Hlavní strana -> Časopis IT Systems -> Rok 2025 -> IT Systems 11/2025 -> Nový zákon o kritické infrastruktuře
IT SYSTEMS 11/2025 , Energetika a utility , Potravinářský průmysl , IT právo

Nový zákon o kritické infrastruktuře

Jindřich Vítek

Dne 19. srpna 2025 nabyl účinnosti zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury (zákon o kritické infrastruktuře) (dále jen „ZoKI“), jenž přináší zásadní změnu v přístupu státu k ochraně kritické infrastruktury. Zákon transponuje evropskou legislativu do českého právního řádu a reflektuje dynamicky se rozvíjející „kyberbezpečnostní“ prostředí. Na rozdíl od dosavadního zákona č. 240/2000 Sb., krizového zákona, se ZoKI zaměřuje nikoli na prvky kritické infrastruktury (tj. na konkrétní objekty, zařízení nebo sítě), ale na subjekty kritické infrastruktury poskytující tzv. základní služby. Těmi se rozumí činnosti nezbytné pro fungování státu, hospodářství a zdraví obyvatel.


Změna paradigmatu: od prvků k subjektům

Nová právní úprava zavádí koncepční reformu, která sjednocuje dosavadní roztříštěný přístup a nahrazuje jej jednotným, systematickým a funkčně orientovaným režimem. Cílem je, aby ochrana kritické infrastruktury nebyla souborem dílčích a oborově uzavřených opatření, ale komplexním integrovaným systémem zastřešujícím všechny odvětvové oblasti, jejichž narušení by mohlo mít závažné dopady na bezpečnost, veřejné zdraví, hospodářskou stabilitu nebo životní úroveň obyvatel.
ZoKI opouští dosavadní koncept ochrany prvků kritické infrastruktury a nahrazuje jej systémem zaměřeným na subjekty, které zajišťují základní služby nezbytné pro fungování společnosti. V centru pozornosti tak už nestojí konkrétní objekt kritické infrastruktury, ale organizace jako celek, která danou základní službu poskytuje. Ohrožení základní služby totiž nemusí vzniknout jen fyzickým poškozením objektu infrastruktury, ale i zásahem do organizační, personální nebo provozní struktury jeho provozovatele. 

Odvětvová struktura a poskytovatelé základních služeb

ZoKI vymezuje široké spektrum odvětví a pododvětví, která jsou považována za „kritická“ a v nichž dochází k poskytování základních služeb. Patří sem zejména energetika, doprava, bankovnictví a infrastruktura finančních trhů, zdravotnictví, vodárenství, digitální infrastruktura, veřejná správa, výroba a distribuce potravin či bezpečnost (např. požární ochrana, státní hmotné rezervy či hydrometeorologická výstražná služba).
Poskytovatel, který v „kritických“ odvětvích vykonává svou činnost a současně splňuje alespoň jedno kritérium významnosti stanovené podzákonným předpisem, se automaticky stává poskytovatelem základní služby. V takovém případě mu vzniká povinnost oznámit tuto skutečnost příslušnému správci odvětví a současně se stává potenciálním „kandidátem“ na subjekt kritické infrastruktury.

Správa odvětví

Každé odvětví a pododvětví, v němž dochází k poskytování základních služeb, má svého „správce“, který na něho dohlíží. Tím je věcně příslušný orgán státní správy (např. Ministerstvo průmyslu a obchodu v odvětví energetiky, Ministerstvo dopravy v odvětví dopravy, Ministerstvo zdravotnictví v odvětví zdravotnictví atp.), jenž s danými subjekty komunikuje, poskytuje jim metodickou podporu a vykonává nad nimi dozor. 
Koordinační úlohu v celém systému kritické infrastruktury má Ministerstvo vnitra, které rozhoduje o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury. ZoKI počítá také s vytvořením Portálu kritické infrastruktury, jakožto informačního systému plnícího funkci centrálního nástroje správy celého systému, který umožní elektronické předávání informací, hlášení incidentů či plnění zákonných povinností ze strany subjektů kritické infrastruktury. 

Určování subjektů kritické infrastruktury

Při určování subjektů kritické infrastruktury poskytovatel základní služby nejprve sám posoudí, zda naplňuje kritérium významnosti vztahující se k dané službě. V případě jeho nečinnosti posouzení provede příslušný správce daného odvětví. Je-li výsledek pozitivní, předá poskytovatel nezbytné informace správci daného odvětví, který je vyhodnotí a v případě splnění podmínek podá Ministerstvu vnitra podnět k rozhodnutí o zařazení poskytovatele na seznam subjektů kritické infrastruktury. O zařazení či nezařazení poskytovatele na seznam následně rozhodne Ministerstvo vnitra. 

Práva a povinnosti subjektů kritické infrastruktury

V případě zařazení na seznam subjektů kritické infrastruktury vzniká poskytovateli řada povinností, jejichž cílem je zvýšit celkovou odolnost poskytované služby i samotného poskytovatele. Jedná se zejména o následující povinnosti:
  • Vypracovat a pravidelně aktualizovat posouzení rizik týkajících se základní služby, v němž musí poskytovatel identifikovat rizika, která by mohla narušit jeho činnost – od technických, přes organizační až po personální (ve lhůtě 9 měsíců od zařazení na seznam);
  • Vypracovat plán odolnosti s přehledem konkrétních opatření k předcházení identifikovaných rizik a plánem reakce na případný incident (ve lhůtě 10 měsíců od zařazení na seznam);
  • Designovat manažera kritické infrastruktury odpovědného za implementaci bezpečnostních opatření (ve lhůtě 10 měsíců od zařazení na seznam);
  • Hlásit bezpečnostní incidenty prostřednictvím Portálu kritické infrastruktury;
  • Označit kritické dodavatele, ověřovat spolehlivost klíčových pracovníků a účastnit se cvičení k ověření odolnosti subjektů kritické infrastruktury.
Spolu s povinnostmi poskytuje ZoKI subjektům kritické infrastruktury také ochranná práva, která mají praktický význam především při vzniku bezpečnostních incidentů. Subjekty mohou například žádat o přednostní připojení k veřejné síti, vstup do uzavřených oblastí za účelem zajištění služby nebo o přednostní odběr některých základních zdrojů. Tím se vytváří efektivní právní rámec, který vyvažuje povinnosti subjektů kritické infrastruktury jejich právem na zvýšenou ochranu a podporu ze strany státu.

Závěrem

ZoKI představuje zásadní změnu v chápání ochrany kritické infrastruktury a přesouvá těžiště z technické ochrany jednotlivých objektů na ochranu poskytování služeb jako takových. Tímto posunem zákon přenáší odpovědnost tam, kde skutečně vzniká – tedy u poskytovatelů základních služeb. Tímto způsobem vytváří novou úroveň spolupráce mezi státem a soukromým sektorem, založenou na vzájemné důvěře, sdílení informací a jednotném řízení rizik. V neposlední řadě ZoKI poprvé zavádí i sankce za porušování zákonných povinností. Při porušení povinností subjektu kritické infrastruktury hrozí pokuty až do výše 25 milionů Kč nebo 0,3 % ročního obratu, eventuálně 50 milionů Kč nebo 1,5 % obratu v případě opakovaného porušení. Neplnění informační povinnosti poskytovatele základní služby pak může být sankcionováno pokutou do 50 tisíc Kč.
 
Jindřich Vítek, Ph.D.
Autor článku je zakladatel advokátní kanceláře Matzner & Vítek a odborný asistent na právnické fakultě.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.