Změna přístupu

Systém kritické infrastruktury není novinkou, v českém právním řádu je zakotven již od roku 2010, a to konkrétně v krizovém zákoně. S novou právní úpravou ovšem přichází i určitá změna v přístupu k určování kritické infrastruktury. Podle dosud platného přístupu se pozornost v úvodní fázi zaměřovala na prvky kritické infrastruktury, tedy zejména objekty, stavby, zařízení nebo sítě, které byly odpovědnými orgány určovány. V rámci nového přístupu bude pozornost zaměřená na poskytování základní služby daným provozovatelem. Z úrovně státu se tak již nebudou určovat „prvky kritické infrastruktury“, ale „subjekty kritické infrastruktury“, které si následně samy určí svou kritickou infrastrukturu nezbytnou pro poskytování základní služby.

Novinky

Nová právní úprava s sebou přináší také některé nové prvky. Každé odvětví a pododvětví bude mít jasně stanovený věcně příslušný orgán, tzv. gestora, se kterým budou subjekty kritické infrastruktury primárně komunikovat. Tato komunikace zahrnující mimo jiné i sdílení vybraných informací bude intenzivnější. Gestoři budou zároveň příslušným subjektům kritické infrastruktury poskytovat metodickou pomoc. K tomuto účelu pak bude primárně sloužit nově vytvořený portál kritické infrastruktury.

Za účelem posílení své odolnosti budou subjekty kritické infrastruktury zpracovávat posouzení rizik a na to navazující plán odolnosti, dále určí manažera kritické infrastruktury, určí svou kritickou infrastrukturu a kritické dodavatele, budou přijímat opatření k zajištění odolnosti, hlásit incidenty, ověřovat spolehlivost vybraných skupin osob, účastnit se cvičení nebo umožňovat kontrolu příslušným orgánům.  

Odvětví a pododvětví, ve kterých budou poskytovány základní služby

• Energetika
  • Elektřina
  • Dálkové vytápění a chlazení
  • Ropa
  • Plyn
• Doprava
  • Letecká doprava
  • Železniční doprava
  • Vodní doprava
  • Silniční doprava
  • Veřejná doprava
• Bankovnictví
• Infrastruktura finančních trhů
• Zdravotnictví
• Pitná voda
• Odpadní voda
• Digitální infrastruktura
  • Služby vytvářející důvěru a elektronická identifikace
  • Veřejné komunikační sítě a veřejně dostupné služby elektronických komunikací
  • Ostatní digitální služby a infrastruktura
• Veřejná správa
• Vesmír
• Výroba, zpracování a distribuce potravin
  • Výroba potravin
  • Skladování a distribuce potravin
• Bezpečnost
  • Požární ochrana a ochrana obyvatelstva
  • Vnitřní pořádek
  • Státní hmotné rezervy
  • Hydrometeorologická výstražná služba

Způsob určování subjektů kritické infrastruktury

Způsob zařazování poskytovatelů základní služby na seznam subjektů kritické infrastruktury je založen na činnosti a spolupráci poskytovatele základní služby, gestora odvětví nebo pododvětví, ve které je daná základní služba poskytována a Ministerstva vnitra jakožto ústředního orgánu v této oblasti. Celkový proces je založen na sedmi krocích, které znázorňuje diagram na obrázku 1.

1. Nabytí účinnosti zákona o kritické infrastruktuře a souvisejícího nařízení vlády
   ​Úvodní podmínkou je vstup zákona o kritické infrastruktuře, který zařazování poskytovatelů základní služby na seznam subjektů kritické infrastruktury upravuje, v účinnost. Nezbytné při prvotním zařazování poskytovatelů základní služby na seznam subjektů kritické infrastruktury po nabytí účinnosti zákona je být přitom mimo jiné v souladu s přechodnými ustanoveními zákona. Současně je potřebné, aby bylo účinné také nařízení vlády o základních službách a kritériích významnosti, které definuje prahové hodnoty či jiná specifika, na základě kterých poskytovatelé základní služby poskytují požadované informace.   
    
