Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky Sponzoři & firmy PastVina 
❤ Podpořte nás Přihlásit se Registrace
Hledat v Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSD2AH4CXO
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSD2AH4CXO najdete zde

                OZ_RIA_ novela_2016_úplné znení.FINAL

V.
Hodnocení dopadů regulace (RIA)

ZÁVĚREČNÁ ZPRÁVA Z HODNOCENÍ DOPADŮ REGULACE

SHRNUTÍ ZÁVĚREČNÉ ZPRÁVY RIA

	1. Základní identifikační údaje

	Název návrhu: 
Zákon o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)

	Zpracovatel / zástupce předkladatele:
Ministerstvo vnitra
	Předpokládaný termín nabytí účinnosti 
(v případě dělené účinnosti rozveďte):
1. 7. 2025

	Implementace práva EU:  |X| ANO  |_| NE. Pokud ano, uveďte:
- termín stanovený pro implementaci: 17. 10. 2024
- zda jde návrh nad rámec požadavků stanovených předpisem EU:  |X| ANO  |_| NE

	2. Cíl návrhu zákona 

	Hlavním důvodem pro zpracování návrhu zákona je nutnost zapracovat do právního řádu České republiky požadavky směrnice CER, přičemž v souladu s právem EU musí být směrnice CER zapracována do českého právního řádu ve stanovené transpoziční lhůtě, která činí 21 měsíců od nabytí platnosti této směrnice (tj. do 17. října 2024).
V případě, že by transpozice byla realizována pouze částečně, nebo nebyla realizována vůbec, případně by k ní s velkým časovým odstupem došlo po 17. říjnu 2024, hrozilo by České republice zahájení řízení o porušení práva Evropské unie ze strany Evropské komise (tzv. infringement procedure). Současně lze za realizaci transpozice považovat stav, kdy je předpis v rámci legislativního procesu projednáván v Poslanecké sněmovně, z tohoto důvodu je účinnost návrhu zákona navrhována od patnáctého dne následujícího po vyhlášení zákona ve Sbírce zákonů.
S ohledem na zhoršení bezpečnostního prostřední je nezbytné, aby stát vytvořil podmínky pro zvyšování a zajišťování odolnosti základních služeb, které jsou nezbytné pro chod státu včetně zajištění odpovídajících životních podmínek pro obyvatelstvo České republiky.
Bezpečnost a odolnost organizačních složek státu a dalších orgánů a osob, jež poskytují služby stěžejní pro fungování státu, jsou předpoklady pro zajištění bezpečnosti České republiky. Podle Bezpečnostní strategie České republiky existuje řada hrozeb, kterým Česká republika čelí, a to včetně kybernetických útoků, ohrožení funkčnosti kritické infrastruktury či přerušení dodávek strategických surovin nebo energií.
Návrh zákona vychází tam, kde je to možné, z principů současného znění zákona o krizovém řízení, při zohlednění zkušeností z dosavadní aplikační praxe. Nové požadavky, vyplývající především ze směrnice CER, vedou k tomu, že návrh nového zákona musí zohlednit především:
změnu přístupu od určování fyzických prvků kritické infrastruktury k určení subjektů kritické infrastruktury poskytujících základní služby,
· požadavky na zpracování dokumentace na národní úrovni (posouzení rizik, strategie, provázání s krizovou plánovací dokumentací),
· další požadavky na subjekty kritické infrastruktury,
· zpracování posouzení rizik,
· zavedení opatření k zajištění jejich odolnosti a jejich promítnutí do plánu odolnosti,
· požadavky na hlášení incidentů,
· intenzivnější sdílení informací mezi státní správou a soukromým sektorem,
· systém ověřování spolehlivosti pracovníků subjektů kritické infrastruktury, 
· provázání povinností se sankcemi,
· zohlednění problematiky dodavatelských řetězců,
· provázání s návrhem nového zákona o kybernetické bezpečnosti a nařízením Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (dále jen „nařízení DORA“),
vznik nového informačního nástroje v podobě informačního systému krizového řízení a portálu kritické infrastruktury.
Podle nového pojetí odolnosti kritické infrastruktury, jež vychází ze směrnice CER, není hlavní důraz kladen na prvek kritické infrastruktury ve smyslu budovy, zařízení, infrastruktury, ale na celkové zajištění poskytování základní služby subjektem kritické infrastruktury. Proto se upouští od určování jednotlivých (prvků) kritických infrastruktur, ale důraz je kladen na zajištění poskytování základní služby jako takové. Stěžejní je tedy stanovení základních služeb, které vycházejí z nařízení Evropské komise v souladu s článkem 5 směrnice CER a kritérií významnosti, která definují významnost této základní služby a jejího poskytovatele. Konkrétní základní služby a kritéria významnosti budou stanovena prováděcím právním předpisem.
Ačkoliv je posledním krokem procesu určování subjektů kritické infrastruktury zařazení na seznam subjektů kritické infrastruktury Ministerstvem vnitra, celý proces se neobejde bez zapojení všech věcně příslušných ministerstev a jiných ústředních správních úřadů, respektive České národní banky, které na základě svých odborných a odvětvových znalostí posuzují relevantnost informací nezbytných k vydání rozhodnutí o zařazení subjektu kritické infrastruktury na seznam, a zejména předchozím procesu sebehodnocení poskytovatele základní služby. Tato informační povinnost vyplývá pro poskytovatele základních služeb přímo z návrhu zákona.
V neposlední řadě má navrhovaná úprava za cíl zpřehlednit a přesněji definovat problematiku náhrad za omezení vlastnických práv, poskytnutí věcné a osobní pomoci a také problematiku náhrady škod, a to v reakci na požadavky aplikační praxe. 
Obecně lze konstatovat, že transpoziční lhůta je velice krátká. Předkladatel zákona učinil maximum pro předložení zákona v co nejkratším možném termínu, avšak snahou bylo také zohlednit programové prohlášení vlády v oblasti krizového řízení. S resorty a dalšími zainteresovanými subjekty byla vytvořena meziresortní pracovní skupina, kde byl proces zpracování návrhu zákona projednáván a připravován. 


