Elektronická knihovna legislativního procesu - textová podoba dokumentu

                IV.
DŮVODOVÁ ZPRÁVA K NÁVRHU ZÁKONA O ODOLNOSTI SUBJEKTŮ KRITICKÉ INFRASTRUKTURY A O ZMĚNĚ SOUVISEJÍCÍCH ZÁKONŮ

A. Obecná část
Ministerstvo vnitra vykonává na základě kompetenčního zákona a zákona o krizovém řízení, státní správu v oblasti krizového řízení a ochrany kritické infrastruktury. Z tohoto důvodu je i gestorem transpozice směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (dále jen „směrnice CER“), která je provedena předloženým návrhem nového zákona o kritické infrastruktuře. Směrnice CER zcela nahrazuje směrnici Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu (dále jen „směrnice EKI“), která byla v roce 2010 transponována do zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „krizový zákon“).  
S ohledem na rozsah úprav požadovaných směrnicí CER, bylo přistoupeno k vyjmutí problematiky kritické infrastruktury z krizového zákona a vytvoření nového samostatného zákona o odolnosti subjektů kritické infrastruktury, ve kterém jsou zapracovány jak požadavky směrnice CER, tak i zkušenosti z dosavadní aplikační praxe krizového zákona v oblasti ochrany kritické infrastruktury. 
Dílčí novela krizového zákona je nezbytná z důvodu transpozice směrnice CER. Konkrétně se jedná o potřebu odstranění ustanovení týkajících se oblasti kritické infrastruktury, která byla do krizového zákona doplněna v souvislosti s transpozicí směrnice EKI v roce 2010.
Vzhledem k rozsahu nezbytných úprav týkajících se oblasti kritické infrastruktury a potřebou novelizovat a precizovat některá ustanovení krizového zákona, která mají spojitost s implementací směrnice CER, přistoupilo Ministerstvo vnitra k vytvoření samostatného zákona o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů. Kromě zmíněné úpravy krizového zákona je ve velmi omezeném rozsahu (primárně jde o implementaci evropského práva) za účelem dosažení cílů transpozice směrnice CER navrhováno novelizovat několik dalších zákonů (zákon o působnosti Správy státních hmotných rezerv, zákon o zeměměřictví, zákon o svobodném přístupu k informacím, zákon o integrovaném záchranném systému, zákon o hospodářských opatřeních pro krizové stavy, vodní zákon, branný zákon, zákon o hasičském záchranném sboru a zákon o prověřování zahraničních investic)
Zároveň se však předpokládá, že oblast krizového řízení dozná dalších změn. V této souvislosti plánuje Ministerstvo vnitra předložit samostatný návrh, který by měl v komplexnějším rozsahu reagovat na zkušenosti s aplikací dosavadní právní úpravy a odstranit její nedostatky identifikované v kontextu nedávných krizových situací.


1. Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Ochrana kritické infrastruktury:
V současné době je problematika ochrany kritické infrastruktury zakotvena v krizovém zákoně, do kterého byla transponována směrnice EKI. Národní úprava ochrany kritické infrastruktury v roce 2010 byla obsáhlejší než požadavky vyplývající ze směrnice EKI a upravovala postavení prvků a subjektů kritické infrastruktury ve více odvětvích, než požadovala směrnice EKI. Zatímco směrnice EKI identifikovala dvě odvětví kritické infrastruktury, konkrétně odvětví energetiky a dopravy, národní úprava identifikovala celkem devět odvětví kritické infrastruktury. Kromě energetiky a dopravy byla rovněž identifkována odvětví vodního hospodářství, potravinářství a zemědělství, zdravotnictví, komunikačních a informačních systémů, finančního trhu a měny, nouzových služeb a veřejné správy. V souvislosti s navrhovanou právní úpravou tak nedochází k výrazným změnám v rozsahu regulovaných odvětví. I přes tuto skutečnost však dojde k dalšímu rozšíření regulovaných odvětví nebo pododvětví, a naopak některá současná odvětví, či jejich části, budou z nové regulace vyjmuta.
V dosavadním systému kritické infrastruktury existovala přímá vazba na oblast kybernetické bezpečnosti, která je předmětem zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“). Konkrétně se jedná o přímou provázanost kritické informační infrastruktury podle zákona o kybernetické bezpečnosti s kritickou infrastrukturou podle krizového zákona, kdy kritická informační infrastruktura je prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy podle nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvků kritické infrastruktury, ve znění pozdějších předpisů.
Provázanost zákona o kybernetické bezpečnosti a krizového zákona se poté promítla do specifického postavení kritické informační infrastruktury v systému kritické infrastruktury, kdy způsob a proces určování této infrastruktury vycházel z krizového zákona, nicméně povinnosti provozovatele kritické informační infrastruktury vycházely i ze zákona o kybernetické bezpečnosti. Tato provázanost systému kritické infrastruktury se systémem kybernetické bezpečnosti je zachována a dále rozvinuta i v novém přístupu podle návrhu zákona o kritické infrastruktuře a podle návrhu nového zákona o kybernetické bezpečnosti. Tato provázanost koneckonců vyplývá i ze směrnice CER a směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (dále jen „směrnice NIS2“).
Aplikační praxe od roku 2010 spolu s řešením nedávných krizových situací však poukázala na některé nedostatky stávajícího systému, na které rovněž návrh zákona o kritické infrastruktuře reaguje.
Nedostatky systému se týkají především problematiky určování prvků kritické infrastruktury. Proces určování v současném systému probíhá po dvou liniích, a to v souvislosti s tím, zdali je subjektem kritické infrastruktury organizační složka státu, či nikoliv. V případě organizačních složek státu určovala prvky kritické infrastruktury vláda, a to schválením seznamu prvků kritické infrastruktury, jejichž provozovatelem je organizační složka státu (dále jen „seznam prvků kritické infrastruktury“), který byl předkládán ze strany Ministerstva vnitra, přičemž podklady za jednotlivá odvětví a pododvětví poskytovala jednotlivá věcně příslušná ministerstva, jiné ústřední správní úřady nebo Česká národní banka.
V případě prvků kritické infrastruktury, jejichž provozovatelem není organizační složka státu, pak byl doposud celý proces decentralizován, kdy prvky kritické infrastruktury určovala samotná věcně příslušná ministerstva, jiné ústřední správní úřady nebo Česká národní banka opatřením obecné povahy a následně o tomto určení bez zbytečného odkladu informovala Ministerstvo vnitra.
Oba dva z těchto způsobů určování s sebou nesly určitá negativa vyplývající z časových a procesních náležitostí. V případě určování prvků kritické infrastruktury, jejichž provozovatelem je organizační složka státu, se jednalo o velice zdlouhavý proces, neboť každá aktualizace seznamu prvků kritické infrastruktury musela být v rámci standardního procesu před projednáním a schválením vládou projednána ve Výboru pro civilní nouzové plánování a následně v Bezpečnostní radě státu. Celý proces od identifikace potenciálního prvku až po jeho určení tak trval v řádu několika měsíců, což v mnoha případech vedlo k neaktuálnosti údajů uvedených v seznamu prvků kritické infrastruktury.
V případě určování prvků kritické infrastruktury, jejichž provozovatelem není organizační složka státu, pak decentralizovaný proces určování často vedl k prodlení předávání informací o aktuálně určených prvcích kritické infrastruktury Ministerstvu vnitra. Zároveň určování prvků kritické infrastruktury formou opatření obecné povahy s sebou neslo procesní komplikace spojené s nutností vyvěšovat opatření obecné povahy na úřední desku, čímž byla narušena a ohrožena citlivost informací o určované kritické infrastruktuře.
Stávající systém kritické infrastruktury je také příliš zaměřený na významné objekty a zařízení (prvky kritické infrastruktury), čímž upozaďuje méně významné jednotlivé prvky, které však v součtu vytváří systém prvků, který již může dosahovat značného významu.
Dalším nedostatkem je pak absence jakýchkoliv sankcí týkajících se porušení povinností subjektu kritické infrastruktury stanovených krizovým zákonem, což výrazně snižuje možnost vynucení stanovených povinností.
Požadavky stanovené směrnicí CER jsou ve svém důsledku takové povahy, že návrh zákona musí s ohledem na změnu dosavadního přístupu k oblasti kritické infrastruktury upravit nejen některé dílčí oblasti tak, aby bylo možné sladit požadavky směrnice CER s dosavadním způsobem ochrany kritické infrastruktury, ale především musí dojít k podstatným změnám v oblasti stanovení a identifikace základních služeb a podle toho i určení subjektů kritické infrastruktury, stanovení nových povinností těchto subjektů a dalších procesů a náležitostí, které přinesly požadavky na další dílčí úpravy zákonů. Výše uvedené skutečnosti vedly k závěru, že je nezbytné vyjmout problematiku kritické infrastruktury z krizového zákona a vytvořit nový samostatný zákon o odolnosti subjektů kritické infrastruktury. V návaznosti na návrh zákona bude také nutné zcela nahradit prováděcí právní předpisy ke krizovému zákonu, které se týkaly problematiky kritické infrastruktury, novými prováděcími právními předpisy k zákonu o odolnosti subjektů kritické infrastruktury. Krizový zákon vytváří právní rámec pro působnost a pravomoc státních orgánů a orgánů územních samosprávných celků a práva a povinnosti právnických a fyzických osob při přípravě na krizové situace, které nesouvisejí se zajišťováním obrany České republiky před vnějším napadením, a při jejich řešení. Krizový zákon i nadále bude mít přímou návaznost na ochranu a odolnost subjektu kritické infrastruktury a změny provedené v této aktualizaci přímo souvisí s nutností vzniku samostatného zákona o odolnosti subjektů kritické infrastruktury.  
Současná právní úprava se nedotýká problematiky rovnosti mužů a žen.
2. Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

Ochrana kritické infrastruktury:
Návrh zákona vychází tam, kde je to možné, z principů současného znění zákona o krizovém řízení, při zohlednění zkušeností z dosavadní aplikační praxe. Nové požadavky, vyplývající především ze směrnice CER, vedou k tomu, že návrh nového zákona musí zohlednit především:
· změnu přístupu od určování fyzických prvků kritické infrastruktury k určování subjektů kritické infrastruktury poskytujících základní služby,
· požadavky na zpracování dokumentace na národní úrovni (posouzení rizik, strategie),
· další požadavky na subjekty kritické infrastruktury,
· zpracování posouzení rizik, 
· zavedení opatření k zajištění jejich odolnosti a jejich promítnutí do plánu odolnosti,
· požadavky na hlášení incidentů,
· intenzivnější sdílení informací mezi státní správou a soukromým sektorem,
· systém ověřování spolehlivosti kritických pracovníků subjektů kritické infrastruktury, 
· provázání povinností se sankcemi,
· zohlednění problematiky dodavatelských řetězců,
· provázání s návrhem nového zákona o kybernetické bezpečnosti a nařízením Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (dále jen „nařízení DORA“),
· vznik nového informačního nástroje v podobě portálu kritické infrastruktury.
Podle nového pojetí odolnosti subjektů kritické infrastruktury, jež vychází ze směrnice CER, není hlavní důraz kladen na prvek kritické infrastruktury ve smyslu budovy, zařízení, infrastruktury, ale na celkové zajištění poskytování základní služby subjektem kritické infrastruktury. Proto se upouští od určování jednotlivých (prvků) kritických infrastruktur, ale důraz je kladen na zajištění poskytování základní služby jako takové. Stěžejní je tedy stanovení základních služeb, které vycházejí z nařízení Evropské komise v souladu s článkem 5 směrnice CER a kritérií významnosti, která definují významnost této základní služby a jejího poskytovatele. Konkrétní základní služby a kritéria významnosti budou stanovena v nařízení vlády.
Ačkoliv je posledním krokem procesu určení subjektů kritické infrastruktury rozhodnutí Ministerstva vnitra o jejich zařazení na seznam subjektů kritické infrastruktury, celý proces se neobejde bez zapojení všech věcně příslušných ministerstev a jiných ústředních správních úřadů, které na základě svých odborných a odvětvových znalostí posuzují relevantnost informací nezbytných k zařazení subjektu kritické infrastruktury na seznam subjektů kritické infrastruktury, a to po předchozím procesu sebehodnocení poskytovatele základní služby. Tato informační povinnost vyplývá pro poskytovatele základních služeb přímo z návrhu zákona.
Vzhledem k zhoršující se bezpečnostní situaci ve světě v posledních letech, stává se bezpečnost dodavatelského řetězce jedním z klíčových témat bezpečnosti jako takové. Ministerstvo vnitra tímto ustanovením reaguje na usnesení vlády České republiky č. 478 ze dne 28. června 2023, kterým vláda schválila Bezpečnostní strategii České republiky 2023 a uložila členům vlády řídit se touto strategií, vycházet z ní při svém působení a konečně také vycházet z Bezpečnostní strategie České republiky 2023 (dále jen „strategie“) při zpracování souvisejících strategických a koncepčních dokumentů nebo legislativních opatření. 
Podle bodu 72. strategie v části prevence a potlačování hrozeb ekonomické bezpečnosti je nutné další snižování závislosti na rizikových dodavatelích produktů a služeb používaných pro provoz kritické a kritické informační infrastruktury. Česká republika bude podporovat aktivní spolupráci státní a soukromé sféry při posilování odolnosti vůči vnějším i vnitřním hrozbám a při identifikaci a snižování rizik. Zasadí se též o vybudování a udržení sdíleného situačního povědomí o rizikových ekonomických aktérech jak v rámci státní správy, tak v soukromé sféře, včetně možnosti sdílet citlivé neklasifikované informace.
Ministerstvo vnitra je podle § 12 odst. 1 písm. a) a k) zákona č. 2/1969 Sb., kompetenčního zákona, ve znění pozdějších předpisů, ústředním orgánem státní správy pro vnitřní věci, zejména pro veřejný pořádek a další věci vnitřního pořádku a bezpečnosti, včetně krizového řízení, civilního nouzového plánování, ochranu obyvatelstva a integrovaný záchranný systém. Vnitřní bezpečnost státu znamená zachování a zajištění vnitřních funkcí státu, ochranu jeho demokratických základů, ochranu vnitřního pořádku, bezpečnosti a zákonnosti, ochranu životů a zdraví, majetkových hodnot a životního prostředí před hrozbami majícími původ na území státu. 
Na podkladě shora naznačených východisek připravilo ministerstvo vnitra do návrhu zákona legislativní opatření k posílení bezpečnosti dodavatelského řetězce ve vztahu k subjektům kritické infrastruktury a tím pádem i k vyšší ochraně kritické infrastruktury jako celku. 
Navrhované opatření je zcela mimořádný nástroj, který ve výjimečných, závažných a odůvodněných případech dává pravomoc Ministerstvu vnitra vydat varování nebo ve správním řízení stanovit podmínky činnosti např. pro dodávky a poskytování služeb, nebo zakázat např. dodavateli činnost spočívající v poskytování plnění ve prospěch subjektu kritické infrastruktury (zejména dodávky zboží a služeb), jestliže o tomto dodavateli Ministerstvo vnitra bude mít relevantní informace, že takový subjekt představuje riziko pro bezpečnost České republiky. 
Jak zákon č. 34/2021 Sb., o prověřování zahraničních investic, zákon č. 69/2006 Sb., o provádění mezinárodních sankcí, zákon č. 1/2023 Sb., sankční zákon, tak nově připravovaný zákon o kybernetické bezpečnosti upravují vždy pouze určitou část řízení rizik v dodavatelském řetězci subjektů kritické infrastruktury. Navrhovaný nástroj shora uvedené předpisy a opatření upravená v nich vhodně doplňuje. Jedná se o zcela mimořádné opatření, které bude moci být použito pouze v případech, kdy by další činností dodavatele nebo subdodavatele docházelo k významnému ohrožení bezpečnosti ČR.   
K jednotlivým zákonům obsahujícím dílčí opatření k bezpečnosti dodavatelského řetězce: 
-	návrh zákona o kybernetické bezpečnosti (toho času v legislativním procesu) obsahuje mechanismus prověřování dodavatelského řetězce, který však cílí pouze na poskytovatele strategicky významných služeb (cca 150 subjektů) při tzv. bezpečnostně významné dodávce, kterou se rozumí plnění směřující do kritické části systému spočívající v poskytnutí, vývoji, výrobě, sestavení, správě, provozu či servisu technických prostředků nebo vybavení s výpočetní kapacitou, programového prostředku nebo vybavení, nebo informační či komunikační služby. 
-	zákon č. 1/2023 Sb., sankční zákon stanoví s ohledem na zájem České republiky na zachování a obnově mezinárodního míru a bezpečnosti, boji proti terorismu, dodržování mezinárodního práva, ochraně lidských práv a svobod a podpoře demokracie a právního státu postup předkládání návrhů na zařazení subjektů, vůči nimž by se měla uplatňovat omezující opatření, na sankční seznam podle příslušného předpisu Evropské unie, postup pro zápis subjektů na vnitrostátní sankční seznam a pravidla přijímání vnitrostátních omezujících opatření vůči některým subjektům za jednání postižitelné podle příslušného předpisu Evropské unie.
-	zákon č. 34/2021 Sb., o prověřování zahraničních investic upravuje pravidla prověřování některých zahraničních investic z důvodu ochrany bezpečnosti České republiky a vnitřního či veřejného pořádku a některé povinnosti zahraničních investorů.
-	zákon č. 69/2006 Sb., o provádění mezinárodních sankcí upravuje v návaznosti na přímo použitelné předpisy Evropské unie některé povinnosti při uskutečňování mezinárodních sankcí za účelem udržení nebo obnovení mezinárodního míru a bezpečnosti, boje proti terorismu, dodržování mezinárodního práva, ochraně lidských práv a svobod a podpoře demokracie a právního státu. Dále zákon upravuje některé povinnosti při uskutečňování mezinárodních sankcí za účelem udržení nebo obnovení mezinárodního míru a bezpečnosti, boje proti terorismu, dodržování mezinárodního práva, ochraně lidských práv a svobod a podpoře demokracie a právního státu, k jejichž dodržování je Česká republika zavázána na základě členství v Organizaci spojených národů nebo v Evropské unii anebo které zavedla podle sankčního zákona.
Podmínkou pro aplikaci postupu podle § 15 bude jednak významné bezpečnostní riziko pro Českou republiku, respektive pro subjekt kritické infrastruktury plynoucí od dodavatele a zároveň nedošlo k uplatnění postupu vůči tomuto dodavateli podle shora uvedených právních předpisů. 
Navrhované opatření reaguje na informace, které má předkladatel k dispozici od ostatních orgánů státní správy, policie a zpravodajských služeb, a které pokrývají celou řadu hrozeb, a to od napojení dodavatelských subjektů na zpravodajské služby cizí moci, přes tuzemský i mezinárodní organizovaný zločin, až po hrozby z oblasti terorismu. V současné době nemá stát účinný nástroj, jak řešit výše uvedená rizika, přestože o nich ví. 
Z hlediska systematiky je tento nástroj zařazen právě v rámci návrhu zákona o odolnosti subjektů kritické infrastruktury a o změně dalších zákonů. Věcně tento nástroj do citovaného návrhu jednoznačně zapadá, a přestože má být návrh zákona primárně promítnutím Směrnice 2022/2557 (dále jen „směrnice“), není s touto směrnicí nijak v rozporu. Samotná směrnice na několika místech uvádí, že se jedná o stanovení minimálních pravidel a harmonizace. Konečně čl. 3 směrnice stanoví, že nebrání členským státům v přijetí nebo ponechání v platnosti ustanovení vnitrostátního práva s cílem dosáhnout vyšší úrovně odolnosti kritických subjektů. Skutečnost, že navrhované opatření jde nad rámec citované směrnice je fakt. 
Stejně tak směrnicí (čl. 1 odst. 5) není dotčena odpovědnost členských států za ochranu národní bezpečnosti a obranu, ani jejich pravomoc chránit jiné základní funkce státu, včetně zajištění územní celistvosti státu a zachování veřejného pořádku. Právě tyto zájmy bude do budoucna chránit navrhované opatření. 
Zvláštní ustanovení k bezpečnosti dodavatelského řetězce je cíleno na dodavatele, jejichž personál může mít v rámci subjektu kritické infrastruktury přístup takřka do všech míst, typicky půjde o zaměstnance personální agentury, úklidové a bezpečnostní služby apod. Dodavatelem se rozumí i poskytovatel služeb.
Je na místě zdůraznit, že navrhované opatření je nástroj krajní, zcela mimořádný a jeho využití bude nejspíš zcela ojedinělé, přesto je v právním řádu za účelem ochrany základů demokratického právního státu pro takový nástroj místo. Velmi podobné nástroje je možné najít již v zákoně upravujícím nakládání se zbraněmi v některých případech ovlivňujících vnitřní pořádek nebo bezpečnost České republiky nebo v zákoně upravujícím sdružování v politických stranách a v politických hnutích. Historicky nebylo podle prvně citovaného zákona zapotřebí přikročit k takovému opatření. Politická strana byla v České republice rozpuštěna jednou. Jsou to v obou případech nástroje výjimečné, ale velmi důležité jako pojistky demokracie. 
Přestože se navrhované opatření může závažným způsobem dotknout svobody podnikání, zákonné omezení z důvodu ochrany národní bezpečnosti dosavadní judikatura i mezinárodněprávní závazky připouští. Nadto půjde o zásah, který se dotkne jednoho konkrétního podnikatelského subjektu, a to po testu proporcionality mezi dopadem zásahu na dodavatelský řetězec a činnost subjektu kritické infrastruktury na straně jedné a riziko pro národní bezpečnost a veřejný pořádek na straně druhé. Tento test proporcionality bude muset příslušný správní orgán (Ministerstvo vnitra) provést vždy v rámci rozhodování v každém jednotlivém případě tak, aby naplnil požadavky na obsah správního rozhodnutí za dodržení základních zásad správního řízení a ústavněprávních limitů. Řádný opravný prostředek v podobě rozkladu a soudní přezkum v rámci správního soudnictví je samozřejmostí. 
Promítnutím zásady subsidiarity je odlišení jednotlivých druhů opatření, o kterých může Ministerstvo vnitra rozhodnout. Ne vždy bude nutné dodávky nebo poskytování služeb úplně zakázat, proto je v rámci minimalizace dopadů zásahu ministerstva navrženo, aby mohlo ministerstvo rozhodnout o stanovení podmínek, za jakých se budou dodávky a služby realizovat. Úplný zákaz dodávek, jak naznačuje řazení jednotlivých opatření je ultima ratio, tedy až to poslední z možných, kdy nepůjde vyřešit bezpečnostní riziko plynoucí od dodavatele subjektu kritické infrastruktury jinak. 
Předkladatel navrhovaného opatření předpokládá jeho aplikaci v budoucnu pouze v jednotkách případů. Podle názoru předkladatele není možné rezignovat na preventivní roli navrhovaného opatření. Jak je uvedeno v jiných částech důvodové zprávy k tomuto ustanovení, předkladatel má zkušenosti s opatřeními v celé řadě zákonů, k jejichž aplikaci za účelem posílení vnitřní bezpečnosti a veřejného pořádku buď vůbec nedošlo, nebo došlo ojediněle. K dosažení cíle sledovaného takovou legislativou došlo již samotnou existencí takových opatření, kdy dotčené subjekty více váží charakter vykonávané činnosti a dobrovolně upouští od činností a záměrů směřujících proti bezpečnostním zájmům České republiky. 
Dobrým příkladem preventivní role opatření směřujících k posílení bezpečnosti v právním řádu je vyhodnocení tří let prověřování zahraničních investic, když velká část investorů z nižšího počtu důkladně prověřovaných investic v průběhu prověřování upustilo od svého záměru investovat v České republice. Žádný podnikatel, respektive investor, nechce být oficiální cestou označen za bezpečnostní riziko pro bezpečnost České republiky potažmo Evropské unie. 
Navrhovaný mechanismus podle § 15 bude plnit v drtivé většině svůj úkol právě preventivním působením vůči podnikatelům, kteří budou usilovat o pozici dodavatele pro subjekt kritické infrastruktury. Případné plné uplatnění opatření podle § 15 může znamenat pro dodavatele a subjekt kritické infrastruktury podstatnou změnu okolností podle § 1765 občanského zákoníku. Aby však mohlo být toto ustanovení aplikováno, musí být splněno hned několik podmínek, a to existence změny okolností, nepředvídatelnost této změny, neovlivnitelnost změny, nepřevzetí změny rizika na sebe, vznik zvlášť hrubého nepoměru v právech a povinnostech a příčinná souvislost mezi změnou okolností a vznikem zvlášť hrubého nepoměru. 
V praxi bude velmi problematické, aby byla splněna podmínka nepředvídatelnosti a neovlivnitelnosti změny na straně dodavatele, který si svého počínání směřujícího proti zájmům České republiky bude zpravidla vědom. Z výše uvedeného plyne určitý dopad do smluvní svobody při uzavírání smluv mezi dodavatelem a subjektem kritické infrastruktury, kteří budou muset již ve fázi vyjednávání o smlouvě nebo v rámci zadávání veřejné zakázky vážit možná rizika a důsledky plynoucí z výše uvedeného a těmto limitům přizpůsobit zadávací podmínky a smluvní dokumentaci. Návrh ustanovení výslovně opravňuje dotčený subjekt kritické infrastruktury, aby smluvní závazek vypověděl, nelze-li v jeho plnění pokračovat z důvodu vydaného rozhodnutí Ministerstva vnitra.  
Dopady do oblasti veřejných zakázek je možné předpovídat, avšak v zanedbatelné míře, když z navrhovaného ustanovení § 15 plynou pouze pravomoci Ministerstva vnitra rozhodnout o stanovení podmínek, omezení, případně zákazu činnosti ve prospěch subjektu kritické infrastruktury v konkrétním případě. Stejně jako požadavky vycházející z opatření k posílení odolnosti kritické infrastruktury podle tohoto návrhu zákona, zadavatelé musí do svých dodavatelských vztahů promítat i požadavky na předmět plnění vyvěrající z jiných předpisů, např. technických norem, požadavků na bezpečnost práce, požadavky vyplývající ze zákoníku práce. Navrhované ustanovení nezasahuje do právní úpravy zadávání veřejných zakázek, protože nijak neupravuje procesní požadavky na výběr dodavatele, ani speciální důvod pro vyloučení účastníka ze zadávacího řízení. Navržené ustanovení směřuje k vyšší odpovědnosti zadavatele, aby do budoucna zohledňovali i bezpečnostní aspekty při výběru dodavatele. 
Naznačený dopad aplikace § 15 do smluvní svobody, respektive do svobody podnikání, respektive vlastnického práva, je ústavně konformní, když opatření samotné je transparentní, přiměřené a proces před vydáním rozhodnutí samotného vyžaduje test proporcionality. 
Navrhovaná právní úprava splňuje ústavní požadavek stanovení povinnosti na úrovni zákona a vyhovuje též zásadám pro stanovení mezí základních práv a svobod podle čl. 4 Listiny. 
Listina upravuje problematiku omezení práva podnikat a vlastnického práva. Zde platí, že některá lidská práva mohou být podle Listiny omezena. Omezení musí být ovšem stanovena zákonem, musí být v souladu s Listinou a musí být založena na jejich potřebnosti k dosažení legitimních společenských cílů, jako je např. zabezpečení existence státu, ochrany jeho demokratické povahy, zachování veřejného zdraví a pořádku (viz např. usnesení Ústavního soudu sp. zn. IV. ÚS 266/09-1, usnesení sp. zn. I. ÚS 110/14-1). Při posuzování souladu těchto omezení s ústavním pořádkem je uplatňován princip proporcionality, kdy jsou aplikována kritéria vhodnosti, potřebnosti a poměřování (viz nález Ústavního soudu sp. zn. Pl. ÚS 4/94).
V případě navrhovaného opatření je takovýmto legitimním cílem ochrana bezpečnosti státu a vnitřního či veřejného pořádku, kdy stát v souladu s čl. 4 odst. 2 ve spojení s čl. 26 odst. 2 Listiny stanoví omezení pro výkon určitých činností, a tím omezí právo podnikat a provozovat jinou hospodářskou činnost, které je zakotveno v čl. 26 odst. 1 Listiny. Stát tímto krokem také stanoví omezení u daného subjektu něco vlastnit.
Závěrem tohoto stručného hodnocení dopadů do smluvní volnosti a svobody podnikání je na místě připomenout obecnou výjimku z povinnosti zadat veřejnou zakázku v zadávacím řízení, pokud by provedení zadávacího řízení ohrozilo ochranu základních bezpečnostních zájmů České republiky, když současně nelze učinit takové opatření, které by provedení zadávacího řízení umožňovalo. Navržené ustanovení § 15 obsahuje opatření, jde o projednání postupu s věcně příslušným orgánem a za určitých okolností i se subjektem kritické infrastruktury a odstupňované opatření od stanovení podmínek, přes omezení dodávek, až po jejich úplný zákaz. 
Předkládané opatření krom významných bezpečnostních zájmů České republiky chrání navrhované opatření i samotný subjekt kritické infrastruktury, zejména jeho obchodní tajemství.
Zákon o krizovém řízení:
Novela krizového zákona primárně reaguje na transpozici směrnice CER a je zaměřena na ochranu a posilování odolnosti subjektů kritické infrastruktury. Kromě odstranění původních ustanovení upravujících kritickou infrastrukturu je v návaznosti na transpozici směrnice CER upravovanou oblastí též systém krizové plánovací dokumentace, kde byla na jedné straně provedena revize v současné době zpracovávané dokumentace, a na straně druhé došlo k rozšíření dokumentace na centrální (nově bude zpracováván krizový plán České republiky).  Krizový plán České republiky bude obsahovat posouzení rizik, které je nedílnou součástí dokumentace subjektu kritické infrastruktury a má přímou návaznost na nově vznikající zákon o kritické infrastruktuře. Na ústřední úrovni je nově navrženo zpracovávání Posouzení rizik České republiky. Další zásadní oblastí novely krizového zákona je legislativní zajištění digitalizace systému krizového řízení skrze informační systém krizového řízení.
Zákon o IZS:
S ohledem na kompetence Ministerstva vnitra, které podle návrhu zákona o odolnosti subjektů kritické infrastruktury bude též zajišťovat plnění úkolů jednotného kontaktního místa, dochází k úpravě označení operačních a informačních středisek integrovaného záchranného systému (dále jen “IZS”). V návrhu zákona o odolnosti subjektů kritické infrastruktury, je pracováno s názvem Národní operační a informační středisko (NOPIS) - v dosavadních předpisech jde o operační a informační středisko generálního ředitelství hasičského záchranného sboru. Toto názvosloví je tedy zakotveno i v případě návrhu novely zákona o IZS, kdy je dále pro jasné oddělení upraveno také označení operačního střediska hasičského záchranného sboru kraje na Krajské operační a informační středisko (KOPIS). 
Návrh novely zákona o IZS dále uvádí do souladu některé poznatky aplikační praxe a znění příslušných ustanovení aktuálního znění zákona o IZS, kdy vhodně strukturovaně rozděluje právní úpravu k náhradám za omezení vlastnického nebo užívacího práva, poskytnutí věcné a osobní pomoci (stávající § 29) a k náhradě škody (stávající § 30) k naplnění poznatků aplikační praxe v této oblasti. 
Posouzení dopadů ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen 
Návrh zákona o odolnosti subjektů kritické infrastruktury stanoví práva a povinnosti zejména právnických osob. Některá ustanovení zákona se ovšem vztahují i na fyzické osoby (např. ustanovení o manažerovi kritické infrastruktury). Návrh v tomto nerozlišuje, zdali činnost vykonávají ženy nebo muži, ani nestanoví žádné podmínky nebo omezení. V tomto ohledu lze dojít k závěru, že návrh zákona má neutrální dopad na rovnost žen a mužů.  Nicméně zajištění odolnosti subjektu kritické infrastruktury s ohledem na přijímaná opatření k zajištění odolnosti mohou mít ve svém důsledku pozitivní dopady na postavení žen a mužů v organizaci, resp. zlepšení pracovních podmínek žen a mužů v různých regulovaných odvětvích. Návrh zákona má potenciál přispět k rovnosti žen a mužů prostřednictvím zlepšení pracovních podmínek, zvýšení příležitostí pro ženy, zahrnutí žen do rozhodovacích procesů a zajištění sociální a ekonomické stability. Tyto dopady jsou klíčové pro dosažení rovnosti a inkluze v odvětvích a pododvětvích kritické infrastruktury. 
Následující tabulka uvádí příklady pozitivních benefitů, které mohou mít vliv na rovnost žen a mužů:
	Oblast
	Benefit
	Zdůvodnění

	Zlepšení pracovních podmínek
	Bezpečnost na pracovišti
	Některá opatření k zajištění odolnosti v sobě zahrnují i opatření ke zlepšení bezpečnosti na pracovišti. To může znamenat lepší pracovní prostředí pro všechny pracovníky, včetně žen, které mohou mít specifické potřeby, například pokud jde o fyzickou bezpečnost.

	
	Flexibilita pracovních podmínek
	Aplikace principů zajištění kontinuity činností, může také zahrnovat zavedení flexibilních pracovních podmínek, které mohou pomoci lépe sladit pracovní a rodinný život. To může být přínosné zejména pro ženy, které častěji nesou hlavní zodpovědnost za péči o rodinu.

	Zvýšení příležitostí pro ženy
	Diverzifikace pracovních sil
	Přijetí návrhu zákona může vést k vytváření nových pracovních pozic v oblasti řízení rizik v regulovaných odvětvích nebo pododvětvích, což může otevřít příležitosti pro ženy v těchto do jisté míry tradičně mužských oborech. Podpora diverzity a rovnosti příležitostí může být součástí strategie na zvýšení odolnosti.

	
	Podpora kariérního růstu
	Organizace, které investují do odolnosti, mohou také více podporovat rozvoj a školení pracovníků. To může ženám poskytnout lepší možnosti kariérního postupu a zvýšení kvalifikace.

	
	Rovnost v rozhodovacích procesech
	V souvislosti s vytváření pracovních míst a zvyšováním kvalifikace lze předpokládat i větší zapojení žen do rozhodovacích pozic, což může přispět k rovnosti žen a mužů na vedoucích postech.

	
	Podpora inkluzivního leadershipu
	V rámci řízení bezpečnosti zaměstnanců nebo zajišťování kontinuity činnosti mohou být brány v úvahu potřeby a perspektivy různých skupin, včetně žen, což může přispívat i k rovnosti a diverzitě v managementu subjektů kritické infrastruktury.

	Sociální a ekonomické dopady
	Ochrana před ekonomickými dopady krizí
	Zajištěná odolnost subjektů kritické infrastruktury může mít pozitivní sociální a ekonomické dopady, které se mohou projevit v ochraně pracovníků před ekonomickými důsledky krizí. To může mít zvláštní význam pro ženy, které mohou být zranitelnější vůči ekonomickým šokům.

	
	Podpora rodinného života
	Bezpečné a stabilní subjekty kritické infrastruktury podporují stabilitu rodinného života, což může mít pozitivní dopady na celou společnost. Stabilní přístup k základním službám, jako je zdravotní péče, doprava a energie, je klíčový pro rovnost žen a mužů v každodenním životě.

3. Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku
Hlavním důvodem pro zpracování návrhu zákona je nutnost zapracovat do právního řádu České republiky požadavky směrnice CER, přičemž v souladu s právem EU měla být směrnice CER zapracována do českého právního řádu ve stanovené transpoziční lhůtě, která činí 21 měsíců od nabytí platnosti této směrnice (tj. do 17. října 2024).
V případě, kdy by transpozice byla realizována pouze částečně nebo nebyla realizována vůbec,  hrozilo by České republice zahájení řízení o porušení práva Evropské unie ze strany Evropské komise (tzv. infringement procedure). Stejný následek hrozí i v případě, že bude směrnice CER transponována s výrazným zpožděním oproti transpoziční lhůtě. 
Návrh zákona také reflektuje zkušenosti z aplikační praxe krizového zákona, konkrétně z jeho novely z roku 2011, kterou byla implementována předchozí směrnice EKI. 
S ohledem na zhoršení bezpečnostního prostřední je nezbytné, aby stát vytvořil podmínky pro zvyšování a zajišťování odolnosti základních služeb, které jsou nezbytné pro chod státu včetně zajištění podmínek pro obyvatele České republiky. 
Bezpečnost a odolnost organizačních složek státu a dalších orgánů a osob, jež poskytují služby stěžejní pro fungování státu, jsou předpoklady pro zajištění bezpečnosti České republiky. Podle Bezpečnostní strategie České republiky existuje řada hrozeb, kterým Česká republika čelí, a to včetně kybernetických útoků, ohrožení funkčnosti kritické infrastruktury či přerušení dodávek strategických surovin nebo energií.
V návaznosti na zkušenosti z aplikační praxe je třeba také v dílčím rozsahu novelizovat krizový zákon a zákon o IZS za účelem provázání zajišťování odolnosti subjektů kritické infrastruktury a systému krizového řízení. 
4. Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem České republiky
Navrhovaná právní úprava je v souladu s Ústavou, Listinou základních práv a svobod (dále jen „Listina“) a dalšími předpisy tvořícími ústavní pořádek České republiky.
Návrh zákona reflektuje požadavky na zásadu zákonnosti a enumerativnosti veřejnoprávních pretenzí (čl. 2 odst. 3 Ústavy a čl. 2 odst. 2 Listiny), jakožto i respektuje závazky České republiky, které pro ni vyplývají z mezinárodního práva ve smyslu čl. 1 odst. 2 Ústavy. 
Návrh zákona musí z důvodu splnění svého očekávaného cíle přiměřeně zasáhnout do práva vlastnického a částečně též i z něj odvozovaného práva na podnikání. Povinnosti, které navrhovaná právní úprava stanoví vybraným subjektům (tj. orgánům a osobám), totiž v různé míře omezují tyto subjekty v neomezeném užívání věcí, k nimž vykonávají vlastnická nebo obdobná práva. 
Výše uvedený zásah do práva vlastnického a práva na podnikání spočívá především v tom, že návrh zákona stanoví okruh adresátů – tzv. poskytovatelů základní služby a subjektů kritické infrastruktury – a těmto jsou následně uloženy povinnosti, jejichž splnění je nezbytné pro zajištění a zvyšování odolnosti subjektů kritické infrastruktury. Tato omezení se návrh zákona snaží kompenzovat tím, že v určitých odůvodněných případech (při řešení mimořádné události nebo krizové situace) umožňuje subjektům kritické infrastruktury získat zdroje pro zajištění kontinuity poskytování základní služby například formou přednostního zásobování. Zároveň lze konstatovat, že zvýšení odolnosti subjektu kritické infrastruktury, k němuž ukládané povinnosti směřují, je nejen ve veřejném zájmu, ale i v partikulárním zájmu daného subjektu kritické infrastruktury, neboť nerušené poskytování základní služby mu zpravidla přináší zisk. Omezení se tedy jeví jako přiměřené.
Určení  samotných subjektů kritické infrastruktury vychází jak z požadavků směrnice CER, tak také z praktických zkušeností s významností a dopadem jednotlivých sektorů a služeb na fungování státu. S ohledem na tyto zdroje je i určení subjektů kritické infrastruktury orientováno na minimalistický přístup, jehož podstatou je podřadit pod regulaci návrhu zákona to, co je pro naplnění cíle regulace nezbytně potřebné, současně však nepřekračovat a neregulovat orgány a osoby plošně.
Omezení práva na užívání majetku, resp. jeho účel, chrání obecné zájmy, kterými jsou bezpečnost státu a obyvatelstva či jiné významné ekonomické a společenské zájmy. Zvyšování odolnosti subjektů kritické infrastruktury je součástí krizového řízení a v této souvislosti ochrana demokratických základů ČR a ochrana životů, zdraví a majetkových hodnot je základní povinností státu. Návrh zákona lze považovat za jeden z prostředků plnění této povinnosti státu. I v tomto ohledu se proto omezení jeví jako proporcionální.
Návrh zákona dále také částečně omezuje právo na informace, které je zaručené podle čl. 17 Listiny. Na základě tohoto článku mají státní orgány povinnost přiměřeným způsobem poskytovat informace o své činnosti. Zároveň však tento článek stanoví, že právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná mimo jiné pro bezpečnost státu, veřejnou bezpečnost a ochranu veřejného zdraví. Návrh zákona tedy ve smyslu Listiny omezuje právo na informace z důvodu bezpečnosti, kdy poskytování některých informací o subjektech kritické infrastruktury, včetně informací o jejich konkrétní kritické infrastruktuře, by mohlo být významným rizikem pro bezpečnost uvedených subjektů kritické infrastruktury a jejich prostřednictvím i pro bezpečnost státu (případně dalších členských států Evropské unie). Takové omezení proto není v nesouladu s demokratickým zřízením ani nepřiměřeně neomezuje adresáty práva na informace.  Obdobně také návrh zákona přiměřeným způsobem limituje zveřejňování a poskytování informací v krizovém řízení, resp. informací důležitých pro řešení krizové situace.
Navrhovaná právní úprava, vyjma výše uvedeného, nijak neomezuje práva dotčených subjektů a nejsou jí diskriminovány žádné specifické skupiny adresátů právních norem. Návrh zákona respektuje obecné zásady ústavního pořádku České republiky a není v rozporu s nálezy Ústavního soudu.
5. Zhodnocení slučitelnosti navrhované právní úpravy s předpisy Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie
Návrhu zákona se dotýká především obsah směrnice CER. Návrh zákona do českého právního řádu transponuje ustanovení této směrnice a je s nimi v souladu. Směrnice CER měla být do právního řádu členských států transponována nejpozději do 17. října 2024. 
V souladu s přijetím směrnice CER se ruší původní směrnice EKI.
Návrh zákona je dále v souladu s nařízením Evropského parlamentu a Rady (EU) 2019/452 ze dne 19. března 2019, kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie, podle kterého členské státy mohou mít zavedeny, měnit nebo zavádět mechanismy k prověřování přímých zahraničních investic na svém území z důvodu bezpečnosti nebo veřejného pořádku, tyto investice mohou členské státy dokonce i zakázat (čl. 2 odst. 3 a 4 a čl. 3 uvedeného nařízení). Uvedené nařízení dále v čl. 4 odst. 1 explicitně uvádí, že členské státy mohou v souvislosti s bezpečností a veřejným pořádkem zohlednit potenciální dopady investice na kritickou infrastrukturu, kritické technologie, dodávky kritických vstupů (např. energie nebo suroviny), přístup k citlivým informacím včetně osobních údajů a schopnost takové informace kontrolovat nebo také na svobodu a pluralitu sdělovacích prostředků. Podle čl. 4 odst. 2 uvedeného nařízení je rovněž vhodné zohledňovat, zdali je daný zahraniční investor přímo či nepřímo kontrolovaný vládou třetí země, zdali již daný investor byl zapojen do činností ovlivňujících bezpečnost nebo veřejný pořádek v některém členském státě či existuje-li vážné riziko, že je daný zahraniční investor zapojen do protiprávní nebo trestné činnosti. Stejně tak směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace, umožňuje v čl. 1 odst. 3 písm. c) členským státům přijímat opatření za účelem zajištění veřejného pořádku a veřejné bezpečnosti, jakož i za účelem obrany. Tyto právní předpisy tedy umožňují přijímání restriktivních opatření z důvodu bezpečnosti státu.
Návrh zákona je také v souladu s příslušnými ustanoveními o volném pohybu osob, služeb a kapitálu podle Smlouvy o fungování Evropské unie – konkrétně s jejím čl. 49 o svobodě usazování, ve kterém je zahrnut přístup k samostatně výdělečným činnostem a jejich výkon, jakož i zřizování a řízení podniků, zejména společností, v návaznosti na čl. 63 a čl. 65 odst. 1 písm. b) o pohybu kapitálu umožňující členským státům, mimo jiné, učinit opatření odůvodněná veřejným pořádkem či veřejnou bezpečností. Neméně důležitý je i soulad se Smlouvou o Evropské unii, který je dán skutečností, že EU podle této smlouvy respektuje základní funkce státu, zejména ty, které souvisejí se zajištěním územní celistvosti, udržením veřejného pořádku a ochranou národní bezpečnosti. Zejména podle čl. 4 odst. 2 Smlouvy o Evropské unii národní bezpečnost zůstává výhradní odpovědností každého členského státu.
Navrhovaná právní úprava je v souladu také s Listinou základních práv EU (dále jen „Listina EU“). Svoboda podnikání je Listinou EU garantována, avšak musí být vykonávána podle čl. 16 Listiny EU v souladu s právem Unie a vnitrostátními zákony a zvyklostmi. 
Navrhovaný zákon taktéž nezakládá nerovnost (čl. 20 Listiny EU) ani diskriminaci mezi adresáty (čl. 21 Listiny EU), jelikož nastavuje obecná kritéria vztahující se na všechny adresáty a počítá i s právem na soudní ochranu (čl. 47 Listiny EU). Vzhledem k tomu, že hlavním účelem návrhu zákona je posílení celkové národní bezpečnosti státu a zvýšení ochrany demokratického zřízení, návrh zákona přispěje k zajištění práva na svobodu a osobní bezpečnost (čl. 6 Listiny EU). Zvýšením bezpečnostních standardů dojde v konečném důsledku, také k efektivnější ochraně osobních údajů (čl. 8 Listiny EU).
S ohledem na výše uvedené lze uzavřít, že návrh zákona je ve svém celku plně slučitelný s právními předpisy EU, respektuje judikaturu soudních orgánů EU a je v souladu s obecnými právními zásadami práva EU.
Předložený návrh novely krizového zákona se dotýká práva Evropské unie v rozsahu změn vynucených transpozicí směrnice CER. Novelou krizového zákona  dochází k odstranění všech ustanovení, kterým byla v roce 2010 transponována směrnice EKI, kterou ruší směrnice CER s účinností od 18. října 2024. Nově tak bude část týkající se oblasti kritické infrastruktury řešena v samostatném zákoně o odolnosti subjektů kritické infrastruktury, který tvoří první část návrhu tohoto zákona.
6. Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, jimiž je Česká republika vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s mezinárodními smlouvami o lidských právech a základních svobodách 
Na mezinárodní úrovni zatím žádná komplexní právní úprava odolnosti kritické infrastruktury neexistuje. Jak je zřejmé z předchozí kapitoly obecné části důvodové zprávy, navrhovaná právní úprava je plně v souladu s předpisy EU, judikaturou Soudního dvora EU a obecnými právními zásadami práva EU. 
K dispozici je celá řada mezinárodních právních předpisů a koncepčních dokumentů upravujících buď partikulární aspekty bezpečnosti obecně, nebo oblasti s ní úzce související. 
Z hlediska ochrany lidských práv a základních svobod cílí dopady navrhované úpravy zejména na ochranu práva na informační sebeurčení a nedistributivních práv České republiky, konkrétně práva státu na zajištění vnitřní bezpečnosti, na ochranu základních funkcionalit státu a na ochranu před škodlivými následky výjimečných stavů. Směrnice CER, a tudíž i návrh zákona, za tímto účelem dodržuje zásady přiznávané především Listinou EU, zejména právo na respektování soukromého života a komunikace, ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces. Obdobně je návrh zákona slučitelný i s požadavky Úmluvy o ochraně lidských práv a základních svobod a jejích protokolů (dále jen „Úmluva“).
Na základě výše uvedených skutečností lze konstatovat, že návrh zákona je plně v souladu s mezinárodními smlouvami, jimiž je Česká republika vázána. 
Oblast odolnosti kritické infrastruktury spadá z části (tam, kde nezasahuje do oblastí mimo rozsah primárního práva EU, např. národní bezpečnosti) do oblasti zajištění řádného fungování vnitřního trhu, a tudíž není plně v gesci jednotlivých členských států, ale v oblasti sdílené pravomoci s EU. 
Rovněž zavedení mechanismu prověřování bezpečnosti dodavatelského řetězce je v souladu s mezinárodními smlouvami, jimiž je Česká republiky vázána, stejně jako s obecnými pravidly a zásadami mezinárodního práva, jak je s ohledem na specifika uvedeného mechanismu podrobně rozvedeno v následujících podkapitolách. Všeobecná dohoda o clech a obchodu 1994 (GATT) připouští v čl. XX opatření omezující mezinárodní obchod za předpokladu jejich nutnosti a) k ochraně života a zdraví lidí, nebo d) zachování zákonů a jiných předpisů, které nejsou neslučitelné s jejími ustanoveními. Všeobecná dohoda o obchodu službami (GATS) v čl. XIV upravuje výjimky obdobně jako GATT, přičemž opatření k zabezpečení shody s právními předpisy doplňuje demonstrativní výčet explicitně zmiňující bezpečnostní předpisy (čl. XIV písm. c) bod (iii)). Omezení mezinárodního obchodu předkládaným návrhem zákona je plně v souladu s výjimkami GATT i GATS, a proto neodporuje závazkům České republiky přijatým v rámci Světové obchodní organizace.
Navrhovaná právní úprava je dále v souladu s bilaterálními dohodami o podpoře a ochraně investic. Dohody o ochraně investic zavazují Českou republiku k tomu, aby poskytovala ochranu investorům pocházejícím z jiných smluvních států a jejich investicím v České republice. Jednou z podmínek zakotvených ve valné většině bilaterálních dohod o podpoře a ochraně investic, která určuje, zda je zahraniční investice chráněnou investicí, je soulad hospodářských aktivit investora s vnitrostátními předpisy druhé smluvní strany. Předkládaný návrh vytváří právní rámec především pro budoucí investice, kladení nových nároků na dodavatele tudíž není v rozporu s uvedeným. Ochrana stávajících investic podle bilaterálních dohod o podpoře a ochraně investic taktéž není narušena, neboť návrh respektuje životní cyklus produktů, proto nevytváří nadbytečné náklady spojené s již uskutečněnou investicí. Dostatečná lhůta navíc umožňuje investorům se na nové právní podmínky adaptovat, jak změnou dodavatelů, tak snížením vlastní rizikovosti investorů, jejíž kritéria jsou součástí předkládaného návrhu zákona. Jedná se tudíž o minimální možný zásah k dosažení účelu předkládaného návrhu zákona, zajištění bezpečnosti dodavatelského řetězce
6.1. Lidskoprávní závazky 
Právo na spravedlivý proces je zajištěno možností soudního přezkumu podle zákona č. 150/2002 Sb., soudní řád správní, ve znění pozdějších předpisů. Ochrana vlastnictví podle Úmluvy chrání již nabytý majetek, existující nárok nebo legitimní očekávání nabytí majetku. Nevztahuje se na v budoucnu učiněné investice a dodávky. Předkládaný návrh zákona omezuje možnost provozovatelů strategicky významné infrastruktury svobodně nakládat se svým majetkem, ale k takovému omezení dochází při uplatnění principu proporcionality vůči ochraně veřejného zájmu ve vztahu k zajištění požadované úrovně odolnosti a poskytování základních služeb. Předkládaný návrh je tudíž v souladu s právem na ochranu vlastnictví podle Úmluvy. 
Navrhovaná právní úprava je také v souladu s Mezinárodním paktem o občanských a politických právech (dále jen „Pakt“), který zakotvuje v článku 2 odst. 3 právo domáhat se ochrany před případným zásahem do práv garantovaných Paktem. S předkládaným návrhem souvisí právo na spravedlivý proces podle článků 14 a 15 Paktu, jehož obsah lze pro účely předkládaného návrhu považovat za shodný s obsahem čl. 6 Úmluvy. S odkazem na výše uvedené tedy předkládaný návrh není s Paktem v rozporu.
6.2. Obchodní a investiční závazky 
Předkládaný návrh zákona je v souladu s výjimkami smluv inkorporovaných do Dohody o zřízení Světové obchodní organizace. Jejich společným cílem je zamezení vytváření bariér mezinárodního obchodu a vzájemná doložka nejvyšších výhod, tzn. povinnost zacházet s investory a dodavateli smluvních stran ne méně příznivě než se subjekty třetích států. Předkládaný návrh zákona má potenciál omezit zacházení s dodavateli některých smluvních stran na úroveň méně příznivou ve srovnání se zacházením s dodavateli ze třetích států, ale dochází tak v rámci níže uvedených povolených výjimek. 
Všeobecná dohoda o clech a obchodu 1994 (GATT 1994) připouští v čl. XXI bezpečnostní výjimku z opatření omezující mezinárodní obchod za předpokladu jejich nutnosti a) k ochraně života a zdraví lidí, nebo d) zachování zákonů a jiných předpisů, které nejsou neslučitelné s jejími ustanoveními. Všeobecná dohoda o obchodu službami (GATS) v čl. XIV upravuje výjimky obdobně jako GATT 1994. Omezení mezinárodního obchodu předkládaným návrhem zákona je plně v souladu s výjimkami GATT 1994 i GATS, a proto neodporuje závazkům České republiky přijatým v rámci Světové obchodní organizace. 
Navrhovaná právní úprava je dále v souladu s bilaterálními dohodami o podpoře a ochraně investic. Dohody o ochraně investic zavazují Českou republiku k tomu, aby poskytovala ochranu investorům pocházejícím z jiných smluvních států a jejich investicím v České republice. Jednou z podmínek zakotvených ve valné většině bilaterálních dohod o podpoře a ochraně investic, která určuje, zda je zahraniční investice chráněnou investicí, je soulad hospodářských aktivit investora s vnitrostátními předpisy druhé smluvní strany. Předkládaný návrh vytváří právní rámec především pro budoucí investice, kladení nových nároků na dodavatele tudíž není v rozporu s uvedeným.
Ochrana stávajících investic podle bilaterálních dohod o podpoře a ochraně investic taktéž není narušena, neboť návrh respektuje životní cyklus produktů, proto nevytváří nadbytečné náklady spojené s již uskutečněnou investicí. Dostatečná lhůta navíc umožňuje investorům se na nové právní podmínky adaptovat, jak změnou dodavatelů, tak snížením vlastní rizikovosti investorů, jejíž kritéria jsou součástí předkládaného návrhu zákona. Jedná se tudíž o minimální možný zásah k dosažení účelu předkládaného návrhu zákona. V neposlední řadě obsahuje většina bilaterálních dohod o podpoře a ochraně investic s doložku se základními bezpečnostními zájmy smluvních stran. Doložka opravňuje strany přijmout taková opatření, která považují za nezbytná pro ochranu svých základních bezpečnostních zájmů.
Ochrana nejvýznamnějších subjektů kritické infrastruktury nezbytné pro fungování státu se řadí pod základní bezpečnostní zájem státu, tudíž lze případná omezení vyplývající z aplikace předkládaného návrhu podřadit pod rozsah uvedené výjimky. 
7. Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty a na podnikatelské prostředí České republiky

7.1. Dopady na státní rozpočet
Dopady na státní rozpočet mohou být dány jak požadavky na plnění povinností plynoucích z návrhu zákona od subjektů veřejné správy na ústřední úrovni, ve formě významného navýšení personálních kapacit i finančních prostředků určených na posílení odolnosti a zajištění úkolů stanových tímto zákonem, tak požadavky na zajištění kapacit nutných k zajištění plnění koordinační role Ministerstva vnitra. Orgány veřejné správy na ústřední úrovni jsou již v současném systému kritické infrastruktury podle krizového zákona zodpovědné za ochranu svých prvků kritické infrastruktury. Vzhledem k rozšíření povinností a stanovení výčtu minimálních opatření k zajištění odolnosti však lze očekávat nárůst požadavků na poskytnutí finančních prostředků (investičních i neinvestičních) k plnění zákonem stanovených kompetencí ze strany ministerstev a jiných ústředních správních úřadů a jimi řízených organizací. Přijetí zákona tak bude zcela jistě vyžadovat navýšení rozpočtů jednotlivých ministerstev a ústředních státních úřadů, avšak lze předpokládat, že tyto zvýšené náklady budou čerpány v delším časovém horizontu (cca 5-10 let), a to s ohledem na možnosti státního rozpočtu a dle vývoje bezpečnostní situace.
Naprostá většina nově předpokládaných subjektů kritické infrastruktury vzejde v souladu s obsahem transponované směrnice ze soukromého sektoru. V souhrnu je možné očekávat až dvojnásobný nárůst povinných osob proti současnému stavu, což bude muset být reflektováno i v zajištění fungování gestora této problematiky stejně tak jako gestorů za jednotlivá odvětví, případně pododvětví. S tím se rovněž pojí i náklady související s nutností zavést nový informační systém k zabezpečení plnění úkolů podle tohoto zákona (portál kritické infrastruktury), stejně tak jako zabezpečit organizační a personální kapacity na jeho provoz. Náklady na zavedení portálu kritické infrastruktury, včetně pořízení potřebného hardwaru v rámci Ministerstva vnitra, byly vyčísleny na částku 6 000 000 Kč. Tato částka bude z 90 % financována z operačního programu EU Fondu pro vnitřní bezpečnost. Organizační a personální kapacity na jeho provoz budou pokryty z aktuálních zdrojů.
Finanční náklady na informační systém krizového řízení nepřesáhnou částku 197 000 000 Kč. Tato částka bude financována z operačního programu EMAS/AMIF a rozpočtu Ministerstva vnitra – generálního ředitelství hasičského záchranného sboru České republiky.
Současně je potřeba kalkulovat s náklady spojenými s určením subjektů kritické infrastruktury v odvětví Veřejná správa, jelikož náklady ponesou jednotlivá ministerstva, jiné ústřední správní úřady a další orgány v případě, že budou určeny subjektem kritické infrastruktury rozhodnutím o jejich zařazení na seznam subjektů kritické infrastruktury. Tyto náklady budou spojené zejména s přijímáním opatření na zvyšování odolnosti, případně se zahrnutím subjektu kritické infrastruktury do regulace podle zákona o kybernetické bezpečnosti. Náklady spojené s přijímáním opatření na zvyšování odolnosti se budou odvíjet od již existujících opatření, obecně jsou v průměru odhadovány v řádech statisíců až jednotek milionů korun. Tyto výdaje budou pokryty v rámci schválených dotčených rozpočtových kapitol. Současně bude činnost orgánů státní správy související s touto agendou pokryta ze současných personálních kapacit. 
Další nároky na státní rozpočet budou představovat opatření související s řešením incidentů u subjektu kritické infrastruktury, zejména pak v souvislosti s pořizováním věcných prostředků v systému hospodářských opatření pro krizové stavy. Požadavky na pořízení těchto věcných prostředků ze strany státu se budou odvíjet od potřeb samotných subjektů kritické infrastruktury. Ty budou identifikovat nezbytné věcné zdroje v plánu odolnosti, a to až po určení za subjekt kritické infrastruktury (do 10 měsíců od doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury). Vzhledem k této skutečnosti je odhad finančních nákladů značně obtížný, přičemž rozpočtové nároky budou vycházet také z toho, že v oblasti odolnosti kritické infrastruktury si všechny dotčené subjekty nejdříve budou muset splnit zákonné povinnosti, provést analýzu, vyhodnocení a zpracování dokumentace, a teprve poté budou moci žádat o pořízení věcných zdrojů.
Nevýhodou otázky analýzy finančních dopadů na subjekty kritické infrastruktury je skutečnost, že distribuce nákladů na zajištění své odolnosti není plošná a existuje informační asymetrie ve směru od subjektů samotných k věcně příslušnému orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat své vlastní náklady na zavedení a udržování přiměřených opatření k zajištění své odolnosti). 
Dopady na státní rozpočet bude mít také zabezpečení mechanismu ověřování spolehlivosti, zejména pak ověření spolehlivosti manažerů kritické infrastruktury, kteří budou vykonávat citlivou činnost podle zákona o ochraně utajovaných informací. V této souvislosti jsou odhadovány počty nových žádostí o ověření spolehlivosti, které bude posuzovat Národní bezpečnostní úřad, v řádech nižších stovek. Pro tyto potřeby bude nezbytné navýšit kapacity Národního bezpečnostního úřadu nejméně o 3 systemizovaná tabulková místa (13. platová třída) a v souvislosti s tím navýšit odpovídající finanční prostředky kapitoly 308 státního rozpočtu. Požadavek na navýšení systemizovaných tabulkových míst v uvedeném rozsahu je ze strany Národního bezpečnostního úřadu stanoven na nejnižší možné úrovni pro zajištění výše uvedených činností.
Návrh novely krizového zákona nepředpokládá významný nárůst zpracovávané agendy  jednotlivých orgánů krizového řízení a tím také nárůst finančních nákladů na její řešení (vyjma provozování informačního systému krizového řízení, přičemž s ním související náklady byly popsány výše). Navrhované úpravy  krizové plánovací dokumentace nepředstavují výrazný nárůst administrativní zátěže. V případě novely zákona o IZS lze navrhované změny  označit za toliko formální, nemající potenciál k citelným finančním dopadům na státní rozpočet, veřejné rozpočty ani podnikatelské prostředí České republiky oproti současnému stavu. 
7.2. Dopady na rozpočty územních samosprávných celků
Dopady na rozpočty územních samosprávných celků lze očekávat zejména v souvislosti s tím, že územní samosprávné celky budou v některých případech přímo zřizovateli subjektů kritické infrastruktury. Jejich dodatečné náklady se tak mohou projevit v majetkové sféře územních samosprávných celků, ať už jako snížení zisku obchodních korporací, v nichž mají podíl, nebo ve zvýšení cen za odebírané služby (ať už budou odběrateli služeb samotné územní samosprávné celky nebo jimi zřizované organizace). V této souvislosti lze totiž předpokládat, že subjekty kritické infrastruktury promítnou své náklady na plnění nově stanovených povinností právě do cen pro odběratele služeb. V případě, že bude aplikován zákaz konkrétního dodavatele dle § 15 návrhu zákona, vyvstanou subjektu kritické infrastruktury, jehož zřizovatelem může být územní samosprávný celek, další dodatečné náklady spojené s výběrovým řízením na dodavatele nového. 
Návrh novely krizového zákona ani zákona o IZS nepředpokládá žádné významné územní dopady. 
7.3. Dopady na podnikatelské prostředí
Z důvodu rozsahu transponované směrnice CER může dojít ke dvojnásobnému nárůstu počtu subjektů kritické infrastruktury, což přinese značné ekonomické a finanční dopady na podnikatelské prostředí v ČR. Naprostá většina z nově určených subjektů kritické infrastruktury bude ze soukromého sektoru. 
V případě ekonomických a finančních dopadů lze stejným způsobem odkázat na informace uvedené výše u dopadů na státní rozpočet a veřejné rozpočty. Nevýhodou otázky analýzy finančních dopadů na subjekty kritické infrastruktury je skutečnost, že distribuce nákladů na zajištění odolnosti subjektu kritické infrastruktury není plošná a existuje zde naprostá informační asymetrie ve směru od subjektů samotných k věcně příslušnému orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat její vlastní náklady na zavedení a udržování přiměřených opatření k zajištění své odolnosti). 
 Výše finančních nákladů pro jednotlivé subjekty kritické infrastruktury v souvislosti se zajištěním jejich odolnosti se bude odvíjet od již zavedených opatření. V případě přijetí nových, dosud nezavedených, opatření bude finanční částka odpovídat typu a rozsahu opatření, obecně lze kalkulovat s průměrnou částkou v řádech statisíců či jednotek milionů korun. Současně je potřeba vnímat benefity, které opatření pro zajištění odolnosti přináší. Primárním benefitem je celková vyšší odolnost subjektu kritické infrastruktury, v jejímž důsledku dochází ke snížení dopadů vzniklých incidentů, které současně snižují také finanční náklady na zotavení se.
Administrativní zátěž navrhovaného řešení by měla být pro podnikatelské subjekty minimální, jelikož všechny nově zaváděné procesy navazují na již existující administrativní povinnosti těchto subjektů. Administrativní zátěž způsobená výhradně navrhovaným řešením by měla být za těchto předpokladů zanedbatelná, spočívající především v nově zavedené povinnosti hlásit věcně příslušnému orgánu informace nezbytné k posouzení naplnění kritérií pro identifikaci základní služby, které je nezbytné k určení subjektu kritické infrastruktury. Pro minimalizaci těchto administrativních dopadů je proto v navrhovaném řešení předpokládáno vytvoření portálu kritické infrastruktury, prostřednictvím kterého bude drtivá většina těchto povinností plněna.
V souvislosti s dopady do podnikatelského prostředí, je v souvislosti s náklady zapotřebí vnímat i benefity, které pro subjekt kritické infrastruktury přijímání opatření k zajištění odolnosti přináší. Investice do zajištění odolnosti subjektu kritické infrastruktury nejsou pouze nákladem, ale také dlouhodobě výhodným rozhodnutím, které přináší řadu hmatatelných i nehmatatelných benefitů. Jedná se například o minimalizaci finančních ztrát a operačních výpadků, neboť opatření na zajištění odolnosti umožňují rychlou obnovu provozu po incidentu, což minimalizuje finanční ztráty způsobené výpadky. Robustní záložní systémy a plány odolnosti mohou zajistit, že i při narušení základní služby bude subjekt kritické infrastruktury schopen pokračovat v klíčových činnostech své organizace. Současně může dojít ke zvýšení reputace a důvěry společnosti. Subjekty kritické infrastruktury, které prokazatelně investují do odolnosti, budují důvěru u svých zákazníků, partnerů a veřejnosti. Vědomí, že organizace je připravena čelit incidentům, zvyšuje její reputaci a atraktivitu pro obchodní partnery. Současně společnosti, které jsou odolné vůči incidentům, mohou být vnímány jako spolehlivější a stabilnější partneři, což může zvýšit jejich konkurenceschopnost na trhu. Odolnost přináší dlouhodobou udržitelnost a růst. Investice do odolnosti mohou být vnímány jako strategická výhoda. Organizace, které jsou schopné lépe zvládat a zotavit se z incidentů, jsou lépe připraveny na dlouhodobý růst a udržitelnost. Proces zajišťování odolnosti často vede k inovacím a zlepšení provozních postupů. Subjekty kritické infrastruktury, které se aktivně zaměřují na odolnost, mohou identifikovat a implementovat nové technologie a postupy, které zlepší jejich efektivitu a flexibilitu. V neposlední řadě odolné subjekty kritické infrastruktury zajišťují nejenom kontinuitu základních služeb, ale také bezpečnost svých pracovníků a de facto i občanů České republiky. Přijetí opatření k zajištění odolnosti může znamenat rozdíl mezi životem a smrtí při krizových událostech.
7.4. Dopady na spotřebitele
Návrh zákona nepředpokládá žádné přímé dopady na spotřebitele. Povinnost podnikatelských a nepodnikatelských subjektů zavádět bezpečnostní opatření, a tím co nejvíce předcházet výskytu incidentů, může mít nejen pozitivní dopad na jeho fungování, ale přeneseně také na spotřebitele a odběratele jejich služeb, protože poskytování těchto služeb bude méně náchylné na narušení způsobené incidentem, a zároveň může dojít ke zvýšení důvěryhodnosti a celkové odolnosti daného subjektu, což by mělo motivovat spotřebitele k využívání jeho služeb.
8. Zhodnocení sociálních dopadů, včetně dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, dopadů na ochranu práv dětí a dopadů na životní prostředí
Návrh zákona je z pohledu sociálních dopadů, včetně dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, dopadů na ochranu práv dětí a dopadů na životní prostředí, neutrální. V souvislosti s návrhem zákona se nepředpokládá dopad do těchto oblastí. 
Dopady na životní prostředí budou spíše pozitivní, neboť zvyšování odolnosti subjektů kritické infrastruktury by mělo mít za důsledek snížení pravděpodobnosti vzniku incidentů s negativními následky pro životní prostředí (např. provozní havárie).
9. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů
 
9.1. Základní parametry navrhovaného zpracování osobních údajů
Návrh zákona přináší nové zpracování osobních údajů, neboť se jedná o novou právní úpravu reagující na směrnici CER, která zásadním způsobem změnila požadavky kladené na členské státy v oblasti kritické infrastruktury. Níže jsou popsány základní parametry navrhovaného zpracování osobních údajů v režimu návrhu zákona:
a) Subjekty údajů
Návrh zákona dopadá primárně na poskytovatele základních služeb a subjekty kritické infrastruktury, kterými jsou zpravidla právnické či podnikající fyzické osoby. O nepodnikající fyzické osoby půjde ve zcela ojedinělých případech. 
Dalšími subjekty údajů jsou kritičtí dodavatelé subjektů kritické infrastruktury, kritičtí pracovníci, manažer kritické infrastruktury, pracovníci podílející se na poskytování základní služby a osoby, které jsou pověřeny přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů. Uvedenými osobami mohou být rovněž právnické či podnikající fyzické osoby (zejména v případě kritických dodavatelů), přičemž z povahy věci zde bude i významné zastoupení nepodnikajících fyzických osob (kritičtí pracovníci, manažer kritické infrastruktury, další pracovníci a osoby působící u subjektu kritické infrastruktury).
b) Druh a kategorie údajů
Návrh zákona nepředpokládá žádné zpracovávání zvláštní kategorie osobních údajů. Bude tedy docházet ke zpracování standardních kategorií osobních údajů, a to v rozsahu zcela nezbytném pro účely plnění zákonem uložených úkolů. 
Zpracovávanými údaji budou zejména údaje identifikující poskytovatele základní služby, subjekty kritické infrastruktury, kritické dodavatele, kritické pracovníky, manažera kritické infrastruktury, pracovníky podílející se na poskytování základní služby a osoby, které jsou pověřeny přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů. 
V případě fyzických osob půjde o jméno a příjmení, datum narození a adresu bydliště, případně údaje o vzdělání nebo délce a zaměření odborné praxe, a kontakt na pracoviště. V určitých odůvodněných případech bude pracováno rovněž s údaji o trestní bezúhonnosti fyzických osob, případně též s číslem dokladu totožnosti, nicméně v tomto případě bude sdělení příslušných osobních údajů na zvážení subjektu údajů (jejich neposkytnutí bude mít případné následky toliko v soukromoprávní rovině v mezích uvážení subjektu kritické infrastruktury, a to ve formě např. neuzavření pracovní smlouvy s danou osobou nebo jejího převedení na jinou práci). V případě podnikajících fyzických osob bude zpracováván název osoby, sídlo a IČO.
Nad rámec posouzení lze pro úplnost dodat, že podle návrhu zákona budou zpracovávány též identifikační údaje právnických osob, nicméně tyto údaje nejsou považovány za údaje osobní.
c) Doba zpracování osobních údajů
Ke zpracování osobních údajů bude docházet po celou dobu, kdy konkrétní poskytovatel základní služby nebo subjekt kritické infrastruktury spadá do působnosti navrhovaného zákona. Přestane-li poskytovatel základní služby nebo subjekt kritické infrastruktury spadat do působnosti předloženého zákona, jsou údaje o něm, jeho kritických dodavatelích, kritických pracovnících, manažeru kritické infrastruktury, pracovnících podílejících se na poskytování základní služby a osobách, které jsou pověřeny přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů, dále v souvislosti s plněním povinností podle navrhovaného zákona zpracovávány toliko po dobu nezbytnou z důvodu zajištění kontinuity evidovaných údajů pro potřeby následné kontroly či přestupkového řízení. Tato doba by zpravidla neměla přesahovat nižší jednotky let. 
d) Právní základ zpracování osobních údajů
Právním základem zpracování popsaných údajů je primárně nařízení Evropského parlamentu a Rady (EU) 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Ke zpracování bude docházet zejména na základě čl. 6 odst. 1 písm. c) a e) obecného nařízení o ochraně osobních údajů, tj. je-li zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje nebo je-li nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.
V návrhu zákona je právní základ zpracování osobních údajů reflektován v kompetencích příslušných státních orgánů (ministerstva, jiné ústřední správní úřady a Česká národní banka). Návrh zákona dále obsahuje výslovné zmocnění pro státní orgány ke zpracování osobních údajů, jsou-li nezbytné pro výkon jejich působnosti podle uvedeného zákona a v rozsahu nezbytném pro plnění úkolů příslušných správců údajů.
e) Účely zpracování
Konkrétní účely zpracování osobních údajů na základě návrhu zákona jsou popsány v následující tabulce spolu s druhy či kategoriemi zpracovávaných údajů:
	 účel zpracování
	subjekt údajů
	druh (rozsah) údajů

	identifikace a evidence kritických pracovníků
	kritický pracovník
	jméno, příjmení, datum narození, adresa bydliště, funkce na pracovišti

	určení manažera kritické infrastruktury
	manažer kritické infrastruktury
	jméno, příjmení, datum narození, adresa bydliště, vzdělání nebo délka a zaměření odborné praxe, kontaktní údaj (pracovní)

	identifikace a evidence kritického dodavatele
	kritický dodavatel (je-li fyzickou osobou)
	FO - jméno, příjmení, datum narození, adresa bydliště
PFO – název, sídlo, IČO


	ověřování spolehlivosti
	pracovník (případně uchazeč o zaměstnání), jiná osoba pověřená přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů
	jméno, příjmení, datum narození, adresa bydliště, číslo dokladu totožnosti, údaje o trestní bezúhonnosti

	určení subjektu kritické infrastruktury
	poskytovatel základní služby splňující kritéria pro zařazení na seznam subjektů kritické infrastruktury 
	FO - jméno, příjmení, datum narození, adresa bydliště
PFO – název, sídlo, IČO

