Zákon o kritické infrastruktuře: do 1. března zbývají dny.
Zákon č. 266/2025 Sb. o odolnosti subjektů kritické infrastruktury je účinný od 19. srpna 2025, ale pro mnoho organizací právě nyní začíná rozhodující chvíle: do 1. března 2026 musí poskytovatelé základních služeb splnit zákonem stanovenou informační povinnost vůči příslušným orgánům státní správy.
Nový zákon transponuje evropskou směrnici CER (2022/2557) o odolnosti kritických subjektů a zásadně mění dosavadní přístup k ochraně kritické infrastruktury v České republice. Podstatnou změnou je odklon od ochrany konkrétních fyzických objektů a zařízení směrem k zajištění dostupnosti základních služeb jako takových. Zákon nahrazuje příslušnou část krizového zákona č. 240/2000 Sb. a vytváří samostatný právní rámec s vlastními povinnostmi i sankcemi. Zákon se vztahuje na organizace poskytující základní služby ve dvanácti odvětvích: energetika, doprava (letecká, železniční, vodní, silniční a veřejná), bankovnictví, infrastruktura finančních trhů, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, veřejná správa, vesmír, výroba a distribuce potravin a bezpečnost. Subjekt se stává poskytovatelem základní služby tehdy, pokud v daném odvětví působí a zároveň naplňuje alespoň jedno kritérium významnosti stanovené nařízením vlády – například počet uživatelů závislých na dané službě, tržní podíl, rozsah pokrývaného území nebo závažnost dopadů případného výpadku.
Termín se blíží: poskytovatelé základních služeb, kteří zahájili poskytování služby nejpozději k 30. listopadu 2025, jsou povinni do 1. března 2026 předat informace o své základní službě, kritické infrastruktuře na území ČR i EU a o naplnění kritérií významnosti příslušnému ministerstvu nebo ústřednímu správnímu úřadu a Ministerstvu vnitra. Na základě těchto informací MV rozhodne o zařazení na seznam subjektů kritické infrastruktury. Teprve od tohoto zařazení začínají plynout další povinnosti – zpracovat posouzení rizik, vypracovat plán odolnosti a zavést odpovídající technická, bezpečnostní a organizační opatření.
Pro organizace, které již plní podobné povinnosti podle zákona o kybernetické bezpečnosti nebo sektorové regulace EU, zákon myslí na překryvy: pokud existující dokumentace splňuje náležitosti posouzení rizik nebo plánu odolnosti, povinnost se považuje za splněnou. Zákon rovněž výslovně vylučuje duplicitní plnění tam, kde srovnatelné povinnosti ukládá přímo unijní nařízení. Toto propojení s kybernetickým zákonem je prakticky důležité zejména pro správce digitální infrastruktury a poskytovatele komunikačních sítí.
Na rozdíl od předchozí právní úpravy zákon nově zavádí sankce za neplnění povinností. Povinné zveřejnění v Portálu kritické infrastruktury, správní sankce i možnost nápravných opatření ze strany Ministerstva vnitra dávají regulaci reálný donucovací potenciál, který dosud chyběl. Organizace, které termín 1. března zmeškají nebo se mylně domnívají, že se jich zákon netýká, by proto měly situaci neprodleně prověřit.
Další články
Zákon o kritické infrastruktuře: do 1. března zbývají dny.
ENISA vydala „State of the Cybersecurity in the Union“ – přehled vyspělosti a doporučení