	3. Agregované dopady návrhu zákona

	3.1 Dopady na státní rozpočet a ostatní veřejné rozpočty:  |X| ANO  |_| NE

	Dopady na státní rozpočet mohou být dány jak požadavky na plnění povinností plynoucích z návrhu zákona od subjektů veřejné správy na ústřední úrovni, ve formě významného navýšení personálních kapacit i finančních prostředků určených na posílení odolnosti a zajištění úkolů stanovených tímto zákonem, tak požadavky na zajištění kapacit nutných k zajištění plnění koordinační role Ministerstva vnitra. Orgány veřejné správy na ústřední úrovni jsou již v současném systému kritické infrastruktury podle krizového zákona zodpovědné za ochranu svých prvků kritické infrastruktury. Vzhledem k rozšíření povinností a stanovení výčtu minimálních opatření k zajištění odolnosti však lze očekávat nárůst požadavků na poskytnutí finančních prostředků (investičních i neinvestičních) k plnění zákonem stanovených kompetencí ze strany ministerstev a jiných ústředních správních úřadů a jimi řízených organizací. Přijetí zákona tak bude zcela jistě vyžadovat navýšení rozpočtů jednotlivých ministerstev a ústředních správních úřadů, avšak lze předpokládat, že tyto zvýšené náklady budou čerpány v delším časovém horizontu (cca 5-10 let), a to s ohledem na možnosti státního rozpočtu a dle vývoje bezpečnostní situace.
Naprostá většina nově předpokládaných subjektů kritické infrastruktury vzejde v souladu s obsahem transponované směrnice ze soukromého sektoru. V souhrnu je možné očekávat přibližně dvojnásobný nárůst povinných osob proti současnému stavu, což bude muset být reflektováno i v zajištění fungování Ministerstva vnitra stejně tak jako orgánů s věcnou působností za jednotlivá odvětví, případně pododvětví. S tím se rovněž pojí i náklady související s nutností zavést nový informační systém k zabezpečení plnění úkolů podle tohoto zákona (portál kritické infrastruktury), stejně tak jako zabezpečit organizační a personální kapacity na jeho provoz. Náklady na zavedení portálu kritické infrastruktury, včetně pořízení potřebného hardwaru v rámci Ministerstva vnitra, byly vyčísleny na částku 6 000 000 Kč. Tato částka bude z 90 % financována z operačního programu EU Fondu pro vnitřní bezpečnost. Organizační a personální kapacity na jeho provoz budou pokryty z aktuálních zdrojů.
Finanční náklady na informační systém krizového řízení nepřesáhnou částku 197 000 000 Kč. Tato částka bude financována z operačního programu EMAS/AMIF a rozpočtu Ministerstva vnitra – generálního ředitelství hasičského záchranného sboru České republiky.
Současně je potřeba kalkulovat s náklady spojenými s určením subjektů kritické infrastruktury v odvětví Veřejná správa, jelikož náklady ponesou jednotlivá ministerstva, jiné ústřední správní úřady a další orgány v případě, že budou určeny subjektem kritické infrastruktury. Tyto náklady budou spojené zejména s přijímáním opatření na zvyšování odolnosti, případně s určením subjektu kritické infrastruktury povinnou osobou v režimu vyšších povinností dle zákona o kybernetické bezpečnosti. Náklady spojené s přijímáním opatření na zvyšování odolnosti se budou odvíjet od již existujících opatření, obecně jsou v průměru odhadovány v řádech statisíců až jednotek milionů korun. Tyto výdaje budou pokryty v rámci schválených rozpočtových kapitol. Současně bude činnost orgánů státní správy související s touto agendou pokryta ze současných personálních kapacit. 
Další nároky na státní rozpočet budou představovat opatření související s řešením incidentů u subjektu kritické infrastruktury, zejména pak v souvislosti s pořizováním věcných prostředků v systému hospodářských opatření pro krizové stavy. Požadavky na pořízení těchto věcných prostředků ze strany státu se budou odvíjet od potřeb samotných subjektů kritické infrastruktury. Ty budou identifikovat nezbytné věcné zdroje v plánu odolnosti, a to až po zařazení na seznamu subjektů kritické infrastruktury (do 10 měsíců od doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury). Vzhledem k této skutečnosti je odhad finančních nákladů značně obtížný. Rozpočtové nároky budou vycházet také z toho, že v oblasti odolnosti kritické infrastruktury si všechny dotčené subjekty nejdříve budou muset splnit zákonné povinnosti, provést analýzu, vyhodnocení a zpracování dokumentace, a teprve poté budou moci žádat o pořízení věcných zdrojů.
Dopady na státní rozpočet bude mít také zabezpečení mechanismu ověřování spolehlivosti, zejména pak ověření spolehlivosti manažerů kritické infrastruktury, kteří budou vykonávat citlivou činnost podle zákona o ochraně utajovaných informací. V této souvislosti jsou odhadovány počty nových žádostí o ověření spolehlivosti, které bude posuzovat Národní bezpečnostní úřad, v řádech nižších stovek. Pro tyto potřeby bude nezbytné navýšit kapacity Národního bezpečnostního úřadu nejméně o 3 systemizovaná tabulková místa (13. platová třída) a v souvislosti s tím navýšit odpovídající finanční prostředky kapitoly 308 státního rozpočtu. Požadavek na navýšení systemizovaných tabulkových míst v uvedeném rozsahu je ze strany Národního bezpečnostního úřadu stanoven na nejnižší možné úrovni pro zajištění výše uvedených činností.


	3.2 Dopady na mezinárodní konkurenceschopnost ČR:  |X| ANO  |_| NE

	Vzhledem ke skutečnosti, že se jedná o transpozici směrnice, která zavádí jednotný standard úrovně poskytování základních služeb a odolnosti v členských státech, by nepřijetí návrhu zákona vedlo ke snížení konkurenceschopnosti ČR, jelikož by nedosahovala požadované úrovně bezpečnosti v EU. Naopak tím, že bude návrh zákona přijat, zvýší se tím konkurenceschopnost ČR, jelikož subjekty, které budou zvyšovat svoji odolnost a garantovat zajištění poskytování základní služby, mohou být brány jako více spolehlivé jak pro koncové zákazníky, tak pro jejich dodavatele nebo smluvní partnery. 