K dalšímu zpracování osobních údajů může dojít v souvislosti s kontrolou, nicméně v tomto případě se uplatní obecný postup podle kontrolního řádu. V případě, že je kontrolovanou osobou fyzická osoba nebo podnikající fyzická osoba, vyplývá zákonnost zpracování z čl. 6 odst. 1 písm. e) obecného nařízení o ochraně osobních údajů.
9.2. Posouzení navrhovaného řešení zpracování z hlediska nezbytnosti
Veškeré zpracování popsané výše je obecně prováděno za účelem plnění zákonných kompetencí ministerstev, jiných ústředních správních úřadů a České národní banky, tak jak jsou vymezeny v návrhu zákona (věcná příslušnost uvedených orgánů je stanovena přílohou zákona v návaznosti na odvětví nebo pododvětví, ve kterých dochází k poskytování základních služeb), případně za účelem plnění zákonem stanovených povinností a sledování veřejných zájmů i samotnými subjekty kritické infrastruktury (například v rámci ověřování spolehlivosti). 
Je vhodné uvést, že v případě zpracování údajů o kritických pracovnících, manažeru kritické infrastruktury, pracovnících podílející se na poskytování základní služby a osobách, které jsou pověřeny přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů, se jedná o naplnění požadavků směrnice CER, přičemž zpracování je prováděno na základě zákonného podkladu a z důvodu zajištění odolnosti subjektu kritické infrastruktury.
Odolnost subjektu kritické infrastruktury je veřejným zájmem, neboť v případě, kdy by došlo k narušení činnosti subjektu kritické infrastruktury, dojde s největší pravděpodobností k omezení nebo přerušení poskytování základní služby – tedy takové služby, která je nezbytná pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí. 
Bez zpracovávání dotčených osobních údajů by nebylo možné vyhovět požadavkům směrnice CER, a tím pádem ani efektivně zajišťovat a zvyšovat odolnost subjektů kritické infrastruktury. Předkladatel v oblastech dotýkajících se osobních údajů volil minimální transpozici, tedy při transpozici směrnice CER v uvedených oblastech nevytvářel v rámci národní právní úpravy prostor pro nadbytečné zpracovávání osobních údajů.
9.3. Posouzení navrhovaného řešení zpracování z hlediska přiměřenosti
Je nutné podotknout, že přiměřenost navrhovaného řešení zpracování je nutné posuzovat vzhledem k cílům, pro které má docházet ke zpracování osobních údajů. Jak již bylo předestřeno výše, zpracování je prováděno na základě zákonného podkladu a z důvodu zajištění odolnosti subjektu kritické infrastruktury a dále z důvodu řešení konkrétní krizové situace. Odolnost subjektu kritické infrastruktury je veřejným zájmem, jak již bylo uvedeno shora. Narušení činnosti subjektu kritické infrastruktury má potenciál omezit nebo dokonce přerušit poskytování základní služby.  Taková situace pak může mít za důsledek velmi závažné dopady pro celou Českou republiky a případně i jiné členské státy Evropské unie. Míra zásahu do „osobní sféry“ subjektu údajů je přitom v porovnání s významností chráněného zájmu a s ohledem na zamýšlený rozsah získávaných osobních údajů spíše marginální.
Je navrhováno zpracovávat standardní osobní údaje, nikoliv zvláštní kategorie osobních údajů. Z hlediska rozsahu a druhu osobních údajů, které mají být zpracovávány, lze konstatovat, že převážná většina těchto údajů představuje zcela běžně zpracovávané osobní údaje. 
Zpracování prováděná v souvislosti s návrhem zákona tak předkladatel považuje z uvedených důvodů, s ohledem na vymezené účely, za přiměřené. 
9.4. Posouzení rizik pro práva a svobody fyzických osob
Jako možné riziko pro práva a svobody fyzických osob bylo identifikována možnost neoprávněného přístupu k osobním údajům, na základě, kterého by následně mohlo dojít ke zneužití osobních údajů za jiným účelem, než pro který mají být na základě návrhu zákona zpracovávány.
Významnějším uzlem, kdy by mohlo vznikat vyšší riziko neoprávněného přístupu k osobním údajům, je portál kritické infrastruktury (součást informačního systému krizového řízení), který je však odpovídajícím způsobem zabezpečen, a to včetně řízení a zaznamenávání přístupů ze strany osob, majících přístup ke konkrétním údajům v něm vedeným. Návrh zákona předpokládá, že předávání údajů mezi státními orgány navzájem a mezi státními orgány a poskytovatelem základní služby/subjektem kritické infrastruktury bude zpravidla probíhat prostřednictvím portálu kritické infrastruktury. Jedinou výjimkou je situace, kdy by nebylo možné portál kritické infrastruktury využít z objektivních příčin (např. výpadek) – v takovém případě se předpokládá využití systému datových schránek (§ 21 odst. 5).  
Vyloučit nelze ani riziko zneužití přístupu k osobním údajům v souvislosti s ověřováním spolehlivosti (§ 18), kdy v některých případech může subjekt kritické infrastruktury zpracovávat osobní údaje o trestní bezúhonnosti pracovníků podílejících se na poskytování základní služby a osob, které jsou pověřeny přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím, nebo do jeho kontrolních systémů, a vyžadovat od těchto pracovníků prokázání totožnosti, přičemž uvedené oprávnění může realizovat i ve vztahu k uchazeči o uzavření pracovněprávního vztahu, resp. přijetí do služebního nebo obdobného poměru. Uvedené oprávnění subjekt kritické infrastruktury realizuje mimo portál kritické infrastruktury. Na druhou stranu lze podotknout, že tento požadavek (tedy doložení bezúhonnosti nebo prokázání totožnosti) uplatňuje subjekt kritické infrastruktury vůči pracovníkovi nebo jiné osobě napřímo, kdy případné odmítnutí požadavku ze strany uvedeného pracovníka nebo jiné osoby může mít za následek uplatnění režimových opatření – např. neumožnění uvedenému pracovníkovi nebo jiné osobě provedení určitých činností nebo zamezení jejich přístupu do uvedených prostor. Zpracování osobních údajů je v tomto případě tedy činěno se souhlasem subjektu údajů (resp. jeho aktivní součinností), neboť on sám tyto údaje poskytuje, aniž by jejich neposkytnutí bylo zákonem postihováno v jiné než soukromoprávní rovině (například neuzavřením pracovní smlouvy).
9.5. Stanovení možných opatření ke snížení rizik pro práva a svobody fyzických osob
Obecně z hlediska zachování integrity a důvěrnosti zpracovávaných údajů je třeba zmínit, že informační systém krizového řízení, jehož bude portál kritické infrastruktury součástí, bude kritickou informační infrastrukturou, a tedy zabezpečen v souladu se zákonem o kybernetické bezpečnosti a vyhláškou o kybernetické bezpečnosti. 
Řada osob přicházejících do styku s osobními údaji v souvislosti s plněním úkolů ministerstev, jiných ústředních správních úřadů nebo České národní banky je vázána zákonnou povinností mlčenlivosti o skutečnostech, které se v souvislosti se svým zaměstnáním dozví – ať už z titulu služebně-právních či jiných vztahů, nebo podle ustanovení právních předpisů upravujících správní řízení (při ukládání nápravného opatření), kontrolu nebo jiné zvláštní postupy.
V oblasti krizového řízení bude ochrana osobních údajů zajištěna při vstupu do registrů, které s osobními údaji fyzických osob pracují. K těmto bude přistupováno pouze na základě zákonného zmocnění a informační systém, který bude tato data využívat, bude zabezpečen tak, jak je uvedeno v odstavci prvním.
10. Zhodnocení korupčních rizik
V souladu s Metodikou hodnocení korupčních rizik (CIA) nebyla identifikována žádná významná korupční rizika. 
V rámci návrhu zákona nedochází k nedůvodnému rozšiřování kompetencí orgánů státní správy. Ministerstva, jiné ústřední správní úřady a Česká národní banka se dělí o kompetence v procesu určování subjektu kritické infrastruktury, jakožto i plnění dalších úkolů souvisejících se zvyšováním odolnosti subjektů kritické infrastruktury v jejich věcné příslušnosti. Ministerstvo vnitra nadto jako státní orgán, v jehož kompetenci je problematika krizového řízení, a tedy i kritické infrastruktury nadto plní některé další úkoly, zejména ve vztahu k fungování systému kritické infrastruktury jako celku a plnění povinností vůči Evropské unii. Takovou kompetenci nelze považovat za extensivní, neboť její stanovení je nezbytné pro efektivní zajištění dané agendy a v obecné rovině ji předpokládá i směrnice CER, která vyžaduje v rámci členských států zřízení jednotného kontaktního místa odpovědného za koordinaci záležitostí souvisejících s odolností kritických subjektů a přeshraniční spoluprací. 
Co se týče jednoznačnosti, nebylo shledáno, že by právní úprava byla problematická z pohledu právní jistoty. Úprava obsahuje jasné vymezení práv a povinností všech dotčených orgánů a osob, jakožto i stanoví jasné procesní postupy, včetně jednoznačných lhůt.
Instituty navrhované právní úpravy jsou standardními instituty, které v obdobném rozsahu upravují i jiné právní předpisy. Případné odchylky jsou dány specifiky vyplývajícími z požadavků směrnice CER (např. v oblasti ověřování spolehlivosti). 
Proces určení subjektů kritické infrastruktury je založen na doložení skutečného stavu (tj. naplnění objektivních kritérií), který je zcela transparentní. Samotný proces určování spočívá v posouzení toho, zda poskytovatel základní služby kritéria naplnil či nikoliv, a následném rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury. Rozhodování bude předmětem správního řízení, které bude s ohledem na účel právní úpravy přiměřeně modifikováno možností vydat rozhodnutí jako první úkon v řízení a zamezením odkladného účinku rozkladu podanému proti rozhodnutí o zařazení na seznam subjektů kritické infrastruktury.
Korupční rizika nelze předpokládat ani v souvislosti s kontrolou nebo projednáváním přestupků, neboť tyto procesy budou prováděny na základě jiné právní úpravy (kontrolní řád a zákon o odpovědnosti za přestupky), která zajišťuje transparentní provedení uvedených procesů. 
Kromě ukládání opatření k bezpečnosti dodavatelského řetězce, ukládání nápravných opatření a projednávání přestupků nepředpokládá návrh zákona jinou oblast, ve které by orgány veřejné moci rozhodovaly. Ukládání nápravných opatření bude spjato s výsledkem kontroly a nelze proto předpokládat svévoli orgánu, který nápravné opatření uloží. Jako standardní správní rozhodnutí bude muset rozhodnutí o nápravném opatření splňovat náležitosti na takové rozhodnutí kladené, tj. včetně dostatečného odůvodnění, a bude proti němu možné uplatnit opravné a dozorčí prostředky, jakožto i iniciovat soudní přezkum. Obdobně tomu je v případě opatření k bezpečnosti dodavatelského řetězce, které bude představovat zcela mimořádné opatření v případě závažné hrozby pro bezpečnost České republiky.
11. Zhodnocení dopadů na bezpečnost nebo obranu státu
Návrh zákona má pozitivní dopady na bezpečnost a obranu státu, zejména přispěje k dalšímu posílení zabezpečení klíčových základních služeb v ČR a posílení jejich odolnosti před incidenty, které by mohly ohrozit poskytování základních služeb a bezpečnost ČR jako celku, čímž dojde ke snížení míry rizika vzniku takovýchto incidentů.
Návrh novely krizového zákona dále posiluje připravenost státu na řešení krizových situací, a to zavedením nového typu plánovací dokumentace na celostátní úrovni, kterým je krizový plán České republiky. Návrh novely krizového zákona také zakotvuje využívání informačního systému krizového řízení orgány krizového řízení, který přispěje k lepší koordinaci a efektivnějšímu řešení krizové situace z ústřední úrovně. Předložený návrh má významně pozitivní dopad na bezpečnost a obranu státu.
12. Zhodnocení dopadů na rodiny
Návrh zákona je z pohledu dopadů na rodiny neutrální. Nepředpokládají se žádné dopady v této oblasti, neboť návrh zákona žádným způsobem do těchto oblastí nezasahuje.
13. Zhodnocení územních dopadů, včetně dopadů na územní samosprávné celky
Negativní dopady na územní samosprávné celky se nepředpokládají. Oblast zvyšování odolnosti subjektů kritické infrastruktury je řešena na národní úrovni, stejně jako odvětví veřejné správy, které s regionální úrovní nepočítá, resp. směrnice CER je zaměřena pouze na orgány na úrovni centrální. 
Návrh zákona může naopak mít pozitivní územní dopady, neboť zajištění poskytování základní služby může být podstatné pro zabezpečení základních potřeb a bezpečnosti v regionu. Návrh novely krizového zákona ani zákona o IZS nepředpokládá žádné významné územní dopady.
14. Zhodnocení souladu navrhovaného řešení se zásadami tvorby digitálně přívětivé legislativy
Navrhovaná právní úprava byla vyhodnocena jako souladná se zásadami digitálně přívětivé legislativy. Bližší zhodnocení viz níže.  
14.1. Budování přednostně digitálních služeb (princip digital by default) je zajištěno prostřednictvím portálu kritické infrastruktury, prostřednictvím něhož bude docházet k toku informací a dat k poskytovatelům základních služeb/subjektů kritické infrastruktury od orgánů veřejné moci a naopak, jakožto i sdílení informací a dat mezi orgány veřejné moci navzájem. Portál kritické infrastruktury bude primárním komunikačním kanálem pro celou oblast kritické infrastruktury, v jehož rámci bude na základě požadavku směrnice CER k dispozici rovněž platforma pro sdílení informací mezi subjekty kritické infrastruktury. 
14.2. Maximální opakovatelnost a znovupoužitelnost údajů a služeb je rovněž zajištěna prostřednictvím portálu kritické infrastruktury, v rámci kterého budou údaje uchovávány po dobu, po kterou bude poskytovatel základní služby nebo subjekt kritické infrastruktury spadat pod působnost návrhu zákona. Příslušné údaje proto bude moci využít znovu a opakovaně.
14.3. Budování služeb přístupných a použitelných pro všechny, včetně osob se zdravotním postižením (princip governance accessibility) navrhovaná právní úprava splňuje, neboť neztěžuje přístup určité skupiny osob k službám, ale naopak se snaží o to, aby byl přístup co nejsnazší pro co nejširší skupinu osob.
14.4. Sdílené služby veřejné správy jsou respektovány, kdy portál kritické infrastruktury je využitelný pro všechny dotčené orgány veřejné moci a další subjekty.
14.5. Konsolidace a propojování informačních systémů veřejné správy je zajištěno prostřednictvím informačního systému krizového řízení, jehož součástí je portál kritické infrastruktury. Tento informační systém v sobě koncentruje všechny agendy potřebné pro komplexní a efektivní krizové řízení. Zároveň je do budoucna předpokládáno propojení portálu kritické infrastruktury s Portálem NÚKIB podle zákona o kybernetické bezpečnosti, resp. vzájemné sdílení dat za účelem snížení administrativní zátěže subjektů kritické infrastruktury nebo povinných subjektů dle zákona o kybernetické bezpečnosti.
14.6. Mezinárodní interoperabilita – budování služeb propojitelných a využitelných v evropském prostoru se navrhované právní úpravy primárně netýká, resp. plnění určitých povinností zejména subjektů evropské kritické infrastruktury ve vztahu k Evropské komisi bude realizováno prostřednictvím Ministerstva vnitra, jakožto orgánu státní správy odpovědného za oblast kritické infrastruktury. 
14.7. Ochrana osobních údajů v míře umožňující kvalitní služby (princip GDPR) je řešena vhodným zabezpečením osobních údajů prostřednictvím technických a organizačních opatření (kybernetické zabezpečení, logy, uživatelská oprávnění apod.) portálu kritické infrastruktury, resp. informačního systému krizového řízení, jehož je portál kritické infrastruktury součástí.
14.8. Otevřenost a transparentnost včetně otevřených dat a služeb (princip open government) je s ohledem na předmět regulace minimalizována toliko na rozsah, jež nemůže způsobit ohrožení poskytování základní služby. 
14.9. Technologická neutralita je v navrhované právní úpravě splněna. Portál kritické infrastruktury, resp. informační systém krizového řízení, jehož je portál kritické infrastruktury součástí, je vybudován na obecných zásadách umožňující jeho použití prostřednictvím standardních technologických prostředků. 
14.10. Uživatelská přívětivost je v navrhované právní úpravě splněna, neboť portál kritické infrastruktury konsolidací většiny agend v rámci jednoho systému významně snižuje administrativní náročnost pro adresáty povinností. Zároveň je portál kritické infrastruktury navržen tak, aby usnadnil jeho používání ze strany uživatelů jak na straně poskytovatelů základní služby/subjektů kritické infrastruktury, tak na straně orgánů veřejné správy.
Návrh novely krizového zákona je v souladu se zásadami tvorby digitálně přívětivé legislativy. Novela krizového zákona nově zavádí do systému krizového řízení informační systém krizového řízení (dále také jen „ISKŘ“), což je informační systém veřejné správy, jehož účelem bude podpora orgánů krizového řízení při zajišťování připravenosti na krizové situace a jejich řešení. ISKŘ je systém, jehož správu bude zajišťovat Ministerstvo vnitra-generální ředitelství HZS ČR. V kontextu zásad digitálně přívětivé legislativy pak ISKŘ zejména naplňuje zásadu týkající se maximální opakovatelnosti a znovu použitelnosti údajů a služeb (princip only once), neboť ISKŘ bude pro plnění své funkce využívat údaje ze základních registrů, agendových informačních systémů a ostatních informačních systémů veřejné správy, s tímto souvisí i soulad se zásadou sdílené veřejné správy.
 
B. Zvláštní část
K ČÁSTI PRVNÍ – ZÁKON O ODOLNOSTI SUBJEKTŮ KRITICKÉ INFRASTRUKTURY
K § 1 – Předmět úpravy
Věcná působnost návrhu zákona je obecně vymezena pro oblast zvyšování a zajišťování odolnosti subjektů kritické infrastruktury ve specifických odvětvích v souvislosti s poskytováním základních služeb. Ty jsou nezbytné pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí. V zákoně je v souvislosti se subjekty používán pojem "zajišťování odolnosti" a v souvislosti s výkonem státní správy používán pojem "zvyšování odolnosti". Uvedené rozdělení souvisí se skutečností, že zákon o odolnosti kritických subjektů cílí na to, aby subjekty kritické infrastruktury přijímaly opatření k zajištění své odolnosti v minimální zákonem stanovené úrovni, naproti tomu u činnosti státní správy (z pozice regulátora, nikoliv subjektu kritické infrastruktury) zákon počítá s kontinuálním procesem zvyšování odolnosti systému kritické infrastruktury, a to skrze pravidelné aplikování zákonem vymezených nástrojů v oblasti analýzy (posouzení rizik ČR) a koncepčního rozvoje celého systému (Strategie pro posílení odolnosti subjektů kritické infrastruktury).
Návrh zákona současně blíže stanovuje práva a povinnosti právnických a fyzických osob a působnost a pravomoc státních orgánů moci v této oblasti, kterými jsou vláda, Ministerstvo vnitra, další věcně příslušná ministerstva a jiné ústřední správní úřady a Česká národní banka.
Návrh zákona je transpozičním předpisem směrnice CER.
Návrh zákona o kritické infrastruktuře rovněž zachovává zakotvení problematiky zvyšování a zajišťování odolnosti subjektů kritické infrastruktury v systému krizového řízení, což kontinuálně navazuje na současný systém krizového řízení a ochrany kritické infrastruktury podle krizového zákona. Zároveň je v souladu s navrhovanou novelou krizovou zákona. Tyto dva zákony jsou úzce provázány např. v oblasti posouzení rizik České republiky, informačního systému krizového řízení, vyjmutí pracovníků subjektu kritické infrastruktury z pracovní povinnosti nebo zajišťování přednostního zásobování subjektů kritické infrastruktury. Současně je tak zachována kontinuita koordinační role Ministerstva vnitra, resp. MV-GŘ HZS ČR.
Navrhovaná úprava odstavce 1 reaguje na transpozici směrnice CER do samostatného zákona o odolnosti subjektů kritické infrastruktury. Směrnice CER upravuje současný systém kritické infrastruktury, který byl dosud legislativně ukotven v rámci krizového zákona. Směrnice CER zároveň přímo nahrazuje současnou směrnici EKI, která se ruší s účinností od 18. října 2024. Z původního znění krizového zákona tak jsou odstraněny všechny části, které souvisí se systémem kritické infrastruktury nebo s i transpozicí směrnice EKI. S tím souvisí i vyškrtnutí odstavce 2.
Ačkoli směrnice CER v článku 1 odst. 6 vylučuje aplikaci této směrnice v oblastech národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů. Česká republika přistoupila na základě rozhodnutí Ministerstva vnitra k regulaci odvětví „Bezpečnost“, avšak s omezenými povinnostmi vůči Evropské komisi. Jiná odvětví nad rámec regulace směrnice CER nebyla věcně příslušnými ministerstvy do návrhu zákona navržena. 