2. Posouzení naplnění kritérií významnosti
   Subjekt, který poskytuje některou ze základních služeb posoudí, zdali naplňuje kritérium významnosti související s danou základní službou. V případě pozitivního vyhodnocení je coby poskytovatel základní služby také potenciálním subjektem kritické infrastruktury. V případě nečinnosti takového subjektu může tento krok vykonat gestor souvisejícího odvětví nebo pododvětví.
    
3. Poskytnutí nezbytných informací
   Na základě pozitivního vyhodnocení předchozího kroku poskytne poskytovatel základní služby vhodnou formou nezbytné informace pro následné posouzení gestorem, zdali naplňuje kritérium významnosti. Zmiňované informace jsou přitom předloženy přímo příslušnému gestorovi.
    
4. Posouzení poskytnutých informací a podání podnětu k rozhodnutí
   Gestor poskytnuté informace posoudí z hlediska naplnění kritéria významnosti a podá Ministerstvu vnitra podnět k rozhodnutí o zařazení daného poskytovatele základní služby na seznam subjektů kritické infrastruktury.
    
5. Zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury
   Na základě podnětu od příslušného gestora Ministerstvo vnitra rozhodne o zařazení daného poskytovatele základní služby na seznam subjektů kritické infrastruktury. V případě nenaplnění kritéria významnosti se nejedná o poskytovatele základní služby a k zařazení takového subjektu na seznam subjektů kritické infrastruktury nedojde.
    
6. Vyrozumění poskytovatele základní služby o jeho zařazení na seznam subjektů kritické infrastruktury
   Po zařazení na seznam subjektů kritické infrastruktury se poskytovatel základní služby stává subjektem kritické infrastruktury. Ministerstvo vnitra následně o této skutečnosti daného poskytovatele základní služby neprodleně informuje.
    
7. Začátek plnění povinností podle zákona
   Ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury je subjekt kritické infrastruktury povinen plnit povinnosti stanovené zákonem. Jednotlivé úkony jsou přitom v souladu se stanovenými lhůtami.

Povinnosti pro subjekty kritické infrastruktury

Za účelem posílení své odolnosti budou subjekty kritické infrastruktury zpracovávat posouzení rizik a na to navazující plán odolnosti, dále určí manažera kritické infrastruktury, určí svou kritickou infrastrukturu a kritické dodavatele, budou přijímat opatření k zajištění odolnosti, hlásit incidenty, ověřovat spolehlivost vybraných skupin osob, účastnit se cvičení nebo umožňovat kontrolu příslušným orgánům. 

Práva pro subjekty kritické infrastruktury

Subjektům kritické infrastruktury budou z jejich určení vyplývat také určitá práva. Konkrétně se jedná o následující.  

• Subjekty kritické infrastruktury při přípravě na krizové situace mohou požádat
  u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky.
• Subjekty kritické infrastruktury během mimořádné události nebo za krizového stavu mohou požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele, pokud je to nezbytné pro poskytování základní služby.
• Subjekty kritické infrastruktury za krizového stavu mohou požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury, pokud je to nezbytné pro poskytování základní služby.

Rozhodovací orgány v systému zajišťování a posilování odolnosti subjektů kritické infrastruktury

Hlavním rozhodovacím orgánem v systému zajišťování a posilování odolnosti subjektů kritické infrastruktury je Ministerstvo vnitra, které zároveň koordinuje výkon státní správy v této oblasti. Mezi jeho další úkoly patří především zpracování posouzení rizik ČR, Strategie pro posílení odolnosti subjektů kritické infrastruktury a plánu cvičení, koordinace cvičení k ověření odolnosti subjektů kritické infrastruktury v působnosti více gestorů a rozhodování o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.