	3.3 Dopady na podnikatelské prostředí:  |X| ANO  |_| NE

	Z důvodu rozsahu transponované směrnice CER může dojít ke dvojnásobnému nárůstu počtu subjektů kritické infrastruktury, což přinese ekonomické a finanční dopady na podnikatelské prostředí v ČR. Většina z nově určených subjektů kritické infrastruktury bude ze soukromého sektoru. 
V případě ekonomických a finančních dopadů lze stejným způsobem odkázat na informace uvedené výše u dopadů na státní rozpočet a veřejné rozpočty. Nevýhodou otázky analýzy finančních dopadů na subjekty kritické infrastruktury je skutečnost, že distribuce nákladů na zajištění odolnosti subjektu kritické infrastruktury není plošná a existuje zde naprostá informační asymetrie ve směru od subjektů samotných k věcně příslušnému orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat její vlastní náklady na zavedení a udržování přiměřených opatření k zajištění své odolnosti). 
Výše finančních nákladů pro jednotlivé subjekty kritické infrastruktury v souvislosti se zajištěním jejich odolnosti se bude odvíjet od již zavedených opatření. V případě přijetí nových, dosud nezavedených, opatření bude finanční částka odpovídat typu a rozsahu opatření, obecně lze kalkulovat s průměrnou částkou v řádech statisíců či jednotek milionů korun. Současně je potřeba vnímat benefity, které opatření pro zajištění odolnosti přináší. Primárním benefitem je celková vyšší odolnost subjektu kritické infrastruktury, v jejímž důsledku dochází ke snížení dopadů vzniklých z incidentů, které současně snižují také finanční náklady na zotavení se. Administrativní zátěž navrhovaného řešení by měla být pro podnikatelské subjekty minimální, jelikož všechny nově zaváděné procesy navazují na již existující administrativní povinnosti těchto subjektů. Administrativní zátěž způsobená výhradně navrhovaným řešením by měla být za těchto předpokladů zanedbatelná, spočívající především v nově zavedené povinnosti hlásit věcně příslušnému orgánu informace nezbytné k určení subjektu kritické infrastruktury. Pro minimalizaci těchto administrativních dopadů je proto v navrhovaném řešení předpokládáno vytvoření portálu kritické infrastruktury, prostřednictvím kterého bude drtivá většina těchto povinností plněna.   
V souvislosti s dopady do podnikatelského prostředí, je v případě nákladů zapotřebí vnímat i benefity, které pro subjekt kritické infrastruktury přijímání opatření k zajištění odolnosti přináší. Investice do zajištění odolnosti subjektu kritické infrastruktury nejsou pouze nákladem, ale také dlouhodobě výhodným rozhodnutím, které přináší řadu hmatatelných i nehmatatelných benefitů. Jedná se například o minimalizaci finančních ztrát a operačních výpadků, neboť opatření na zajištění odolnosti umožňují rychlou obnovu provozu po incidentu, což minimalizuje finanční ztráty způsobené výpadky. Robustní záložní systémy a plány odolnosti mohou zajistit, že i při narušení základní služby bude subjekt kritické infrastruktury schopen pokračovat v klíčových činnostech své organizace. Současně může dojít ke zvýšení reputace a důvěry společnosti. Subjekty kritické infrastruktury, které prokazatelně investují do odolnosti, budují důvěru u svých zákazníků, partnerů a veřejnosti. Vědomí, že organizace je připravena čelit incidentům, zvyšuje její reputaci a atraktivitu pro obchodní partnery. Současně společnosti, které jsou odolné vůči incidentům, mohou být vnímány jako spolehlivější a stabilnější partneři, což může zvýšit jejich konkurenceschopnost na trhu. Odolnost přináší dlouhodobou udržitelnost a růst. Investice do odolnosti mohou být vnímány jako strategická výhoda. Organizace, které jsou schopné lépe zvládat a zotavit se z incidentů, jsou lépe připraveny na dlouhodobý růst a udržitelnost. Proces zajišťování odolnosti často vede k inovacím a zlepšení provozních postupů. Subjekty kritické infrastruktury, které se aktivně zaměřují na odolnost, mohou identifikovat a implementovat nové technologie a postupy, které zlepší jejich efektivitu a flexibilitu. V neposlední řadě odolné subjekty kritické infrastruktury zajišťují nejenom kontinuitu základních služeb, ale také bezpečnost svých pracovníků a de facto i občanů České republiky.

	3.4 Územní dopady včetně dopadů na územní samosprávné celky:  |X| ANO  |_| NE

	Negativní dopady na územní samosprávné celky se nepředpokládají. Návrh zákona může naopak mít pozitivní územní dopady, neboť zajištění poskytování základní služby může být podstatné pro zabezpečení základních potřeb a bezpečnosti v regionu.

	3.5 Sociální dopady:  |_| ANO  |X| NE 

	-

	3.6 Dopady na rodiny:  |_| ANO  |X| NE 

	-

	3.7 Dopady na spotřebitele:  |X| ANO  |_| NE

	Dopad na spotřebitele je pozitivní, jelikož subjekty kritické infrastruktury určené v jednotlivých odvětvích nebo pododvětvích garantují zajištění poskytování základní služby, případně budou připraveny na řešení incidentů v daném odvětví nebo pododvětví. Tímto je zaručena kvalita a zajištění dostupnosti základních služeb pro koncové spotřebitele.

	3.8 Dopady na životní prostředí:  |X| ANO  |_| NE

	Navrhovaná právní úprava má pozitivní dopad na životní prostřední, neboť cílem návrhu zákona je skrze identifikaci a určení subjektů kritické infrastruktury a následné plnění opatření k posilování své odolnosti ze strany těchto subjektů zajistit kontinuální poskytování základních služeb a zároveň předcházet vzniků incidentů, které mohou mít vzhledem k činnosti některých subjektů kritické infrastruktury podobu průmyslových havárií.

