Povinnost členských států určit kritické subjekty

Podle článku 6 Směrnice CER má každý členský stát do 17. července 2026 povinnost určit tzv. kritické subjekty, které poskytují služby v odvětvích specifikovaných v příloze směrnice, jenž je potřeba ochránit proti potenciálním hrozbám. Při určování kritických subjektů by členské státy měly zohlednit především to, zda subjekt poskytuje některou ze základních služeb v příslušném „kritickém“ odvětví, zda na území členského státu působí a nachází se tam jeho kritická infrastruktura, a do jaké míry by případný bezpečností incident narušil (či dokonce znemožnil) poskytování některé z těchto služeb.

Kritické subjekty by měly být určeny pro odvětví, která jsou klíčová pro zachování důležitých společenských funkcí. Podle přílohy Směrnice CER se bude jednat zejména o subjekty působící v oblasti:

1. energetiky (např. elektroenergetické podniky, provozovatelé distribuční soustavy),
2. dopravy (např. významní dopravci, orgány vykonávající kontrolu a dohled nad řízením dopravy, provozovatelé dopravní infrastruktury),
3. bankovnictví (např. banky a úvěrové instituce),
4. zdraví (např. poskytovatelé zdravotní péče, laboratoře),
5. pitné vody (např. dodavatelé a distributoři pitné vody),
6. odpadních vod (např. subjekty zajišťující odvod nebo čištění odpadních vod),
7. digitální infrastruktury (např. datové centra, registry domén, poskytovatelé veřejné sítě elektronických komunikací, cloud computingu, služeb vytvářejících důvěru),
8. veřejné správy,
9. vesmíru,
10. výroby, zpracování a distribuce potravin (např. potravinářské podniky).

Odolnost kritických subjektů

Podle Směrnice CER budou mít členské státy také povinnost zajistit, aby kritické subjekty provedly do devíti měsíců od obdržení oznámení o jejich ustanovení a následně dle potřeby (nejméně však jednou za 4 roky) posouzení rizik, která mohou narušit poskytování služeb. Posouzení rizik by mělo zohlednit veškerá přírodní rizika a rizika způsobená člověkem, která by mohla vést k bezpečnostnímu incidentu, včetně rizik přeshraniční povahy, přírodních katastrof, havárií, hybridních hrozeb či teroristických činů.

Obdobné posouzení rizik budou mít povinnost vypracovat i jednotlivé členské státy pro účely určování kritických subjektů, a to nejpozději do 17. ledna 2026. Vedle uvedeného posouzení rizik budou členské státy mít do 17. ledna 2026 také povinnost vypracovat strategii pro posílení odolnosti kritických subjektů, která stanoví strategické cíle a opatření za účelem dosažení vysoké úrovně odolnosti kritických subjektů. Každá tato strategie by měla obsahovat mj. strategické cíle k posílení celkové odolnosti kritických subjektů, správní rámec pro naplnění strategických cílů, popis postupu, jak jsou určovány kritické subjekty, popis procesu podpory kritických subjektů nebo seznam hlavních orgánů zapojených do provádění strategie.

Na základě relevantních poznatků získaných z posouzení rizik člen­ské­ho státu i na základě výsledků posouzení rizik kritického subjektu budou mít členské státy následně povinnost zajistit, aby kritické subjekty přijaly vhodná technická, bezpečnostní a organizační opa­tře­ní ke zvýšení své odolnosti vůči bezpečnostním incidentům. Tato opatření by měla zahrnovat zejména (a) opatření k předcházení vzni­ku incidentů a ke snižování rizika katastrof, (b) opatření k zajištění přiměřené fyzické ochrany jejich prostor a kritické infrastruktury (např. oplocení, zábrany, monitoring objektu, detekční zařízení apod.), (c) odezvy na incidenty a odolávání důsledkům incidentů a jejich zmírňování (např. formou vnitřních postupů a protokolů pro řízení rizik), (d) zotavení se z incidentů (např. určení alternativních dodavatelských řetězců), (e) zajištění přiměřeného řízení bez­peč­nos­ti zaměstnanců (např. ve formě stanovení kategorií pracovníků vykonávajících kritické funkce, stanovení přístupových práv k prostorám, kritické infrastruktuře a citlivým informacím apod.) nebo (f) zvyšování povědomí pracovníků kritických subjektů o přijatých bezpečnostních opatřeních (např. ve formě pravidelných školení).

Oznamování incidentů a seznam kritických subjektů

Designované kritické subjekty budou mít v případě vzniku bezpečnostního incidentu povinnost o tom bez zbytečného odkladu vyrozumět příslušný orgán. Prvotní oznámení by kritické subjekty měly učinit nejpozději do 24 hodin od okamžiku, kdy se o vzniku incidentu dozví, a v relevantních případech následně do jednoho měsíce vypracovat o incidentu podrobnou zprávu. Pokud by incident mohl mít významný dopad na kontinuitu poskytování základních služeb v šesti nebo více členských státech, oznámí příslušné orgány členského státu předmětný incident Evropské komisi.

Každý členský stát podle Směrnice CER současně vytvoří seznam designovaných kritických subjektů a zajistí, aby tyto kritické subjekty byly informovány o tom, že byly jakožto kritické subjekty ustanoveny, a to do jednoho měsíce od jejich ustanovení. Členské státy následně informují kritické subjekty o jejich povinnostech podle Směrnice CER a o datu, od kterého se na ně uvedené povinnosti budou vztahovat, přičemž v případě potřeby (nejméně však jednou za čtyři roky) by členské státy měly přezkoumat a případně aktualizovat seznam určených kritických subjektů.

Závěr

V souvislosti s přijatou Směrnicí CER byl v únoru letošního roku Ministerstvem vnitra ČR předložen zbrusu nový návrh zákona o odolnosti subjektů kritické infrastruktury a o změně dalších zákonů (tzv. zákon o kritické infrastruktuře). Tento návrh je aktuálně projednáván Vládou ČR a jeho hlavním cílem je zapracovat do právního řádu České republiky požadavky Směrnice CER. Jakkoliv se dá očekávat, že v průběhu legislativního procesu návrh ještě dozná řady změn, již brzy se můžeme těšit na zpřesnění a konkretizaci požadavků Směrnice CER i v rámci vnitrostátní legislativy.

JUDr. Jindřich Vítek, Ph.D. Autor článku je zakladatel advokátní kanceláře Matzner & Vítek a odborný asistent na právnické fakultě.