Ministerstvo vnitra současně plní funkci jednotného kontaktního místa ČR pro problematiku odolnosti kritických subjektů a komunikuje a spolupracuje s Evropskou komisí a příslušnými orgány členských států Evropské unie.  

Zároveň jsou pro fungování celého systému významné také gestoři. Ti, kromě jiných svých činností v rámci systému ochrany kritické infrastruktury, posuzují informace
o poskytovateli základní služby a podávají Ministerstvu vnitra podnět k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury. Dále provádějí cvičení k ověření odolnosti subjektů kritické infrastruktury nebo kontrolu subjektu kritické infrastruktury, ukládají nápravná opatření a poskytují součinnost Ministerstvu vnitra a Evropské komisi.

Důležitou roli v systému kritické infrastruktury sehrává rovněž vláda, která schvaluje Strategii a vydává nařízení vlády.

Provázanost se zákonem o kybernetické bezpečnosti a nařízením DORA

Zákon o kritické infrastruktuře má také vazbu na jiné související právní předpisy z oblasti bezpečnosti, konkrétně zákon o kybernetické bezpečnosti a tzv. nařízení DORA, které upravuje digitální provozní odolnost finančního sektoru. Tato skutečnost se promítá především do povinností subjektů kritické infrastruktury v odvětvích Bankovnictví, Infrastruktura finančních trhů a Digitální infrastruktura. Subjekty kritické infrastruktury určené v těchto odvětvích budou plnit pouze některé povinnosti plynoucí ze zákona o kritické infrastruktuře, plnění ostatních povinností bude vycházet z předpisu upravujícím daném odvětví. Současně budou gestoři těchto odvětí, tedy Česká národní banka a Národní úřad pro kybernetickou a informační bezpečnost, sdílet informace o incidentech vzniklých u subjektů kritické infrastruktury v jim příslušném odvětví s Ministerstvem vnitra.

Portál kritické infrastruktury

Portál kritické infrastruktury bude platformou, která usnadní veškerou agendu související se systémem kritické infrastruktury, a to jak pro relevantní orgány, tak také pro samotné subjekty kritické infrastruktury. Skrze portál kritické infrastruktury bude probíhat poskytování informací o daném subjektu a jím poskytované základní službě nezbytné pro rozhodnutí o tom, zdali se jedná o subjekt kritické infrastruktury či nikoliv. Dále bude sloužit ke komunikování gestorů se subjekty kritické infrastruktury a také k hlášení incidentů ze strany subjektů kritické infrastruktury.

Související prováděcí právní předpisy

V souvislosti se zákonem o kritické infrastruktuře vzniknou také čtyři prováděcí právní předpisy. Konkrétně se jedná o následující předpisy:

• nařízení vlády o základních službách a kritériích významnosti,
• vyhláška o náležitostech a zpracování plánu odolnosti, posouzení rizik a obsahu opatření k zajištění odolnosti subjektů kritické infrastruktury,
• vyhláška k podrobnostem hlášení incidentů v souvislosti se subjekty kritické infrastruktury,
• vyhláška o portálu kritické infrastruktury.