	3.9 Dopady ve vztahu k zákazu diskriminace a ve vztahu k rovnosti žen a mužů:  |_| ANO  |X| NE

	-

	3.10 Dopady na výkon státní statistické služby:  |_| ANO  |X| NE

	-

	3.11 Korupční rizika:  |_| ANO  |X| NE

	V souladu s Metodikou hodnocení korupčních rizik (CIA) nebyla identifikována žádná významná korupční rizika. 
V rámci návrhu zákona nedochází k nedůvodnému rozšiřování kompetencí orgánů státní správy. Ministerstva, jiné ústřední správní úřady a Česká národní banka se dělí o kompetence spočívající v posouzení naplnění kritérií pro zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury, jakožto i plnění dalších úkolů souvisejících se zvyšováním odolnosti subjektů kritické infrastruktury v jejich věcné příslušnosti. Ministerstvo vnitra nadto jako státní orgán, v jehož kompetenci je problematika krizového řízení, a tedy i kritické infrastruktury, plní některé další úkoly, zejména ve vztahu fungování systému kritické infrastruktury jako celku a plnění povinností vůči Evropské unii. Takovou kompetenci nelze považovat za extensivní, neboť její stanovení je nezbytné pro efektivní zajištění dané agendy a v obecné rovině ji předpokládá i směrnice CER, která vyžaduje v rámci členských států zřízení jednotného kontaktního místa odpovědného za koordinaci záležitostí souvisejících s odolností kritických subjektů a přeshraniční spoluprací. 
Co se týče jednoznačnosti, nebylo shledáno, že by právní úprava byla problematická z pohledu právní jistoty. Úprava obsahuje jasné vymezení práv a povinností všech dotčených orgánů a osob, jakožto i stanoví jasné procesní postupy, včetně jednoznačných lhůt.
Instituty navrhované právní úpravy jsou standardními instituty, které v obdobném rozsahu upravují i jiné právní předpisy. Případné odchylky jsou dány specifiky vyplývajícími z požadavků směrnice CER (např. v oblasti ověřování spolehlivosti). 
Proces určování subjektů kritické infrastruktury, v jehož důsledku jsou následně adresovány povinnosti, je založen na doložení skutečného stavu (tj. naplnění objektivních kritérií), který je zcela transparentní. Samotný proces určování spočívá v posouzení toho, zda poskytovatel základní služby kritéria naplnil či nikoliv, a v následném vydání rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury. 
Korupční rizika nelze předpokládat ani v souvislosti s kontrolou nebo projednáváním přestupků, neboť tyto procesy budou prováděny na základě jiné právní úpravy (kontrolní řád a zákon o odpovědnosti za přestupky), která zajišťuje transparentní provedení uvedených procesů. 
Kromě určování subjektů kritické infrastruktury, ukládání opatření k bezpečnosti dodavatelského řetězce, ukládání nápravných opatření a projednávání přestupků nepředpokládá návrh zákona jinou oblast, ve které by orgány veřejné moci rozhodovaly. Ukládání nápravných opatření bude spjato s výsledkem kontroly a nelze proto předpokládat svévoli orgánu, který nápravné opatření uloží. Jako standardní správní rozhodnutí bude muset rozhodnutí o nápravném opatření splňovat náležitosti na takové rozhodnutí kladené, tj. včetně dostatečného odůvodnění, a bude proti němu možné uplatnit opravné a dozorčí prostředky, jakožto i iniciovat soudní přezkum. Obdobně tomu je v případě opatření k bezpečnosti dodavatelského řetězce, které bude představovat zcela mimořádné opatření v případě závažné hrozby pro bezpečnost České republiky.   

	3.12 Dopady na bezpečnost nebo obranu státu:  |X| ANO  |_| NE

	Návrh zákona má pozitivní dopady na bezpečnost a obranu státu, zejména přispěje k dalšímu posílení zabezpečení klíčových základních služeb v ČR a posílení jejich odolnosti před incidenty, které by mohly ohrozit poskytování základních služeb a bezpečnost ČR jako celku, čímž dojde ke snížení míry rizika vzniku takovýchto incidentů.
Návrh zákona dále zakotvuje využívání informačních systémů (portál kritické infrastruktury a informační systém krizového řízení), které přispějí k lepší koordinaci systému kritické infrastruktury v ČR a efektivnějšímu řešení krizových situací z ústřední úrovně.
Předložený návrh zákona má významně pozitivní dopad na bezpečnost a obranu státu.   


2

1. Důvod předložení a cíle
Hlavním důvodem pro zpracování návrhu zákona je transpozice směrnice CER do českého právního řádu, přičemž transpoziční lhůta stanovená ve směrnici CER činí 21 měsíců od nabytí platnosti této směrnice (tj. do 17. října 2024).
V případě, že by transpozice byla realizována pouze částečně, nebo nebyla realizována vůbec, případně by k ní došlo s delším časovým odstupem po 17. říjnu 2024, hrozilo by České republice zahájení řízení o porušení práva Evropské unie ze strany Evropské komise (tzv. infringement procedure). Současně lze za realizaci transpozice považovat stav, kdy je předpis v rámci legislativního procesu projednáván v Poslanecké sněmovně, z tohoto důvodu je účinnost návrhu zákona předpokládána přibližně od 1. 7. 2025 s tím, že v návrhu zákona je stanovena účinnost od patnáctého dne následujícího po dni vyhlášení zákona o kritické infrastruktuře.
S ohledem na zhoršení bezpečnostního prostřední je nezbytné, aby stát vytvořil podmínky pro zvyšování a zajišťování odolnosti základních služeb, které jsou nezbytné pro chod státu včetně zajištění odpovídajících životních podmínek pro obyvatelstvo České republiky. 
Bezpečnost a odolnost organizačních složek státu a dalších orgánů a osob, jež poskytují služby stěžejní pro fungování státu, jsou předpoklady pro zajištění bezpečnosti České republiky. Podle Bezpečnostní strategie České republiky existuje řada hrozeb, kterým Česká republika čelí, a to včetně kybernetických útoků, ohrožení funkčnosti kritické infrastruktury či přerušení dodávek strategických surovin nebo energií.
Návrh zákona vychází tam, kde je to možné, z principů současného znění zákona o krizovém řízení, při zohlednění zkušeností z dosavadní aplikační praxe. Nové požadavky, vyplývající především ze směrnice CER, vedou k tomu, že návrh nového zákona musí zohlednit především:
· změnu přístupu od určování fyzických prvků kritické infrastruktury k určování subjektů kritické infrastruktury poskytujících základní služby,
· požadavky na zpracování dokumentace na národní úrovni (posouzení rizik, strategie),
· další požadavky na subjekty kritické infrastruktury,
· zpracování posouzení rizik,
· zavedení opatření k zajištění jejich odolnosti a jejich promítnutí do plánu odolnosti,
· požadavky na hlášení incidentů,
· intenzivnější sdílení informací mezi státní správou a soukromým sektorem,
· systém ověřování spolehlivosti kritických pracovníků subjektů kritické infrastruktury a jeho významných dodavatelů, 
· provázání povinností se sankcemi,
· zohlednění problematiky dodavatelských řetězců,
· provázání s návrhem nového zákona o kybernetické bezpečnosti a nařízením Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (dále jen „nařízení DORA“),
vznik nového informačního nástroje v podobě informačního systému krizového řízení a portálu kritické infrastruktury.
Podle nového pojetí odolnosti kritické infrastruktury, jež vychází ze směrnice CER, není hlavní důraz kladen na prvek kritické infrastruktury ve smyslu budovy, zařízení, infrastruktury, ale na celkové zajištění poskytování základní služby subjektem kritické infrastruktury. Proto se upouští od určování jednotlivých prvků kritické infrastruktury, ale důraz je kladen na zajištění poskytování základní služby jako takové. Stěžejní je tedy stanovení základních služeb, které vycházejí z nařízení Evropské komise v souladu s článkem 5 směrnice CER a kritérií významnosti, která definují významnost této základní služby a jejího poskytovatele. Konkrétní základní služby a kritéria významnosti budou stanovena prováděcím právním předpisem.
Ačkoliv je posledním krokem procesu určování subjektů kritické infrastruktury vydání rozhodnutí o zařazení na seznam subjektů kritické infrastruktury Ministerstvem vnitra, celý proces se neobejde bez zapojení všech věcně příslušných ministerstev a jiných ústředních správních úřadů (a České národní banky), které na základě svých odborných a odvětvových znalostí posuzují relevantnost informací nezbytných k zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury, a to po předchozím procesu sebehodnocení poskytovatele základní služby. Tato informační povinnost vyplývá pro poskytovatele základních služeb přímo z návrhu zákona.