K § 2 – Vymezení pojmů
Návrh zákona přináší řadu nových pojmů, a to ať už z důvodu jejich převzetí ze směrnice CER, nebo z toho důvodu, že návrh zákona svým obsahem navazuje na přístup a pojmosloví obsažené v dosavadním znění krizového zákona, avšak tento přístup prohlubuje. Z důvodu zajištění návaznosti na stávající systém kritické infrastruktury bylo přistoupeno k zachování co nejvíce dosud užívaných pojmů, ačkoliv jejich význam byl materiálně změněn v souvislosti s přijetím směrnice CER.
V rámci § 2 jsou definovány následující pojmy – základní služba, poskytovatel základní služby, kritická infrastruktura, subjekt kritické infrastruktury, subjekt evropské kritické infrastruktury, incident, riziko, posouzení rizik subjektu kritické infrastruktury, odolnost subjektu kritické infrastruktury,   pracovník, kritický pracovníka kritický dodavatel.
Základní služba je pojem převzatý ze směrnice CER, který dosud nebyl v národní legislativě ve vazbě na kritickou infrastrukturu definován. Představuje službu, bez které by bylo ohroženo zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí. Jedná se tak o stěžejní pojem, neboť poskytovatelům základní služby bude automaticky z navrhovaného zákona vyplývat povinnost poskytnout informace nezbytné k jeho zařazení na seznam subjektů kritické infrastruktury, čímž dojde k jejich faktickému určení za subjekt kritické infrastruktury. Přehled jednotlivých základních služeb bude obsahem prováděcího právního předpisu, konkrétně nařízení vlády. Evropská komise za tímto účelem vydala v souladu s článkem 5 směrnice CER demonstrativní výčet základních služeb, a to konkrétně v Nařízení komise v přenesené pravomoci (EU) 2023/2450 ze dne 25. července 2023, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2022/2557 stanovením seznamu základních služeb, kdy s obsahem prováděcího právního předpisu budou základní služby uvedené ve zmíněném aktu v přenesené pravomoci Evropské komise, jakožto i další základní služby definované toliko na národní úrovni. K takto definovaným základním službám bude doplněno kritérium významnosti, která bude rozhodující pro sebehodnocení poskytovatele základní služby a jeho následné určení subjektem kritické infrastruktury.
Poskytovatel základní služby je nový pojem, který se v současném pojetí systému kritické infrastruktury nevyskytuje. Jedná se o subjekt, který poskytuje základní službu definovanou v nařízení vlády a zároveň splňuje kritéria významnosti. K naplnění podstaty poskytovatele základní služby nestačí pouze poskytovat základní službu uvedenou v nařízení vlády, ale musí být zároveň splněna kritéria významnosti, která stanoví úroveň, hodnotu či jiný údaj, od kterého bude subjekt považován za poskytovatele základní služby. Poskytovatelem základní služby se subjekt stane nabytím účinnosti tohoto zákona. Zároveň jím zůstává i v situacích, kdy byl určen za subjekt kritické infrastruktury, a je tedy zároveň i subjektem kritické infrastruktury, nebo mu bylo sděleno, že subjektem kritické infrastruktury nadále není. Naplnění definice poskytovatele základní služby je proto základním předpokladem pro pozdější rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury – tj. určení subjektem kritické infrastruktury, neboť tím se může stát pouze poskytovatel základní služby. 
Kritická infrastruktura je pojem, který již byl dříve definován v krizovém zákoně. Vzhledem ke změně filosofie v pojetí systému kritické infrastruktury, související s přijetím směrnice CER, však dochází k odklonu od ochrany jednotlivých fyzických prvků kritické infrastruktury k zajištění poskytování základní služby jako takové. Nový pojem kritická infrastruktura tak klade větší důraz na celkovou infrastrukturu subjektu kritické infrastruktury, která je nezbytná pro poskytování základní služby, resp. její narušení by mělo závažný dopad na její poskytování. Kritickou infrastrukturou je jakékoli aktivum, zařízení, vybavení, síť nebo systém nebo jejich část, které jsou nezbytné pro poskytování základní služby, resp. jejichž prostřednictvím je základní služba poskytována. Zahrnují tedy širokou škálu prvků, které se podílejí na poskytování základní služby. Aktiva mohou být v obecné rovině z teoretického pohledu rozdělena do čtyř kategorií, kterými jsou 1) finanční aktiva (zejména finanční hotovost, bankovní účty, akcie, dluhopisy a další investiční nástroje, které mají monetární hodnotu), 2) fyzická aktiva (věci hmotné povahy, jako jsou nemovitosti, dopravní prostředky, vybavení, zařízení nebo prostředky), 3) nehmotná aktiva (zejména duševní vlastnictví, patenty, obchodní značky, ochranné známky či dobré jméno společnosti) a 4) přírodní zdroje (půda, nerostné bohatství, strategické suroviny a další). V kontextu kritické infrastruktury se pak jedná o následující příklady aktiv: 1) budovy a zařízení (např. elektrárny, vodárny, nemocnice, školy, datová centra); 2) technologická infrastruktura (např. servery, síťová zařízení, energetická zařízení, komunikační linky, protonové centrum); 3) data a informace (např. kritické databáze, patenty nebo know-how, kontrolní systémy); 4) informační systémy (např. operační software, technologie pro řízení a monitorování provozu); 5) kritické zásoby materiálu (např. zásobník paliva, sklad léčiv, sklad klíčových surovin, sklad pro havarijní opravy, distribuční centra); 6) finanční zdroje (např. finanční prostředky, fondy a investice potřebné pro provoz subjektu kritické infrastruktury). Na rozdíl od současného pojetí systému kritické infrastruktury, ve kterém jsou prvky kritické infrastruktury identifikovány věcně příslušným ministerstvem nebo ústředním správním úřadem, budou identifikaci kritické infrastruktury a jejích jednotlivých komponent provádět samotné subjekty kritické infrastruktury.
Subjekt kritické infrastruktury je pojem, který již byl definovaný v krizovém zákoně, nicméně svým významem se v novém pojetí systému kritické infrastruktury dostává do popředí a mění se tak do jisté míry jeho význam. Jedná se o poskytovatele základní služby, který byl po splnění své povinnosti poskytnout informace nezbytné k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury na podnět podaný věcně příslušným ministerstvem, jiným ústředním správním úřadem nebo Českou národní bankou  Ministerstvem vnitra  na tento seznam subjektů kritické infrastruktury zařazen prostřednictvím správního rozhodnutí. Pojem subjekt kritické infrastruktury pak významově odpovídá pojmu „kritický subjekt“, který je uvedený v článku 2 směrnice CER.
Subjekt evropské kritické infrastruktury je také pojem, který již byl definovaný v současném pojetí systému kritické infrastruktury podle krizového zákona. V souvislosti se směrnicí CER však byl tento pojem redefinován. Jedná se o takový subjekt, který poskytuje základní službu v šesti a více členských státech Evropské unie, a zároveň byl vyrozuměn o tom, že byl Evropskou komisí označen za kritický subjekt zvláštního evropského významů. Významově tedy odpovídá pojmu „kritický subjekt zvláštního evropského významu“, který je uvedený v článku 17 směrnice CER. Pro mírně odlišný pojem od pojmu uváděného směrnicí CER se předkladatel rozhodl především pro zajištění kontinuity dosavadního pojmosloví.
Incident je novým pojmem, který přímo vychází z článku 2 směrnice CER. Jedná se o událost, která může významně narušit nebo která narušuje poskytování základní služby. Pojem je do návrhu zákona zaveden také z důvodu nastavení nového mechanismu pro oznamování incidentů (událostí narušujících poskytování základní služby). Mezní hodnoty a způsob identifikace incidentu a jeho významnosti bude uveden v prováděcím právním předpise. Každý vzniklý incident související s poskytováním základní služby bude mít subjekt kritické infrastruktury povinnost hlásit Ministerstvu vnitra, a to za účelem pochopení jeho povahy, příčiny a možných důsledků, včetně jakýkoliv dostupných informací nezbytných ke stanovení jeho případného přeshraničního dopadu.
Riziko je velmi obecným pojmem v návrhu zákona explicitně uvedeným po vzoru směrnice CER, neboť s ním následně pracují navazující pojmy, které souvisí s povinností provádět posouzení rizik subjektu kritické infrastruktury. Jedná se o možnost narušení poskytování základní služby v důsledku incidentu. Riziko se vyjadřuje jako kombinace rozsahu takového narušení a pravděpodobnosti vzniku incidentu. 
Posouzení rizik subjektu kritické infrastruktury navazuje na předcházející pojem. Jedná se o analytický proces zkoumající povahu a charakter rizik, která mohou u subjektu kritické infrastruktury potenciálně vést k incidentu. Zároveň je analyzován i potenciální dopad těchto incidentů - tj. jejich vliv na poskytování základní služby.
Odolnost subjektu kritické infrastruktury je zcela nový pojem, který přímo vychází ze směrnice CER, přičemž obsahově odpovídá pojmu „odolnost“. Jedná se o stěžejní změnu v přístupu k ochraně kritické infrastruktury. Kromě fyzické ochrany jednotlivých prvků kritické infrastruktury rozšiřuje přístup k zajištění bezpečnosti subjektu kritické infrastruktury a potažmo i k zajištění poskytování základních služeb. K tomu rovněž využívá principy k zajištění kontinuity činnosti. Odolnost tak lze chápat jako významný faktor mající přímý vliv na zajištění poskytování základních služeb, respektive spolehlivost jejich poskytování, subjektem kritické infrastruktury. V případě odolnosti se přitom jedná o stav, který má přímý vliv na snižování zranitelnosti subjektu kritické infrastruktury a jeho schopnost účinně a efektivně reagovat na incidenty, absorbovat jejich následky, obnovit svou činnost a adaptovat se na tyto či obdobné incidenty. 
Schopnost subjektu kritické infrastruktury:
· předcházet incidentu znamená, že subjekt kritické infrastruktury přijal taková preventivní opatření, která zabránila vzniku incidentu;
· chránit se před incidentem znamená, že subjekt kritické infrastruktury přijímá dostatečná opatření, které nezabrání vzniku incidentu, ale zabrání dopadu incidentu na poskytování základní služby;
· reagovat na incident znamená, že subjekt kritické infrastruktury má dobře nastaveny procesy rychlé reakce na možný nebo vzniklý incident a tím zabrání narušení nebo výpadku poskytování základní služby;
· odolávat incidentu znamená, že subjekt kritické infrastruktury je sice vystaven působení dopadu incidentu, avšak po nějakou dobu je vůči těmto dopadům resistentní;
· zmírňovat incident znamená, že subjekt kritické infrastruktury bude zasažen dopadem incidentu, avšak má nastaven proces eliminace dopadů incidentů na únosnou mez, kterým vzniklý dopad redukuje;
· absorbovat incident znamená, že odolnost subjektu kritické infrastruktury je na tak vysoké úrovni, že incident nebude mít na poskytování základní služby vliv;
· přizpůsobovat se incidentu znamená, že v rámci zajištění kontinuity činnosti je subjekt kritické infrastruktury schopen překlenout dopady incidentu tak, že upraví své vnitřní procesy jiným způsobem zajišťujícím poskytování základní služby;
· zotavit se z incidentu znamená, že subjekt kritické infrastruktury byl incidentem zasažen, došlo k omezení nebo výpadku základní služby, avšak je stále schopen obnovit svoji činnost a i nadále poskytovat základní službu, byť s určitou časovou prodlevou.
Pracovník je nový pojem, který označuje osoby, které jsou v pracovněprávním vztahu, či služebním nebo jiném obdobném poměru vůči subjektu kritické infrastruktury nebo vůči jeho kritickému dodavateli. Jedná se proto o širokou množinu osob působících u subjektu kritické infrastruktury, kdy některé z těchto osob se mohou přímo podílet na poskytování základní služby, zatímco některé další se na poskytování základní služby nepodílí, ale například pouze působí v objektu, kde je základní služba poskytována nebo který je pro její poskytování klíčový. Z hlediska právní povahy se jedná o širokou škálu osob, které zpravidla konají práci/službu v pracovněprávním vztahu (pracovní poměr, dohody o pracích konaných mimo pracovní poměr), služebním poměru (příslušníci bezpečnostních sborů, zaměstnanci ve státní službě) nebo jiném poměru, který je svou povahou obdobný k výše uvedeným právním vztahům.
Kritický pracovník je nový pojem, kterým reflektuje významnost určitých pracovníků.  Za kritického pracovníka je považován takový pracovník, který je nezbytný pro zajištění poskytování základní služby. Subjekt kritické infrastruktury by přitom v rámci jím přijímaných opatření měl identifikovat všechny své kritické pracovníky a vést a průběžně aktualizovat jejich evidenci. Účel zavedení tohoto pojmu lze spatřovat především v identifikaci pracovníků, bez kterých by nemohlo být zajištěno poskytování základní služby. V souvislosti s tím lze pak na základě výsledků posouzení rizik subjektu kritické infrastruktury přijmout opatření k řízení bezpečnosti pracovníků, což přispívá k celkového posilování odolnosti subjektů kritické infrastruktury.  
Kritický dodavatel je nový pojem označující takového dodavatele, který jako dodavatel se subjektem kritické infrastruktury vstupuje do právního vztahu a bez něhož by nebylo možné zajistit poskytování základní služby.  Celkové znění této definice tak vylučuje případy, ve kterých by byl za kritického dodavatele považována jakákoliv jiná osoba v právním vztahu vůči subjektu kritické infrastruktury, například jeho zaměstnanec. Důvodem k zavedení tohoto pojmu je především samotné identifikování kritických dodavatelů ze strany subjektů kritické infrastruktury, což může být jím samotným reflektováno mimo jiné při posouzení rizik subjektu kritické infrastruktury. Na základě informování věcně příslušných ministerstev a ústředních správních úřadů a Ministerstva vnitra o kritických dodavatelích jednotlivých subjektů kritické infrastruktury pak bude možné identifikovat dodavatele pokrývající celá odvětví či pododvětví, případně jejich značnou část.
K § 3 – Strategie pro posílení odolnosti subjektů kritické infrastruktury
V návaznosti na ustanovení § 6 odst. 1 písm. b) návrhu zpracovává Ministerstvo vnitra strategii pro posílení odolnosti subjektů kritické infrastruktury, přičemž tuto následně podle § 3 odst. 3 schvaluje vláda. V rámci tohoto ustanovení je vymezen rozsah, v jakém je strategie pro posílení odolnosti subjektů kritické infrastruktury zpracována, a jsou zde stanoveny rovněž její nezbytné obsahové náležitosti. Jedná se o promítnutí čl. 4 směrnice CER. Lze konstatovat, že obsahem strategie budou jak analytické závěry (např. vymezení strategických cílů a priorit, rámec pro jejich naplnění), tak například části popisující proces určení subjektu kritické infrastruktury (tj. proces jeho zařazení na seznam subjektů kritické infrastruktury), opatření nezbytná k posílení jeho odolnosti nebo stávající nástroje využitelné pro zavádění opatření k zajištění odolnosti. Dále bude obsahem strategie přehled rozhodovacích procesů a způsob podpory subjektů kritické infrastruktury ze strany orgánů státní správy.
K § 4 - Výkon státní správy
Tento paragraf odkazuje na přílohu návrhu zákona, která definuje věcnou příslušnost ministerstev, jiných ústředních správních úřadů a České národní banky v jednotlivých odvětvích nebo pododvětvích. Věcná příslušnost představuje gesci uvedených orgánů nad odvětvími nebo pododvětvími k plnění úkolů podle tohoto návrhu zákona. Věcná příslušnost je primárně stanovena pro odvětví. V případě, že je odvětví děleno na pododvětví, je věcná příslušnost stanovena pro každé pododvětví. Věcná příslušnost za odvětví se v takovém případě nestanovuje. Věcná příslušnost pro odvětví má přitom rovnocenné postavení jako věcná příslušnost pro pododvětví, čemuž odpovídá užívání slova „nebo“ v souvislosti s věcnou příslušností pro odvětví a pododvětví v tomto návrhu zákona.
K § 5 – Ministerstva a jiné ústřední správní úřady
Ministerstva a jiné ústřední správní úřady zůstávají i nadále nedílnou součástí systému kritické infrastruktury, přičemž se rozšiřuje rozsah jejich činností v tomto systému. Dále pak zastávají stěžejní roli v procesu určování subjektů kritické infrastruktury a následných činností souvisejících s metodickým vedením a kontrolní činností v rámci své věcné působnosti.
Věcná působnost jednotlivých ministerstev a jiných ústředních správních úřadů je pro jednotlivá odvětví a pododvětví uvedena v příloze návrhu tohoto zákona. Věcná působnost v tomto kontextu znamená, že ministerstva a jiné ústřední správní úřady vykonávají svoji působnost pouze vůči subjektům kritické infrastruktury v odvětví nebo pododvětví, pro které jim byla příslušnost tímto zákonem stanovena. Věcná působnost orgánů státní správy stanovená jinými zákony tímto není dotčena.
Věcně příslušná ministerstva a jiné ústřední správní úřady konkrétně poskytují součinnost Ministerstvu vnitra při zpracování Strategie a souhrnné zprávy o incidentech, při cvičeních k ověření odolnosti subjektů kritické infrastruktury a při mezinárodní výměně informací. V případě součinnosti týkající se cvičení k ověření odolnosti subjektů kritické infrastruktury se poté v případě cvičení nařízených samotným ministerstvem, nebo jiným ústředním správním úřadem jedná o poskytnutí relevantních informací a výstupů z proběhlého cvičení. V případě cvičení, které koordinuje Ministerstvo vnitra, se poté jedná o součinnost s jeho přípravou, realizací a vyhodnocením v rámci jejich věcné působnosti. V oblasti spolupráce s Ministerstvem vnitra mají ministerstva a jiné ústřední správní úřady také povinnost poskytovat Ministerstvu vnitra informace, které se týkají plnění všech opatření k zajištění odolnosti subjektů kritické infrastruktury, které spadají do věcné příslušnosti daného ministerstva nebo jiného ústředního správního úřadu.
Ministerstva a jiné ústřední správní úřady se dále se podílejí na procesu určování subjektů kritické infrastruktury, a to oprávněním v rámci své působnosti vyžadovat od poskytovatele základní služby informace, které jsou nezbytné k podání podnětu k rozhodnutí o jeho možném zařazení na seznam subjektů kritické infrastruktury.    
Rovněž se předpokládá, že ministerstva a jiné ústřední správní úřady budou metodicky vést poskytovatele základních služeb a subjekty kritické infrastruktury ve své věcné příslušnosti. Metodická pomoc poskytovatelům základních služeb spočívá zejména s poskytnutím pomoci při provádění sebehodnocení a následné registrace do portálu kritické infrastruktury.  Metodická pomoc subjektům kritické infrastruktury by měla být zaměřena na kontinuální spolupráci se subjekty kritické infrastruktury. Metodická pomoc může mít několik forem se zaměřením do různých oblastí, a to zejména 1) informace z oblasti legislativního rámce (např. povinnosti vyplývající z regulace, informace o mezinárodních standardech a doporučeních, povinnosti při změně v poskytování základní služby); 2) pomoc při zpracování posouzení rizik a plánu odolnosti (např. vydávání metodik či doporučení, sdílení dobré praxe, uvádění příkladů z aplikační praxe); 3) spolupráce a výměna informací (např. kontakty na relevantní orgány a organizace, sdílení informací v rámci platformy, nastavení komunikačních toků); 4) finanční a jiná pomoc (např. možnosti pro aplikaci § 14 odst. 3, možné zdroje financování subjektů kritické infrastruktury, a to včetně dotačních programů) 5) výcvik a vzdělávání (např. realizace školení manažerů kritické infrastruktury). Ministerstva a jiné ústřední správní úřady mohou poskytování metodické pomoci koordinovat ve spolupráci s Ministerstvem vnitra.
Dále budou oprávněna vykonávat kontrolu plnění povinností subjektu kritické infrastruktury podle tohoto zákona, a to včetně oprávnění provést audit u subjektu kritické infrastruktury. Kontrola bude v oblasti procesních náležitostí prováděna v souladu se zákonem č. 255/2012 Sb., o kontrole (kontrolní řád). Kontrolu subjektů kritické infrastruktury poté ministerstva a jiné ústřední správní úřady provádějí u těch subjektů kritické infrastruktury, u nichž dávali podnět k rozhodnutí o jejich zařazení na seznam subjektů kritické infrastruktury, a které tak spadají do jejich věcné působnosti. V rámci své věcné příslušnosti budou ministerstva a jiné ústřední správní úřady oprávněny nařídit cvičení k ověření odolnosti subjektů kritické infrastruktury. Současně je v kompetenci věcně příslušného ministerstva nebo jiného ústředního správní úřadu cvičení provést, resp. jej organizovat se zapojením vybraných aktérů. Cvičení pak může být realizováno i samotným subjektem kritické infrastruktury. Forma cvičení není v návrhu zákona specifikována a může se tak jednat o klasické ověřovací cvičení, štábní cvičení, případně může být nařízeno či organizováno i cvičení formou zátěžového testu. Forma možných cvičení, resp. zátěžových testů bude obsahem metodického pokynu a způsob realizace cvičení ze strany subjektu kritické infrastruktury bude součástí metodického vedení ze strany věcně příslušných ministerstev a jiných ústředních správních úřadů. Odpovědnost za zajištění poskytování základní služby a své odolnosti je dána subjektu kritické infrastruktury. Při plánování cvičení pak věcně příslušná ministerstva a jiné ústřední správní úřady aplikují zásadu přiměřenosti a svá cvičení plánují tak, aby nebyly pro subjekty kritické infrastruktury nadmíru zatěžující.  
Role státu v této oblasti je spíše kontrolní a metodická a jeho zásah se předpokládá až v případě, že subjekt není schopen zajistit poskytování základní služby zejména z externích příčin, např. z důvodu mimořádné události nebo krizové situace. V tomto případě lze využít postupy podle krizového zákona nebo jiných právních předpisů. Jako příklad lze uvést možnost vyhlášení krizového opatření, které umožní za krizového stavu přednostní zásobování subjektů kritické infrastruktury v nezbytném rozsahu. Návrh zákona o odolnosti subjektů kritické infrastruktury dále zavádí nástroje pro podporu subjektů kritické infrastruktury ze strany státu, opět spjaté s přípravou na mimořádné události nebo krizové situace (vizte § 14 odst. 3). Role věcně příslušných ministerstev, jiných ústředních správních úřadů nebo České národní banky je pak taková, že analyzují požadavky jednotlivých subjektů a po jejich vyhodnocení se spojí s příslušnými orgány, které jsou schopny vstup do uzavřených lokalit nebo přednostní spojení umožnit. V případě oprávnění žádat o vstup do uzavřených zón předá gestor tento požadavek Ministerstvu vnitra – generálnímu ředitelství HZS ČR, které tento požadavek předá na příslušný krizový štáb nebo veliteli zásahu. 
V případě požadavku na přednostní připojení gestor posuzuje žádost subjektu kritické infrastruktury a dále postupuje podle standardních procedur, tedy potvrdí subjektu, že jeho žádost je relevantní a může ji dále postoupit příslušnému operátorovi, který předloží Ministerstvu vnitra tuto žádost ke konečnému schválení.  Postup podle § 99 odst. 3 zákona o elektronických komunikacích není navrhovanou úpravou dotčen, resp. tento postup je předpokladem pro možnost účastníka krizové komunikace podat žádost o zřízení přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací podle § 99 odst. 3 zákona o elektronických komunikacích. 
V případě potřeby jsou ministerstva a jiné ústřední správní úřady oprávněny poskytovat subjektům kritické infrastruktury relevantní nezbytné informace o jejich možném ohrožení, a to v rozsahu a způsobem podle svého uvážení, s ohledem na danou situaci. Sdílení informací o potenciálních hrozbách není novou iniciativou. Naopak, tato činnost je již dlouhou dobu považována za základní prvek systému krizového řízení. Cílem tohoto sdílení je zajištění co největší informovanosti všech relevantních subjektů, což přispívá k efektivnější prevenci a rychlejší reakci na případná rizika. V aplikační praxi tato činnost probíhá převážně v rámci útvarů krizového řízení na jednotlivých ministerstvech a jiných ústředních správních úřadech, zejména v souvislosti s plněním úkolů podle krizového zákona, případně jiných odvětvových právních předpisů. Ministerstva a jiné ústřední správní úřady se podílejí mimo jiné i na zpracování a aktualizaci Analýzy hrozeb ČR a podle nové právní úpravy tak budou činit v rámci Posouzení rizik ČR, které bude zpracováno v souvislosti s novelou krizového zákona.
Ministerstvům a jiným správním úřadům se ukládá povinnost vyhodnocovat, prostřednictvím systému hospodářských opatření pro krizové stavy, potřebu na zabezpečení věcných prostředků k poskytování základní služby. Subjekty kritické infrastruktury budou povinny dle ustanovení § 14 odst. 1 písm. q) informovat věcně příslušné ministerstvo nebo jiný ústřední správní úřad o potřebě zabezpečení věcnými prostředky k zajištění poskytování základní služby, které nejsou schopné zajistit jiným způsobem. Povinností subjektu kritické infrastruktury je zajišťovat základní službu a přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury. V této souvislosti je mimo jiné zapotřebí plánovat a pořizovat odpovídající věcné prostředky pro řešení incidentů. Součástí plánovacího procesu je i posouzení rizik a předpokládaná analýza dostupnosti věcných prostředků. Jestliže z této analýzy vyplyne, že za určitých okolností není subjekt kritické infrastruktury schopen tyto prostředky zajistit, je povinen o této skutečnosti informovat příslušné ministerstvo, jiný ústřední správní úřad, nebo Českou národní banku. V nezbytných případech tak mohou ministerstva a jiné ústřední správní úřady využít ustanovení § 6 odst. 1 písm. c) zákona č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy zajistit potřebné věcné prostředky požadavkem na tvorbu státních hmotných rezerv u Správy státních hmotných rezerv. V případě, že věcně příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka obdrží informace od subjektu kritické infrastruktury o věcných prostředcích, které není schopen zajistit podle § 14 odst. 1 písm. q), provede vyhodnocení těchto nezajištěných věcných prostředků za odvětví nebo pododvětví, kterého je gestorem. Na základě tohoto vyhodnocení může rozhodnout, zdali tyto věcné prostředky pro odvětví nebo pododvětví zajistí prostřednictvím systému hospodářských opatření pro krizové stavy. 
Tedy řešený okruh působnosti ústředního správního úřadu z hlediska subjektů kritické infrastruktury a jejich informovanosti o potřebě zabezpečení věcnými prostředky primárně vychází z výše uvedené přílohy návrhu zákona o kritické infrastruktuře. Uvedený mechanismus „přímé linky“ řešení nezajištěných věcných prostředků subjektů kritické infrastruktury u centrální úrovně, tak zároveň (sekundárně) koresponduje s návrhem dílčích úprav zákona o hospodářských opatřeních pro krizové stavy. 
Systém hospodářských opatření pro krizové stavy lze pro podporu subjektů kritické infrastruktury využít, obdobně jako v případě poskytování podpory pro ozbrojené síly, ozbrojené bezpečnostní sbory apod., s tím rozdílem, že okruh působnosti a způsob informovanosti ústřední úrovně primárně vychází z návrhu zákona o kritické infrastruktuře, nikoliv ze zákona o hospodářských opatření pro krizové stavy. V případě, že věcně příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka obdrží informace od subjektu kritické infrastruktury o věcných prostředcích, které není schopen zajistit (§ 14 odst. 1 písm. q), provede vyhodnocení těchto nezajištěných věcných prostředků za odvětví nebo pododvětví, kterého je gestorem. Na základě tohoto vyhodnocení může rozhodnout, zdali tyto věcné prostředky pro odvětví nebo pododvětví zajistí prostřednictvím systému hospodářských opatření pro krizové stavy. Postupuje se podle pravidel nastavených v systému hospodářských opatření pro krizové stavy v rámci zpracovávání plánu nezbytných dodávek. Subjekty současně budou přijímat vhodná a přiměřená opatření k zajištění své odolnosti, což jim stanoví § 14 a § 16. Toto ustanovení se týká situací, kdy je nezbytná pomoc ze strany státu, který má rovněž zájem na tom, aby subjekty kritické infrastruktury zajistily poskytování základní služby. 
K § 6 – Ministerstvo vnitra
K odstavci 1
Ministerstvo vnitra bude nadále zastávat ústřední a koordinační roli v oblasti kritické infrastruktury. Pro účely plnění této role zřídí a bude provozovat portál kritické infrastruktury, který bude stěžejním nástrojem pro komunikaci a sdílení informací mezi poskytovateli základní služby, subjekty kritické infrastruktury, věcně příslušnými ministerstvy a jinými ústředními správními úřady, Českou národní bankou a Ministerstvem vnitra, v oblasti kritické infrastruktury. 
V oblasti určování subjektů kritické infrastruktury bude mít Ministerstvo vnitra ve srovnání se současným systémem kritické infrastruktury výhradní postavení, neboť bude jediným orgánem s kompetencí rozhodovat o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury, a to ať už se jedná o organizační složky státu či osoby v soukromém sektoru. Ministerstvo vnitra v rámci procesu určování subjektů kritické infrastruktury rozhodnutím potvrdí skutečnosti, které nastaly na základě zákona a jeho prováděcích právních předpisů. Věcně příslušný resort dává Ministerstvu vnitra podnět k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury a v rámci tohoto procesu především ověřuje, zdali poskytovatel základní služby splňuje nebo nesplňuje zákonem stanovené požadavky. Ministerstvo vnitra současně bude vést seznam všech subjektů kritické infrastruktury, které  zařadí na tento neveřejný seznam. Seznam subjektů kritické infrastruktury kromě informací o jednotlivých subjektech kritické infrastruktury obsahuje i informace týkající se odvětví a pododvětví, ve kterých daný subjekt kritické infrastruktury poskytuje základní službu. Dále přehled všech poskytovaných základních služeb a také informace o členských státech, do kterých nebo ve kterých subjekt kritické infrastruktury poskytuje základní službu. Ministerstvo vnitra dále plní úkoly v oblasti určování subjektů evropské kritické infrastruktury, kde bude mít povinnost vyrozumět tyto subjekty o jejich určení ze strany Evropské komise (resp. slovy směrnice CER o jejich označení Evropskou komisí za kritický subjekt zvláštního evropského významu). Ochrana poskytovaných dat je zaručena tím, že portál kritické infrastruktury bude součástí informačního systému krizového řízení a bude tak využívat jeho nastavené zabezpečení. Současně bude Ministerstvo vnitra, jako správce portálu kritické infrastruktury, regulovaným subjektem v režimu vyšších povinností podle zákona o kybernetické bezpečnosti, a bude tak muset plnit standardy stanovené tímto zákonem v oblasti kybernetické bezpečnosti. 
Nově bude Ministerstvo vnitra zpracovávat Strategii pro posílení odolnosti subjektů kritické infrastruktury, jejíž struktura bude vycházet z požadavků stanovených směrnicí CER (k tomu viz implementační ustanovení § 3 zákona o odolnosti subjektů kritické infrastruktury).. Součinnost při zpracování Strategie budou poskytovat věcně příslušná ministerstva a jiné ústřední správní úřady a Česká národní banka. Věcně příslušná ministerstva, jiné ústřední správní úřady nebo Česká národní banka mohou v rámci zajišťování součinnosti spolupracovat s odborníky ve svých odvětvích, s poskytovateli základní služby a po jejich určení se subjekty kritické infrastruktury. Současně se předpokládají veřejné konzultace při přípravě Strategie a zapojení vhodných aktérů i mimo oblast státní správy.
Ministerstvo vnitra bude dále předávat subjektům kritické infrastruktury informace o možném ohrožení, které by mohlo zapříčinit narušení poskytování základní služby z jejich strany, a bude jim poskytovat části posouzení rizik České republiky, zpracovávaného podle novely krizového zákona, a to za účelem zpracování vlastních posouzení rizik, což je povinnost vyplývající ze směrnice CER. Rovněž bude organizovat v součinnosti s ministerstvy, jinými ústředními správními úřady a Českou národní bankou školení a cvičení subjektů kritické infrastruktury. Zahrnutí subjektu kritické infrastruktury do plánu cvičení Ministerstva vnitra se považuje za splnění povinnosti provést cvičení jednou za tři roky.
Ministerstvo vnitra bude i nadále pokračovat v plnění funkce jednotného kontaktního místa za Českou republiku pro zajištění komunikace, spolupráce a výměny informací s Evropskou komisí a ostatními členskými státy Evropské unie. V souvislosti s tím bude plnit úkoly v oblasti zvyšování odolnosti subjektů kritické infrastruktury vyplývající ze směrnice CER. Povinnosti vyplývající z členství v Evropské unii budou zahrnovat předkládání informací o seznamu základních služeb, včetně jejich kritérií a počtu subjektů kritické infrastruktury podle odvětví, pododvětví a každé základní služby, o Strategii a posouzení rizik České republiky, a to každé čtyři roky. Během této čtyřleté lhůty lze dokumenty novelizovat podle potřeby. Dále každé dva roky bude Ministerstvo vnitra povinno předložit souhrnnou zprávu o incidentech, a také nezbytné informace o subjektu kritické infrastruktury, který stejné nebo podobné základní služby v šesti nebo více členských státech Evropské unie. Uvedené informace bude Ministerstvo vnitra zasílat Evropské komisi. Tyto informace budou relevantní pouze pro odvětví uvedená ve směrnici CER a nebudou se vztahovat na odvětví přidaná v rámci národní implementace nad rámec směrnice CER. Výše uvedené lhůty vycházejí z příslušných článků směrnice CER. 
S plněním úkolů vyplývajících z členství České republiky v Evropské unii souvisí i povinnosti v problematice realizace poradních misí Evropské komise. Jedná se o zcela nový nástroj, který je zaměřen na subjekty evropské kritické infrastruktury. Poradní mise může být zorganizována na základě odůvodněné žádosti Evropské komise nebo jednoho nebo více členských států, jimž nebo v nichž je poskytována základní služba, a to se souhlasem členského státu, který určil konkrétní subjekt evropské kritické infrastruktury jakožto kritický subjekt. Cílem poradní mise je posouzení opatření zavedených tímto subjektem, přičemž poradní mise by se měla řídit právními předpisy daného členského státu. Například se jedná o přesné podmínky, které je třeba splnit za účelem získání přístupu do relevantních prostor subjektu evropské kritické infrastruktury nebo k jeho dokumentaci zpracovávané v souladu s návrhem tohoto zákona.
S ohledem na skutečnosti vyplývající z informační povinnosti vůči Ministerstvu vnitra, bude Ministerstvo vnitra vést seznam subjektů kritické infrastruktury, evidenci hlášených incidentů a přehled o provedených kontrolách a cvičeních.
Ministerstvo vnitra bude na základě propojení návrhu zákona s dalšími právními předpisy poskytovat na základě žádosti informace o subjektech kritické infrastruktury HZS kraje  a Českému úřadu zeměměřickému a katastrálnímu (dále jen „ČÚZK“) za účelem plnění jejich povinností podle zvláštních právních předpisů. HZS kraje obdrží informace potřebné pro zpracování části krizového plánu kraje a ČÚZK obdrží potvrzení, že osoba, která si žádá přístup do neveřejné části digitální technické mapy, je subjektem kritické infrastruktury. 
K odstavci 2
Stejně jako v současném systému kritické infrastruktury podle krizového zákona bude vymezené úkoly Ministerstva vnitra plnit generální ředitelství hasičského záchranného sboru České republiky. Jedná se o ustálenou legislativní techniku, která je využita např. v krizovém zákoně, zákoně o IZS nebo zákoně o požární ochraně.
K odstavci 3
V souladu se směrnicí CER je stanoveno, že informační povinnost jednotného kontaktního místa nezahrnuje poskytování informací týkajících se odvětví bezpečnosti.
K § 7 - Národní úřad pro kybernetickou bezpečnost
Vzhledem k tomu, že se hlášení incidentů podle tohoto zákona nevztahuje na subjekty kritické infrastruktury v odvětví digitální infrastruktura, bude Národní úřad pro kybernetickou a informační bezpečnost bez zbytečného odkladu informovat Ministerstvo vnitra o kybernetických bezpečnostních incidentech hlášených podle zákona upravujícího kybernetickou bezpečnost. Náležitosti hlášení incidentů budou odpovídat parametrům uvedených v zákoně upravujícího kybernetickou bezpečnost.
K § 8 – Česká národní banka
Česká národní banka bude v systému kritické infrastruktury podle návrhu zákona vystupovat v zúžené roli oproti ministerstvům a jiným ústředním správním úřadům. Její vymezení v samostatném paragrafu je jednak dáno jejím odlišným právním postavením, a také z důvodu vyčlenění subjektů kritické infrastruktury v odvětví bankovnictví a infrastruktura finančních trhů z regulace podle článku 8 směrnice CER. Česká národní banka přitom bude výhradním gestorem v těchto dvou odvětvích. Gesce České národní banky v rámci těchto odvětví vychází ze současného systému kritické infrastruktury podle krizového zákona, ale také z hlavní gesce za nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (dále jen „nařízení DORA“), jehož působnost je promítnuta do odvětví bankovnictví a infrastruktury finančních trhů, které jsou uvedeny ve směrnici CER.
Vzhledem k tomu, že se hlášení incidentů podle tohoto zákona nevztahuje na subjekty kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů, bude Česká národní banka bez zbytečného odkladu informovat Ministerstvo vnitra o incidentech hlášených podle nařízení DORA. Náležitosti hlášení incidentů budou odpovídat parametrům uvedených v tomto nařízení.
V souvislosti s povinnými konzultacemi s Evropskou centrální bankou podle čl. 127 odst. 4 Smlouvy o fungování EU ke všem návrhům aktů Unie z oblasti její působnosti nebo ke všem návrhům právních předpisů, avšak v mezích a za podmínek stanovených Radou postupem podle čl. 129 odst. 4, proběhly prostřednictvím Česká národní banky neformální konzultace a Evropská centrální banka tuto konzultaci nepožaduje. 
K § 9 – Povinnosti poskytovatele základní služby
K odstavci 1
Poskytovateli základní služby vznikne tímto ustanovením povinnost poskytnout věcně příslušnému ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra veškeré nezbytné informace, ze kterých budou věcně příslušné orgány vycházet při procesu určení subjektu kritické infrastruktury – tj. podklady potřebné k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury. Poskytovatel základní služby tak učiní z vlastní iniciativy. Poskytovatelem je každý, kdo poskytuje základní službu. Potvrzení této skutečnosti nastává, jakmile dojde k jeho určení subjektem kritické infrastruktury, tedy rozhodnutím o zařazení na seznam subjektů kritické infrastruktury. Od této chvíle se hovoří o subjektu kritické infrastruktury. Pokud k jeho určení nedojde, nejednalo se o poskytovatele základní služby - tj. uvedená osoba nesplňovala podmínky vymezené zákonem a jeho prováděcí právní úpravou.
Informace, které bude poskytovatel základní služby poskytovat, budou obsahovat údaje o poskytované základní službě a naplnění kritérií významnosti, kritické infrastruktuře na území nebo mimo území České republiky, která je nezbytná k zajištěné poskytování této základní služby a dále informace o základní službě poskytované mimo území České republiky. V této souvislosti tedy poskytovatel základní služby fakticky potvrzuje, že vlastní nebo provozuje alespoň část své kritické infrastruktury na území České republiky, v rámci portálu kritické infrastruktury - tedy poskytovatel základní služby potvrdí, že se na území České republiky nachází např. elektrárna, teplárna, vodárna, serverovna, nemocnice, atp., případně existuje podobné zařízení v zahraničí. Detailní analýzu kritické infrastruktury na území nebo mimo území České republiky a následné doplnění těchto informací provede až jako subjekt kritické infrastruktury v rámci opatření k zajištění odolnosti subjektu kritické infrastruktury. 
K odstavci 2
Poskytovatel základní služby musí z vlastní iniciativy uvedené informace poskytnout ve lhůtě nejpozději do tří měsíců ode dne, kdy došlo k zahájení poskytování základní služby. V případě, že by poskytovatel základní služby nesplnil tuto povinnost v rámci zákonné lhůty, bude věcně příslušné ministerstvo a jiný ústřední správní úřad nebo Česká národní banka oprávněna uložit sankci za neplnění povinností. Stejně tak bude poskytovateli základní služby hrozit postih v případě, kdy při plnění povinnosti podle tohoto ustanovení úmyslně uvede nepravdivé informace, na základě, kterých by mohlo dojít k nesprávnému posouzení poskytnutých informací za účelem určení subjektu kritické infrastruktury.
Zákon rovněž předpokládá možnost, aby si mohlo věcně příslušné ministerstvo, jiný ústřední správní úřad, Česká národní banka nebo Ministerstvo vnitra vyžádat od poskytovatele základní služby potřebné informace. V tomto případě je stanovena lhůta 1 měsíce od doručení výzvy k poskytnutí informací. Nevyhovění této výzvě má za následek porušení povinnosti stanovené v odstavci 1 – tedy opět je možné potrestat poskytovatele základní služby za nesplnění informační povinnosti.
V rámci prvotního zařazení subjektů kritické infrastruktury na seznam subjektů kritické infrastruktury bude v souladu s přechodným ustanovením v návrhu zákona dostatečná časová lhůta pro poskytnutí informací podle odstavce 1, jelikož navržené přechodné ustanovení prodlužuje lhůtu pro plnění povinnosti tyto informace poprvé hlásit nejpozději do 1. března 2026.
Vzhledem k relativní jednoduchosti definic jednotlivých základních služeb a kritérií významnosti a nenáročnosti procesu sebehodnocení by měly být navrhované lhůty pro poskytnutí informací plně dostačující i pro subjekty s komplikovanější organizační strukturou.
Proces poskytnutí informací nezbytných k zařazení na seznam subjektů kritické infrastruktury bude realizován prostřednictvím portálu kritické infrastruktury, který bude pro potřeby tohoto zákona zřízen jako součást informačního systému krizového řízení, jenž bude zřízen v souvislosti s novelou krizového zákona. Podrobnosti ke způsobu přihlášení do portálu kritické infrastruktury a k rozsahu informací poskytovaných poskytovateli základních služeb stanoví vyhláška Ministerstva vnitra.
K § 10 – Základní služba a kritérium významnosti
Kritéria významnosti představují klíčové hodnoty pro identifikaci poskytovatele základní služby a rozhodnutí o jeho určení či neurčení za subjekt kritické infrastruktury zařazením na seznam subjektů kritické infrastruktury. Budou mít stejně jako v případě dosavadních odvětvových kritérií podobu specifických technických, provozních a dalších hodnot definovaných pro každou základní službu zvlášť s ohledem na odvětví nebo pododvětví. Jednotlivé parametry mohou být pro stanovení kritéria významnosti použity samostatně, nebo může být použita jejich kombinace.
Příloha návrhu zákona definuje seznam odvětví a pododvětví, v rámci, kterých mají být nařízením vlády stanoveny základní služby a kritéria významnosti. Obsah tohoto nařízení vlády bude z velké části vycházet z požadavků směrnice CER a zejména pak z aktu v přenesené pravomoci ke stanovení demonstrativního výčtu základních služeb v jednotlivých odvětvích a pododvětvích, který přijala Evropská komise v souladu s článkem 5 směrnice CER. 
Způsob stanovení základních služeb a kritérií významnosti nařízením vlády byl zvolen jednak z důvodu zásahu do věcné působnosti více ministerstev a jiných ústředních správních úřadů nebo České národní banky, a pak také z důvodu budoucího operativnějšího procesu novelizace, resp. přidání nových základních služeb, pokud tyto budou identifikovány na základě posouzení rizik České republiky, při změně v bezpečnostním prostředí nebo rozšíření či zúžení aktérů působících na trhu. 
V rámci písmena e) bylo oproti směrnici CER upuštěno od části znění ustanovení „ostrovní či“, a to z důvodu chybějící relevance pro Českou republiku. 
Základní služby vychází z aktu v přenesené pravomoci Evropské komise a mohou být rozšířeny v rámci národní regulace. Ministerstvo vnitra bude jednotlivé základní služby společně s kritérii významnosti konzultovat s věcně příslušnými ministerstvy, jinými ústředními správními úřady nebo Českou národní bankou v rámci procesu přípravy nařízení vlády nebo jeho případné novelizace. 
Jednotlivé základní služby a kritéria významnosti budou stanovena nařízením vlády, přičemž se bude jednat o specifické technické, provozní a další hodnoty definované pro každou základní službu zvlášť s ohledem na odvětví nebo pododvětví. 
Ve srovnání se současným systémem kritické infrastruktury je tak první krok v procesu určení subjektu kritické infrastruktury na poskytovateli základní služby, kterým se daná osoba stane prostým naplněním objektivních kritérií od doby účinnosti tohoto návrhu zákona. Výhody tohoto přístupu lze spatřovat v urychlení, usnadnění a sjednocení procesu identifikace poskytovatelů základní služby a ve snadném přístupu k informacím potřebným pro následné určení subjektu kritické infrastruktury rozhodnutím o jeho zařazení na seznam subjektů kritické infrastruktury.
K § 11 – Zařazení na seznam subjektů kritické infrastruktury
K odstavci 1
Formální určení subjektu kritické infrastruktury rozhodnutím o zařazením poskytovatele základní služby na seznam subjektů kritické infrastruktury, které je posledním krokem celkového procesu určování subjektů kritické infrastruktury, se v novém pojetí bude od současného přístupu odlišovat. S novým přístupem dojde ke sjednocení a zjednodušení procesu určování, kdy již nebude hrát roli to, zda je potenciální subjekt kritické infrastruktury organizační složkou státu či nikoliv. 
Tomuto kroku však bude předcházet posouzení poskytované základní služby a naplnění kritérií významnosti věcně příslušným ministerstvem, jiným ústředním správním úřadem nebo Českou národní bankou, a to na základě informací poskytnutých poskytovatelem základní služby. Věcně příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka posoudí informace o poskytovateli základní služby a následně  podá podnět Ministerstvu vnitra k rozhodnutí o zařazení daného poskytovatele základní služby na seznam subjektů kritické infrastruktury. Obsahem výstupu věcně příslušného ministerstva, jiného ústředního správního úřadu nebo České národní banky přitom může být i faktické nedoporučení na určení daného poskytovatele základní služby subjektem kritické infrastruktury, pokud v rámci posouzení poskytnutých informací dojde k závěru, že nebyly splněny zákonem a prováděcí právní úpravou vymezené podmínky. V takovém případě Ministerstvo vnitra vezme toto nedoporučení na vědomí a přirozeně nebude vydávat rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.
K odstavci 2 a 3
Samotné rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury vydá Ministerstvo vnitra. S ohledem na účel směrnice CER byla v rámci implementace zohledněna potřeba stanovit možnost “jednoduššího správního řízení”. Bylo přitom zvoleno řešení známé i z jiných právních předpisů - tj. umožnění vydání rozhodnutí jako prvního úkonu v řízení a výslovné stanovení, že rozklad podaný proti takovému rozhodnutí nemá odkladný účinek. Možnost rozhodnout prvním úkonem pak nevylučuje, aby v určitých případech vedlo Ministerstvo vnitra běžné správní řízení - například v případech, kdy existují pochybnosti o tom, zda byly naplněny podmínky pro to, aby mohl být poskytovatel základní služby zařazen na seznam subjektů kritické infrastruktury. Lze však předpokládat, že takové situace budou výjimečné, neboť koncept určování subjektů kritické infrastruktury by měl být spíše formalitou - naplnění podmínek pro určení subjektu kritické infrastruktury by mělo být zjevné již na základě podřazení pod podmínky vymezené v zákoně a prováděcí právní úpravě, kdy použití exaktních kritérií prakticky vylučuje správní uvážení. 
Takto nastavený proces vyplývá zejména ze zkušeností z aplikační praxe. Využívání opatření obecné povahy či usnesení vlády se neosvědčilo, a to jak z důvodu značné časové prodlevy, tak z důvodu nutnosti zachování neveřejnosti seznamu subjektů kritické infrastruktury. Určování prvků kritické infrastruktury formou opatření obecné povahy s sebou neslo procesní komplikace spojené s nutností vyvěšovat opatření obecné povahy na úřední desku, čímž byla narušena a ohrožena citlivost informací o určované kritické infrastruktuře. 
Proces určování je postaven na procesu sebehodnocení a splnění informační povinnosti. Rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, tedy finální krok k začlenění poskytovatele základní služby do systému subjektů kritické infrastruktury, je proto primárně formálního charakteru a odvíjí se od něj například běh lhůt. Ve skutečnosti se však de facto jedná se o potvrzení skutečnosti, která nastala splněním kritérií významnosti základní služby. 
K odstavci 4
V tomto ustanovení je vymezen obsah seznamu subjektů kritické infrastruktury - předkladatel vychází z požadavků směrnice CER a omezuje se tak na identifikační údaje subjektu kritické infrastruktury (zejména název, IČO), poskytovanou základní službu, odvětví, ve kterém základní službu poskytuje, a výčet členských států, ve kterých základní službu poskytuje. Zároveň se jedná o neveřejný seznam (nikoliv však o seznam utajovaný např. ve smyslu zákona č. 412/2005 Sb.).
K odstavci 5
Ministerstvo vnitra do jednoho měsíce od rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury informuje dotčený subjekt kritické infrastruktury, věcně příslušný orgán, který dal podnět k zařazení tohoto subjektu kritické infrastruktury, a Národní úřad pro kybernetickou a informační bezpečnost, o tom, že došlo k zařazení tohoto subjektu kritické infrastruktury na seznam subjektů kritické infrastruktury, a o vyplývajících povinnostech a souvisejících lhůtách vyplývajících z tohoto zařazení.
K odstavci 6
Lhůty k plnění povinností subjektu kritické infrastruktury podle tohoto zákona se začínají počítat od okamžiku doručení rozhodnutí o zařazení  na seznam subjektů kritické infrastruktury, není-li stanoveno jinak. V souvislosti se stanovením lhůt u plnění povinností subjektu kritické infrastruktury, je návrh zákona vázán čl. 6 odstavcem 3 směrnice CER. Jedná se zejména o lhůty pro zpracování posouzení rizik subjektu kritické infrastruktury (9 měsíců) a dále pro plnění opatření pro zajištění odolnosti subjektu kritické infrastruktury (článek 13 směrnice CER) – konkrétně se jedná o zpracování plánu odolnosti, přijímání opatření k zajištění odolnosti subjektu kritické infrastruktury (10 měsíců), určení manažera kritické infrastruktury (10 měsíců) a povinnosti hlásit incidenty. Od tohoto okamžiku je také subjekt kritické infrastruktury odpovědný za případné přestupky, kterých se neplněním svých povinností dopustí.
Za účelem zachování právní jistoty je zároveň stanoveno, že subjekty kritické infrastruktury jsou povinni plnit povinnosti dané návrhem zákona po celou dobu svého zařazení na seznamu subjektů kritické infrastruktury, a to až do okamžiku doručení rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury.
K § 12 a 13 – Změny v poskytování základní služby
K § 12 odstavci 1
Informační povinnost subjektu kritické infrastruktury nekončí s jeho zařazením na seznam subjektů kritické infrastruktury, ale trvá po celou dobu jeho působení v systému subjektů kritické infrastruktury. Důvodem pro to je zejména potřeba reagovat na organizační, technické či výrobní změny u jednotlivých subjektů kritické infrastruktury, které mohou vést rozšíření počtu základních služeb, které daný subjekt kritické infrastruktury poskytuje. Návrh zákona tuto fakt zohledňuje povinností subjektu kritické infrastruktury hlásit změnu v rozsahu již poskytované základní služby, včetně ukončení jejího poskytování, nebo hlásit poskytování nové základní služby. 
K § 12 odstavci 2
Proces posuzování nahlášených změn bude probíhat odlišně od procesu určování subjektů kritické infrastruktury. Bude založen primárně na plnění informačních povinností a provádění faktických změn z doručených informací plynoucích, přičemž v případě rozšíření celkového výčtu poskytovaných základních služeb provede Ministerstvo vnitra po posouzení ze strany věcně příslušného orgánu aktualizaci údajů v seznamu subjektů kritické infrastruktury doplněním těchto změn do seznamu subjektů kritické infrastruktury. Konkrétně se může jednat jak o úpravu již zapsaných údajů, tak i doplnění nově poskytované základní služby. Po doplnění těchto informací následně Ministerstvo vnitra vyrozumí dotčený subjekt kritické infrastruktury, věcně příslušný orgán a dále Národní úřad pro kybernetickou a informační bezpečnost.
K § 12 odstavci 3
Lhůty k plnění povinností subjektu kritické infrastruktury vůči nově zapsané základní službě pak začínají běžet od okamžiku doručení vyrozumění o zapsání nově poskytované základní služby na seznam subjektů kritické infrastruktury, není-li stanoveno jinak. Povinnosti vůči nově zapsané základní službě jsou pak subjekty kritické infrastruktury povinny plnit po celou dobu jejího zapsání na seznamu subjektů kritické infrastruktury, a to až do okamžiku doručení vyrozumění o jejím vymazání ze seznamu subjektů kritické infrastruktury. Lhůty související s nově zapsanou základní službou pak nemají žádný vliv na lhůty, týkající se dříve zapsaných základních služeb, nebo lhůty související s jeho prvotním zařazením na seznam subjektů kritické infrastruktury.
K § 13 odstavci 1
Ustanovení tohoto odstavce stanovuje postup při vymazání již neposkytované základní služby, respektive postup při rozhodnutí o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury v případě, kdy již subjekt kritické infrastruktury neposkytuje žádnou základní službu a pominuly tak podmínky pro jeho zařazení na seznamu subjektů kritické infrastruktury.
Proces vymazání služby se týká situace, kdy zapsaná základní služba, kterou subjekt kritické infrastruktury poskytuje, přestane splňovat kritéria pro identifikaci základní služby, nebo přestala být poskytována úplně. V takovém případě Ministerstvo vnitra tuto zapsanou službu vymaže ze seznamu subjektů kritické infrastruktury a o tomto úkonu vyrozumí daný subjekt kritické infrastruktury, věcně příslušný orgán a Národní úřad pro kybernetickou a informační bezpečnost. Vymazání již neposkytované základní služby však samo o sobě neznamená vyřazení daného subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury.
K § 13 odstavci 2
Vyřazení subjektu kritické infrastruktury se pak týká situace, kdy subjekt kritické infrastruktury přestane splňovat kritéria poskytovatele základní služby pro všechny poskytované základní služby, které má zapsány v seznamu subjektů kritické infrastruktury. V takovém případě pomíjí podmínky vést subjekt kritické infrastruktury v seznamu subjektů kritické infrastruktury a Ministerstvo vnitra jej tak ze seznamu vyřadí, a to na základě rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury. Praktickým důsledkem bude nutnost nového zařazení na seznam subjektů kritické infrastruktury v případě, že tento orgán nebo osoba začne opět poskytovat službu naplňující kritéria pro identifikace základní služby. 
K § 13 odst. 3
Pro rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury je stanoven postup obdobný jako v případě jeho zařazení na tento seznam - blíže viz odůvodnění k § 11.
K § 13 odst. 4
Obdobně jako v případě zařazení subjektu kritické infrastruktury na seznam subjektů kritické infrastruktury, musí Ministerstvo vnitra o této skutečnosti informovat Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku. 
K § 14 – Práva a povinnosti subjektu kritické infrastruktury
K odstavci 1
Návrh zákona rozšíří a upraví povinnosti subjektu kritické infrastruktury. V rámci zpracovávané dokumentace bude nově subjekt kritické infrastruktury povinen vypracovat posouzení rizik subjektu kritické infrastruktury, přičemž toto posouzení rizik bude vycházet z Posouzení rizik České republiky zpracovávaného podle novely krizového zákona, která bude zohledňovat požadavky směrnice CER na posouzení rizik členského státu. Ke zpracování posouzení rizik subjektu kritické infrastruktury je možné využít ČSN ISO 31000 Management rizik – směrnice a ČSN EN IEC 31010 Management rizik – Techniky posuzování rizik. Směrnice CER za tímto účelem definuje pojmy riziko a posouzení rizik, které jsou používány v běžné praxi řízení rizik a přizpůsobuje je pro potřeby odolnosti subjektů kritické infrastruktury – tyto definice byly přijaty i do předkládaného zákona (viz § 2). Dále bude subjekt kritické infrastruktury zpracovávat plán odolnosti subjektu kritické infrastruktury, který nahradí dosavadní plán krizové připravenosti subjektu kritické infrastruktury. Obsahem plánu odolnosti subjektu kritické infrastruktury budou mimo jiné technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury. Technická a organizační opatření přitom nejsou považována za podmnožinu bezpečnostních opatření, neboť mohou obsahovat opatření nevztahující se primárně ke zvýšení bezpečnosti, ale např. ke kontinuitě podnikání nebo dalších opatření ryze organizačního charakteru, která s bezpečností nesouvisejí (např. řízení lidských zdrojů). Náležitosti a obsah posouzení rizik subjektu kritické infrastruktury a plánu odolnosti subjektu kritické infrastruktury budou specifikovány ve vyhlášce Ministerstva vnitra.
Další povinností subjektu kritické infrastruktury bude určení manažera kritické infrastruktury (viz § 17), a to do 10 měsíců od doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury. V případě, že dojde k určení subjektů kritické infrastruktury, které jsou podrobeny jednotnému řízení v rámci koncernu, může subjekt kritické infrastruktury určit pouze jednoho manažera kritické infrastruktury zastupujícího všechny subjekty kritické infrastruktury v rámci takového koncernu. K této možnosti bylo přistoupeno za účelem umožnění jednodušší komunikace se subjekty kritické infrastruktury v rámci koncernu. 
Je též žádoucí, aby v případě změn na pozici manažera kritické infrastruktury nedocházelo k delším prodlevám nebo pasivitě subjektu kritické infrastruktury v jeho obsazení (určení). Z tohoto důvodu je stanovena povinnost určení bez zbytečného odkladu vždy, když dosavadní manažer kritické infrastruktury přestane vykonávat svoji funkci. Co se týká možného postihu za neurčení bez zbytečného odkladu, nutno brát v potaz, že přestupkové jednání musí naplňovat nejenom formální stránku, ale také tu materiální. Proto by postih přicházel v úvahu primárně za situace, kdy by subjekt kritické infrastruktury tuto funkci neobsadil, ačkoli by mu v tom objektivně nebránila žádná podstatná skutečnost. V tomto smyslu nutno také nahlížet na lhůtu „bez zbytečného odkladu“, která bude vždy vycházet z konkrétních okolností daného subjektu či situace „na trhu práce“. Část ustanovení písmena g) pojednávající o ukončení vykonávání funkce manažera kritické infrastruktury je potřeba vykládat tak, že manažer kritické infrastruktury např. ukončil pracovní poměr nebo je dlouhodobě neschopen práce. Nejedná se tedy např. o kontinuální čerpání dovolené v řádu dnů či týdnů nebo krátkodobou nemoc.  
Subjekt kritické infrastruktury bude povinen informovat Ministerstvo vnitra o skutečnosti, v nebo do kterých členských států Evropské unie poskytuje základní, nebo jí obdobou službu nebo služby. Dále bude povinen Ministerstvu vnitra hlásit vzniklé incidenty a informovat jej o skutečnosti, že je součástí koncernu a že je v rámci něj řízenou nebo řídící organizací. Současně bude subjekt kritické infrastruktury informovat Ministerstvo vnitra o osobách, které jsou poskytovateli základní služby. Je potřeba zdůraznit, že ustanovení „oznámit Ministerstvu vnitra a věcně příslušnému ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance“ neznačí povinnost subjektu kritické infrastruktury oznamovat uvedenou skutečnost dvakrát, ale pouze jednou. Dotčené orgány si ji následně předají. To platí pro všechny části návrhu zákona, ve kterých se takové či obdobné ustanovení vyskytuje.
Za účelem zpracování Posouzení rizik ČR podle krizového zákona, může být subjekt kritické infrastruktury vyzván k poskytnutí podkladů pro zpracování tohoto posouzení. Bude se jednat o podklady, které má subjekt kritické infrastruktury k dispozici a současně budou směřovat zejména na část Posouzení rizik ČR, která bude zapracovávat požadavky směrnice CER, zejména pak s ohledem na posuzování meziodvětvových dopadů, konkrétně v souladu s článkem 5 odst. 2 písm. c) směrnice CER („relevantní rizika vyplývající z míry závislosti mezi odvětvími, jež jsou stanovena v příloze, včetně míry závislosti na subjektech nacházejících se v jiných členských státech a třetích zemích, a dopad, který může významné narušení v jednom odvětví mít na ostatní odvětví, včetně veškerých významných rizik pro občany a vnitřní trh“).
Návrh zákona uloží subjektu kritické infrastruktury povinnost umožnit Ministerstvu vnitra a věcně příslušnému ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance vykonání kontroly  plnění povinností včetně způsobu zajišťování své odolnosti, a to včetně umožnění vstupů a vjezdů na pozemky a do prostorů, které subjekt kritické infrastruktury používá k poskytování svých základních služeb. Dále pak určit kritické dodavatele, informovat Ministerstvo vnitra o tomto jejich postavení a přijmout opatření k zajištění bezpečnosti dodavatelského řetězce. V souvislosti s identifikací kritického dodavatele a informování o typu významné dodávky nelze provést bližší specifikaci v rámci návrhu zákona, a to zejména v souvislosti s širokým rozsahem regulovaných odvětví a pododvětví a v nich určených subjektech kritické infrastruktury vykonávajících různé typy činností, které v rámci své činnosti navazují různé druhy dodavatelských vztahů. V rámci plnění informační povinnosti související s typem dodávky nebude zapotřebí poskytovat detailní informace, ale základní charakteristiku dodávky. 
Příklady typů významných dodávek podle jednotlivých odvětví
	Odvětví
	Typ významné dodávky

	Energetika
	· Dodávky transformátorů, kabelů, generátorů, náhradních dílů pro elektrárny; 
· Dodávky kompresorových stanic, potrubí, měřicích zařízení, regulačních ventilů;
· Dodávky skladovacích nádrží, čerpacích stanic;
· Dodávky klíčových materiálů a surovin.

