV;
  • účastnit se cvičení k ověření odolnosti subjektů kritické infrastruktury;
  • označit kritické dodavatele a sdělit jejich identifikační údaje MV a ministerstvu, jinému ústřednímu správnímu orgánu nebo ČNB;
  • hlásit incidenty a využívat k tomu portál kritické infrastruktury, stejně jako k veškeré další komunikaci s orgány veřejné správy;
  • ověřovat spolehlivost klíčových pracovníků, kteří se mají podílet na a koordinovat poskytování základní služby – výpisem z rejstříku trestů, prokázáním podmínek pro výkon citlivé činnosti podle zákona o ochraně utajovaných informací.

Na první pohled se může zdát, že půjde o značnou administrativní zátěž. Zákonodárce však počítá s tím, že mnoho osob již obdobná opatření zavedla v jiných režimech – například podle zákona o kybernetické bezpečnosti, zákona o krizovém řízení nebo v rámci sektorové regulace.

Zákon o kritické infrastruktuře tak v § 26 výslovně uvádí, že splňuje-li jiná dokumentace, kterou subjekt kritické infrastruktury zpracoval, náležitosti posouzení rizik subjektu kritické infrastruktury nebo plánu odolnosti, považuje se povinnost subjektu kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury nebo plán odolnosti podle tohoto zákona za splněnou.

Zároveň platí, že pokud nařízení EU nebo právní předpis zpracovávající směrnici EU stanoví subjektům kritické infrastruktury povinnost se srovnatelným účinkem jako povinnosti dle zákona o kritické infrastruktuře, povinnosti dle zákona o kritické infrastruktury se neuplatní – jednodušeji řečeno, osoby nebudou muset dvakrát plnit srovnatelné povinnosti.

Subjekt evropské kritické infrastruktury
Zvláštní kategorií je subjekt evropské kritické infrastruktury, kterým se rozumí subjekt kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v šesti státech EU a byl vyrozuměn o tom, že byl Evropskou komisí (dále jen „EK“) označen za kritický subjekt zvláštního evropského významu.

Subjekt evropské kritické infrastruktury plní vedle povinností subjektu kritické infrastruktury i tyto povinnosti:

  • na žádost EK jí poskytne posouzení rizik subjektu kritické infrastruktury a seznam opatření přijatých k zajišťování své odolnosti;
  • umožnit poradní misi EK přístup k informacím souvisejícím s poskytováním základní služby a ke kritické infrastruktuře a poskytnout EK nezbytnou součinnost;
  • přijmout nápravná opatření ke zjištěným nedostatkům.

Sankce a kontrola

Kontrolu v oblasti kritické infrastruktury provádí věcně příslušné ministerstvo nebo jiný správní úřad. Při porušení povinností subjektu kritické infrastruktury hrozí pokuty až do výše:

  • 25 milionů Kč nebo 0,3 % ročního obratu, nebo
  • 50 milionů Kč nebo 1,5 % obratu v případě opakovaného porušení.

Neplnění informační povinnosti poskytovatele základní služby může být sankcionováno pokutou do 50 tisíc Kč.

Zákon také počítá s institutem nápravných opatření, která mohou příslušné úřady subjektům nařídit v případě zjištění nedostatků.

Vztah ke kybernetické bezpečnosti
Zákon o kritické infrastruktuře rovněž počítá s tím, že všechny subjekty kritické infrastruktury budou podléhat i pravidlům nového zákona o kybernetické bezpečnosti, na který jsme se zaměřili v našem dřívějším článku.

Proto například počítá s tím, že informace o kontrolách subjektů kritické infrastruktury budou předávány i Národnímu úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“). NÚKIB bude moci kontroly na žádost MV provádět i sám.

Závěr
Zákon o kritické infrastruktuře nabyl účinnosti dne 19. srpna 2025 a poskytovatelé základní služby mohou splnit předepsanou informační povinnost do 1. března 2026. Dotčené subjekty by tak měly mít dostatek času si interně posoudit naplnění kritérií (pozn.: za předpokladu, že příslušné nařízení vlády stanovující rozhodná kritéria bude vydáno v dohledné době) pro poskytování základní služby a připravit se na povinnosti vyplývající ze zařazení na seznam subjektů kritické infrastruktury.

Nově zákon o kritické infrastruktuře přináší ucelený a praktický rámec pro posilování bezpečnosti státu a jeho základních funkcí. S ohledem na moderní hrozby, včetně hybridních útoků a narušení dodavatelských řetězců, jde o opatření, které může významně přispět k celkové odolnosti české i evropské společnosti.

Jestliže máte dotazy k povinnostem subjektu kritické infrastruktury, kritériím pro poskytování základní služby nebo ke kritické infrastruktuře obecně, neváhejte se na nás obrátit.

[1] Ke dni 19. 8. 2025 je návrh příslušného nařízení ve stádiu po skončení připomínkového řízení

* Náležitosti a způsob zpracování plánu odolnosti a posouzení rizik subjektu kritické infrastruktury stanoví prováděcí právní předpis – vyhláška MV.

[2] Poskytovatel základní služby, který nejpozději k 30. listopadu 2025 zahájí poskytování základní služby, poskytne ministerstvu, jinému ústřednímu správnímu úřadu nebo ČNB poprvé informace podle § 9 odst. 1 do 1. března 2026.

[3] Příslušné ministerstvo nebo ústřední správní úřad se určí podle přílohy k zákonu o kritické infrastruktuře.

 

Mgr. Jakub Málek, managing partner – malek@plegal.cz

Mgr. Ondřej Růžička, advokát – ruzicka@plegal.cz

Mgr. Nikola Tomíčková, advokátní koncipientka – tomickova@plegal.cz

 

www.peytonlegal.cz

 

21. 8. 2025

 

 

 

 

 

Zpět na články

Souvísející články

14. 08. 2025

Co přinese jednotné měsíční hlášení zaměstnavatele?

Číst více
07. 08. 2025

Odchod ze společnosti: Co dělat, když dohoda není možná

Číst více