1.1. Název
Návrh zákona o odolnosti subjektů kritické infrastruktury a o změně dalších zákonů (zákon o kritické infrastruktuře).
1.2. Definice problému
Aplikační praxe od roku 2010 spolu s řešením nedávných krizových situací poukázala na některé nedostatky stávajícího systému kritické infrastruktury, na které rovněž návrh zákona o kritické infrastruktuře reaguje.
Nedostatky systému se týkají především problematiky určování prvků kritické infrastruktury. Proces určování v současném systému probíhá po dvou liniích, a to v souvislosti s tím, zdali je subjektem kritické infrastruktury organizační složka státu, či nikoliv. V případě organizačních složek státu určovala prvky kritické infrastruktury vláda, a to schválením seznamu prvků kritické infrastruktury, jejichž provozovatelem je organizační složka státu (dále jen „seznam prvků kritické infrastruktury“), který byl předkládán ze strany Ministerstva vnitra, přičemž podklady za jednotlivá odvětví a pododvětví poskytovala jednotlivá věcně příslušná ministerstva, jiné ústřední správní úřady nebo Česká národní banka.
V případě prvků kritické infrastruktury, jejichž provozovatelem není organizační složka státu, pak byl doposud celý proces decentralizován, kdy prvky kritické infrastruktury určovala samotná věcně příslušná ministerstva, jiné ústřední správní úřady nebo Česká národní banka opatřením obecné povahy a následně o tomto určení bez zbytečného odkladu informovala Ministerstvo vnitra.
Oba dva z těchto způsobů určování s sebou nesly určitá negativa vyplývající z časových a procesních náležitostí. V případě určování prvků kritické infrastruktury, jejichž provozovatelem je organizační složka státu, se jednalo o velice zdlouhavý proces, neboť každá aktualizace seznamu prvků kritické infrastruktury musela být v rámci standardního procesu před projednáním a schválením vládou projednána ve Výboru pro civilní nouzové plánování a následně v Bezpečnostní radě státu. Celý proces od identifikace potenciálního prvku až po jeho určení tak trval v řádu několika měsíců, což v mnoha případech vedlo k neaktuálnosti údajů uvedených v seznamu prvků kritické infrastruktury, jejichž provozovatelem je organizační složka státu.
V případě určování prvků kritické infrastruktury, jejichž provozovatelem není organizační složka státu, pak decentralizovaný proces určování často vedl k prodlení předávaných informací o aktuálně určených prvcích kritické infrastruktury Ministerstvu vnitra. Zároveň určování prvků kritické infrastruktury formou opatření obecné povahy s sebou neslo procesní komplikace spojené s nutností vyvěšovat opatření obecné povahy na úřední desku, čímž byla narušena a ohrožena citlivost informací o určované kritické infrastruktuře.
Stávající systém kritické infrastruktury je také příliš zaměřený na významné objekty a zařízení (prvky kritické infrastruktury), čímž upozaďuje méně významné prvky, které však v součtu vytváří systém prvků, který již může dosahovat značného významu.
Dalším nedostatkem je pak absence jakýchkoliv sankcí týkajících se porušení povinností subjektu kritické infrastruktury stanovených krizovým zákonem, což výrazně snižuje možnost jejich vynucení.
Požadavky stanovené směrnicí CER jsou ve svém důsledku takové povahy, že návrh zákona musí s ohledem na změnu dosavadního přístupu k oblasti kritické infrastruktury upravit nejen některé dílčí oblasti tak, aby bylo možné sladit požadavky směrnice CER s dosavadním způsobem ochrany kritické infrastruktury, ale především musí dojít k podstatným změnám v oblasti stanovení a identifikace základních služeb a podle toho i určení subjektů kritické infrastruktury, stanovení nových povinností těchto subjektů a dalších procesů a náležitostí, které přinesly požadavky na další dílčí úpravy zákonů. Výše uvedené skutečnosti vedly k závěru, že je nezbytné vyjmout problematiku kritické infrastruktury z krizového zákona a vytvořit nový samostatný zákon o odolnosti subjektů kritické infrastruktury. V návaznosti na návrh zákona bude také nutné zcela nahradit prováděcí právní předpisy ke krizovému zákonu, které se týkaly problematiky kritické infrastruktury, novými prováděcími právními předpisy k zákonu o odolnosti subjektů kritické infrastruktury.
Z důvodu zakotvení oficiální změny názvů operačních a informačních středisek IZS a ve vazbě na výkon funkce kontaktního místa pro hlášení incidentů v případě výpadku portálu kritické infrastruktury je nutná změna znění § 5 odst. 1 předmětného ustanovení upravujícího problematiku stálých orgánů pro koordinaci složek IZS. Jedná se toliko o změnu názvosloví bez dopadu na fungování IZS. 
Aktuální návrh znění zákona řeší také problematiku náhrad za omezení vlastnických nebo užívacích práv, poskytnutí věcné a osobní pomoci , stejně jako problematiku náhrady škod , a to komplexně v rámci celého balíku krizové legislativy (novela zákona o IZS a novela krizového zákona). Současná úprava uvedených problematik je však z pohledu aplikační praxe nepřehledná, neúplná a nevhodně definovaná, proto je navrženo rozdělení předmětných ustanovení s detailním rozpracováním a logickým členěním dle předmětu úpravy, a to pro každou problematiku na část „Náhrady“ a část „Uplatnění“. 
1.3. Popis existujícího právního stavu v dané oblasti
V současné době je problematika ochrany kritické infrastruktury zakotvena v krizovém zákoně, do kterého byla transponována směrnice Rady 2008/114/ES (dále jen „směrnice EKI“). Národní úprava ochrany kritické infrastruktury v roce 2010 byla obsáhlejší než požadavky vyplývající ze směrnice EKI a upravovala postavení prvků a subjektů kritické infrastruktury ve více odvětvích, než požadovala směrnice EKI. Zatímco směrnice EKI identifikovala dvě odvětví kritické infrastruktury, konkrétně odvětví energetiky a dopravy, národní úprava identifikovala celkem devět odvětví kritické infrastruktury. Kromě energetiky a dopravy byla rovněž identifkována odvětví vodního hospodářství, potravinářství a zemědělství, zdravotnictví, komunikačních a informačních systémů, finančního trhu a měny, nouzových služeb a veřejné správy. Nedochází tak k výrazným změnám v rozsahu regulovaných odvětví, avšak i přes tuto skutečnost dojde k dalšímu rozšíření regulovaných odvětví nebo pododvětví, a naopak některá současná odvětví, či jejich části, budou z nové regulace vyjmuta.