	Pitná voda
	· Dodávky čerpacích stanic, filtračních zařízení, chemikálií pro úpravu vody (např. chlor);
· Dodávky průmyslových filtrů, čerpadel, systémů pro recyklaci vody.

	Odpadní voda
	· Dodávky čistíren odpadních vod, kanalizačních trubek, biologických reaktorů.

	Digitální infrastruktura
	· Dodávky optických kabelů, routerů, switchů;
· Dodávky serverových racků, záložních napájecích zdrojů (UPS), chlazení datových center;
· Dodávky firewallů, antivirových programů, bezpečnostních softwarů.

	Doprava
	· Dodávky silničních vozidel, vlakových souprav, letadel;
· Dodávky ICT řešení pro řízení dopravních systémů;
· Dodávky nafty, benzínu, maziv, aditiv

	Zdravotnictví
	· Dodávky rentgenových přístrojů, ultrazvukových zařízení, monitorovacích systémů;
· Dodávky surovin pro výrobu léků, balicích materiálů, skladovacích podmínek;
· Dodávky roušek, rukavic, ochranných oděvů.

	Potraviny
	· Dodávky surovin pro výrobu potravin, balicích materiálů, skladovacích zařízení;
· Skladovací prostory a přepravní kapacity

	Bankovnictví a Infrastruktura finančních trhů
	· Dodávky IT systémů pro bankovní transakce, zabezpečovacích zařízení, bankomatů;
· Dodávky softwarů pro správu pojistných smluv, školicích materiálů;
· Dodávky platebních terminálů, karet, zabezpečovacích systémů.

	Veřejná správa
	· Dodávky softwarů pro správu dat, komunikačních zařízení, školení pracovníků
· Dodávky bezpečnostních kamer, monitorovacích systémů, ochranných bariér.

	Bezpečnost
	· Dodávky techniky a prostředků;
· Spolupráce s JSHD, leteckou záchrannou službou;
· Specifická ICT řešení pro výkon činnosti.

Povinností subjektu kritické infrastruktury je zajišťovat základní službu a zvyšovat svoji odolnost. V této souvislosti je mimo jiné zapotřebí plánovat a pořizovat odpovídající věcné prostředky pro řešení incidentů. Součástí plánovacího procesu je i analýza dostupnosti věcných prostředků. Pakliže z této analýzy vyplyne, že za určitých okolností není subjekt kritické infrastruktury schopen tyto prostředky zajistit, např. z důvodu krizové situace, je možné o této skutečnosti informovat příslušné ministerstvo, jiný ústřední správní úřad, nebo Českou národní banku. 
Mezi povinnosti subjektu kritické infrastruktury návrh zákona též výslovně zařazuje povinnost ověřovat existenci příslušného oprávnění u osob vykonávajících citlivou činnost ve smyslu zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Návrh zákona stanoví okruh citlivých činností ve svém § 18 odst. 3. Podle zákona č. 412/2005 Sb. je nezbytné, aby byl pracovník, který vykonává citlivou činnost podle návrhu zákona držitelem dokladu o bezpečnostní způsobilosti nebo držitelem osvědčení fyzické osoby. Předkladatel se na základě praktické zkušenosti z aplikační praxe Národního bezpečnostního úřadu rozhodl výslovně uložit povinnost ověřovat, zda je příslušný pracovník oprávněn citlivou činnost vykonávat. Tím se zvýší právní jistota, že citlivou činnost budou vykonávat pouze ty osoby, které jsou k tomu oprávněné a nepředstavují tak bezpečnostní riziko. Stanovením předmětné povinnosti současně dojde ke zvýšení odolnosti subjektu kritické infrastruktury.
K odstavci 2
Součástí návrhu zákona jsou také nové možnosti pro subjekt kritické infrastruktury. K těm patří ověřování spolehlivosti pracovníků včetně uchazečů o zaměstnání v odvětvích nebo pododvětvích, v souladu s Posouzením rizik České republiky. Dále bude subjekt kritické infrastruktury oprávněn využívat platformu pro výměnu informací zřízenou Ministerstvem vnitra. V tomto případě se může jednat o platformu v rámci portálu kritické infrastruktury (např. společný „chatu“ subjektů kritické infrastruktury) či pracovní skupinu. Subjekty kritické infrastruktury dále budou  zpracovávat osobní údaje zaměstnanců, které jsou nezbytné pro plnění úkolů podle tohoto návrhu zákona.
K odstavci 3
V souvislosti s přípravou na krizové situace bude subjekt kritické infrastruktury oprávněn požádat o zajištění přednostního volání v sítích mobilních operátorů pro kritické pracovníky, a to jejich zahrnutím mezi účastníky krizové komunikace. Přednostní připojení se však tímto ustanovením přímo nezřizuje. Jedná se o součást procesu pro zajištění přednostního připojení, a to v souladu se zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů. Subjekt kritické infrastruktury identifikuje požadavek na zajištění přednostního připojení svého kritického pracovníka a tento požadavek přednese svému gestorovi pro odvětví nebo pododvětví. Gestor následně v souladu s § 5 tohoto zákona bude postupovat standardním způsobem, kdy nejprve posoudí rozsah a oprávněnost uplatňovaného požadavku. Po tomto posouzení následně informuje Ministerstvo vnitra – generální ředitelství HZS ČR a následně informuje příslušný subjekt, který bude moci tímto okamžikem podat žádost o zřízení přednostního připojení na svého mobilního operátora. Mobilní operátor poté při procesu zřízení přednostního připojení již bude postupovat podle zákona o elektronických komunikacích.  
Návrh zákona rovněž stanovuje oprávnění požádat během mimořádné události nebo za krizového stavu o přístup do míst, kam byl omezen nebo zakázán vstup, a to za účelem zajištění poskytování základní služby. Jedná se především o vstup z důvodu zajištění nezbytných oprav a servisních úkonů na kritické infrastruktuře, jež se nachází v místě omezení či zákazu vstupu, anebo pokud je obsluha nutná pro poskytování základní služby. Z charakteru úkonu zcela jasně vyplývá, že se toto oprávnění vztahuje na fyzické osoby, de facto se tedy jedná o pracovníky subjektu kritické infrastruktury a pracovníky kritického dodavatele.
V aplikační praxi se předpokládá, že příslušný orgán krizového řízení již na základě této právní úpravy zohlední při přípravě krizového opatření možnost zakotvení výjimek pro subjekty kritické infrastruktury a jejich kritické dodavatele tak, že přímo v krizovém opatření se udělí oprávnění gestorovi k individualizovanému posouzení podmínek ve vztahu k vymezeným osobám v ad hoc případech (resp. k vydání povolení na základě kterého bude umožněn vstup do daného prostoru). MV bude na orgány krizového řízení působit především metodicky, aby tyto možnosti byly při vydávání krizových opatření zohledněny. 
V případě vyhlášení krizového stavu bude gestor cestou HZS kraje (stav nebezpečí) nebo Ministerstva vnitra – GŘ HZS ČR (nouzový stav, stav ohrožení státu) kontaktovat příslušný krizový štáb, který v případě ad hoc případů (při neexistenci výjimky již v samotném krizovém opatření) posoudí a předá podnět příslušnému orgánu krizového řízení s rozhodovací pravomocí (hejtman, vláda). 
K odstavci 4
V případě, že bude subjekt kritické infrastruktury určen také za subjekt evropské kritické infrastruktury, bude povinen poskytnout Evropské komisi prostřednictvím Ministerstva vnitra posouzení rizik subjektu kritické infrastruktury a seznam opatření přijatých k posilování své odolnosti. Dále bude povinen umožnit poradní misi Evropské komise přístup k nezbytným informacím souvisejícím s poskytováním jejich základních služeb a své kritické infrastruktuře a poskytnout jí nezbytnou součinnost. V případě zjištěných nedostatků v rámci poradní mise bude subjekt evropské kritické infrastruktury povinen přijmout nápravná opatření a doporučení s tím související, a o jejich přijetí informovat Evropskou komisi prostřednictvím Ministerstva vnitra.
K odstavci 5
Subjekt kritické infrastruktury, který bude zařazen na seznam subjektů kritické infrastruktury v odvětví bezpečnosti, nebude povinen informovat Ministerstvo vnitra, v nebo do kterých členských států Evropské unie poskytuje základní, nebo jí obdobnou, službu nebo služby a také nebude povinen plnit úkoly v souvislosti s postavením subjektu evropské kritické infrastruktury podle odstavce 4. Odvětví bezpečnosti bude totiž do nového systému kritické infrastruktury zakomponováno nad rámec povinností směrnice CER a pouze pro národní potřeby.
K odstavci 6
V případě posouzení rizik subjektu kritické infrastruktury budou zohledněna veškerá příslušná přírodní rizika a rizika způsobená člověkem, která by mohla zapříčinit incident, včetně rizik meziodvětvové nebo přeshraniční povahy, havárií, přírodních katastrof, mimořádných událostí, hybridních hrozeb či jiných antagonistických hrozeb. Posouzení rizik subjektu kritické infrastruktury zohlední i míru závislosti jiných odvětví stanovených v příloze na základní službě poskytované subjektem kritické infrastruktury a míru závislosti subjektu kritické infrastruktury na základních službách poskytovaných subjekty v těchto jiných odvětvích, a to v příslušných případech včetně odvětví v sousedních členských státech a případně třetích zemích. Základem pro posouzení rizik subjektu kritické infrastruktury by pak mělo být posouzení rizik České republiky, které bude zpracovávané podle návrhu novely krizového zákona. Zároveň, pokud subjekty kritické infrastruktury provedly jiná posouzení rizik nebo vypracovaly dokumenty podle povinností stanovených v jiných právních předpisech, které jsou relevantní pro posouzení rizik subjektu kritické infrastruktury, mohou tato posouzení a dokumenty použít ke splnění požadavku na zpracování posouzení rizik subjektu kritické infrastruktury. 
V plánu odolnosti subjektu kritické infrastruktury budou rozpracována a popsána technická, bezpečnostní a organizační opatření, která jsou vhodná a přiměřená rizikům, jimž subjekt kritické infrastruktury čelí, a to za účelem předcházení incidentům, zajištění odolnosti a řízení kontinuity činnosti. Konkrétně bude v rámci plánu odolnosti řešeno předcházení vzniku incidentů, zajištění přiměřené fyzické ochrany kritické infrastruktury, dále opatření zaměřená na odezvu a odolávání důsledkům incidentu a jejich zmírňování. Součástí budou také opatření související se zotavením subjektu kritické infrastruktury z následků incidentu, a to včetně opatření pro zajištění kontinuity činnosti. Součástí opatření k řízení rizik bude plánování věcných zdrojů a dalších nástrojů, ke kterému je subjekt oprávněn podle § 14 odst. 3 zákona.
Obsahem plánu odolnosti dále budou opatření týkající se řízení bezpečnosti zaměstnanců, a to i ve vazbě na mechanismus ověřování spolehlivosti. Spolu s personálními opatřeními budou také řešena opatření k zajištění odborné přípravy zaměstnanců a zvyšování povědomí o přijatých opatřeních a možných rizicích. Stejně jako u posouzení rizik subjektu kritické infrastruktury, i v případě plánu odolnosti může subjekt kritické infrastruktury ke splnění požadavku na zpracování plánu odolnosti použít obdobnou dokumentaci zpracovávanou podle povinností stanovených v jiných právních předpisech, která je relevantní pro plán odolnosti. Struktura a obsah plánu odolnosti nad rámec stanovený směrnicí CER bude vycházet i z plánu kontinuity podnikání podle ISO 22301.
K § 15 – Zvláštní ustanovení o bezpečnosti dodavatelského řetězce
K odstavcům 1 a 2
Je dána pravomoc Ministerstvu vnitra reagovat na závažné informace o rizicích pro bezpečnostní zájmy České republiky. Ministerstvo vnitra je podle § 12 odst. 1 písm. a) a k) zákona č. 2/1969 Sb., kompetenčního zákona, ve znění pozdějších předpisů, ústředním orgánem státní správy pro vnitřní věci, zejména pro veřejný pořádek a další věci vnitřního pořádku a bezpečnosti, včetně krizového řízení, civilního nouzového plánování, ochranu obyvatelstva a integrovaný záchranný systém. Vnitřní bezpečnost státu znamená zachování a zajištění vnitřních funkcí státu, ochranu jeho demokratických základů, ochranu vnitřního pořádku, bezpečnosti a zákonnosti, ochranu životů a zdraví, majetkových hodnot a životního prostředí před hrozbami majícími původ na území státu. 
Navržené opatření je opatřením směřujícím k posílení vnitřní bezpečnosti státu a jako takové spadá podle výše uvedeného do věcné působnosti ministerstva vnitra. 
Navrhované ustanovení je upraveno tak, aby byly minimalizovány dopady na subjekt kritické infrastruktury, a to přednostním vydáním varování, které slouží k upozornění dotčených subjektů na reálnou hrozbu u jeho dodavatele. Tento druh opatření tak může vést k tomu, že subjekt kritické infrastruktury může včas přijmout vlastní prvotní opatření ke zmírnění rizik a následná zásadnější opatření (rozhodnutí) budou vycházet z toho, zda opatření přijatá subjektem kritické infrastruktury budou dostatečná či nikoli. S tím úzce souvisí předběžné projednání postupu Ministerstva vnitra s věcně příslušným orgánem státní správy podle odvětví, kterého se má rozhodnutí dotknout. Zároveň bude-li to možné s ohledem na povahu podkladů pro rozhodnutí, bude na místě k tomuto projednání přizvat i samotný dotčený subjekt kritické infrastruktury. Již v rámci tohoto neformálního projednání mohou zúčastněné subjekty dojít k řešení, aniž by nutně muselo být zahájeno samotné řízení vedoucí k vydání rozhodnutí.
Ustanovení počítá se standardním procesem správního řízení podle správního řádu, se všemi jeho základními zásadami, právy účastníků a opravnými prostředky. Dotčené subjekty, jako účastnící řízení ve smyslu § 27 správního řádu, tak budou mít i ve fázi řízení možnost vyjadřovat se k podkladům i postupu vedoucímu k vydání rozhodnutí. Případný soudní přezkum ve správním soudnictví je samozřejmost. Standardní proces správního řízení poskytuje účastníkům řízení a dotčeným subjektům dostatečné prostředky ochrany jejich oprávněných zájmů.  
Z těchto důvodů je dána působnost Ministerstva vnitra, nikoli vlády jako celku. Případná pravomoc vlády k rozhodnutí o dodavatelích by zakládala jakési nesystémové řízení sui generis, jehož proces by musel být pro toto konkrétní řízení upraven zvláštním zákonem tak, aby byla zajištěna dvojinstančnost řízení a ochrana práv účastníků řízení. Navrhované ustanovení cílí na dodavatele subjektů kritické infrastruktury, kteří sice nemusí mít podíl na poskytování základní služby, ale mohou svojí činností poskytování základní služby ohrozit. Jak již bylo uvedeno, půjde například o dodavatele jako jsou úklidové a bezpečnostní služby, personální agentury, dopravce apod. Vzhledem k povaze dodavatelů považujeme za nepřiměřené, aby o případných podmínkách nebo omezení dodávek rozhodovala přímo vláda. 
Z výše popsaných důvodů považujeme pravomoc Ministerstva vnitra jako přiměřenou a s ohledem na kompetenční zákon a povahu vztahů do kterých má být zasahováno i jako přiléhavou. 
Informace mohou pocházet jak ze samotné úřední činnosti Ministerstva vnitra, které zpracovává množství agend, ze kterých mohou takto závažné informace vzejít, tak od ostatních orgánů veřejné moci, a to zejména od příslušných rezortních orgánů, od Národního úřadu pro kybernetickou a informační bezpečnost, pokud půjde o informace vztahující se k dodavateli kritické infrastruktury mimo působnost tohoto úřadu apod. V neposlední řadě může jít také o informace od zpravodajských služeb. 
Významné ohrožení bezpečnosti České republiky a vnitřního pořádku zahrnuje ohrožení celé řady zájmů České republiky, ať už jde o zájmy ekonomické, zahraničně politické nebo ochranu obyvatelstva, měnovou stabilitu a územní celistvost. 
V rámci rozhodování bude muset Ministerstvo vnitra vážit celou řadu okolností, včetně důsledků pro subjekt kritické infrastruktury a poskytování základních služeb. Za tímto účelem je navrhované opatření odstupňované od vydání varování, stanovení podmínek pro věcné plnění až po úplný zákaz jako poslední možnost, pokud ke sledovanému účelu nepostačují jiné nástroje. 
K odstavci 3 
Do kritické infrastruktury spadá celá řada složitých odvětví, která vyžadují odborný přístup. Za účelem zajištění přiměřenosti postupu při řešení výše popsaných rizik a zároveň minimalizaci negativních následků pro subjekty kritické infrastruktury bude nezbytné postup vůči dodavateli projednat s věcně příslušným ministerstvem nebo jiným ústředním správním úřadem odpovědným za dané odvětví. 
Předchozí projednání dalšího postupu bude ve své podstatě prvotní reakce na informace o konkrétním riziku pro významné bezpečnostní zájmy státu, respektive konkrétní subjekt kritické infrastruktury z určitého odvětví. Půjde o do jisté míry neformální výměnu informací mezi Ministerstvem vnitra, gestorem určitého odvětví a za splnění určitých podmínek i subjektu kritické infrastruktury a snahu všech zainteresovaných subjektů o řízení rizika včas, s co nejmenšími dopady na odvětví, na subjekt kritické infrastruktury při zachování maximální ochrany významných bezpečnostních zájmů ČR. V rámci tohoto jednání může být nalezeno řešení identifikovaného rizika, aniž by nakonec muselo nevyhnutelně dojít k aplikaci rozhodnutí podle navrhovaného § 15. 
Strategie předpokládá možnost sdílení citlivých, avšak neklasifikovaných informací. Pokud tedy při rozhodování o opatření vůči rizikovému dodavateli nebude vycházeno z informací v utajovaném režimu, přizve se k tomuto projednání i dotčený subjekt kritické infrastruktury. Je to další způsob, jak dospět k přiměřenému opatření a efektivní ochraně bezpečnostních zájmů České republiky, ale s minimálními negativními dopady. 
K odstavci 4
Podmínkou pro aplikaci postupu podle § 15 bude jednak významné bezpečnostní riziko pro Českou republiku, respektive pro subjekt kritické infrastruktury plynoucí od dodavatele, a dále posouzení, že nepostačuje uplatnění nástrojů podle jiných právních předpisů upravujících obdobnou problematiku. Výčet těchto předpisů je podrobněji popsán v obecné části důvodové zprávy. 