FAQ

• Proč je tato právní úprava potřebná?
  • Zákon o kritické infrastruktuře je důležitý zejména proto, aby byla posílena odolnost subjektů kritické infrastruktury a tím i základní služby, které jsou nezbytné pro zachování základních funkcí státu proti hrozbám různého charakteru. Nový zákon zavádí možnost provádět kontroly subjektů kritické infrastruktury, ukládat nápravná opatření, popř. sankce za porušení jejich povinností, čímž se klade důraz na vyšší odpovědnost subjektů kritické infrastruktury z hlediska jejich bezpečnosti. Přijetím tohoto zákona Česká republika rovněž plní požadavky vyplývající z Evropské unie.
• Je možné certifikací mezinárodních norem prokázat zavedení bezpečnostních opatření?
  • Certifikace může sloužit jako potvrzení, že ve společnosti jsou zavedena bezpečnostní opatření, která jsou pravidelně udržována, ale sama o sobě není dostatečná k prokázaní splnění všech povinností dle zákona o kritické infrastruktuře.
• Komu a jakým způsobem je nutné incidenty hlásit?
  • Subjekt kritické infrastruktury hlásí incident Ministerstvu vnitra prostřednictvím portálu kritické infrastruktury. V případě, že nelze k hlášení incidentu využít portál kritické infrastruktury, bude subjekt kritické infrastruktury hlásit incident Národnímu operačnímu a informačnímu středisku sídlícímu na generálním ředitelství Hasičského záchranného sboru ČR. V situaci, kdy nebude možné využít portál kritické infrastruktury k poskytování informací, je vytvořen náhradní způsob, a to skrze datové schránky, popřípadě Českou poštu.
• Co mi hrozí nesplním-li povinnosti vyplývající z nového zákona?
  • Zákon definuje za jednotlivé přestupky určitou výši sankcí. Je potřeba nicméně zmínit, že záměrem není sankcionovat subjekty kritické infrastruktury za každé drobné pochybení. Slouží především pro případy, kdy subjekt kritické infrastruktury vědomě a/nebo opakovaně nečiní požadované úkony, čímž mimo jiné může snižovat úroveň své celkové odolnosti, nebo zneužije portál kritické infrastruktury k jinému účelu, než ke kterému byl zřízen.
  • Zákon stanovuje horní limity sankcí za jednotlivé přestupky, nestanovuje tedy jejich přesnou výši.  V praxi může být subjektu kritické infrastruktury, který spáchal přestupek nevědomky a své konání následně napravil udělena pokuta v řádech tisíců korun, v opačných případech až v řádu milionů korun či procent čistého ročního obratu.
• Jakým způsobem a komu se poskytují informace pro zařazení na seznam subjektů kritické infrastruktury?
  • Informace pro zařazení na seznam subjektů kritické infrastruktury poskytne poskytovatel základní služby primárně prostřednictvím portálu kritické infrastruktury, a to ministerstvu, jinému věcně příslušnému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra.
• Co se změní s přijetím zákona o kritické infrastruktuře pro občany?
  • Pro občany se nic zásadního nezmění. Cílem zákona je zvýšit odolnost subjektů kritické infrastruktury poskytujících stěžejní základní služby (v odvětvích Energetika, Doprava, Zdravotnictví, Digitální infrastruktura a další), a díky tomu současně posílit bezpečnost státu a jeho obyvatelstva.
• Co se změní s přijetím zákona o kritické infrastruktuře pro subjekty kritické infrastruktury?
  • Subjekty kritické infrastruktury budou nadále poskytovat své služby, budou se ale přitom více zaměřovat také na svou odolnost vůči hrozbám, které by mohly poskytování této služby narušit. K naplnění tohoto cíle budou využívat určité instrumenty vycházející ze zákona.
• Jaké povinnosti vznikají pro subjekty kritické infrastruktury s přijetím zákona o kritické infrastruktuře?
  • Za účelem posílení své odolnosti budou subjekty kritické infrastruktury zpracovávat posouzení rizik a na to navazující plán odolnosti, dále určí manažera kritické infrastruktury, určí svou kritickou infrastrukturu a kritické dodavatele, budou přijímat opatření k zajištění odolnosti, hlásit incidenty, ověřovat spolehlivost vybraných skupin osob, účastnit se cvičení nebo umožňovat kontrolu příslušným orgánům. 