V dosavadním systému kritické infrastruktury existovala přímá vazba na oblast kybernetické bezpečnosti, která je předmětem zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“). Konkrétně se jedná o přímou provázanost kritické informační infrastruktury podle zákona o kybernetické bezpečnosti s kritickou infrastrukturou podle krizového zákona, kdy kritická informační infrastruktura je prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy podle nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvků kritické infrastruktury, ve znění pozdějších předpisů.
Provázanost zákona o kybernetické bezpečnosti a krizového zákona se poté promítla do specifického postavení kritické informační infrastruktury v systému kritické infrastruktury, kdy způsob a proces určování této infrastruktury vycházel z krizového zákona, nicméně povinnosti provozovatele kritické informační infrastruktury vycházely i ze zákona o kybernetické bezpečnosti. Tato provázanost systému kritické infrastruktury se systémem kybernetické bezpečnosti je zachována a dále rozvinuta i v novém přístupu podle návrhu zákona o kritické infrastruktuře a podle návrhu nového zákona o kybernetické bezpečnosti. Tato provázanost koneckonců vyplývá i ze Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (dále jen „směrnice CER“) a směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (dále jen „směrnice NIS2“).
1.4. Identifikace dotčených subjektů
Návrh zákona cílí na několik skupin subjektů: poskytovatele základních služeb, subjekty kritické infrastruktury, kritické dodavatele subjektů kritické infrastruktury, vládu, Ministerstvo vnitra a věcně příslušná ministerstva, jiné ústřední správní úřady a Českou národní banku. 
Hlavní skupinou dotčených subjektů jsou subjekty kritické infrastruktury. Jejich hlavním cílem je přitom nepřetržité poskytování základní služby, definované v nařízení vlády, za jejímž dosažením musí subjekty kritické infrastruktury kontinuálně posilovat svou odolnost.   
Skupina poskytovatelů základních služeb zahrnuje subjekty, které poskytují určitou základní službu a splňují kritéria významnosti, definované v nařízení vlády. Naplnění těchto podmínek je základním předpokladem pro určení subjektu kritické infrastruktury, neboť tím se může stát pouze poskytovatel základní služby.
V návaznosti na subjekty kritické infrastruktury se návrh zákona dotkne také jejich kritických dodavatelů. Identifikace kritických dodavatelů je jednou z povinností subjektu kritické infrastruktury. Návrh zákona se kritických dodavatelů dotýká z toho důvodu, že bez kritického dodavatele není možné zajistit poskytování základní služby subjektem kritické infrastruktury. 
Vláda za účelem zvyšování odolnosti subjektů kritické infrastruktury schvaluje strategii pro posílení odolnosti subjektů kritické infrastruktury.
Ministerstvo vnitra plní i nadále roli gestora za celý systém zvyšování odolnosti kritické infrastruktury. Jeho ústřední role se mimo jiné vyznačuje tím, že je jediným orgánem, který na základě doporučení věcně příslušného ministerstva, jiného ústředního správního úřadu nebo České národní banky rozhoduje o zařazení subjektu kritické infrastruktury na seznam subjektů kritické infrastruktury. Povinnosti Ministerstva vnitra plní generální ředitelství Hasičského záchranného sboru České republiky.  
Mezi hlavní úlohy věcně příslušných ministerstev, jiných ústředních správních úřadů a České národní banky patří vyžadování informací od poskytovatele základní služby, které jsou nezbytné k doporučení jeho zařazení na seznam subjektů kritické infrastruktury, metodická pomoc subjektům kritické infrastruktury a provádění kontrolní činnosti. 
Pozitivně dotčenými subjekty z hlediska povinností, které právní úprava zavádí, mohou reálně být všechny subjekty kritické infrastruktury. Důvodem k tomuto tvrzení je fakt, že díky nutnosti zajistit svou odolnost plynoucí z návrhu zákona, subjekty kritické infrastruktury obecně sníží pravděpodobnost vzniku incidentu v rámci své organizace a stejně tak zmírní dopady případných incidentů. Tato skutečnost se vztahuje rovněž na subjekty kritické infrastruktury, které budou určeny v odvětví Veřejná správa. 
Návrh zákona nepředpokládá negativní vliv na subjekty, neboť primárním cílem je posílení odolnosti, které má jasně pozitivní charakter. Negativitu tak lze spatřovat například ve finančních či personálních nákladech na opatření k zajištění odolnosti, v jejichž zavedení lze ale spatřovat jasné benefity pro dotčené subjekty a v této rovině i pro fungování státu, a to v podobě zajištění poskytování základních služeb. Zajištění kontinuálního poskytování základních služeb je hlavním cílem při aplikaci návrhu zákona. 
1.5. Popis cílového stavu
Cílem návrhu zákona je úplná a správně provedená transpozice směrnice CER. V rámci návrhu zákona o odolnosti subjektů kritické infrastruktury je cílem nastavení procesů pro zvyšování a zajišťování odolnosti subjektů kritické infrastruktury, což povede ke kontinuálnímu poskytování základní služeb. Cílem návrhu zákona je především stanovit minimální jednotný standard úrovně odolnosti u subjektů kritické infrastruktury, čímž dojde ke garanci poskytování základních služeb, které stát, potažmo EU, vyhodnotil jako klíčové pro zachování základních funkcí státu. Současně návrh zákona umožňuje státní správě dohled nad zajišťováním odolnosti subjektů kritické infrastruktury. Návrh zákona centralizuje jednotlivé činnosti pod jeden orgán, a to Ministerstvo vnitra, čímž zajišťuje sjednocení postupů při výkonu státní správy a celkový přehled o úrovni odolnosti napříč odvětvími nebo pododvětvími.
Subjektům kritické infrastruktury zajistí návrh zákona nepřetržitý kontakt s věcně příslušným orgánem, který mu bude poskytovat metodickou pomoc, výstupy z posouzení rizik a informovat o možném aktuálním ohrožení. Současně se tím zkvalitňuje reakce na hrozící nebo vzniklé incidenty u subjektu kritické infastruktury. 
Cílem novely krizového zákona není změna systému krizového řízení ani přenesení kompetencí na jiné orgány krizového řízení, neboť zkušenosti z praxe ukázaly, že tento systém je robustní, efektivní a nastavený správně. Cílem je tedy dílčími změnami provázat nástroje a opatření stanovené v návrhu zákon o odolnosti subjektů kritické infrastruktury s nástroji krizového řízení.