K odstavci 5 a 6
V případě, že lhůta pro dodržení zákazu obsaženého v návrhu rozhodnutí pro stávající nebo minulá plnění dodavatele plnění subjektu kritické infrastruktury je kratší než doba odpisování stanovená právním předpisem upravujícím zdanění příjmu, pokud ji tento právní předpis ve vztahu k dotčené bezpečnostně významné dodávce stanoví, nebo kratší než 5 let od pořízení bezpečnostně významné dodávky v případě, že ji právní předpis upravující zdanění příjmu ve vztahu k dotčené bezpečnostně významné dodávce nestanoví, předloží Ministerstvo vnitra návrh rozhodnutí k projednání vládě. Vláda je tak zapojena do procesu vydání rozhodnutí v případě, že by zjištěné riziko bylo tak velké, že by odůvodňovalo postup pro rychlejší vyřazení dodavatele, což by s sebou podle očekávání přineslo také větší dopady na činnost subjektu kritické infrastruktury a poskytování základní služby.
Vláda (obdobně jako je tomu v právní úpravě prověřování zahraničních investic) posoudí nutnost vydání rozhodnutí, a to při zohlednění všech okolností a ve vazbě na její úlohu při zajišťování ochrany bezpečnosti České republiky nebo vnitřního pořádku. Dojde-li k závěru, že je tato forma zásahu potřebná pro bezpečnost České republiky, vydá Ministerstvo vnitra takové rozhodnutí bezodkladně tak, aby byla rizika co nejrychleji eliminována.    
K odstavci 7
Návrh ustanovení umožňuje subjektu kritické infrastruktury vypovědět závazek ze smlouvy, jestliže by plněním z takového závazku došlo k porušení rozhodnutí. Ustanovení míří především na situace, kdy subjekt kritické infrastruktury uzavře s dodavatelem smlouvu s takovou dobou či podmínkami plnění, které neumožňují ve lhůtě stanovené rozhodnutím splnit jím stanovené podmínky či zákazy.
Toto ustanovení tak zavádí do právního řádu nový zákonný důvod pro výpověď závazku ze smlouvy. Nejde přitom o důvod specifický pro smlouvy uzavřené v režimu zákona o zadávání veřejných zakázek, ale o důvod univerzálně použitelný ve veřejné i soukromé sféře. Tento nový výpovědní důvod představuje speciální úpravu vůči obecným výpovědním důvodům závazkových vztahů upraveným především občanským zákoníkem a navazuje na § 1998 tohoto zákona, podle kterého „závazek lze vypovědět, ujednají-li si to strany nebo stanoví-li tak zákon“. Nejedná se ani o nepřímou novelu zákona o zadávání veřejných zakázek, neboť ustanovení nereguluje specificky zakázkové vztahy. Nadto § 223 odst. 5 zákona o zadávání veřejných zakázek explicitně stanoví, že „právo zadavatele ukončit závazek ze smlouvy na veřejnou zakázku podle jiných právních předpisů není tímto ustanovením dotčeno.
Zadavatelé budou moci vycházet z rozhodnutí při přípravě zadávacích podmínek. Shledání dodavatele nebo poskytovatele plnění subjektu kritické infrastruktury za významné ohrožení bezpečnosti České republiky Ministerstvem vnitra může být významnou oporou při vyhodnocení zadávací podmínky za důvodnou podle § 36 odst. 1 zákona o zadávání veřejných zakázek.
Pokud by významné ohrožení bezpečnosti České republiky vyšlo najevo v průběhu zadávacího řízení, mají zadavatelé možnost až do uplynutí lhůty pro podání nabídek zadávací podmínky změnit. Pokud bude zadávací řízení směřovat k uzavření smlouvy s dodavatelem, který představuje významné ohrožení bezpečnosti České republiky, bude na místě zrušit zadávací řízení podle § 127 odst. 2 písm. d) zákona o zadávání veřejných zakázek.
Je-li s dodavatelem již smlouva na veřejnou zakázku uzavřena, může být v návaznosti na rozhodnutí Ministerstva vnitra o stanovení podmínek, omezení, případně zákazu činnosti ve prospěch subjektu kritické infrastruktury změněna podle § 222 nebo ukončena podle § 223 zákona o zadávání veřejných zakázek.
Okolnosti přijetí rozhodnutí Ministerstvem vnitra mohou mít také vliv na vyhodnocení, zda vůbec budoucí veřejnou zakázku zadávat v zadávacím řízení nebo využít jiné kontraktační postupy na základě výjimky z povinnosti zadat veřejnou zakázku v zadávacím řízení.
K odstavci 8
Jak směrnice, tak strategie předpokládají hlubší spolupráci a sdílení informací jak mezi státními orgány, tak mezi státními orgány a subjekty kritické infrastruktury a budování povědomí o rizicích pro ně. Uvedené ustanovení je zároveň upozorněním pro ostatní subjekty kritické infrastruktury, že proti konkrétnímu dodavateli byl uplatněn postup podle tohoto ustanovení. 
K odstavci 9
Rozhodnutí o stanovení podmínek nebo zákazu využití plnění dodavatele plnění subjektu kritické infrastruktury bude vydáno ve standardním správním řízení. Pro situace, kdy bude rozhodnutí prvním úkonem v řízení platí předchozí ustanovení o projednání postupu a přiměřenosti. Stejně jako bude nutné v rámci odůvodnění rozhodnutí vysvětlit, z jakých důvodů bylo přistoupeno ke konkrétnímu opatření, tak bude muset být řádně zdůvodněno proč byl jako první úkon v řízení vydáno rovnou rozhodnutí. Půjde o případy, kdy povaha a závažnost rizika plynoucího z informací podle odstavce 1 a po posouzení vládou ve smyslu odstavců 5 a 6 bude natolik zásadní, že věc nesnese odkladu. V takto závažných případech nebude mít rozklad proti rozhodnutí odkladný účinek. 
K odstavci 10
Návrh výslovně doplňuje povinnost Ministerstva vnitra pravidelně přezkoumávat trvání skutečností, na jejichž základě bylo vydáno dané rozhodnutí, aby v případě jejich pominutí či podstatných změn mohlo být odpovídajícím způsobem reagováno a původní rozhodnutí mohlo být podle nových okolností změněno či zrušeno.
K odstavci 11
Za dodavatele je považován i subdodavatel. Za účelem pokrytí všech rizik plynoucích z povahy dodavatelského řetězce je nutné pamatovat i na situace, kdy pro hlavního dodavatele pracuje více subdodavatelů, z nichž některý může být považován za nežádoucího podle shora uvedených východisek. Rozhodnutí v takovém případě by směřovalo pouze vůči tomuto subdodavateli. 
K § 16 – Opatření k zajištění odolnosti subjektu kritické infrastruktury
Návrh zákona je transpozičním předpisem směrnice CER, která stanovuje povinnost přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury, a to konkrétně v článku 13 směrnice. V tomto ohledu je tak nezbytné, aby opatření přijímaná subjekty kritické infrastruktury k zajištění své odolnosti splňovala v minimálním rozsahu požadavky uvedené v této směrnici. Subjekt kritické infrastruktury je odpovědný za zajištění své odolnosti, musí tedy činit veškeré dostupné kroky k tomu, aby svoji odolnost zajistil. To může provádět mimo jiné opatřeními k zajištění odolnosti. Opatření uvedená v § 16 pak subjekt kritické infrastruktury přijímá kontinuálně po celou dobu poskytování základní služby, což v tomto kontextu znamená splnění předpokladu provedení posouzení rizik subjektu kritické infrastruktury a následného zahrnutí nezbytných opatření do plánu odolnosti. V případě nastalých okolností, které budou vyžadovat přijetí specifických opatření, však není vázán výše uvedeným předpokladem.
V souladu se směrnicí se požadavky na zajištění odolnosti vztahují kromě technických a bezpečnostních opatření také na související organizační opatření, související s řízením bezpečnosti zaměstnanců a s organizačními postupy v rámci subjektu kritické infrastruktury.
Cílem opatření je zajistit řádné poskytování základní služby ze strany subjektu kritické infrastruktury. Samotná opatření se poté netýkají pouze reaktivních opatření sloužících k bezprostřednímu zvládnutí nastalého incidentu, ale zaměřují se i na opatření preventivního charakteru, která jsou určena k předcházení vzniku incidentů a s tím související opatření k řízení bezpečnosti zaměstnanců, a to jednak ve smyslu pravidelného školení a výcviku klíčových či kritických pracovníků subjektu kritické infrastruktury, tak i v kontextu minimalizace možných rizik spojených s vnitřní sabotáží subjektu, např. formou stanovování kategorií pracovníků, kteří vykonávají kritické funkce, stanovení přístupových práv, ale i v oblasti ověřování spolehlivosti kritických pracovníků. Dalšími souvisejícími opatřeními jsou pak také opatření zaměřená na řízení bezpečnosti dodavatelského řetězce, a to zejména skrze identifikaci všech kritických dodavatelů, bez nichž by subjekt kritické infrastruktury, bez nichž by subjekt nebyl schopen poskytovat základní službu a dále pak jejich řízení, které by však mělo probíhat primárně na základě smluvně ošetřeného vztahu.
Podstatnými opatřeními, které se budou vztahovat na subjekty kritické infrastruktury, jsou poté opatření pro zajištění kontinuity činnosti, přičemž v tomto hledisku návrh zákona vyžaduje přijímání opatření v souladu s technickými normami ČSN EN ISO 22301  (012306) Bezpečnost a odolnost - Systémy managementu kontinuity podnikání – Požadavky a ČSN EN ISO 22313  (012316) Bezpečnost a odolnost - Systémy managementu kontinuity podnikání - Pokyny pro používání ISO 22301. Navázání požadavku řešit problematiku kontinuity činnosti v souladu s uvedenými technickými normami pak přímo vyplývá i z požadavků směrnice CER, konkrétně článku 16, který se týká možného použití evropských a mezinárodních standardů, norem a technických specifikací.
Součástí opatření odezvy na incidenty a opatření k řízení kontinuity činnosti, je mimo jiné i analýza a zajištění zdrojů pro řešení incidentů. V případě, že nastane taková situace, že subjekt kritické infrastruktury není schopen zajistit si věcné prostředky pro řešení incidentu z vlastních zdrojů, typickým příkladem je krizová situace, která naruší dodavatelský řetězec s dopadem na dostupnost těchto zdrojů na trhu, je v návrhu zákona zakotven systém plánování věcných prostředků v rámci systému hospodářských opatření pro krizové stavy (§ 5 odst. 1 písm. k a § 14 odst. 1 písm. q). Opatření k řízení rizik pak dále obsahuje činnosti odpovídající teorii řízení rizik, a to v souladu s ISO 28000 Specifikace pro systémy managementu bezpečnosti dodavatelských řetězců, ISO 31000 Management rizik – směrnice a ISO 31010 Management rizik – techniky posuzování rizik, stejně jako preventivní opatření k předcházení vzniku incidentů. V rámci opatření fyzické bezpečnosti lze nastavovat různá režimová opatření a systém ochrany kritické infrastruktury. Opatření k řízení bezpečnosti pracovníků pak stanoví pravidla pro ověřování spolehlivosti, ochranu pracovníků a další související opatření.
Detaily týkající se opatření k zajištění odolnosti subjektu kritické infrastruktury pak bude stanoven prováděcím právním předpisem.
K § 17 – Manažer kritické infrastruktury
K odstavci 1
Pojem „manažer kritické infrastruktury“ nově nahradí stávající pojem v oblasti ochrany kritické infrastruktury „styčný bezpečnostní zaměstnanec“. K navrhované změně pojmu má dojít za účelem vhodnějšího pojmenování osoby, která bude plnit úkoly v oblasti zajišťování odolnosti kritické infrastruktury plynoucí z návrhu zákona. Pojem „styčný bezpečnostní zaměstnanec“ totiž podle aplikační praxe neodpovídá definované náplni práce takové osoby a jejímu významu v oblasti kritické infrastruktury.
K odstavci 2
Zároveň dojde ke změně v požadavcích odborné způsobilosti k výkonu funkce manažera kritické infrastruktury. V dosavadním systému může být styčným bezpečnostním zaměstnancem určena pouze osoba, která dosáhla vysokoškolského vzdělání absolvováním studia v akreditovaném studijním programu poskytujícího ucelené poznatky o zajišťování bezpečnosti České republiky, o ochraně obyvatelstva nebo o krizovém řízení nebo má alespoň v jedné z těchto oblastí tříletou praxi. Nově bude muset dosáhnout vysokoškolského vzdělání a prokázat praxi v oblasti zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činností po dobu alespoň jednoho roku nebo bude mít alespoň tříletou praxi v těchto oblastech. Zároveň je nutné, aby osoba, která má vykonávat funkci manažera kritické infrastruktury, splňovala podmínky pro výkon citlivé činnosti podle zákona č. 412/2005 Sb. Za předpokladu splnění kvalifikačních podmínek pro výkon funkce manažera kritické infrastruktury, je výkon této funkce slučitelný s výkonem jiných funkcí (např. s funkcí manažera kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost).
K odstavci 3
V dosavadním systému plnil úkoly styčného bezpečnostního zaměstnance do doby jeho určení subjekt kritické infrastruktury. V novém pojetí bude úkoly manažera kritické infrastruktury do doby jeho určení (ve lhůtách podle § 14 odst. 1 písm. g) plnit  vedoucí organizační složky státu, guvernér České národní banky, statutární orgán právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřený člen, anebo subjektem kritické infrastruktury určený pracovník. 
Požadavky na odpovídající vzdělání a praxi se na vrcholového řídícího pracovníka nebo subjektem kritické infrastruktury určeného pracovníka do doby určení manažera kritické infrastruktury nevztahují.
V rámci dotčeného subjektu tak bude nepřetržitě určena osoba, která bude poskytovat součinnost Ministerstvu vnitra a příslušnému ministerstvu nebo jinému ústřednímu správnímu úřadu. 
V případě, že manažer kritické infrastruktury nemůže dlouhodobě plnit svoji funkci, například z důvodu dlouhodobě nemoci, ukončení své činnosti nebo jiných dlouhodobých překážkách na straně pracovníka, určí subjekt kritické infrastruktury jiného pracovníka, a to i na dobu přechodnou. Nepřítomnost manažera kritické infrastruktury by současně neměla mít přímý vliv na poskytování základní služby.
K odstavci 4
Podřízenost manažera kritické infrastruktury zmíněným vrcholovým řídícím pracovníkům vychází z požadavků aplikační praxe. Manažer kritické infrastruktury by měl mít rozsáhlý přehled o fungování organizace, z tohoto důvodu je vhodné jeho přímé napojení na řídící pracovníky.
K odstavci 5
U organizace podrobené jednotnému řízení, zejména u subjektů kritické infrastruktury, které jsou koncernem nebo mají jiné obdobné zřízení, je možné určit pouze jednoho manažera kritické infrastruktury, který bude poskytovat součinnost příslušnému orgánu jménem celé společnosti. 
K § 18 – Ověřování spolehlivosti
K odstavci 1
Ověřování spolehlivosti kritických pracovníků je jednou z pravomocí subjektu kritické infrastruktury, kterou s sebou přinesla směrnice CER. Důvodem ke vzniku této pravomoci je zajištění bezpečného poskytování základní služby a efektivního řízení bezpečnosti pracovníků a dodavatelského řetězce dotčeného subjektu kritické infrastruktury. Subjekty kritické infrastruktury tak budou moci do stěžejních pracovních pozic ustanovovat prověřené a bezpečnostně způsobilé pracovníky či uchazeče o pracovní pozici. Vzhledem k tomu, že se jedná o oprávnění pro subjekty kritické infrastruktury, je na jejich rozhodnutí, zdali a případně na jaké pracovníky a uchazeče o zaměstnání budou toto ustanovení aplikovat. 
K odstavci 2
Směrnice CER stanovila mantinely týkající se okruhu osob, u kterých může subjekt kritické infrastruktury požádat o ověření jejich spolehlivosti, a zároveň minimálního rozsahu tohoto ověřování. Konkrétně se jedná o povinnost ověřit totožnost a bezúhonnost prověřované osoby. 
Návrh zákona přímo vychází z tohoto základního vymezení daného směrnicí CER, ale celý systém dále rozvíjí.  Celý mechanismus bude tvořen ze dvou paralelních způsobu ověřování spolehlivosti. První z nich přímo vychází ze směrnice CER. V jeho rozsahu tak bude ověřována pouze totožnost ověřované osoby a její bezúhonnost. Tento systém je v České republice již zaveden a běžně probíhá systémem výpisu z rejstříku trestů zejména na pracovištích CzechPoint. Na tomto pracovišti současně dojde jak k ověření totožnosti, tak bezúhonnosti, a to formou výpisu z rejstříků trestů pro občany České republiky, nebo jiného obdobného dokladu u cizích státních příslušníků. Takto nastavený postup bude odpovídat i požadavku čl. 14 odst. 3 směrnice CER, která stanoví, že při ověřování spolehlivosti členské státy využívají Evropský informační systém rejstříků trestů v souladu s postupy stanovenými v rámcovém rozhodnutí 2009/315/SVV a v příslušných situacích případně v nařízení (EU) 2019/816 pro účely získávání informací z rejstříků trestů vedených jinými členskými státy. Ústřední orgány uvedené v čl. 3 odst. 1 rámcového rozhodnutí 2009/315/SVV a v čl. 3 bodě 5 nařízení (EU) 2019/816 poskytnou odpovědi na žádosti o tyto informace do 10 pracovních dnů ode dne, v němž byla taková žádost obdržena v souladu s čl. 8. odst. 1 rámcového rozhodnutí 2009/315/SVV.
K odstavci 3
Druhým stupněm ověřování spolehlivosti, zde již nad rámec směrnice CER, je ověřování bezpečnostní způsobilosti u manažera kritické infrastruktury. Tento systém bude provázán s institutem výkonu citlivé činnosti podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečností způsobilosti. Tato nová povinnost vychází z dosavadních zkušeností týkajících se výměny informací se subjekty kritické infrastruktury, kdy je žádoucí, aby u styčné osoby pro orgány státní správy v této oblasti byla zajištěna určitá míra důvěry.  Tím, že manažer kritické infrastruktury bude vykonávat citlivou činnost podle zákona o utajovaných informacích, prokáže svou spolehlivost a důvěryhodnost. Tato skutečnost tak může vést k lepší a efektivnější komunikaci s orgány státní správy a možnosti předávání důležitých informací související s požadavky na zajišťování odolnosti nebo charakteru možného ohrožení. Tato potřeba je o to více markantní v souvislosti s nutností posilování ochrany kritické infrastruktury po začátku ruské agrese na Ukrajině v roce 2022 a hybridního působení určitých státních aktérů na území ČR, ale i EU. Současně je nutné brát v úvahu, že manažer kritické infrastruktury má v rámci subjektu kritické infrastruktury přístup k citlivým informacím, které mohou zahrnovat detaily o bezpečnostních opatřeních, plánovací dokumenty, a strategických informací o kritické infrastruktuře. Pokud by tyto informace byly zneužity nebo se dostaly do nepovolaných rukou, mohlo by to ohrozit národní bezpečnost a fungování klíčových služeb. Výkon citlivé činnosti podle zákona o utajovaných informacích zajistí, že subjekt kritické infrastruktury bude mít do jisté míry jistotu, že tuto funkci vykonává osoba, která splnila bezpečnostní způsobilost.  
Pracovník vykonávající citlivou činnost bude muset být držitelem platného dokladu o bezpečnostní způsobilosti fyzické osoby. Citlivou činností je v rámci tohoto zákona výkon funkce manažera kritické infrastruktury. Manažer kritické infrastruktury musí splňovat podmínky pro výkon citlivé činnosti podle § 80 odst. 2 zákona č. 412/2005 Sb., respektive musí být držitelem dokladu o bezpečnostní způsobilosti nebo držitelem osvědčení fyzické osoby. 
V rámci analýzy náročnosti na prověřování bezpečnostní způsobilosti ze strany Národního bezpečnostního úřadu se předpokládá cca 300 – 500 osob vykonávajících funkci manažera kritické infrastruktury s tím, že část těchto pracovníků je i v současné době držitelem oprávnění na stupeň utajení DŮVĚRNÉ nebo TAJNÉ. 
Současně bude v souvislosti s ověřováním spolehlivosti osob, které budou vykonávat citlivou činnost manažera kritické infrastruktury, nezbytné navýšit kapacity Národního bezpečnostního úřadu nejméně o 3 systemizovaná tabulková místa (13. platová třída) a v souvislosti s tím navýšit odpovídající finanční prostředky kapitoly 308 státního rozpočtu. Požadavek na navýšení systemizovaných tabulkových míst v uvedeném rozsahu je ze strany Národního bezpečnostního úřadu stanoven na nejnižší možné úrovni pro zajištění výše uvedených činností.
K § 19 a 20 – Hlášení incidentu
K  § 19 odstavci 1
Ze směrnice CER vychází povinnost zavést mechanismus pro oznamování incidentů, který by příslušným orgánům umožnil na incidenty reagovat rychle a odpovídajícím způsobem a mít komplexní přehled o dopadu, povaze, příčinách a možných důsledcích incidentů, které subjekty kritické infrastruktury řeší. V rámci používání informačního nástroje pro plnění úkolů podle návrhu zákona se předpokládá zasílání hlášení o incidentech prostřednictvím portálu kritické infrastruktury, přičemž bude docházet k automatickému zasílání těchto hlášení všem relevantním subjektům.  V případě, že bude tento portál z jakéhokoli důvodu nefunkční, budou subjekty kritické infrastruktury hlásit incidenty z důvodu nebezpečí z prodlení na Národní operační a informační středisko, tedy operační a informační středisko generálního ředitelství HZS ČR.
K  § 19 odstavci 2
Hlášení incidentu podle návrhu zákona o odolnosti subjektů kritické infrastruktury nenahrazuje hlášení incidentů podle zákona o kybernetické bezpečnosti nebo nařízení DORA. Pokud se subjekt kritické infrastruktury nachází v nebezpečí, měl by kontaktovat příslušné  tísňové linky , hlášení incidentů totiž nenahrazuje potřebu povolat na místo události složky integrovaného záchranného systému, je-li s událostí spojena nutnost provést záchranné nebo likvidační práce.
K  § 19 odstavci 3
Aby měl subjekt kritické infrastruktury dostatečný čas přijmout opatření k zajišťování své odolnosti, směrnice CER zavádí lhůtu, od které začíná pro subjekt kritické infrastruktury platit povinnost incidenty podle tohoto návrhu zákona hlásit. Tato lhůta je 10 měsíců od doručení informace o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury. 
K  § 19 odstavci 4
Subjekty kritické infrastruktury by měly bez zbytečného odkladu oznamovat Ministerstvu vnitra, které dále vyrozumí věcně příslušné ministerstvo nebo jiný ústřední správní úřad, incidenty, které významně narušují nebo mohou významně narušit poskytování základních služeb. Věcně příslušné ministerstvo nebo jiný ústřední správní úřad pak může poskytnout subjektu kritické infrastruktury součinnost při řešení incidentu, případně přijmout další návazná opatření v jeho pravomoci.
Oproti jiným ustanovením zákona je v rámci hlášení incidentu nastaven odlišný mechanismus směřující v prvním kroku pouze na Ministerstvo vnitra zcela cíleně, a to právě z důvodu nebezpečí z prodlení, ke kterému by mohlo dojít. Hlášení incidentu představuje určitou časovou tíseň, ve které se subjekt nachází a z důvodu zjednodušení procesu hlášení incidentů je zde subjekt směřován pouze na jedno jediné místo, které disponuje službou 24/7, a to je Ministerstvo vnitra. 
Ministerstvo vnitra je současně jednotným kontaktním místem pro Evropskou komisi, které se incidenty rovněž hlásí. Současně má Ministerstvo vnitra povinnost bezodkladně o incidentu informovat příslušného gestora.
Z důvodu odstraňování administrativní zátěže subjektů kritické infrastruktury a jasně deklarovaného postupu při hlášení incidentů bylo Ministerstvo vnitra zvoleno i z toho důvodu, že subjekt v případě poskytování více základních služeb nemusí v prvním kroku řešit, kterému gestorovi incident nahlásí.
K  § 19 odstavci 5
Ministerstvo vnitra z pozice jednotného kontaktního místa bez zbytečného odkladu informuje jednotná kontaktní místa ostatních států EU, pokud by na ně mohl mít incident dopad. V případě, že incident vznikl u subjektu evropské kritické infrastruktury, bude Ministerstvo vnitra současně informovat Evropskou komisi. 
K  § 19 odstavci 6
Pokud bude nutná součinnost ze strany obyvatelstva, případně by měl incident na obyvatelstvo přímý dopad, informuje o této skutečnosti Ministerstvo vnitra v součinnosti s věcně příslušným orgánem a subjektem kritické infrastruktury, veřejnost. K tomuto informování využije běžně používané kanály, jako jsou hromadné informační prostředky, které tuto informaci v nezměněné podobě odvysílají či zveřejní. Informace obsažené ve sdělení či zprávě nesmí být citlivého nebo utajovaného charakteru, nesmí ohrozit bezpečnost subjektu kritické infrastruktury či mu znemožnit řešení incidentu. Takto zveřejněné informace by měly sloužit veřejnosti k tomu, aby se mohla připravit na výpadek či dočasnou nedostupnost základní služby ze strany subjektu kritické infrastruktury. 
K  § 19 odstavci 7
V odůvodněných případech, tj. takové případy narušení poskytování základní služby, které mohou vést ke vzniku mimořádné události třetího a zvláštního stupně poplachu nebo ke vzniku krizové situace, a to na území příslušného kraje, vyrozumí Ministerstvo vnitra o tomto incidentu hejtmana. Tímto ustanovením není dotčena informační nebo ohlašovací povinnost podle jiných právních předpisů. V případě, že by incident následně přerostl do mimořádné události nebo krizové situace, je v ČR nastaven systém vyrozumění o mimořádných událostech (zákon č. 239/2000 Sb.) nebo krizových situacích (zákon č. 240/2000 Sb.), který bude standardně aplikován.
K  § 20 odstavci 1
Subjekt kritické infrastruktury by měl bez zbytečného odkladu oznamovat Ministerstvu vnitra incidenty, které významně narušují nebo mohou významně narušit poskytování základních služeb. Pokud je toho schopen, zašle komplexní informace o incidentu v hlášení. Obsah hlášení plně vychází ze směrnice CER. 
K  § 20 odstavci 2
V případě, že subjekt kritické infrastruktury není z důvodu řešení incidentu nebo z důvodu rozsahu a povahy incidentu schopen nahlásit veškeré informace podle odstavce 1, předloží nejpozději do 24 hodin od vzniku incidentu prvotní oznámení. Prvotní oznámení by mělo obsahovat pouze informace, které jsou zcela nezbytné k vyrozumění příslušného orgánu o incidentu, a které subjektu kritické infrastruktury umožňují v případě potřeby požádat o pomoc. Toto oznámení by mělo uvádět předpokládanou příčinu incidentu, je-li to v daném případě možné. Prvotní oznámení musí být učiněno tak, aby nebránilo subjektu kritické infrastruktury takovýto incident řešit. 
Je-li to relevantní, měla by po prvotním oznámení následovat závěrečná zpráva, a to nejpozději do 30 dnů od předložení prvotního hlášení. V situacích dlouhodobého incidentu trvajícího déle než měsíc se předpokládá předložení průběžné zprávy o pokroku a závěrečnou zprávu lze předložit do 30 dnů po skončení incidentu. Závěrečná zpráva by měla doplnit prvotní oznámení a poskytnout úplnější přehled o incidentu.
K  § 20 odstavci 3
V případě, že incident trvá po dobu delší, než 30 dnů, zašle subjekt kritické infrastruktury tzv. zprávu o pokroku, která bude obsahovat další doplňující informace ve vztahu k prvotnímu hlášení.
K  § 20 odstavci 4
V případě vzniku incidentu subjekt vynakládá veškeré úsilí k řešení tohoto incidentu a není nutné okamžitě po vzniku incidentu zasílat hlášení o jeho vzniku. Tento úkon tedy nesmí bránit subjektu incident řešit. Toto hlášení zasílá subjekt bez zbytečného odkladu, avšak včasnost zaslání může zefektivnit řešení incidentu samotného.
K  § 20 odstavci 5
Podrobnosti k parametrům incidentu, stejně tak jako k dokumentaci, stanoví vyhláška Ministerstva vnitra.
K § 21 – Portál kritické infrastruktury
K odstavci 1
Portál kritické infrastruktury bude součástí neboli komponentou informačního systému krizového řízení zřizovaného v souladu s novelou krizového zákona (§ 26 a § 26a krizového zákona). Úkony podle návrhu tohoto zákona jsou v souladu s procesy digitalizace prováděny primárně prostřednictvím portálu kritické infrastruktury. Jednou z funkcionalit portálu kritické infrastruktury přitom bude vzájemné sdílení informací s Portálem NÚKIB, a to za účelem zajištění vzájemné spolupráce mezi orgány zajišťujícími aplikaci směrnic CER a NIS 2. Tato funkcionalita by měla snížit administrativní zátěž subjektů, které podléhají regulaci jak ze strany návrhu zákona o odolnosti subjektů kritické infrastruktury, tak návrhu zákona o kybernetické bezpečnosti. Úzkou spolupráci národního regulátora, tedy v případě ČR Ministerstva vnitra a Národního úřadu pro kybernetickou a informační bezpečnost, předpokládají obě zmiňované směrnice. 
K odstavci 2
Vzhledem k tomu, že je portál kritické infrastruktury komponentou informačního systému krizového řízení, bude využívat jeho nástroje, zabezpečení i infrastrukturu, v tomto případě zejména tzv. „konektor“ a přístup do základních registrů a agendových informačních systémů pro účely plnění úkolů podle tohoto zákona. Ministerstvo vnitra jako správce portálu kritické infrastruktury bude muset splňovat podmínky režimu vyšších povinností podle zákona o kybernetické bezpečnosti. S tím souvisí i plnění požadavků na zajištění kybernetické bezpečnosti tohoto informačního systému. Ochrana informací je dále zajištěna povinností mlčenlivosti, která je zakotvena např. v zákonu č. 234/2014 Sb., o státní službě, zákonu č. 361/2003 Sb., o služebním poměru příslušníků bezpečnostních sborů, nebo u zaměstnanců ve veřejném sektoru podle § 303 zákona č. 262/2006 Sb., zákoník práce.
K odstavci 3
Příslušné orgány státní správy jsou pak povinny a oprávněny skrze tento portál sdílet veškeré informace týkající se oblasti kritické infrastruktury.
K odstavci 4
Ustanovení tohoto odstavce zaručuje přístup k informacím o subjektech kritické infrastruktury pro Ministerstvo průmyslu a obchodu za účelem provádění zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), a to v nezbytné míře. Ministerstvo průmyslu a obchodu bude z portálu zejména získávat aktuální informace o subjektech kritické infrastruktury, vč. informací podle § 11 odst. 1, a jejich kritických dodavatelích, a ověřovat, zda byl poskytovatel základní služby zařazen na seznam subjektů kritické infrastruktury, zda z něj nebyl vyřazen, zda proběhly změny v poskytování základní služby a jakého charakteru nebo zda nedošlo k ukončení jejího poskytování.
Zpravodajské služby budou mít umožněn přístup k informacím o subjektech kritické infrastruktury, a to s ohledem na svou působnost a úkoly. Tyto informace budou získávat nejenom za účelem ochrany subjektů kritické infrastruktury, ale i pro plnění dalších úkolů zpravodajských služeb. Znalost aktuálních informací o subjektech kritické infrastruktury je důležitou podmínkou pro řádný výkon úkolů zpravodajských služeb.
Hejtmanům krajů a zaměstnancům oddělení krizového řízení krajských úřadů bude umožněn přístup do portálu kritické infrastruktury. Důvodem je zajištění přehledu o kritické infrastruktuře nacházející se na území dotčeného kraje pro uvedené osoby. Pouze takto bude umožněno řádné plnění povinností podle krizového zákona, zejména ve vztahu k oprávnění hejtmana kraje vyhlásit krizové opatření přednostního zásobování subjektů kritické infrastruktury na území kraje. 
K odstavci 5
Pouze pokud není možné používat portál kritické infrastruktury, např. z důvodu dlouhodobého výpadku či nefunkčnosti, jsou v návrhu zákona nastaveny alternativní postupy pro sdílení informací prostřednictvím datových schránek (s výjimkou hlášení incidentů, kdy má být incident v případě nedostupnosti portálu kritické infrastruktury hlášen Národnímu operačnímu a informačnímu středisku). 
K odstavci 6
Pouze v případě, že dojde k úplnému výpadku digitálních služeb, může být využit poskytovatel poštovních služeb a potřebné informace či dokumenty doručit v listinné podobě. Jedná se ovšem o zcela výjimečný postup. 
K odstavci 7
Portál kritické infrastruktury musí být zabezpečen před neoprávněným přístupem do systému. Za tímto účelem bude do portálu možno přistupovat pouze díky unikátním přihlašovacím údajům. Uživatelé rovněž nebudou mít přístup do celého portálu, ale pouze do částí, které jim umožní jejich uživatelská práva. Historie činnosti v portálu bude zaznamenávaná a dohledatelná. 
K odstavci 8
Přístup do portálu kritické infrastruktury a jeho následné používání se provádí prostřednictvím webového rozhraní. Portál kritické infrastruktury je neveřejný a přihlašuje se do něj prostřednictvím přidělených přihlašovacích údajů a ověření identity. Portál je modulem tzv. informačního systému krizového řízení a využívá tak jeho infrastruktury a procesy zabezpečení.
Portál bude získávat a zpracovávat informace o poskytovatelích základních služeb potřebné k jejich zařazení na seznam subjektů kritické infrastruktury. Data budou zadávána prostřednictvím formulářů s filtry. Prostřednictvím portálu budou subjekty určovány a vedena s nimi elektronická komunikace. Portál bude sloužit i k dalšímu plnění povinností subjektů kritické infrastruktury a budou v něm vedeny informace, data, údaje nebo evidencí, zejména:
· poskytování součinnosti ze strany věcně příslušných ministerstev, jiných ústředních správních úřadů nebo České národní banky,
· informace týkající se plnění opatření ze strany subjektů kritické infrastruktury,
· proces zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury a změny s tím související,
· informace o cvičeních, kontrolách a incidentech.
Portál bude rovněž schopen vzájemné dobrovolné komunikace mezi subjekty navzájem a mezi subjekty a věcně příslušnými orgány.
Systém bude sloužit k zabezpečení získávání informací potřebných k zařazení poskytovatelů základní služby na seznam subjektů kritické infrastruktury pomocí filtru, do kterého budou poskytovatele základní služby zadávat jednotlivé parametry. Dále portál kritické infrastruktury bude zabezpečovat proces určení subjektů kritické infrastruktury (i včetně porovnávání zadaných údajů s kritérii pro identifikaci základní služby, které budou uvedeny v nařízení vlády), dále sběr údajů od dotčených orgánů nebo osob, vzájemnou komunikaci mezi nimi a věcně příslušnými orgány, hlášení incidentů a předávání informací či notifikací o možném ohrožení. V souladu s požadavky směrnice CER bude portál kritické infrastruktury také sloužit jako informační platforma pro školení manažerů kritické infrastruktury či kritických pracovníků a dále také jako nástroj pro tvorbu výstupů a pro evidenci relevantních údajů včetně seznamu subjektů kritické infrastruktury.
Ministerstvo vnitra vydá uživatelský manuál pro práci s portálem kritické infrastruktury a současně se předpokládá zajištění informovanosti o jeho používání široké veřejnosti tak, aby byla usnadněna práce s ním pro poskytovatele základních služeb a dalších jeho uživatelů. 
K odstavci 9
Ministerstvo vnitra stanoví vyhláškou další podrobnosti k zadávání údajů do portálu kritické infrastruktury a technické a organizační náležitosti portálu.
K § 22 – Cvičení
K odstavci 1
Požadavek na podporu subjektů kritické infrastruktury formou metodické podpory a organizování cvičení vychází z článku 10 směrnice CER. Česká republika organizací či nařízením cvičení podporuje subjekty kritické republiky v posilování jejich odolnosti. Cvičením se tak prokazuje nejenom připravenost na řešení incidentů, ale i úroveň odolnosti subjektu kritické infrastruktury, přijatých opatření a odborná připravenost pracovníků.
K odstavci 2
Cvičení může subjekt kritické infrastruktury provádět sám, v rámci zajišťování vlastní připravenosti a zvyšování odolnosti. 
Za účelem zvyšování odolnosti může věcně příslušné ministerstvo nebo jiný ústřední správní úřad organizovat cvičení v rámci své gesce na základě identifikované potřeby procvičit nastavené postupy jak z pozice gestora, tak ze strany subjektu kritické infrastruktury. Za tímto účelem vytváří plán cvičení a zařazuje do něj subjekt kritické infrastruktury. Cvičení subjektů kritické infrastruktury se řídí obdobnými principy jako cvičení orgánů krizového řízení.
K odstavci 3
Aby byla zajištěna dostatečná příprava jak ze strany subjektu kritické infrastruktury, tak ze strany věcně příslušného ministerstva nebo jiného ústředního správního úřadu, a efektivnost prováděných cvičení, zpracovává se plán cvičení. Nařízená cvičení by neměla být pro subjekty kritické infrastruktury zatěžující, ale jejich plánování by mělo být efektivní, a to na základě analýzy potřeb daného odvětví nebo pododvětví. Současně je možno spojit plán cvičení v oblasti zvyšování odolnosti kritické infrastruktury s plánem cvičeními orgánů krizového řízení. Při plánování cvičení budou ti, kteří cvičení nařídí, dodržovat zásadu přiměřenosti v tom smyslu, že subjekt kritické infrastruktury nesmí být nadměrně cvičeními zatěžován a současně jeho provedení nesmí ohrozit poskytování základní služby. Aby nedocházelo k přetěžování subjektů kritické infrastruktury, byla v zákoně stanovena limita účasti na cvičení maximálně 1x 3 roky. Současně bude Ministerstvo vnitra poskytovat metodickou pomoc jednotlivým gestorům při přípravě nebo provádění cvičení. 
Plán cvičení, do kterého bude zařazen subjekt kritické infrastruktury, by měl být s tímto subjektem dopředu projednán, aby byla zajištěna jeho maximální angažovanost na cvičení a zhodnoceny jeho časové možnosti.
Je žádoucí, aby plán cvičení byl zpracováván v úzké koordinaci se všemi gestory a Ministerstvem vnitra tak, aby nebyly subjekty kritické infrastruktury zbytečně zatěžovány a plánování cvičení bylo efektivní. Zvláštního zřetele se musí brát v případech, kdy je subjekt kritické infrastruktury regulován v rámci více odvětví. V tomto případě je koordinace mezi Ministerstvem vnitra a věcně příslušnými ministerstvy nebo jinými ústředními správními úřady nezbytná.
K odstavci 4
Za účelem efektivního plánování dalších cvičení a získávání poznatků ze cvičení, které přispějí k lepšímu zvyšování či zajišťování odolnosti subjektů kritické infrastruktury je zpracováváno vyhodnocení cvičení a zjištěné zásadní poznatky ze cvičení jak pozitivního, tak negativního charakteru jsou zasílány Ministerstvu vnitra a věcně příslušnému ministerstvu nebo jinému ústřednímu správnímu úřadu. Současně ten, kdo plánuje cvičení, o tomto cvičení informuje svého gestora a Ministerstvo vnitra.
K § 23 – Kontrola 
K odstavci 1
Kontrolní činnost je integrální součástí výkonu státní správy a ověřování plnění povinností podle tohoto zákona. Kontrolní činnost se řídí zákonem č. 255/2012 Sb., o kontrole (kontrolní řád). V souladu s principy kontrolní řádu je nutná koordinace jednotlivých kontrol prováděných různými orgány. Tato ustanovené jsou tak zcela v souladu se základními principy fungování veřejné správy, kdy státní správa má spolupracovat a minimálně zatěžovat soukromý subjekt. V praxi je plánováno vytvoření přehledu plánovaných kontrol tak, aby věcně příslušní gestoři mohli absolvovat kontrolu společně. 
K odstavci 2
Vzhledem k tomu, že lze důvodně předpokládat, že všechny subjekty kritické infrastruktury budou podléhat také regulaci podle nového zákona o kybernetické bezpečnosti v režimu vyšších povinností, je potřebné předávat i informace o kontrolách Národnímu úřadu pro kybernetickou a informační bezpečnost za účelem efektivní koordinace kontrol prováděných podle návrhu zákona o kritické infrastruktuře a nového zákona o kybernetické bezpečnosti u stejných subjektů (resp. regulovaných osob). 
K odstavci 3
Další specifikem je poté problematika kontrol, kdy je Ministerstvo vnitra oprávněno požádat Národní úřad pro kybernetickou a informační bezpečnost o provedení kontroly u subjektu kritické infrastruktury týkající se plnění povinností, které vyplývají návrhu nového zákona o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost může tuto žádost odmítnout, je-li zjevně nepřiměřená, a to zejména v souvislosti s kapacitními možnostmi úřadu.
K odstavci 4
Na základě zjištění poradní mise u subjektu evropské kritické infrastruktury je nutné, aby věcně příslušný orgán provedl ověření, že subjekt kritické infrastruktury přijal opatření k nápravě. V tomto případě se postupuje obdobně jako u odstavce 1.
K § 24 – Nápravná opatření
Zjistí-li věcně příslušné ministerstvo nebo ústřední správní úřad při kontrole nedostatky uvede tyto do protokolu o kontrole a následně vyzve subjekt kritické infrastruktury, aby je ve stanovené lhůtě odstranil, popřípadě určit jakým způsobem. Věcně příslušné ministerstvo nebo ústřední správní úřad spolu s nápravným opatřením uloží povinnost oznámit provedení nápravného opatření a jeho výsledek ve stanovené lhůtě. Takto uložené nápravné opatření může například směřovat vůči nutnosti přijímat či zkvalitnit opatření k zajištění odolnosti subjektu kritické infrastruktury, zpracovat či zpřesnit plán odolnosti, určit manažera kritické infrastruktury, lépe identifikovat kritickou infrastrukturu nebo kritické pracovníky, apod. 
Tam, kde je to možné, by mělo docházet k metodickému vedení se strany věcně příslušného orgánu. Jedním z druhů nápravných opatření je oprávnění nařizovat a provádět audity v oblasti kritické infrastruktury, což vyžaduje v obecné rovině směrnice CER, a to konkrétně v článku 21.
Audit je ve smyslu návrhu tohoto zákona kontrolou vykonanou Ministerstvem vnitra v součinnosti s věcně příslušným ministerstvem nebo jiným ústředním správním úřadem podle kontrolního řádu. Jedná se o specifický nástroj spadající do nápravných opatření, který může být aplikován jako nejkrajnější opatření v rámci kontrolních zjištění, a to za účelem kontroly plnění povinností stanovených podle návrhu zákona a souvisejících prováděcích právních předpisů a nápravných opatření. Současně může Ministerstvo vnitra v součinnosti s věcně příslušným ministerstvem nebo jiným ústředním správním úřadem ukládat vlastní nápravná opatření.
K § 25 – Přestupky
Navrhované ustanovení zakotvuje skutkové podstaty přestupků, kterých se na úseku souvisejícím s kritickou infrastrukturou a s bezpečností dodavatelského řetězce může dopustit fyzická, podnikající fyzická nebo právnická osoba. Z hlediska systematiky jsou skutkové podstaty přestupků rozčleněny na přestupky, kterých se může dopustit jakákoliv fyzická osoba (odstavec 1), poskytovatel základní služby (odstavec 2) nebo subjekt kritické infrastruktury (odstavec 3). 
Z formálního hlediska jsou jednotlivé skutkové podstaty koncipovány za použití odkazu na ustanovení obsahující povinnost, jejíž porušení je sankcionováno. Samotná skutková podstata proto v souladu s kapitolou 3.1.2 Zásad tvorby právní úpravy přestupků obsahuje pouze hlavní znaky protiprávního jednání, přičemž je doplněna odkazem na příslušné ustanovení zákona, v němž je povinnost uložena, což je indikováno slovy „v rozporu s § …“. 
Jak bylo zmíněno, přestupku se může dopustit i fyzická osoba, přičemž s výjimkou přestupku podle odstavce 1 není vyžadováno zavinění ve formě úmyslu. Formu zavinění lze však podle obecných pravidel zohlednit při ukládání správního trestu podle § 37 písm. a) ve spojení s § 38 písm. e) zákona o odpovědnosti za přestupky. Je však vhodné poznamenat, že množina fyzických (nepodnikajících) osob bude ve většině případů tvořit jen zanedbatelnou množinu potenciálních pachatelů přestupku.
U podnikajících fyzických osob a právnických osob je odpovědnost za přestupek objektivní, kdy oproti obecné právní úpravě nejsou rozšiřovány liberační důvody.
K odstavci 1
Navržená skutková podstata primárně směřuje na fyzickou osobu, která zneužije portál kritické infrastruktury k jiným účelům, než k plnění zákonem stanovené povinnosti. Zejména se bude jednat o případy zlomyslného zahlcování informačního systému. Je proto vyžadováno, aby fyzická osoba z hlediska zavinění jednala úmyslně.
Jak bylo naznačeno výše, tato skutková podstata cílí na úmyslné přehlcování portálu kritické infrastruktury zejména falešnými podáními a nevztahuje se na situace, kdy fyzická osoba využívá portál kritické infrastruktury k výkonu povinností nebo práv stanovených zákonem (např. na základě § 21 odst. 1), ač tak například z důvodu nedbalosti nebo omylu učiní formálně vadně. V takovém případě bude absentovat zavinění ve formě úmyslu. 
K odstavci 2
Ustanovení obsahuje přestupek poskytovatele základní služby jakožto zvláštního subjektu přestupku ve smyslu § 12 zákona o odpovědnosti za přestupky a řízení o nich. 
Navrhuje se, aby prostřednictvím norem správního práva trestního bylo postihováno porušení povinností poskytovatele základní služby, jejichž plnění je nezbytným předpokladem pro následný proces jejich zařazení na seznam subjektů kritické infrastruktury. Jedná se o povinnosti související s předáváním informací orgánům státní správy.
Z tohoto pohledu je esenciální, aby poskytovatel základní služby plnil informační povinnost podle § 9 odst. 1 návrhu, související s
·  jím poskytovanou základní službou (včetně její kvalitativní stránky – tj. informování o naplnění kritérií významnosti), 
· kritickou infrastrukturou (bez ohledu na její umístění v nebo mimo území České republiky) a 
· základní službou, kterou poskytuje mimo území České republiky.
Zároveň lze dovodit, že implicitním požadavkem je, že poskytovaná informace musí být úplná a správná. V případě podnikajících fyzických osob a právnických osob je s ohledem na pojetí jejich správně-trestní odpovědnosti požadavek na správnost a úplnost poskytovaných informací objektivní. V případě fyzické osoby není vyžadováno zavinění ve formě úmyslu - tedy uvedená skutková podstata může být naplněna i ve formě nedbalosti – tj. poskytovatel základní služby se může přestupku dopustit jak úmyslným uvedením lživé informace, tak jejím nedbalostním opomenutím. Formu zavinění lze, jak již bylo uvedeno výše, zohlednit při ukládání správního trestu.  
Způsob poskytování informací je podrobněji upraven v § 9 odst. 2. Z něho vyplývá, že informace musí být poskytnuta prostřednictvím portálu kritické infrastruktury, a to ve lhůtě stanovené v předmětném ustanovení (3 měsíce, případně 1 měsíc, je-li k tomu vyzván příslušným orgánem).
K odstavci 3
Ustanovení obsahuje přestupky subjektu kritické infrastruktury jakožto zvláštního subjektu přestupku ve smyslu § 12 zákona o odpovědnosti za přestupky a řízení o nich.  Sankce může být uložena též za opakované spáchání přestupku. Současně platí zásada přiměřenosti, tedy například v případě skutkové podstaty podle § 25 odst. 2 písm. f) subjekt kritické infrastruktury nebude sankcionován ihned, když neobsadí místo manažera kritické infrastruktury, ale pouze tehdy, pokud protiprávní stav neodstraní ani ve lhůtě bez zbytečného odkladu. Je považováno za žádoucí, aby v případě změn na pozici manažera kritické infrastruktury nedocházelo k delším prodlevám nebo pasivitě subjektu kritické infrastruktury v jeho obsazení (určení). Za přestupkové jednání bude možné uložit případný finanční postih za předpokladu, že takové jednání v souvislosti s neurčením manažera kritické infrastruktury „bez zbytečného odkladu“ bude naplňovat nejenom formální stránku, ale také tu materiální. Proto by postih přicházel v úvahu primárně za situace, kdy by subjekt kritické infrastruktury tuto funkci neobsadil, ačkoli by mu v tom objektivně nebránila žádná podstatná skutečnost. V tomto smyslu nutno také nahlížet na lhůtu „bez zbytečného odkladu“, která bude vždy vycházet z konkrétních okolností daného subjektu či situace „na trhu“.
Postihováno je porušení informačních povinností, které zákon o odolnosti subjektů kritické infrastruktury subjektům kritické infrastruktury ukládá. Jedná se o informační povinnost ve vztahu:
· ke změně v poskytování základní služby, k nově poskytované základní službě nebo k ukončení poskytování základní služby, 
· k poskytované základní službě, kritické infrastruktuře na území nebo mimo území České republiky, kritickým pracovníkům a kritickým dodavatelům,
· ke skutečnosti, v nebo do kterých členských států Evropské unie poskytuje základní službu nebo služby,
· k oznámení o určení manažera kritické infrastruktury,
· k údajům o kritickém dodavateli,
· k hlášení incidentu,
· k provedení nápravného opatření nebo jeho výsledku
· k informování o přijetí nápravného opatření poradní mise Evropské komise, jde-li o subjekt evropské kritické infrastruktury.
Dále dochází k postihu porušení povinností na úseku zpracování nebo aktualizace posouzení rizik, resp. neposkytnutí podkladů pro zpracování posouzení rizik České republiky. Zákon o odolnosti subjektů kritické infrastruktury rovněž v případě subjektů evropské kritické infrastruktury postihuje neposkytnutí posouzení rizik nebo seznamu opatření přijatých k zajišťování odolnosti.
Mezi další postihovaná porušení povinností patří:
· porušení podmínek nebo zákazu uložený rozhodnutím Ministerstva vnitra pro zajištění bezpečnosti dodavatelského řetězce,
· neurčení manažera kritické infrastruktury, 
· umožnění vykonávat funkci manažera kritické infrastruktury osobě, která pro to nesplňuje předpoklady (srov. § 17 odst. 2),
· nevyužívání portálu kritické infrastruktury v případech, ve kterých ze zákona musí uvedený portál subjekt kritické infrastruktury použít (není-li jeho použití vyloučeno z objektivní příčiny jeho nefunkčnosti, přičemž v takovém případě se uplatní náhradní způsob komunikace podle § 21 odst. 5 zákona o odolnosti subjektů kritické infrastruktury),
· neumožnění provedení kontroly,
· neumožnění poradní mise Evropské komise nebo nepřijetí nápravného opatření poradní mise Evropské komise, jde-li o subjekt evropské kritické infrastruktury,
· nepřijetí nápravných opatření nebo neoznámení jejich provedení nebo výsledku.
K odstavcům 4 až 9
Ustanovení obsahuje rozpětí pokut, které lze za přestupky podle zákona o odolnosti subjektů kritické infrastruktury uložit. 
S přihlédnutím k typové závažnosti je horní sazba pokuty u některých přestupků kromě explicitně stanovené částky koncipována též alternativně zohledněním ročního obratu vykázaného subjektem kritické infrastruktury (podle toho, která z částek je vyšší), jakožto i přísnějším trestáním recidivy. 
Možnost uložit pokutu do výše zlomku z čistého obratu subjektu kritické infrastruktury lépe reaguje na skutečnost, že subjekty kritické infrastruktury jsou představovány značně nehomogenní množinou osob. Tato skutečnost je determinována mimo jiné i podstatnými odlišnostmi mezi jednotlivými odvětvími, které se následně odráží v počtu a povaze subjektů kritické infrastruktury v nich působících. V případě, kdy v některých případech nebude možné přesvědčivě doložit výši celosvětového čistého obratu, bude aplikována horní sazba stanovená konkrétní částkou. Zároveň je tímto nejlépe naplněn požadavek směrnice CER, která v čl. 22 výslovně vyžaduje, aby sankce byly účinné, přiměřené a odrazující.
Obecně bylo při stanovení rozpětí pokut, resp. jejich horní sazby, bráno v úvahu, aby tyto plnily z hlediska generální prevence odstrašující funkci. Následně v případě, kdy se pachatel přestupku dopustí, je podstatné, aby pokuta byla efektivním nástrojem k jeho nápravě (tedy aby pachatel protiprávního jednání zanechal, neopakoval jej a do budoucna plnil stanovené povinnosti). Soudní praxe dovodila, že aby pokuta za přestupek naplnila svůj účel z hlediska individuální i generální prevence, musí být citelným zásahem do majetkové sféry pachatele. Nikoliv však zásahem vzhledem ke svému účelu nepřiměřeným, resp. likvidačním. Tento parametr lze s ohledem na široké rozpětí sazeb zohlednit v každém individuálním případě.
Pro potřeby efektivnějšího trestání recidivy je v případě některých přestupků stanoveno navýšení horní sazby pokuty, zpravidla na dvojnásobek. Pro potřeby zpřísněného trestání recidivy je zároveň v ustanoveních obsaženo, v jakém případě bude příslušné ustanovení aplikováno – a to prostřednictvím stanovení doby od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným v minulosti, do spáchání přestupku, za který je postihován. Podle typové závažnosti přestupků je tato doba odstupňována od 6 měsíců do 24 měsíců. 
Stanovení sazby pokuty prostřednictvím procentuální výše z obratu není ve vnitrostátním ani unijním kontextu ojedinělé řešení. Kromě návrhu tohoto zákona se objevuje například v návrhu zákona o kybernetické bezpečnosti nebo v nařízení GDPR (viz čl. 83 odst. 4 až 6 GDPR), přičemž i v případě GDPR je zohledněno (obdobně jako ve směrnici CER), aby potrestání bylo „v každém jednotlivém případě účinné, přiměřené a odrazující“. Podle GDPR lze uložit pokutu do výše až 4 % celkového ročního celosvětového obratu.
Ve vnitrostátních předpisech je podobná konstrukce dále obsažena např. v § 105b autorského zákona (do 1 %), § 24 odst. 20 zákona o ochraně spotřebitele (do 4 %), § 162 a násl. zákona o podnikání na kapitálovém trhu (do 15 % - viz např. § 177), § 599 a násl. zákona o investičních společnostech a investičních fondech (do 10 %) atd. 
Je třeba zdůraznit, že podle zásad správního trestání a principů dovozených z judikatury musí být ukládaná taková sankce, aby naplnila cíl generální i individuální prevence, vždy citelným zásahem do majetkové sféry pachatele, nikoliv však zásahem likvidačním (viz např. rozsudek NSS č.j. 1 As 9/2008-133). Konkrétní výše pokuty (uvedená ve výrokové části rozhodnutí) proto vždy musí zohlednit reálné majetkové poměry postihované osoby. Cílem zákona je toliko stanovit horní hranici sazby pokuty - tj. maximální možnou výši sankce, jakou bude moci správní orgán v nejzávažnějších případech oprávněn uložit. V praxi však zpravidla správní orgány neukládají pokuty na samotné horní hranici sazby (zejména pokud není zároveň zjištěno větší množství přitěžujících okolností). 
K § 26 – Společná ustanovení k přestupkům
Navrhované ustanovení stanovuje věcnou příslušnost k projednání přestupků podle předkládaného zákona o odolnosti subjektů kritické infrastruktury. Obecná právní úprava správního trestání vychází z předpokladu, že není-li zákonem stanovena příslušnost k projednávání přestupků, je správním orgánem příslušným k přestupkovému řízení obecní úřad obce s rozšířenou působností (viz § 60 odst. 1 zákona o odpovědnosti za přestupky a řízení o nich). Této možnosti předkládaný návrh nevyužívá s ohledem na povahu jednotlivých skutkových podstat, danou specifickou povahou dotčené agendy. Naopak obsahuje určení věcně příslušných orgánů, které budou přestupky projednávat – konkrétně půjde o Ministerstvo vnitra, další věcně příslušná ministerstva nebo jiné správní úřady či Českou národní banku. 
K odstavci 1
Uvedené ustanovení obsahuje pravidlo, podle kterého přestupek projednává věcně příslušný orgán ve smyslu přílohy (tj. gestor odvětví nebo pododvětví), pokud se porušení povinnosti týká základní služby v předmětném odvětví. Toto řešení vychází z filosofie, že gestor odvětví nebo pododvětví je z hlediska své odbornosti nejvíce způsobilý k projednání přestupků, neboť i tyto ve vztahu k základní službě zpravidla mají vysoce odbornou povahu. V případě, kdy není možné gesční příslušnost na základě tohoto ustanovení určit, obsahuje zákon o odolnosti subjektů kritické infrastruktury postupy k řešení ve větě druhé tohoto odstavce, případně v dalších odstavcích. 
K odstavci 2
Toto ustanovení stanovuje věcnou příslušnost Ministerstva vnitra s ohledem na jeho specifický status na úseku problematiky kritické infrastruktury a zajištění bezpečnosti dodavatelského řetězce. 
Konkrétně bude Ministerstvo vnitra projednávat přestupky související s porušením povinností, které subjekt kritické infrastruktury plní k Ministerstvu vnitra (povinnosti související s informováním o tom, v nebo do kterých členských států Evropské unie poskytuje základní službu a s hlášením incidentů), a v případě subjektu evropské kritické infrastruktury ve vztahu k Evropské komisi nebo její poradní misi. Dále pak přestupky při porušení podmínek nebo zákazu uložených rozhodnutím Ministerstva vnitra pro zajištění bezpečnosti dodavatelského řetězce.
Ministerstvo vnitra bude projednávat přestupky subjektu kritické infrastruktury poskytujícího základní služby ve více odvětvích nebo pododvětvích s odlišným věcně příslušným orgánem (podle přílohy), kdy porušenou povinnost nebude možné podle vztáhnout k základní službě v jediném odvětví (typově půjde o přestupky spočívající např. v nezpracování patřičných dokumentací, neurčení manažera kritické infrastruktury apod.). Jak bylo naznačeno výše, věcná příslušnost Ministerstvo vnitra k projednávání těchto přestupků vyplývá z jeho postavení jako ústředního orgánu státní správy, který je za oblast kritické infrastruktury odpovědný
Jako správce portálu kritické infrastruktury bude dále Ministerstvo vnitra projednávat přestupky související s úmyslným zneužitím uvedeného portálu. 
K odstavci 3
Podle § 25 odst. 3 písm. k, p) a q) se subjekt kritické infrastruktury může dopustit přestupku tím, že neumožní provedení kontroly nebo nepřijme nápravné opatření, případně neoznámí provedení nápravného opatření nebo jeho výsledek ve stanovené lhůtě. Postupy při provádění kontroly a ukládání nápravného opatření jsou upraveny v § 23 a 24 předkládaného zákona. Je žádoucí, aby uvedené přestupky projednával ten orgán, který provedl kontrolu nebo uložil nápravné opatření, jelikož dokáže nejlépe posoudit skutkové okolnosti přestupku.
K odstavci 4
Pro možnost efektivního trestání recidivy se stanoví, že pravomocné rozhodnutí o přestupku podle tohoto zákona se zapisuje do evidence přestupků vedené Ministerstvem spravedlnosti. Uvedené ustanovení reaguje na § 25 odst. 5 až 9, které vždy v druhé větě dotčených ustanovení řeší problematiku přísnějšího postihu v případě recidivy. Aby mohl orgán projednávající přestupek naplnění podmínky pro uložení přísnějšího postihu náležitě posoudit, musí disponovat možností zjistit potřebné informace o přestupkové minulosti osoby, s kterou řízení o přestupku vede.