• Jaká práva vznikají pro subjekty kritické infrastruktury s přijetím zákona o kritické infrastruktuře?
  • Subjektům kritické infrastruktury budou z jejich určení vyplývat také určitá práva. Konkrétně se jedná o následující. 
    • Subjekty kritické infrastruktury při přípravě na krizové situace mohou požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky.
    • Subjekty kritické infrastruktury během mimořádné události nebo za krizového stavu mohou požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele, pokud je to nezbytné pro poskytování základní služby.
    • Subjekty kritické infrastruktury za krizového stavu mohou požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury, pokud je to nezbytné pro poskytování základní služby.
• Jakým způsobem bude prováděna kontrola subjektů kritické infrastruktury?
  • Kontrolní orgán, kterým bude gestor příslušného odvětví nebo pododvětví navštíví v dohodnutý termín daný subjekt kritické infrastruktury. Během kontrolu bude zjišťovat, jak subjekt kritické infrastruktury plní povinnosti stanovené zákonem a právními předpisy vydanými k jeho provedení. V případě zjištění nedostatků uloží kontrolní orgán opatření k nápravě. Pokud subjekt kritické infrastruktury nebude tato opatření plnit, může kontrolní orgán požádat Ministerstvo vnitra o provedení další kontroly.
• Z jakých důvodů může být subjekt kritické infrastruktury vyřazen ze seznamu subjektů kritické infrastruktury?
  • V případě, že subjekt kritické infrastruktury přestane poskytovat základní službu. Ministerstvo vnitra vymaže takový subjekt kritické infrastruktury ze seznamu subjektů kritické infrastruktury a následně o tom informuje příslušné orgány a samotný subjekt kritické infrastruktury.
• Bude muset manažer kritické infrastruktury mít prověrku, vzhledem k tomu, že bude pracovat s citlivými údaji?
  • Manažer kritické infrastruktury bude muset splňovat podmínky způsobilosti pro výkon citlivé činnosti podle zákona o ochraně utajovaných informací
    a o bezpečnostní způsobilosti (zákon č. 412/2005 Sb.). V případě, že manažer kritické infrastruktury bude mít platné osvědčení fyzické osoby vydané Národním bezpečnostním úřadem pro přístup k utajované informaci stupně utajení alespoň „Důvěrné“, bude se považovat také za způsobilou osobu pro výkon citlivé činnosti.
• Které orgány státní správy jsou odpovědné za podporu subjektů kritické infrastruktury a jakou formou?
  • Primárními orgány státní správy poskytující subjektům kritické infrastruktury podporu jsou gestoři, tedy ministerstva, jiné ústřední správní úřady a Česká národní banka, které mají věcnou působnost ve stanovených odvětvích či pododvětvích, ve kterých se poskytují základní služby.
  • Uvedené orgány poskytují subjektům kritické infrastruktury zejména metodickou pomoc při plnění povinností ze zákona o kritické infrastruktuře.
  • Ministerstva a jiné ústřední správní úřady dále poskytují subjektu kritické infrastruktury v nezbytném rozsahu informace o možném ohrožení poskytování základní služby a vyhodnocují potřebu zabezpečení nezbytných věcných prostředků prostřednictvím systému hospodářských opatření pro krizové stavy k zajištění poskytování základní služby.

Časová osa úkonů

X. X. 2025 Nabytí účinnosti NV o základních službách a kritériích významnosti

Do 1. března 2026: Poskytovatel ZS poprvé poskytne informace

Do 17. dubna 2027 (nebo 9 měsíců): SKI zpracují posouzení rizik SKI

Do 17. července 2028: MV předloží EK první souhrnnou zprávu o hlášených incidentech

Do 17. ledna 2026: Vláda schválí Strategii a Posouzení rizik ČR

Do 17. července 2026: MV poprvé zařadí poskytovatele ZS na seznam subjektů KI

Do 17. května 2027 (nebo 10 měsíců): SKI zpracují plán odolnosti, určí manažera KI a začnou hlásit incidenty

kpt. Ing. David Patrman, Ph.D
Oddělení krizového řízení
Ministerstvo vnitra – generální ředitelství HZS ČR
Kloknerova 26, pošt. přihr. 69, 148 01 Praha 414
E-mail: david.patrman@hzscr.cz
Tel.: +420 950 819 865