Nový zákon o kritické infrastruktuře: koho se týká a co přináší?

17. 7. 2025 podepsal Prezident nový zákon o kritické infrastruktuře. Poměrně rychlým legislativním procesem nám tak do právního řádu přichází předpis, který přebírá evropskou směrnici CER (2022/2557) a nastavuje jednotné, srozumitelné minimum bezpečnostních opatření napříč odvětvími.

Cílem je získat přehled, jak jsou klíčové služby v České republice chráněny, a podnikům naopak zjednodušit komunikaci.

Hlavní myšlenka se odklání od kontroly „budov a zařízení“ (prvky kritické infrastruktury) a soustředí se na nepřerušené poskytování základní služby, ať už jde o elektřinu, vodu, digitální konektivitu, zdravotnictví či logistiku.

Koho se nový zákon týká?

Jednoduše by se dalo říct, že by měl zpozornit každý, kdo si odpoví kladně na otázku: „Poskytujeme službu, jejíž výpadek paralyzuje stát nebo trh?“ Pokud ano, je velice pravděpodobné, že budete do budoucna určeni jako subjekt kritické infrastruktury.

Subjektem kritické infrastruktury je takový subjekt, který poskytuje tzv. základní službu a o kterém Ministerstvo vnitra rozhodne, že jako poskytovatel základní služby je tímto subjektem.

Důležité ovšem je, že v prvním kroku musí subjekt identifikovat základní služby, které poskytuje a tyto oznámit Ministerstvu vnitra, či jinému ústřednímu správnímu úřadu.

Chcete probrat, jestli se vás nový zákon o kritické infrastruktuře týká? Ozvěte se.

A jaké povinnosti subjekty musí naplňovat?

1. Posouzení rizik subjektů kritické infrastruktury
   Do 9 měsíců od zařazení musíte popsat hrozby, zranitelnosti a dopady na své služby.
2. Plán odolnosti
   Do 10 měsíců navrhnete a zavedete technická, organizační i personální opatření. Aktualizace by měla být prováděna minimálně každé 4 roky.
3. Informační povinnost
   Průběžně poskytujete Ministerstvu vnitra a věcně příslušnému úřadu data o službách, kritických pracovnících, dodavatelích a incidentech.
4. Manažer kritické infrastruktury
   Jmenujete kvalifikovanou osobu (bezpečnostní způsobilost + 3 roky praxe, respektive jeden rok, pokud má VŠ vzdělání), která bude mít na starosti styk s úřady a koordinovat plnění zákona.
5. Incident reporting
   Každé závažné narušení služby hlásíte přes Portál kritické infrastruktury.
6. Inventarizace dodavatelů
   Identifikujete a pravidelně hodnotíte „kritické dodavatele“ a smluvně je zavážete k dodržování potřebných standardů.

Trestní bezúhonnost a screening klíčových pracovníků

Novinkou je § 17 – ověřování spolehlivosti. Subjekt kritické infrastruktury bude muset před přijetím některých zaměstnanců provést screening totožnosti a trestní bezúhonnosti.

Podnik si tedy nastaví vnitřní pravidla, které role považuje za „kritické pracovníky“ a jaký rozsah prověrky bude proveden. Důležité zde bude dobře nastavit pravidla pro práci s osobními údaji a informační dokumentaci vůči zaměstnancům a dalším pracovníkům.

Od kdy budou pravidla platit?

Základní datum pro poskytovatele základní služby je 26. 7. 2026. Nejpozději do tohoto data musí Ministerstvo vnitra rozhodnout o zařazení mezi subjekty kritické infrastruktury.