K § 27 – Režim rovnocennosti
Pokud subjekt kritické infrastruktury přijal technická, bezpečnostní a organizační opatření a vypracoval dokumenty podle jiných právních předpisů, které jsou relevantní pro opatření na posílení odolnosti podle tohoto návrhu zákona, měl by mít možnost tato opatření a dokumenty použít ke splnění požadavků týkajících se opatření k zajištění odolnosti podle tohoto zákona s cílem zabránit zbytečnému zdvojování činností. 
To, zdali je dokumentace či opatření rovnocenné, posuzuje věcně příslušný orgán v součinnosti s Ministerstvem vnitra v rámci kontrolní či metodické činnosti. Režim rovnocennosti má za cíl odstranit zbytečnou administrativní zátěž subjektů kritické infrastruktury.
Současně bude v případě relevance a uvedení této informace možné považovat i další úkony podle jiných právních předpisů za ekvivalentní k úkonům podle tohoto návrhu zákona. Příkladem mohou být identifikována aktiva podle zákona upravujícího kybernetickou bezpečnost, která případně a za předpokladu splnění podmínek podle předchozí věty, bude možné považovat za kritickou infrastrukturu podle tohoto návrhu zákona.
Současně vzhledem k tomu, že mají členské státy podporovat v souladu se článkem 16 směrnice CER subjekty kritické infrastruktury ve využívání evropských a mezinárodních standardů, norem a technických specifikací týkajících se opatření v oblasti bezpečnosti a odolnosti, je žádoucí, aby dokumentace, či opatření přijímané podle těchto standardů, norem a technických specifikací byly uznány rovnocenné, pokud svým obsahem naplňují obsah tohoto zákona.
K § 28 – Vztah k odvětvovým právním předpisům Evropské unie
Pokud přímo použitelný předpis Evropské unie stanoví subjektům kritické infrastruktury povinnosti v oblasti zajišťování odolnosti subjektů kritické infrastruktury a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti, které jsou subjektům kritické infrastruktury stanoveny podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavést a provádět opatření k posilování odolnosti a hlásit incidenty se vůči těmto orgánům a osobám neuplatní, a to včetně ustanovení o dozoru nad dodržováním uvedených povinností.  
Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v navrhovaném zákoně podle odstavce 1 se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný předpis Evropské unie sám stanoví. 
Toto ustanovení má za cíl minimalizovat duplikování požadavků kladených na subjekty kritické infrastruktury ze strany navrhovaného zákona a právních předpisů Evropské unie. Pokud tedy subjekt kritické infrastruktury aplikuje opatření podle přímo použitelného právního předpisu Evropské unie, které je co do míry účinku srovnatelné s opatřením podle navrhovaného zákona, považuje se povinnost provést opatření podle navrhovaného zákona za splněnou.
K § 29 – Ustanovení společná, přechodná a závěrečná
K odstavci 1
Povinnosti stanovené tímto zákonem subjektu kritické infrastruktury se nevztahují na subjekty kritické infrastruktury v odvětvích bankovnictví nebo infrastruktury finančních trhů. Toto ustanovení je transpozicí článku 8 směrnice CER. 
Pokud ustanovení odvětvových právních aktů Unie vyžadují, aby subjekty kritické infrastruktury přijaly opatření k posílení své odolnosti ve výše zmíněných odvětvích, a pokud jsou tyto požadavky uznány Českou národní bankou za přinejmenším rovnocenné odpovídajícím povinnostem vyplývajícím ze směrnice CER, neměla by se příslušná ustanovení této směrnice, resp. tohoto návrhu zákona uplatnit, aby se zabránilo zdvojování a zbytečné zátěži subjektů kritické infrastruktury ve výše uvedených odvětvích. V takovém případě by se měla použít příslušná ustanovení nařízení DORA. 
Nicméně práva subjektu kritické infrastruktury byla zachována i pro subjekty kritické infrastruktury v odvětvích bankovnictví nebo infrastruktury finančních trhů. Za tímto účelem je nezbytné, aby subjekt kritické infrastruktury identifikoval kritickou infrastrukturu, kritické zaměstnance a kritického dodavatele, jelikož vůči těmto oprávnění směřují. Z tohoto důvodu byla těmto subjektům ponechána povinnost v rozsahu § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j) a o). 
K odstavci 2
Povinnosti stanovené tímto zákonem subjektu kritické infrastruktury se nevztahují na subjekty kritické infrastruktury v odvětví digitální infrastruktura. Toto ustanovení je transpozicí článku 8 směrnice CER.
Pokud ustanovení zákona upravujícího kybernetickou bezpečnost vyplývající ze směrnice NIS2 vyžadují, aby subjekty kritické infrastruktury přijaly opatření k posílení své odolnosti ve výše zmíněném odvětví, a pokud jsou tyto požadavky uznány věcně příslušným orgánem za přinejmenším rovnocenné odpovídajícím povinnostem vyplývajícím ze směrnice CER, neměla by se příslušná ustanovení této směrnice, resp. tohoto návrhu zákona uplatnit, aby se zabránilo zdvojování a zbytečné zátěži subjektů kritické infrastruktury v odvětví digitální infrastruktura. V takovém případě by se měla použít příslušná ustanovení zákona upravujícího kybernetickou bezpečnost. 
Nicméně práva subjektu kritické infrastruktury byla zachována i pro subjekty kritické infrastruktury v odvětví digitální infrastruktura. Za tímto účelem je nezbytné, aby subjekt kritické infrastruktury identifikoval kritickou infrastrukturu, kritické zaměstnance, kritické dodavatele a informoval o svých věcných prostředcích, jelikož vůči těmto oprávnění směřují. Z tohoto důvodu byla těmto subjektům ponechána povinnost v rozsahu § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j), o) a q). 
Výjimka z tohoto zákona se týká pouze subjektů kritické infrastruktury, resp. je platná od jejich zařazení na seznam subjektů kritické infrastruktury. Povinnosti pro poskytovatelé základní služby směřující k jejich zařazení na seznam subjektů kritické infrastruktury zůstávají v platnosti.
K odstavci 3
Plnění povinností v omezeném režimu je dále stanoveno v případě subjektu kritické infrastruktury v odvětví veřejné správy, který poskytuje základní službu přímo související se zajišťováním obrany České republiky. Uvedené ustanovení navazuje na čl. 1 odst. 6 a 7 směrnice CER. Konkrétně je spektrum plněných povinností zúženo o povinnosti podle § 14 odst. 1 písm. j) a l), § 19 a 20. 
K odstavci 4
Vzhledem ke skutečnosti, že je seznam subjektů kritické infrastruktury neveřejný, je nezbytné, aby hasičský záchranný sbor kraje, stejně jako ČÚZK, bral tuto skutečnost na vědomí a zachoval neveřejnost a ochranu těchto informací.
K § 30 – Zmocňovací ustanovení
Návrh zákona předpokládá vydání několika prováděcích právních předpisů. Konkrétně se bude jednat o  nařízení vlády k provedení § 10 odst. 2 a vyhlášky Ministerstva vnitra k provedení § 14 odst. 6, § 16 odst. 2, § 20 odst. 5, § 21 odst. 9. V této souvislosti bude zrušeno nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění pozdějších předpisů, v němž byla doposud upravena problematika určování prvků kritické infrastruktury. Zmocnění k vydání prováděcích právních předpisů respektují čl. 49 Legislativních pravidel vlády, neboť konkretizují oblasti, které mají být upraveny, a rozsah úpravy. Předkladatel v rámci prováděcí právní úpravy bude respektovat zásadu secundum et intra legem, neboť stanovení primárních povinností nebude předmětem prováděcí právní úpravy.
Rozsah zmocnění je uveden v odkazovaných ustanoveních, přičemž § 30 upravuje toliko orgán, který prováděcí právní předpis vydá. 
Současně s návrhem zákona jsou předkládány teze zmíněných prováděcích právních předpisů.
K § 31 – Přechodná ustanovení
Jsou stanovena přechodná ustanovení z důvodu současně účinné regulace v podobě ochrany kritické infrastruktury zakotvené v krizovém zákoně a současně z důvodu nutnosti akceptace určitých termínů vycházející ze směrnice CER.
Klíčové datum pro subjekty kritické infrastruktury je 17. července 2026. Do této doby by měli všichni, kteří se domnívají, že jsou poskytovateli základní služby provést proces sebehodnocení a splnit svou informační povinnost vůči gestorovi a Ministerstvu vnitra, aby mohli být zařazeny na seznam subjektů kritické infrastruktury, jelikož každý poskytovatel základní služby bude mít povinnost informovat věcně příslušnému ministerstvo, ústřednímu správnímu úřadu nebo Českou národní bance poprvé podle § 9 odst. 1 nejpozději do 1. března 2026.
Ministerstvo vnitra dále předloží Evropské komisi první souhrnnou zprávu o hlášených incidentech do 17. července 2028 a informuje Evropskou komisi o určení jednotného kontaktního místa s uvedením jeho kontaktních údajů, úkolů a povinností do 3 měsíců ode dne účinnosti tohoto zákona.
K ČÁSTI DRUHÉ: ZMĚNA ZÁKONA O PŮSOBNOSTI SPRÁVY STÁTNÍCH HMOTNÝCH REZERV
V části pojmosloví se jedná se legislativně-technickou změnu související se změnou terminologie na úseku kritické infrastruktury.
Odůvodnění účelu dalších změn je uvedeno podrobněji v části první u § 14.
K ČÁSTI TŘETÍ: ZMĚNA ZÁKONA O ZEMĚMĚŘICTVÍ
Jedná se legislativně-technickou změnu související se změnou terminologie na úseku kritické infrastruktury. 
K ČÁSTI ČTVRTÉ: ZMĚNA ZÁKONA O SVOBODNÉM PŘÍSTUPU K INFORMACÍM
Za účelem zajištění ochrany citlivých informací a dalších údajů o subjektech kritické infrastruktury a činnostech související s řešením krizových situací, jejichž zveřejnění by mohlo mít negativní dopad v souvislosti s přípravou nebo řešením krizové situace, byla navržena novela zákona o svobodném přístupu k informacím. 
Pro oblast krizového řízení se konkrétně jedná o § 11 odst. 1 písm. d), kdy povinný subjekt může omezit poskytnutí informace. Tedy je zde ponechána možnost správního uvážení a posouzení dopadu na dva chráněné zájmy, konkrétně zajištění bezpečnosti a práva na informace.
Příslušnou změnou dochází k vyjasnění toho, že institut bezpečnostního opatření podle písmene d) se vztahuje nejen na oblasti čistě bezpečnostní, jak implikuje současné znění a text příslušné důvodové zprávy, ale že má zahrnovat též problematiku související s připraveností a řešením krizových situací a krizovým řízením obecně. Ve shodě s definičním vymezením pojmu bezpečnostní opatření tak bude pro oblast krizového řízení zahrnovat veškeré podklady, opatření a postupy, které jsou využívané či zpracovávané k připravenosti subjektu na krizové situace a k jejich řešení, včetně těch, které jsou označovány jako zvláštní skutečnosti podle § 27 krizového zákona. Za dodržení dalších zákonných podmínek tak může jít o širokou škálu nástrojů, které vychází jak z ústavního zákona o bezpečnosti České republiky, tak ze zákona o krizovém řízení, popřípadě v odůvodněných případech vazby na krizovou situaci i jiných právních předpisů (např. zákon o integrovaném záchranném systému). Vždy se bude jednat o informace, které sice nejsou utajované, ale i přesto jsou citlivé povahy a není žádoucí, aby vešly v obecnou známost. 
V oblasti odolnosti subjektů kritické infrastruktury pak povinný subjekt informace vztahující se k základním službám, a tedy i subjektu kritické infrastruktury, neposkytne v žádném případě. Tento postup je zvolen zejména s ohledem na to, že je zapotřebí chránit subjekty kritické infrastruktury a současně zachovat jejich důvěru v orgány státní správy, že jim mohou poskytovat pro ně citlivé informace, se kterými následně orgány rovněž pracují a využívání pro plnění úkolů stanovených návrhem zákona o odolnosti subjektů kritické infrastruktury a nebude tak možné je zveřejnit na základě tohoto zákona.
K ČÁSTI PÁTÉ: ZMĚNA ZÁKONA O INTEGROVANÉM ZÁCHRANNÉM SYSTÉMU

K § 5 odst. 1
Navrhované ustanovení § 5 řeší nevyhovující stav názvosloví stálých orgánů pro koordinaci složek IZS v rámci aktuálního znění § 5. Nahrazuje slovní spojení „operační střediska hasičského záchranného sboru kraje“ slovním spojením „Krajské operační a informační středisko“ a nahrazení slovního spojení „operační a informační středisko generálního ředitelství hasičského záchranného sboru“ slovním spojením „Národní operační a informační středisko“, a to v souladu s organizační změnou hasičského záchranného sboru ČR. 
K § 20 odst. 1
Navrhovaná změna stávajícího znění toliko reflektuje navrhovanou znění ustanovení § 5 odst. 1, kdy nahrazuje slovní spojení „operačního a informačního střediska generálního ředitelství hasičského záchranného sboru“ slovním spojením „Národního operačního a informačního střediska“.
K § 29 a 29a
Aktuálně platné znění § 29 řešící komplexně náhradu za omezení vlastnického práva, poskytnutí věcné a osobní pomoci je navrženo k rozdělení do dvou samostatných ustanovení, a sice nový § 29 pro úpravu problematiky náhrad za omezení vlastnického práva nebo poskytnutí pomoci a nový § 29a pro úpravu postupů při uplatnění nároku na peněžní náhradu. Záměrem je reflektovat aplikační praxi při uplatňování náhrad. Proto je daná problematika návrhem logicky rozdělena do samostatných paragrafů a doplněna o podrobnější úpravu některých skutečností a procesů. Současně dochází ke koncepční změně v entitě, která má nárok projednávat a případně náhradu poskytnout, kdy s ohledem na soukromoprávní povahu nároku i dostupnost podkladových materiálu pro vypořádání nároku primárně v rámci složek státu se tak nově bude dít uplatněním nároku u hasičského záchranného sboru kraje v postavení organizační složky státu. Úprava je koncipována jako zvláštní k úpravě občanského zákoníku a dalších v úvahu připadajících právních předpisů, přičemž reflektuje i souběžně navrhovanou úpravu náhrad v rámci krizového zákona. V případě neposkytnutí náhrady státem, má osoba možnost se se svým nárokem obrátit formou občanskoprávní žaloby na soud. Nárok na náhradu je promlčitelný v tříleté lhůtě ode dne ukončení zásahu, v rámci něhož nárok na náhradu vznikl. Obdobně ke stávající právní úpravě se pak stanoví originární nárok státu požadovat uhrazení výdajů, které vynaložil jako náhradu po osobě, která mimořádnou událost zapříčinila. Za pomoc poskytovanou dobrovolně nenáleží odměna obdobně jako u zákona o dobrovolnické službě, čímž je do budoucna zamezeno rozdílnému přístupu k osobám dobrovolnou pomoc poskytujícím.
K § 30 a 30a
Aktuálně platné znění § 30 řešící komplexně náhradu škody způsobenou právnickým a fyzickým osobám vzniklou v příčinné souvislosti se záchrannými a likvidačními pracemi a cvičeními prováděnými podle tohoto zákona je navrženo k rozdělení do dvou samostatných ustanovení, a sice nový § 30 pro úpravu problematiky náhrady újmy a nový § 30a pro úpravu postupů při uplatnění nároku na náhradu újmy. Záměrem je reflektovat aplikační praxi při uplatňování náhrad. Proto je daná problematika návrhem logicky rozdělena do samostatných paragrafů a doplněna o podrobnější úpravu některých skutečností a procesů. Současně dochází ke koncepční změně v entitě, která má nárok projednávat a případně náhradu poskytnout, kdy s ohledem na soukromoprávní povahu nároku i dostupnost podkladových materiálu pro vypořádání nároku primárně v rámci složek státu se tak nově bude dít uplatněním nároku u hasičského záchranného sboru kraje v postavení organizační složky státu. Úprava je koncipována jako zvláštní k úpravě občanského zákoníku a dalších v úvahu připadajících právních předpisů, přičemž reflektuje i souběžně navrhovanou úpravu náhrad v rámci krizového zákona. V případě neposkytnutí náhrady státem, má osoba možnost se se svým nárokem obrátit formou občanskoprávní žaloby na soud. Včasné neuplatnění nároku u hasičského záchranného sboru kraje však způsobuje zánik práva. Obdobně ke stávající právní úpravě se pak stanoví originární nárok státu požadovat uhrazení výdajů, které vynaložil jako náhradu po osobě, která mimořádnou událost protiprávním jednáním zapříčinila. Výslovně se pak stanoví, že nelze požadovat náhradu škody osobou, v jejíž prospěch je zásah veden, což činí výjimku z jinak užitého principu objektivní odpovědnosti státu.
K § 33 odst. 1
Jedná se o změnu cílící na zvýšení právní jistoty – tj. aby nebyl pochyb o tom, v jakém rozsahu se neuplatní správní řád.
K ČÁSTI ŠESTÉ: ZMĚNA KRIZOVÉHO ZÁKONA
K § 1 
Navrhovaná úprava odstavce 1 reaguje na transpozici směrnice CER do samostatného zákona o odolnosti subjektů kritické infrastruktury. Směrnice CER upravuje současný systém kritické infrastruktury, který byl dosud legislativně ukotven v rámci krizového zákona. Směrnice CER zároveň přímo nahrazuje současnou směrnici EKI, která se na úrovni Evropské unie ruší s účinností od 18. října 2024. Z původního znění krizového zákona tak jsou odstraněny všechny části, které souvisí se systémem kritické infrastruktury nebo s i transpozicí směrnice EKI. S touto změnou zároveň souvisí i vyškrtnutí odstavce 2. V navrhované novele krizového zákona je ve vazbě na nový systém odolnosti subjektů kritické infrastruktury zachována provázanost některých krizových opatření. Konkrétně se jedná o krizové opatření související s přednostním zásobováním a dále specifikace krizového opatření k nařízení pracovní povinnosti nebo pracovní výpomoci vůči kritickým zaměstnancům subjektu kritické infastruktury a stanovení souvisejících výjimek pro pracovníky subjektu kritické infrastruktury.
K § 2 
V ustanovení § 2 v písm. a) a b) je navržena úprava definic krizového řízení a krizové situace, a to ve vazbě na transpozici směrnice CER do národní legislativy a související změnu systému kritické infrastruktury. Nový systém kritické infrastruktury je zaměřen především na subjekty kritické infrastruktury a poskytování základní služby místo prvků kritické infrastruktury. Úprava definic rovněž reflektuje přesun od ochrany kritické infrastruktury směrem k posilování odolnosti subjektů kritické infrastruktury. Odolnost je v tomto kontextu chápána jako širší soubor technických, bezpečnostních a organizačních opatření s cílem předcházet vzniku incidentů, odolávat jim a zotavit se z nich, a to včetně zajištění kontinuity činnosti. Navrhovaná úprava zároveň nevyjímá problematiku kritické infrastruktury z oblasti krizového řízení a ponechává tak jeho chápání v obdobném smyslu, jak je tomu v současné době.
Z důvodu transpozice směrnice CER a s tím souvisejícího návrhu zákona o odolnosti subjektů kritické infrastruktury rovněž dochází k vyškrtnutí veškerých pojmů, které byly do krizového zákona zahrnuty v souvislosti s transpozicí směrnice EKI v roce 2010. Konkrétně se jedná o vyškrtnutí definic kritické infrastruktury, evropské kritické infrastruktury, prvku kritické infrastruktury, ochrany kritické infrastruktury, subjektu kritické infrastruktury, průřezových kritérií a odvětvových kritérií (§ 2 písm. g) až m)).
K § 4 
K odstavci 1
Návrh novely krizového zákona upravuje vymezení role vlády v systému krizového řízení, a to v návaznosti na vyjmutí problematiky ochrany kritické infrastruktury z krizového zákona. V návaznosti na nový samostatný zákon o odolnosti kritické infrastruktury je rovněž navrženo vyškrtnutí úkolů a pravomocí vlády, které se týkají oblasti kritické infrastruktury. Konkrétně se jedná o vyškrtnutí ustanovení písmen d) a e), kterým vláda stanovuje průřezová a odvětvová kritéria a také ustanovení, podle kterého vláda určovala prvky kritické infrastruktury, jejichž provozovatelem je organizační složka státu.
K odstavci 3
Toto ustanovení přidává vládě nové kompetence na úseku připravenosti České republiky na řešení krizových situací. Úprava souvisí s vytvořením nové krizové plánovací dokumentace na ústřední úrovni (krizový plán České republiky), která bude zastřešujícím dokumentem zahrnujícím celé území České republiky. Úprava v tomto případě rovněž reaguje na dlouhodobá doporučení na zpracovávání tohoto typu plánovací dokumentace ze strany mezinárodních institucí, zejména z úrovně Evropské unie. Toto doporučení se například objevuje ve vyhodnoceních Evropské komise, která se týkají pravidelných hlášení členských států EU v souladu s rozhodnutím Evropského parlamentu a Rady č. 1313/2013/EU ze dne 17. prosince 2013 o mechanismu civilní ochrany Unie. Krizový plán České republiky bude zpracován Ministerstvem vnitra ve spolupráci s ministerstvy a jinými ústředními správními úřady do čtyř let od nabytí účinnosti tohoto zákona. Následné pravidelné aktualizace budou probíhat v rámci čtyřletých cyklů, přičemž v případě potřeby bude možné aktualizaci provádět i mimo tyto pravidelné aktualizace. Konkrétní způsob aktualizace a lhůty pro její provedení budou uvedeny v prováděcím právním předpise.
Úprava dále legislativně zakotvuje povinnost schvalovat posouzení rizik České republiky, které je základem pro tvorbu plánovací dokumentace, zejména národního krizového plánu. Požadavek na zpracování posouzení rizik vychází z rozhodnutí Evropského parlamentu a Rady č. 1313/2013/EU ze dne 17. prosince 2013 o mechanismu civilní ochrany Unie. Navrhované posouzení rizik nahrazuje a aktualizuje dříve zpracovanou Analýzu hrozeb ČR, (schválena usnesením vlády ze dne 27. dubna 2016 č. 369). Náležitosti a způsob zpracování posouzení rizik České republiky stanoví prováděcí právní předpis. Posouzení rizik bude schvalováno na dobu čtyř let, což odpovídá maximální lhůtě pro aktualizaci krizového plánu České republiky. V případě potřeby však bude možné provést její aktualizaci dříve. Posouzení rizik České republiky bude rovněž splňovat náležitosti a požadavky na národní posouzení rizik podle směrnice CER, které je zaměřeno na posilování odolnosti subjektů kritické infrastruktury v rámci České republiky. Posouzení rizik České republiky bude zpracováno do jednoho roku od účinnosti krizového zákona, přičemž další pravidelné termíny aktualizace tohoto posouzení budou stanoveny spolu s jeho strukturou a požadovaným obsahem v prováděcím právním předpise.
K § 6 odst. 2 
Navrhovaná úprava odstavci 2 v písm. g) bod 3 reaguje na implementaci směrnice CER do samostatného zákona o odolnosti kritické infrastruktury, a s tím související úpravu terminologie. Konkrétně je tak přednostní zásobování prvku kritické infrastruktury změněno na přednostní zásobování subjektu kritické infrastruktury.
K § 9
Ustanovení rozšiřuje podmínky připravenosti na krizové situace a jejich řešení zavedením nových povinností souvisejících se zpracováním posouzení rizik České republiky a krizového plánu České republiky, zpracováním typového plánu a plněním úkolů podle Krizového plánu České republiky.
Současný odstavec 3 je v návrhu novely krizového zákona vyškrtnut z důvodu transpozice směrnice CER.V rámci novely krizového zákona je vyškrtnut odstavec 5, který se týká zmocňovacích ustanovení pro vydání vyhlášky Ministerstva školství mládeže a tělovýchovy a Českého Báňského úřadu. Důvodem vyškrtnutí odstavce 5 je jeho faktické přesunutí do části zákona, která se týká zmocňovacích ustanovení (§ 40 návrhu zákona).
K § 10 
K odstavci 1
Ustanovení upravuje činnosti Ministerstva vnitra při koordinaci výkonu státní správy v návaznosti na návrh zákona o odolnosti subjektů kritické infrastruktury. Původní písm. e) až i) jsou odstraněna v návaznosti na úpravu oblasti kritické infrastruktury samostatným zákonem o odolnosti subjektů kritické infrastruktury. Návrh novely upravuje také kompetence Ministerstva vnitra uvedené v písm. d), které se týkají vedení evidence o přechodných změnách pobytu. Návrh novely krizového zákona počítá s vedením této evidence skrze informační systém krizového řízení, který je v zákoně dále řešen v § 26 a 26a, přičemž správcem tohoto informačního systému je právě Ministerstvo vnitra. Jelikož však návrh novely i nadále počítá s oprávněním hejtmana vyhlásit krizové opatření k vedení evidence o přechodných změnách pobytu osob za stavu nebezpečí, je nutné vedení evidence ze strany Ministerstva vnitra rozšířit i na tento krizový stav. 
Nově se zavádí povinnosti ke zpracování tzv. ústřední krizové dokumentace, která obsahuje posouzení rizik ČR a Krizový plán ČR, k čemuž využívá podkladů zpracovaných gesčními ministerstvy nebo jinými ústředními správními úřady.
Posouzení rizik ČR bude kromě obecného posouzení rizik v souladu s čl. 6 odst. 1 rozhodnutí č. 1313/2013/EU obsahovat i požadavky stanovené směrnicí CER, a v této souvislosti zohlední přírodní rizika a rizika způsobená člověkem, včetně meziodvětvových nebo přeshraničních rizik, která by mohla poskytování základních služeb ovlivnit, včetně havárií, přírodních katastrof, mimořádných událostí v oblasti veřejného zdraví, jako jsou pandemie, a hybridní hrozby či jiné antagonistické hrozby, včetně teroristických trestných činů, pronikání trestné činnosti a sabotáže. Při provádění posouzení rizik bude zváženo další obecné nebo odvětvové posouzení rizik provedené podle jiných právních aktů Unie a bude zohledněna závislost odvětví nebo pododvětví ve vztahu k jiným odvětvím nebo pododvětvím.  Posouzení rizik musí být provedeno do 17. ledna 2026 a následně v případě potřeby a alespoň každé čtyři roky. Zpracováno bude standardním postupem, který byl nastaven i v rámci zpracování Analýzy hrozeb ČR (2015), tedy v součinnosti s věcně příslušnými ministerstvy, jinými ústředními správními úřady nebo Českou národní bankou a dále ve spolupráci s odborníky a dalšími relevantními aktéry. 
K odstavci 2
Jde o legislativně-technickou úpravu spočívající v úpravě odkazu.
K § 12a
Původní odstavec 2 se zrušuje. Navrhovaná úprava reaguje na implementaci směrnice CER do samostatného zákona o odolnosti subjektů kritické infrastruktury.
K § 13 
Úpravou tohoto ustanovení dochází k úpravě kompetencí České národní banky v systému krizového řízení. Česká národní banka se nově podílí na zpracování krizového plánu České republiky, posouzení rizik České republiky a na zpracování typových plánů, které mohou ze zpracovaného posouzení rizik České republiky plynout, a které spadají do věcné působnosti České národní banky. Dále se podílí na plnění úkolů vyplývajících z krizového plánu České republiky.
Ustanovení uvedená v odstavce 4 se ruší, neboť navrhovaná úprava reaguje na implementaci směrnice CER do samostatného zákona o odolnosti subjektů kritické infrastruktury, který problematiku kritické infrastruktury vyjímá z krizového zákona.
K § 14
K odstavci 2 písm. d)
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, která nebyla reflektována v předchozí novele krizového zákona.
K odstavci 2 písm. e)
Nová povinnost plnit úkoly stanovené v krizovém plánu České republiky vyplývá z navrhované úpravy, podle které se bude nově na ústřední úrovni zpracovávat krizový plán České republiky v návaznosti na zpracované posouzení rizik České republiky. Tímto ustanovením pouze dochází k začlenění krizového plánu České republiky do systému krizové plánovací dokumentace a jeho navázání na činnosti příslušných orgánů krizového řízení.
K odstavci 4 písm. d)
Uvedená změna reaguje na implementaci směrnice CER do samostatného zákona o odolnosti kritické infrastruktury, a s tím související úpravu terminologie. Konkrétně je tak přednostní zásobování prvku kritické infrastruktury změněno na přednostní zásobování subjektu kritické infrastruktury.
K § 14a odst. 1 písm. b)
 Nová povinnost plnit úkoly stanovené v krizovém plánu České republiky vyplývá z navrhované úpravy, podle které se bude nově na ústřední úrovni zpracovávat krizový plán České republiky v návaznosti na zpracované posouzení rizik České republiky. Tímto ustanovením pouze dochází k začlenění krizového plánu České republiky do systému krizové plánovací dokumentace a jeho navázání na činnosti příslušných orgánů krizového řízení.
K § 15 odst. 1 písm. e)
Nová povinnost plnit úkoly stanovené v krizovém plánu České republiky vyplývá z navrhované úpravy, podle které se bude nově na ústřední úrovni zpracovávat krizový plán České republiky v návaznosti na zpracované posouzení rizik České republiky. Tímto ustanovením pouze dochází k začlenění krizového plánu České republiky do systému krizové plánovací dokumentace a jeho navázání na činnosti příslušných orgánů krizového řízení.
K § 15 odst. 1 písm. f)
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, která nebyla reflektována v předchozí novele krizového zákona.
K § 16 odst. 2
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, která nebyla reflektována v předchozí novele krizového zákona.
K § 18
K odstavci 2 písm. d)
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, která nebyla reflektována v předchozí novele krizového zákona.
K odstavci 3 
Ustanovení reflektuje současný stav, kdy v krizovém plánu kraje mohou být starostovi uloženy úkoly pro řešení krizové situace. Ustanovení je zároveň v souladu s obdobným ustanovením § 14 odst. 2 písm. e), které stanovuje povinnost hejtmana plnit úkoly z krizového plánu ČR.
Vyškrtnutí písmena d) souvisí s legislativním ukotvením informačního systému krizového řízení v § 26 a 26a.
K § 19 odst. 1 písm. b)
Ustanovení doplňuje povinnost obecního úřadu obce s rozšířenou působností plnit jak úkoly vyplývající z krizového plánu ORP, tak i krizového plánu kraje. Ustanovení není v rozporu se současným stavem a je v souladu s nastavenou filozofií, kdy krizový plán vyšší úrovně může ukládat úkoly orgánům krizového řízení na nižší úrovni.
K § 21
K odstavci 2 písm. c)
Ustanovení reflektuje současný stav, kdy v krizovém plánu kraje mohou být starostovi uloženy úkoly pro řešení krizové situace. Ustanovení je zároveň v souladu s obdobným ustanovením § 14 odst. 2 písm. e), které stanovuje povinnost hejtmana plnit úkoly z krizového plánu ČR.
K odstavci 2 písm. d)
Vyškrtnutí písmene d) souvisí s legislativním ukotvením informačního systému krizového řízení v § 26 a 26a.
K § 21a odst. 1 písm. f)
Ustanovení doplňuje povinnost obecního úřadu plnit jak úkoly vyplývající z krizového plánu ORP, tak i krizového plánu kraje. Ustanovení není v rozporu se současným stavem a je v souladu s nastavenou filozofií, kdy krizový plán vyšší úrovně může ukládat úkoly orgánům krizového řízení na nižší úrovni.
K § 26 
Ustanovení § 26 je nahrazeno novým zněním, které odpovídá záměru vybudovat jednotný informační systém krizového řízení (ISKŘ), jehož účelem je zejména podpora orgánů krizového řízení při řešení krizových situací. Orgány krizového řízení mají povinnost ISKŘ využívat. Podmínkou je sdílení dat mezi těmito systémy, neboť záměrem ISKŘ není nahradit jiné informační systémy, které se např. využívají na krajích při zpracování plánovací dokumentace a předávání informací.
Nedávno řešené krizové situace (zejména pandemie COVID-19 a migrační vlna) poukázaly na to, že pro efektivní řízení a koordinaci činností nezbytných pro řešení krizové situace je třeba získávat velké množství dat, tato data dále zpracovávat a analyzovat, případně je dále evidovat. 
Z důvodů technických omezení není možné a ani žádoucí potřebné údaje začít sdílet až v době krizové situace. Sdílení velkého množství dat je časově náročné a řešení krizových situací vyžaduje okamžitý zdroj dat, která je možné využívat, analyzovat, a z kterých je třeba vycházet při strategických rozhodnutích, která nesnesou odkladu (není možné čekat hodiny či dny, než si infomační systémy předají potřebné informace). Je třeba tedy již v době přípravy na krizové situace nastavit vhodné toky informací z nejvýznamnějších informačních systémů a nastavit technická opatření pro sdílení předem známých dat. 
Správce ISKŘ bude při potřebě získání či sdílení údajů se základními registry, s agendovými informačními systémy, s informačními systémy státní správy a s informačními systémy soukromoprávních postupovat v souladu s příslušnými ustanoveními zákona č. 111/2009 Sb., o základních registrech. S ohledem na různý charakter krizových situací a nemožnost přesně předvídat jejich povahu a rozsah, nelze předem striktně stanovit, které údaje a v jakém rozsahu budou pro řešení dané krizové situace nezbytné. S ohledem na specifičnost informačního systému infekčních nemocí budou konkrétní rozsah a podmínky propojení s ISKŘ řešeny dohodou mezi dotčenými rezorty. 
ISKŘ je budován jako jednotná platforma pro řešení krizových situací na území České republiky. Jeho jednotlivé části umožňují orgánům krizového řízení zejména sbírat a analyzovat aktuální údaje o řešení krizové situace a informovat veřejnost. ISKŘ tvoří v současném návrhu tyto základní komponenty:
1. Národní portál krizového řízení – je vstupní branou do ISKŘ, přičemž je sám rozdělen na volně přístupnou část a část vyžadující přihlášení. Volně přístupná část je určena pro informování obyvatelstva o probíhajících krizových situacích, o zaváděných opatřeních a omezeních. Zároveň budou na národním portálu umístěny rady obyvatelstvu pro ochranu člověka za mimořádných událostí a zásadní veřejné dokumenty z oblasti ochrany obyvatelstva, krizového řízení a bezpečnosti. V chráněné části národního portálu získají oprávnění uživatelé podrobné informace o probíhajících krizových situacích, včetně neveřejných statistických údajů (dashboardy), a přistupují jeho prostřednictvím do dalších komponent a modulů ISKŘ. V národním portálu bude uveřejněn i Krizový plán České republiky se svými přílohami.
2. Konektor a datová základna – slouží primárně k propojení ISKŘ na základní registry (ISZR), vybrané agendové informační systémy (AIS) a informační systémy státní správy (ISSS) či dalších subjektů. Poskytuje unifikované zabezpečené rozhraní a datový prostor pro ukládání dohodnutých údajů ze základních registrů a informačních systémů, tzv. datovou základnu. Konektor zajišťuje nepřetržitou aktualizaci dat v datové základně. Data jsou pro uživatele ISKŘ zpřístupněna pouze v případě řešení konkrétní krizové situace (viz Správa krizové situace), v běžném stavu je propojení mezi datovou základnou konektoru a DB ISKŘ přerušeno. Konektor zajistí přístup k údajům základních registrů a dalších informačních systémů i v případě výpadku ISZR či příslušných AIS. Předávání dat mezi ISKŘ a ISZR/AIS bude realizováno vždy pomocí referenčního rozhraní veřejné správy. Práce s osobními údaji je logována v souladu s požadavky příslušných úřadů.
3. Správa identit a přístupů – zajišťuje evidenci uživatelů a správu jejich přístupů k jednotlivým komponentám, modulům a jednotlivým údajům. Využívá všech standardních nástrojů k zajištění bezpečné komunikace s ISKŘ, např. JIP-KAAS, NIA ID, více faktorové ověřování atd. Komponenta umožňuje dynamicky udělovat přístupy k jednotlivým údajům nebo k větším celkům dat.
4. Správa krizové situace – umožňuje nastavit ISKŘ pro řešení konkrétní krizové situace. Obsahuje nástroje pro definici zasaženého území, využívaných komponent a modulů a definici odpovědných uživatelů – administrátorů. Schválením připraveného nastavení cestou HZS ČR, MV či MO (podle typu krizové situace) dojde k uvolnění jasně specifikovaných dat oprávněným uživatelům. Komponenta slouží i k ukončení krizové situace, tímto úkonem dojde k anonymizaci všech osobních údajů osob dotčených krizovou situací. Zároveň se pro všechny uživatele uzavírá přístup k datům v datové základně konektoru.
5. Humanitární pomoc (HUMPO) – komponenta obsahuje moduly, které jsou určeny k řešení konkrétních úkolů. Vytvořením dále uvedených modulů bude nově zajištěna centrální koordinace řešení krizové situace. Mezi základní moduly budou patřit:
a. Komunikace krizových štábů – poskytne jednotnou platformu pro výměnu informací mezi krizovými štáby ORP, krajů, ÚSÚ a ÚKŠ. Nahradí dnes používaný systém vyplňování a zasílání formulářů cestou e-mailových schránek jednotlivých úřadů. Kromě zefektivnění komunikace dojde k výraznému zvýšení bezpečnosti při výměně citlivých údajů.
b. Evidence osob při krizových situacích s velkým počtem zraněných – zajistí rychlou výměnu informací mezi místem zásahu, zdravotnickou záchrannou službou, nemocnicemi, PČR a informační linkou IZS. Bude poskytovat základní přehled o místě hospitalizace zraněných, případně o nutnosti informovat rodinné příslušníky. Je základním nástrojem pro předávání informací příbuzným zasažených osob.
c. Přechodné pobyty – určený k plnění povinnosti dané orgánům krizového řízení krizovým opatřením „hlášení přechodné změny pobytu osob“. 
d. Evakuace – umožňuje vést kompletní evidenci evakuovaných osob i evakuačních středisek, včetně sledování kapacit, potřeb apod.
e. Humanitární a dobrovolná pomoc – poskytne nástroj pro evidenci požadavků na poskytnutí materiální či dobrovolné humanitární pomoci pro konkrétní občany, obce či organizace. Bude obsahovat evidenci poskytnuté pomoci i evidenci místa a času nasazení dobrovolníků. Nedílnou součástí modulu bude i dynamický formulář pro sběr údajů o potřebách na území zasaženém krizovou situací a propojení na data spolupracujících NNO.
f. Psychosociální pomoc – slouží k evidenci poskytnuté psychosociální pomoci na místě probíhající krizové situace. Modul je určen pro koordinaci činnosti psychologů a jeho data nejsou přístupná ostatním uživatelům ISKŘ.
 