1.6. Zhodnocení rizika
Vzhledem ke skutečnosti, že návrh zákona o odolnosti subjektů kritické infrastruktury je implementačním předpisem, je nejzávažnějším rizikem riziko právní, a to zahájení řízení o porušení práva EU ze strany Evropské komise, zejména uplatnění postupu podle č. 260 odst. 3 Smlouvy o fungování EU.
Za věcná rizika v souvislosti s nepřijetím tohoto návrhu zákona lze označit zachování současného decentralizovaného systému ochrany kritické infrastruktury, ze kterého vyplývají problémy vlivem nejednotného postupu při určování prvků kritické infrastruktury. Mimo to lze riziko spatřovat v absenci jakýchkoliv sankcí týkajících se porušení povinností subjektu kritické infrastruktury stanovených krizovým zákonem, což výrazně snižuje možnost jejich vynucení. Tyto uvedená rizika návrh zákona pokrývá a zefektivňuje tak celý systém ochrany kritické infrastruktury.
2. Návrh variant řešení
Varianta I: Nulová varianta – zachování současného stavu
Česká republika si zachová současný právní rámec, který nebude zohledňovat přijetí směrnice CER, ale pouze přijetí směrnice EKI. Jedná se o stav krizového zákona ve znění novely č. 430/2010 Sb. .
Varianta II: Částečná implementace směrnice CER
Česká republika přijme návrh zákona o odolnosti subjektů kritické infrastruktury, ale bude implementovat pouze vybraná ustanovení směrnice CER. 
Varianta III: Úplná implementace směrnice CER
Česká republika přijme návrh zákona o odolnosti subjektů kritické infrastruktury v plném rozsahu ustanovení směrnice CER. Současně s tím provede změnu krizového zákona, případně dalších právních předpisů, pouze v rozsahu nezbytném pro implementaci směrnice CER, čímž nebudou narovnány rozpory některých ustanovení s aplikační praxí stejně jako v případě varianty I.
Varianta IV: Úplná implementace směrnice CER a doplnění některých ustanovení nad její rámec
Česká republika přijme návrh zákona o odolnosti subjektů kritické infrastruktury v plném rozsahu ustanovení směrnice CER, včetně doplněných ustanovení nad její rámec. Současně s tím provede změnu krizového zákona, zákona o IZS a dalších právních předpisů v souladu se zkušenostmi z aplikační praxe.
3. Vyhodnocení nákladů a přínosů
3.1. Identifikace nákladů a přínosů
V této části jsou formou kvalifikovaného odhadu vyčísleny a popsány náklady a přínosy jednotlivých variant.
3.2. Náklady
Varianta I.
Při aplikaci varianty I. bude hlavním a jediným nákladem dopad tzv. „infringement procedure“ ze strany Evropské komise. Bude se jednat o dopad na státní rozpočet, ze kterého bude hrazena výše pokuty a soudní výlohy na základě postupu podle č. 260 odst. 3 Smlouvy o fungování EU. Paušální částka pokuty za netransponování směrnice se pohybuje v řádech desítek milionů korun. K této částce se navíc mohou ještě přičíst penále za každý den prodlení, a to ve výši desítek tisíc až jednotek milionů korun. 
Varianta II.
Při aplikaci varianty II. se předpokládají dopady na státní rozpočet související s plněním úkolů orgánů státní správy zapojené do aplikace návrhu zákona a současně náklady spojené se zvyšováním odolnosti a plněním opatření podle návrhu zákona v případě, že orgány státní správy budou určeny subjektem kritické infrastruktury.
Další náklady ponesou subjekty kritické infrastruktury určené v rámci soukromého sektoru, a to v rozsahu přijímání opatření pro zvyšování odolnosti, zpracování posouzení rizik a plánu odolnosti za předpokladu, že by tyto povinnosti ze směrnice CER byly do českého právního řádu aplikovány. 
Dalším nákladem pro státní rozpočet by byl dopad tzv. „infringement procedure“ ze strany Evropské komise, který se ovšem u částečné implementace nepředpokládá tak vysoký, jako by tomu bylo u varianty I (z důvodu částečné implementace směrnice CER).
Varianta III.
Dopady na státní rozpočet mohou být dány jak požadavky na plnění povinností plynoucích z návrhu zákona od subjektů veřejné správy na ústřední úrovni ve formě významného zvýšení personálních kapacit i finančních prostředků určených na posílení odolnosti a zajištění úkolů stanových tímto zákonem, tak požadavky na zajištění kapacit nutných k zajištění plnění koordinační role Ministerstva vnitra. Orgány veřejné správy na ústřední úrovni jsou již v současném systému kritické infrastruktury podle krizového zákona zodpovědné za ochranu svých prvků kritické infrastruktury, nemají však zpracovánu příslušnou dokumentaci. Vzhledem k rozšíření povinností a stanovení výčtu minimálních opatření k zajištění odolnosti však lze očekávat nárůst požadavků na poskytnutí finančních prostředků (investičních i neinvestičních) k plnění zákonem stanovených kompetencí ze strany ministerstev a jiných ústředních správních úřadů a jimi řízených organizací. Naprostá většina nově předpokládaných subjektů kritické infrastruktury vzejde v souladu s obsahem transponované směrnice ze soukromého sektoru. V souhrnu je možné očekávat až dvojnásobný nárůst povinných osob proti současnému stavu, což bude muset být reflektováno i v zajištění fungování gestora této problematiky stejně tak jako gestorů za jednotlivá odvětví, případně pododvětví. S tím se rovněž pojí i náklady související s nutností zavést nový informační systém k zabezpečení plnění úkolů podle tohoto zákona (portál kritické infrastruktury), stejně tak jako zabezpečit organizační a personální kapacity na jeho provoz. Náklady na zavedení portálu kritické infrastruktury, včetně pořízení potřebného hardwaru v rámci Ministerstva vnitra, byly vyčísleny na částku 6 000 000 Kč. Tato částka bude z 90 % financována z operačního programu EU Fondu pro vnitřní bezpečnost. Organizační a personální kapacity na jeho provoz budou pokryty z aktuálních zdrojů.