Přístup do ISKŘ bude vydáván konkrétním osobám na návrh vedoucího funkcionáře/pracovníka příslušného subjektu (ministerstvo, úřad apod.). Přidělení konkrétních oprávnění k jednotlivým částem ISKŘ bude předmětem jednání s příslušnými resorty. Technicky pro řízení přístupu ISKŘ využívá nástroje shodné např. s datovými schránkami, např. NIA či CAAIS (dříve JIP/KAAS). Z hlediska zajištění bezpečnosti nebude v obecné rovině možné se do ISKŘ přihlašovat pomocí obecných či skupinových přihlašovacích údajů. 
K § 26a 
Nové ustanovení § 26a stanovuje, že při plnění úkolů souvisejících s řešením krizové situace využívá Ministerstvo vnitra údaje z informačního systému zajišťování obrany státu provozovaného podle jiného právního předpisu. Stejně tak je stanoveno oprávnění pro Ministerstvo obrany využívat data z ISKŘ. Toto ustanovení cílí na propojení a sdílení dat ISKŘ s informačním systémem Ministerstva obrany pro potřeby zajišťování obrany státu, kdy se jedná především o vyřešení potřeby užšího provázání a koordinace vojenského a civilního krizového řízení.
K § 26b
Nejedná se o nové ustanovení, ale pouze o přesun ustanovení z § 26a z důvodů logické návaznosti ustanovení.
K § 27
K odstavci 8
Uvedené ustanovení upravovalo omezení práva na informace v případech, kdy je daná informace označena jako zvláštní skutečnost. S ohledem na to, že nově je problematika poskytování informací z krizového řízení řešena komplexně přímo v zákoně č. 106/1999 Sb., tedy bude v sobě zahrnovat také informace, které jsou zvláštními skutečnostmi, dochází ke zrušení odst. 8 z důvodu nadbytečnosti.
K odstavci 9
Zmocňovací ustanovení jsou za účelem přehlednosti a v souladu s legislativními pravidly vlády stanovena v samostatném § 40.
K § 28 odst. 4
Zmocňovací ustanovení jsou za účelem přehlednosti a v souladu s legislativními pravidly vlády stanovena v samostatném § 40.
K § 29 odst. 3
Jedná se o úpravu znění ve vazbě na nový zákon o kritické infrastruktuře. 
K § 29a až § 29c
Ustanovení se zrušují ve vazbě na nový zákon o kritické infrastruktuře.
K § 31 odst. 2
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, jež nebylo nereflektováno v předchozí novele krizového zákona.
K § 32 odst. 2 a 3 
S ohledem na zkušenosti z řešení krizových situací, je nezbytné provést úpravu výjimek z pracovní povinnosti pro pracovníky subjektů kritické infrastruktury. V praxi se ukázala absolutní výjimka z pracovní povinnosti pro zaměstnance subjektu kritické infrastruktury jako nežádoucí. V době krizového stavu může být naopak žádoucí, aby vybraným pracovníkům subjektu kritické infrastruktury mohla být nařízena pracovní povinnost, a to zejména za účelem zajištění poskytování základní služby.
K § 35
K odstavci 1
Ustanovení vychází z čl. 11. odst. 4 Listiny a čl. 9 odst. 1 a 2 písm. d) Listiny, přičemž představuje zvláštní právní úpravu ve vztahu k zákonu č. 89/2012 Sb. 
Náhrada ve smyslu § 35 krizového zákona se poskytuje za kvalifikované nucené omezení vlastnického práva, poskytnutí věcného prostředku, vykonání pracovní povinnosti nebo pracovní výpomoci v době krizového stavu nebo po jeho skončení při aplikaci postupu podle §8a krizového zákona, a to v penězích. 
Ze samotného vyhlášení krizového stavu nárok na peněžitou náhradu nevzniká. V případě vyhlášení, resp. provedení krizových opatření, spočívajících svou povahou v omezení vlastnického práva pak nárok ve smyslu § 35 krizového zákona nevzniká ani, jedná-li se toliko o omezení vlastnického práva ve smyslu čl. 11 odst. 3 Listiny, tedy případů, kdy omezení vyplývající z krizového opatření se nevymyká rámci povinností stanovených pro všechny subjekty vlastnického práva za dodržení principu rovnosti (viz Sdělení ústavního soudu č. 136/2009 Sb.).  
Oproti původní právní úpravě se nadále obecně neposkytuje náhrada za omezení tzv. užívacího práva, kdy tímto nesystémově docházelo k saturaci osob věc toliko užívajících, v důsledku čehož nemohla být přímo naplněna povinnost odškodnit vlastníka. Finanční saturace osob, jejichž právní poměr k věci je od vlastnického práva toliko odvozen, se ponechává na obecné aplikaci úpravy zákona č. 89/2012 Sb. resp. zejména smluvních vztazích založených mezi dotčenými osobami. 
Ve smyslu novelizovaného znění § 35 krizového zákona se dále neposkytuje peněžitá náhrada za vykonání dobrovolné pomoci s ohledem na kolizi se zásadou rovného zacházení a zákazem diskriminace, i samotného rozporu se smyslem dobrovolnosti takové pomoci. Případné ocenění dobrovolné pomoci je ponecháno na postupu orgánů státu podle jiné právní úpravy.
Institut náhrady podle § 35 krizového zákona se neužije v případě cvičení orgánů krizového řízení, kdy, nevyplývá-li nárok na náhradu z případného smluvního vztahu uzavřeného pro účely cvičení s fyzickou nebo právnickou osobou, aplikuje se obecná právní úprava.
Nárok na peněžitou náhradu vzniká konkrétním (dnem) omezením práva nebo vykonáním uložené povinnosti, v návaznosti na provedení odpovídajícího krizového opatření (např. § 31 odst. 5 krizového zákona).
Pro rozlišení, zda se jedná o nárok za omezení vlastnického práva nebo za poskytnutí věcného prostředku, není rozhodující povaha věci (nebo zvířete), ani zda o omezení vlastnického práva bylo rozhodnuto jmenovitě (viz § 29 odst. 5 a § 31 odst. 8 krizového zákona), ale aktivní užití věci (nebo zvířete) orgány nebo osobami podílejícími se na řešení krizové situace. Toto rozlišení je podstatné pro vypořádání nároku na peněžitou náhradu, kdy u poskytnutí věcného prostředku se blíže nezkoumá naplnění znaků kvalifikovaného omezení vlastnického práva resp. nezbytnost za takové omezení poskytnout vlastníkovi náhradu (k tomu např. stanovisko pléna Ústavního soudu ze dne 28. 4. 2009 sp. zn. Pl. ÚS st. 27/09, bod 17, nález Ústavního soudu ze dne 13. 12. 2006, sp. zn. Pl. ÚS 34/03, bod 93). 
Poskytnutím věcného prostředku formou služby se pak rozumí omezení ve výkonu práv k věci (nebo zvířeti) spojené s výkonem práce nebo jinou obdobnou aktivitou z podstatné části, přičemž v tomto konkrétním případě není rozhodné, zda osoba službu poskytující je vlastníkem věci, nebo k ní má právní vztah jiný. Vlastníkovi věci (zvířete), svědčí právo na náhradu pouze v případě, kdy právo osoby službu poskytující k věci neexistuje (např. pokud v průběhu poskytování služby zaniklo). Poskytování věcného prostředku formou služby tak tvoří výjimku z obecného principu, že se peněžitá náhrada se vyplácí vlastníkovi věci. 
Výše náhrady za omezení práva nebo uložení povinnosti stanovovaná podle odstavců 2 až 4 je maximální, což však nevylučuje uzavření dohody státu s fyzickou nebo právnickou osobu o poskytnutí náhrady ve výši nižší než stanovené (princip vzdání se práva).
K odstavci 2
Výše peněžité náhrady za kvalifikované omezení vlastnického práva (odvozeně od obecné úpravy v občanského zákoníku) odpovídá rozsahu dotčení vlastnického práva s tím, že se však výslovně stanoví, že při stanovení peněžité náhrady se vždy zohledňuje i rozsah omezení vlastnického práva, který by nastal v důsledku krizové situace i bez provádění krizového opatření.
K odstavci 3
Peněžitá náhrada za poskytnutí věcného prostředku náleží výši odpovídající výdajům, které by bylo nutné vynaložit na smluvní sjednání poskytnutí věci (nájemného, případně dalších nákladů obvykle vynakládaných při užívání věci) v daném místě, čase a za obdobných podmínek (tedy i při zohlednění případného výkyvu ceny v důsledku existence a vývoje krizové situace, pročež peněžitá náhrada za užívání věci nebo poskytování služby zejména u déletrvajícího krizového stavu může obecně dosahovat v jeho průběhu různé výše).  Spočívá-li poskytnutí věcného prostředku ve službě, odpovídá peněžitá náhrada výši obvyklé úplaty za obdobnou službu.
Nárok na peněžitou náhradu za poskytnutí věcného prostředku, který není službou, náleží vlastníkovi věci (zvířete). Oproti tomu nárok na peněžitou náhradu za poskytnutí věcného prostředku ve formě služby může náležet v určitých případech i osobě od vlastníka odlišné. Pro rozlišení, zda se jedná o formu služby či nikoliv je rozhodující, která složka ze své podstaty převažuje, tzn., zda k řešení krizové situace spíše přispívá výkon určité práce či jiné činnosti, či je tato toliko marginální (např. pokud bude poskytnutým věcným prostředkem činžovní dům, za účelem zajištění náhradního ubytování osob, jedná se o poskytnutí věcného prostředku, který není službou, kdy převažuje užívání domu jako věci, ačkoliv i u tohoto jsou poskytovány určité služby spočívající např. v dodávce energií, či úklidu. Oproti tomu, pokud věcným prostředkem budou stavební stroje (i pokud stavební firma není jejich vlastníkem), za účelem zřízení provizorní hráze, což se neobejde bez zprostředkování výkonu zaměstnance stavební firmy oprávněného takový stroj řídit, bude se jednat o věcný prostředek poskytovaný formou služby.
K odstavci 4
Peněžitá náhrada za výkon pracovní povinnosti nebo pracovní výpomoci se stanoví ve výši odpovídající obvyklé mzdě dosahované v soukromém sektoru. Spočívá-li výkon pracovní povinnosti nebo výpomoci v činnosti, která se obvykle neprovádí v pracovněprávním poměru (např. svobodná povolání), stanoví se peněžitá náhrada ve výši odpovídající obvyklé úplatě za vykonání (poskytnutí) práci obdobné služby. 
Výkon pracovní povinnosti nebo pracovní výpomoci se považuje za jiný úkon v obecném zájmu, za který zaměstnavatel neposkytuje ve smyslu zákoníku práce náhradu mzdy nebo platu. 
Peněžitá náhrada nesaturuje obvyklý příjem (podnikající) osoby a nestanoví se tak ve výší jí obvykle dosahovaných příjmů/zisku, přičemž případný rozdíl ve výši náhrady a obvykle dosahovaných příjmů/zisku je vyloučen z nároku na náhradu škody ve smyslu § 36 krizového zákona.
K odstavci 5
Peněžitou náhradu poskytuje stát prostřednictvím krajského úřadu kraje, v jehož územním obvodu sídlí konkrétní orgán krizové řízení, který o omezení práva nebo uložení povinnosti rozhodl, aby bylo nárok na peněžitou náhradu možné vypořádat zpravidla v místě, kde k omezení práva nebo uložení povinnosti došlo. Krajský úřad o nároku nerozhoduje pořadem práva veřejného, ale jedná se o předběžné projednání věci pořadem práva soukromého obdobně, jako je tomu u zákona č. 82/1998 Sb.
Pro případy, kdy není objektivně možné krajský úřad příslušný k projednání věci určit nebo o individualizovaném omezení práva či uložení povinnosti rozhodne přímo vláda (nebo její předseda ve smyslu novelizovaného § 6 odst. 8 krizového zákona), se k projednání nároku stanoví příslušnost Ministerstvu vnitra.
Pro případy uplatnění nároku přímo osobou oprávněnou, avšak u jiného, k projednání věcně nepříslušného krajského úřadu nebo k projednání věcně nepříslušného Ministerstva vnitra se stanoví zachování účinků uplatnění nároku a povinnost součinnosti dotčených úřadů v postavení organizačních složek státu. Účinky uplatnění nároku podáním žádosti u orgánu veřejné správy nenastávají, neboť se nejedná o výkon veřejné správy, ale vypořádání soukromoprávního nároku vůči státu, přičemž orgán veřejné moci není povinen zjišťovat úřad příslušný k projednání nároku a věc mu postupovat.  
K odstavci 6
Peněžitá náhrada za omezení vlastnického práva se vyplácí na základě odůvodněného uplatnění nároku vlastníkem. V případě spoluvlastnictví nebo společného jmění postačí k vyplacení peněžité náhrady v plné výši uplatnění nároku jedním ze spoluvlastníků nebo manželů. Podmínkou uplatnění nároku na peněžitou náhradu u soudu je její předchozí uplatnění u úřadu příslušného k projednání věci. K projednání nároku a případnému vyplacení peněžité náhrady se stanoví doba 6 měsíců na projednání věci a případné vyplacení peněžité náhrady (doba splatnosti), přičemž uplynutím této doby se dostává stát do prodlení.
K odstavci 7
Peněžitou náhradu za omezení spočívající v poskytnutí věcného prostředku, vykonání pracovní povinnosti nebo pracovní výpomoci vyplácí příslušný úřad i bez uplatnění odpovídajícího nároku, a to primárně na základě jednotlivých vydaných rozhodnutí o poskytnutí věcného prostředku nebo uložení povinnosti a příslušné dokumentace (např. § 29 odst. 5 a § 31 odst. 5, 6 a 8 krizového zákona). V souvislosti s tímto se současně stanoví, že uplatnění nároku na peněžitou náhradu není podmínkou přístupu k soudu. I v případě uplatnění nároku přímo fyzickou nebo právnickou osobou se tento vyřizuje ve stanovené době, která končí uplynutím druhého měsíce následujícího po měsíci, v kterém k poskytnutí věcného prostředku nebo vykonání pracovní povinnosti nebo pracovní výpomoci došlo. Uvedená doba zohledňuje jak vytížení kapacit státu primárně na řešení krizové situace, tak minimální výši finančních rezerv, které by měly fyzické osoby mít k dispozici. 
Účelem ustanovení však není stanovení povinnosti státu aktivně vyhledávat veškeré myslitelné oprávněné osoby zejména v případech, kdy dochází z objektivních důvodů k nestandardním způsobům uložení povinnosti, ale toliko vypořádat nároky těch oprávněných osob, kterým z pořízené dokumentace nárok bez pochybnosti svědčí. 
K odstavci 8
Nárok na peněžitou náhradu vzniká za každý den, kdy je vlastnické právo omezeno resp., kdy je poskytnut věcný prostředek, a dále za každý den, kdy je vykonávána uložená pracovní povinnost nebo pracovní výpomoc. S ohledem na objektivní nemožnost státu vypořádat veškeré nároky na peněžitou náhradu, zejména za stavu, kdy oprávněná osoba neposkytuje náležitou součinnost nebo nárok uplatňuje s nepřiměřeným časovým odstupem od ukončení krizové stavu, se stanoví, v souladu se zásadou právo svědčí bdělým, lhůta s účinky promlčení, které nastávají 3 roky ode dne ukončení krizového stavu, v rámci jehož trvání nárok na peněžitou náhradu vznikl. Tato lhůta se prodlužuje o dobu stanovenou na projednání věci příslušným úřadem, po kterou se nelze s nárokem obrátit na soud, to však jen v případě, pokud tato doba nebo její část připadá až na období po ukončení krizového stavu, čímž jsou zachovány rovné podmínky pro všechny dotčené osoby. S ohledem na skutečnost, kdy krizový zákon je založen na kontinuitě řešení krizové situaci (viz § 3 odst. 5 krizového zákona) a podle její závažnosti a vývoje je přistupováno k vyhlašování jednotlivých stupňů krizových stavů, se krizovým stavem, v němž k vzniku nároku na peněžitou náhradu došlo, pro účely stanovení okamžiku promlčení rozumí poslední krizový stav, vyhlášený ze shodných důvodů, který bez přerušení navazuje na krizové stavy předešlé nehledě na vlastní stupeň krizového stavu.  
K odstavci 9
Stanoví se zvláštní regresní nárok státu na úhradu výdajů, která stát vyplatil jako peněžitou náhradu, který vzniká ze zákona okamžikem vyplacení peněžité náhrady. Nárok se promlčuje v obecné promlčecí lhůtě. 
K uhrazení regresního nároku je povinna fyzická nebo právnická osoba, která svým protiprávním jednáním zavinila událost, jež vedla ke vzniku krizového situace a povinnosti státu vyplatit peněžitou náhradu, a rovněž fyzická nebo právnická osoba, která je podle jiného právního předpisu (např. § 2925 nebo § 2938 zákona č. 89/2012 Sb.) jinak objektivně odpovědná k náhradě škody v souvislosti s nastáním události, svou povahou odpovídající mimořádné událost podle zákona o integrovaném záchranném systému, významnému narušení poskytování základní služby podle zákona o odolnosti subjektů kritické infrastruktury nebo jinému nebezpečí.
Regresní nárok státu uplatňuje Ministerstvo vnitra. 
K odstavci 10
V souladu s principy jeho působnosti se určuje za organizační složku státu pověřenou jednáním za stát před soudem Ministerstvo vnitra.
K odstavci 11
Pro účely řádného vypořádání nároku na peněžitou náhradu se stanoví povinnost orgánů veřejné moci poskytovat úřadu příslušnému k projednání věci, případně soudu, náležitou součinnost, a to v rozsahu všech informací, údajů či podkladů jím spravovaných, vedených či evidovaných, a to i podle jiných právních předpisů.
K § 36
K odstavci 1
Ustanovení upravuje nároky fyzických a právnických osob na náhradu újmy, která je úpravou zvláštní ve vztahu k zákonu č. 89/2012 Sb. a k zákonu č. 82/1998 Sb. 
Ve vztahu k nároku na peněžní náhradu za omezení vlastnického práva, poskytnutí věcného prostředku a vykonání pracovní povinnosti nebo pracovní výpomoci podle § 35 krizového zákona lze doplnit, že újma vzniklá v důsledku omezení práva nebo uložení povinnosti se hradí pouze v rozsahu a při naplnění podmínek ustanovení § 36 krizového zákona.
Návrh vychází obecně z původního znění krizového zákona a je založen, co se týče majetkové újmy (obdobně k úpravě pandemického zákona), na hrazení toliko skutečné škody. Podoba návrhu je formována rozsahem jak typové škály událostí způsobujících krizovou situace, tak potenciálem výskytu dlouhodobých, závažných krizových situací, což ovšem nevylučuje možnost orgánů státu přijmout nezávisle na krizovém zákoně systém jednorázové finanční podpory zaměřený na specifika konkrétní krizové situace (ostatně určité řešení obsahuje již současné znění § 37 krizového zákona). Rozsah náhrady majetkové újmy zohledňuje i zavedenou praxi a skutečnost, že plošné odškodňování, které by nemuselo být vždy účelné, by ve výsledku vedlo k finančnímu zatěžování všech daňových poplatníků. V rámci nemajetkové újmy se nahrazuje toliko újma na životě a újma na zdraví, na případnou jinou nemajetkovou újmu způsobenou v návaznosti na plnění povinností států vedoucích k odvrácení rizik a důsledků vyplývajících z krizové situace nárok není (§ 2956 zákona č. 89/2012 Sb. se neuplatňuje). 
Nárok na náhradu ve smyslu ustanovení (písm. a) náleží v případě újmy na životě, újmy na zdraví a skutečné škody (viz § 36 odst. 2 krizového zákona), vzniklé v příčinné souvislosti s aktivním na místě prováděným konkrétním krizovým opatřením směřujících vůči konkrétní fyzické nebo právnické osobě, a to nehledě na skutečnost, zda se jedná o činnost prováděnou složkami státu nebo osobami práva soukromého, pokud je jim tato činnost státem uložena. Nárok svědčí i v případě cvičení pořádaného podle krizového zákona nebo při postupu podle § 8a krizového zákona.
Nárok na náhradu ve smyslu ustanovení (písm. b) náleží v případě újmy na životě, újmy na zdraví a skutečné škody vzniklé v souvislosti s užíváním poskytnuté věcného prostředku (věci, zvířete nebo služby), výkonem pracovní povinnosti, pracovní výpomoci nebo dobrovolné pomoci. Je přitom nerozhodné, zda byla újma způsobena při nesprávném výkonu veřejné moci nebo vznikla i přes zákonný postup orgánů a osob provádějících krizová opatření. 
Nárok na náhradu ve smyslu písm. c) náleží, pokud je krizové opatření shledáno příslušným orgánem, resp. soudem jako nezákonné. 
Ustanovení je založeno na principu objektivní odpovědnosti státu a nevyžaduje se tak k vzniku nároku na náhradu protiprávní jednání. 
Náhrada se poskytuje v penězích. Spočívá-li skutečná škoda ve vzniku dluhu, hradí takovou škodu stát vždy poškozenému (věta druhá § 2952 zákona č. 89/2012 Sb. o možnosti uhrazení dluhu přímo věřiteli poškozeného se neaplikuje). 
K odstavci 2
Náhrada újmy podle krizového zákona vůbec nepřísluší osobě, která zavinila krizovou situaci svým protiprávním jednáním, přičemž zavinění se posuzuje vzhledem ke vzniku krizové situace, resp. nastání skutečnosti způsobilé k vyhlášení krizové stavu. Je tak nerozhodné, zda tato konkrétní osoba zavinila i vznik škody, neboť ta může být způsobena i takovou osobou nezaviněným provedením krizového opatření. 
Princip objektivní odpovědnosti státu za náhradu újmy je determinován tím, že náhrada se poskytuje pouze v rozsahu, v jakém poškozený prokáže, že jejímu vzniku nebylo možné objektivně předejít nebo zabránit. 
Současně se skutečná škoda nehradí v rozsahu, v jakém stát prokáže, že se poškozená osoba svým jednáním podílela na jejím vzniku nebo zvětšení. Je přitom nerozhodné, zda se jednalo o jednání v souladu s právem nebo jednání protiprávní
Toto pravidlo se uplatní zejména pro případy újmy podle § 36 odstavce 1 písm. b) krizového zákona, které obecně připouští vznik újmy i výhradně v důsledku činnosti poškozeného, tzn., aniž by vznikla v příčinné souvislosti s prováděným krizovým opatřením.
K odstavci 3
Ustanovení, odkazem na právní předpisy o odškodňování pracovních úrazů (zákon č. 262/2006 Sb.), uvádí konkrétní rozsah náhrady (§ 2959 občanského zákoníku se neaplikuje). Ustanovení se neaplikuje, pokud nárok na újmu na zdraví nebo životě osobě svědčí již z vlastního pracovněprávního vztahu, případně jej upravují právní předpisy o veřejnoprávních poměrech (zejména vojáci a příslušníci bezpečnostních sborů) nebo vyplývá z jiného obdobného vztahu.
K odstavci 4
Stanoví se lhůta s prekluzivními účinky k uplatnění nároku na náhradu skutečné škody, a to v délce 1 roku (subjektivní) resp. 3 let (objektivní). Nárok je třeba v této lhůtě uplatnit u příslušného úřadu, který je projedná a případně uzná a vyplatí. Spočívá-li skutečná škoda ve vzniku dluhu, považuje se za den jejího vzniku den splatnosti dluhu.
K odstavci 5
Náhradu újmy poskytuje stát prostřednictvím krajského úřadu kraje, v jehož územním obvodu došlo ke škodné události, aby bylo nárok na peněžní náhradu možné vypořádat zpravidla v místě. V případě následné újmy se však nárok uplatňuje u toho krajského úřadu, v jehož územním obvodu vznikla újma, bez níž by nemohla vzniknout ani újma následná (typicky pokud došlo ke škodě na osobních věcech osoby při lékařském zákroku, prováděném v návaznosti na pracovní úraz osoby vykonávající pracovní povinnost). Krajský úřad o nároku nerozhoduje pořadem práva veřejného, ale jedná se o předběžné projednání věci pořadem práva soukromého. Pro případy, kdy není objektivně možné krajský úřad příslušný k projednání nároku určit, bude tento projednán tím krajským úřadem, v jehož územním obvodu má osoba bydliště nebo sídlo. Nemá-li osoba bydliště nebo sídlo na území státu, projedná nárok Ministerstvo vnitra.
Pro případy uplatnění nároku přímo osobou oprávněnou, avšak u jiného, k projednání věcně nepříslušného krajského úřadu nebo k projednání věcně nepříslušného Ministerstva vnitra, se stanoví zachování účinků uplatnění nároku a povinnost součinnosti dotčených úřadů v postavení organizačních složek státu. Účinky uplatnění nároku podáním žádosti u orgánu veřejné správy nenastávají, neboť se nejedná o výkon veřejné správy, ale vypořádání soukromoprávního nároku vůči státu, přičemž orgán veřejné moci není povinen zjišťovat úřad příslušný k projednání nároku a věc mu postupovat.  
K odstavci 6
Určuje se doba v délce 6 měsíců na projednání nároku a případné uznání a vyplacení náhrady (doba splatnosti). Uplynutím této doby začíná běžet obecná promlčecí lhůta.
K odstavci 7
Uplatnění nároku na náhradu újmy u příslušného krajského úřadu nebo Ministerstva vnitra v prekluzivní lhůtě stanovené v odstavci 4 je podmínkou pro jeho případné uplatnění u soudu, a to, pokud nárok nebyl v době 6 měsíců od jeho uplatnění plně uspokojen. Jelikož projednání nároku je toliko předběžným posouzením oprávněnosti nároku ze strany státu, které není výkonem státní správy, jsou k projednání žaloby příslušné soudy v civilním soudním řízení při postupu podle části třetí občanského soudního řádu.
K odstavci 8
Pro účely řádného vypořádání nároku na peněžní náhradu se stanoví povinnost orgánů veřejné moci poskytovat úřadu příslušnému k projednání věci, případně soudu, náležitou součinnost, a to v rozsahu všech informací, údajů či podkladů jím spravovaných, vedených či evidovaných, a to i podle jiných právních předpisů.
K odstavci 9
Stanoví se zvláštní regresní nárok státu na úhradu výdajů, která stát poskytl jako náhradu újmy, který vzniká ze zákona okamžikem vyplacení náhrady. Nárok se promlčuje v obecné promlčecí lhůtě.
K uhrazení regresního nároku je povinna fyzická nebo právnická osoba, která svým protiprávním jednáním zavinila událost, jež vedla ke vzniku krizového situace a povinnosti státu vyplatit peněžní náhradu, a rovněž fyzická nebo právnická osoba, která je podle jiného právního předpisu (např. § 2925 nebo § 2938 zákona č. 89/2012 Sb.) jinak objektivně odpovědná k náhradě škody v souvislosti s nastáním události, svou povahou odpovídající mimořádné událost podle zákona o integrovaném záchranném systému, významnému narušení poskytování základní služby podle zákona o odolnosti subjektů kritické infrastruktury nebo jinému nebezpečí.
Regresní nárok státu uplatňuje za stát Ministerstvo vnitra.
K § 38
K odstavci 1
Jedná se o vyjasnění aplikovatelnosti správního řádu za účelem zvýšení právní jistoty.
K odstavci 2
Úprava v návaznosti na změnu § 35 až 36. 
Projednání nároku na peněžní náhradu a nároku na náhradu je vedeno pořadem práva soukromého, kdy se jedná o předběžné posouzení nároku obdobně k zákonu č. 82/1998 Sb. Správní řád se na projednání nároku neaplikuje.   
K § 39g
Ustanovení stanoví, že při projednávání nároku na náhradu podle § 35 nebo § 36 zákona (pořadem práva soukromého) zastupuje stát krajský úřad, resp. konkrétní právní jednání činí osoby v něm působící, k takovému jednání oprávněné podle právních předpisů upravujících územní samosprávné celky.   Dále je zde zohledněn způsob saturace finančních prostředků, které budou vypláceny z kapitoly státního rozpočtu.
K § 40
Úprava ustanovení souvisí s přesunem všech zmocňovacích ustanovení do § 40, a to za účelem přehlednosti a v souladu s legislativními pravidly.
Rozšíření zmocňovacích ustanovení souvisí se zakotvením či úpravou nové plánovací dokumentace, a tak prováděcí právní předpis nově stanoví i obsahové náležitosti, členění a způsob zpracování posouzení rizik ČR, krizového plánu ČR, plánu krizové připravenosti krajského úřadu a úřadu obce s rozšířenou působností, karty obce a karty subjektu. V rámci prováděcího právního předpisu budou také nově stanoveny podrobnosti k odborné přípravě a podobě podkladů do souhrnného vyhodnocení této odborné přípravy.
Zmocňovací ustanovení k vydání vyhlášky Českým báňským úřadem je rozšiřováno i o podzemní objekty, ve smyslu ustanovení § 37 zákona č. 61/1988 Sb., o hornické činnosti, výbušninách a o státní báňské správě, ve znění pozdějších předpisů, které mohou být rovněž využity při řešení krizových situací.
K přechodným ustanovením
V rámci přechodných ustanovení jsou stanoveny lhůty pro zpracování určených materiálů jednotlivými orgány krizového řízení. Délka lhůt se odvíjí od věcné i obsahové náročnosti jednotlivých materiálů a její počátek je vázán na nabytí účinnosti zákona.   

K ČÁSTI SEDMÉ: ZMĚNA ZÁKONA O HOSPODÁŘSKÝCH OPATŘENÍCH PRO KRIZOVÉ STAVY
V části pojmosloví se jedná se legislativně-technickou změnu související se změnou terminologie na úseku kritické infrastruktury.

Věcné změny souvisejí s odůvodněním návrhu zákona v části první, konkrétně § 14.

K ČÁSTI OSMÉ: ZMĚNA VODNÍHO ZÁKONA
Jedná se o legislativně-technickou změnu související se změnou terminologie na úseku kritické infrastruktury.

K ČÁSTI DEVÁTÉ:ZMĚNA BRANNÉHO ZÁKONA  
Jedná se o legislativně-technické změny související se změnou terminologie na úseku kritické infrastruktury.

K ČÁSTI DESÁTÉ: ZMĚNA ZÁKONA O HASIČSKÉM ZÁCHRANNÉM SBORU
Jedná se o zpřesnění názvu operačního střediska GŘ HZS ČR a krajského operačního a informačního střediska v souladu s částí první návrhu (§ 19 odst. 1) a s částí pátou návrhu. 

K ČÁSTI JEDENÁCTÉ: ZMĚNA ZÁKONA O PROVĚŘOVÁNÍ ZAHRANIČNÍCH INVESTIC
Jedná se o legislativně-technické změny související se změnou terminologie na úseku kritické infrastruktury.
K ČÁSTI DVANÁCTÉ: ÚČINNOST
V případě, že by transpozice byla realizována pouze částečně, nebo nebyla realizována vůbec, případně by k ní došlo s delší časovou prodlevou po 17. říjnu 2024, hrozilo by České republice zahájení řízení o porušení práva Evropské unie ze strany Evropské komise (tzv. infringement procedure). Současně lze za realizaci transpozice považovat stav, kdy je předpis v rámci legislativního procesu projednáván v Poslanecké sněmovně, z tohoto důvodu je účinnost návrhu zákona navrhována od patnáctého dne následujícího po vyhlášení zákona ve Sbírce zákonů, aby byla minimalizována prodleva mezi lhůtou, do kdy měla být směrnice CER implementována, a skutečným okamžikem nabytí účinnosti předloženého návrhu. S ohledem na zásadní povahu některých ustanovení je však potřebné ponechat alespoň krátkou legisvakanční dobu pro možnost adresátů seznámit se se změnami, které zákon pro aplikační praxi přinese.
K PŘÍLOZE ZÁKONA: VĚCNÁ PŮSOBNOST MINISTERSTEV, JINÝCH ÚSTŘEDNÍCH SPRÁVNÍCH ÚŘADŮ A ČESKÉ NÁRODNÍ BANKY PRO JEDNOTLIVÁ ODVĚTVÍ NEBO PODODVĚTVÍ
Nově budou v příloze návrhu zákona definováni gestoři (orgány s věcnou působností) za jednotlivá odvětví nebo pododvětví, což povede k transparentnosti při stanovování odpovědnosti za naplňování úkolů podle tohoto zákona. Vzhledem k nastavenému procesu sebehodnocení poskytovatelů základní služby tím bude současně zaručena přehlednost a snazší orientace v nové regulaci. Poskytovatelé základní služby, subjekty kritické infrastruktury, ale i věcně příslušné orgány mezi sebou budou mít stanoveny jasné kompetence a oblast své působnosti.
S ohledem na různou věcnou příslušnost Národního úřadu pro kybernetickou a informační bezpečnost, Českého telekomunikačního úřadu a Digitální a informační agentury v odvětví digitální infrastruktura muselo být toto odvětví rozděleno do tří pododvětví.
Směrnice CER se podle článku 1 odstavce 6 nevztahuje na subjekty veřejné správy, které vykonávají své činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů. Současně se ovšem členské státy mohou podle článku 1 odstavce 7 rozhodnout, že se článek 11 a kapitoly III, IV a VI směrnice zcela nebo zčásti nepoužijí na konkrétní kritické subjekty, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů, nebo které poskytují služby výhradně subjektům veřejné správy uvedeným v článku 1 odstavci 6. V souladu s tímto ustanovením bude nad rámec směrnice CER do regulace tohoto návrhu zákona zahrnuto odvětví bezpečnosti. V rámci tohoto odvětví byla vytvořena 4 pododvětví – Nouzové služby, Vnitřní pořádek, Hydrometeorologická výstražná služba, které zahrnují zejména ty prvky kritické infrastruktury, které jsou v dosud platném znění NV č. 432/2010 Sb. určovány v odvětví „Nouzové služby“ a Státní hmotné rezervy). Další odvětví nebo pododvětví pro jinak vyloučené subjekty podle článku 1 odstavce 6 nebo 7 nebyla věcně příslušnými ministerstvy nebo jinými ústředními správními úřady v rámci národní regulace navržena.

1

image1.png