Finanční náklady na informační systém krizového řízení nepřesáhnou částku 197 000 000 Kč. Tato částka bude financována z operačního programu EMAS/AMIF a rozpočtu Ministerstva vnitra – generálního ředitelství hasičského záchranného sboru České republiky.
Současně je potřeba kalkulovat s náklady spojenými s určením subjektů kritické infrastruktury v odvětví Veřejná správa, jelikož náklady ponesou jednotlivá ministerstva, jiné ústřední správní úřady a další orgány v případě, že budou určeny subjektem kritické infrastruktury. Tyto náklady budou spojené zejména s přijímáním opatření na zvyšování odolnosti, případně s určením subjektu kritické infrastruktury povinnou osobou v režimu vyšších povinností dle zákona o kybernetické bezpečnosti. Náklady spojené s přijímáním opatření na zvyšování odolnosti se budou odvíjet od již existujících opatření, obecně jsou v průměru odhadovány v řádech statisíců až jednotek milionů korun. Tyto výdaje budou pokryty v rámci schválených dotčených rozpočtových kapitol. Současně bude činnost orgánů státní správy související s touto agendou pokryta ze současných personálních kapacit. 
Další nároky na státní rozpočet budou představovat opatření související s řešením incidentů u subjektu kritické infrastruktury, zejména pak v souvislosti s pořizováním věcných prostředků v systému hospodářských opatření pro krizové stavy. Požadavky na pořízení těchto věcných prostředků ze strany státu se budou odvíjet od potřeb samotných subjektů kritické infrastruktury. Ty budou identifikovat nezbytné věcné zdroje v plánu odolnosti, a to až po určení za subjekt kritické infrastruktury (do 10 měsíců od doručení informace o určení subjektem kritické infrastruktury). Vzhledem k této skutečnosti je odhad finančních nákladů značně obtížný, nicméně za reálný lze považovat požadavek na navýšení ročního rozpočtu kapitoly Správa státních hmotných rezerv, konkrétně části určené k pořizování věcných zdrojů v systému hospodářských opatření pro krizové stavy o 20 %.
Nevýhodou otázky analýzy finančních dopadů na subjekty kritické infrastruktury je skutečnost, že distribuce nákladů na zajištění své odolnosti není plošná a existuje informační asymetrie ve směru od subjektů samotných k věcně příslušnému orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat své vlastní náklady na zavedení a udržování přiměřených opatření k zajištění své odolnosti). 
Dopady na státní rozpočet bude mít také zabezpečení mechanismu ověřování spolehlivosti, zejména pak ověření spolehlivosti manažerů kritické infrastruktury, kteří budou vykonávat citlivou činnost podle zákona o ochraně utajovaných informací. V této souvislosti jsou odhadovány počty nových žádostí o ověření spolehlivosti, které bude posuzovat Národní bezpečnostní úřad, v řádech nižších stovek. Pro tyto potřeby bude nezbytné navýšit kapacity Národního bezpečnostního úřadu nejméně o 3 systemizovaná tabulková místa (13. platová třída) a v souvislosti s tím navýšit odpovídající finanční prostředky kapitoly 308 státního rozpočtu. Požadavek na navýšení systemizovaných tabulkových míst v uvedeném rozsahu je ze strany Národního bezpečnostního úřadu stanoven na nejnižší možné úrovni pro zajištění výše uvedených činností.
Dopady na rozpočty územních samosprávných celků lze očekávat zejména v souvislosti s tím, že územní samosprávné celky budou v některých případech přímo zřizovateli poskytovatelů základních služeb. Jejich dodatečné náklady se tak mohou projevit v majetkové sféře územních samosprávných celků, ať už jako snížení zisku obchodních korporací, v nichž mají podíl, nebo ve zvýšení cen za odebírané služby (ať už budou odběrateli služeb samotné územní samosprávné celky nebo jimi zřizované organizace). V této souvislosti lze totiž předpokládat, že subjekty kritické infrastruktury promítnou své náklady na plnění nově stanovených povinností právě do cen pro odběratele služeb. V případě, že bude aplikován zákaz konkrétního dodavatele dle § 15 návrhu zákona, vyvstanou subjektu kritické infrastruktury, jehož zřizovatelem může být územní samosprávný celek, další dodatečné náklady spojené s výběrovým řízením na dodavatele nového.
Výše finančních nákladů pro jednotlivé subjekty kritické infrastruktury v souvislosti se zajištěním jejich odolnosti se bude odvíjet od již zavedených opatření. V případě přijetí nových, dosud nezavedených, opatření bude finanční částka odpovídat typu a rozsahu opatření, obecně lze kalkulovat s průměrnou částkou v řádech statisíců či jednotek milionů korun. Současně je potřeba vnímat benefity, které opatření pro zajištění odolnosti přináší. Primárním benefitem je celková vyšší odolnost subjektu kritické infrastruktury, v jejímž důsledku dochází ke snížení dopadů vzniklých incidentů, které současně snižují také finanční náklady na zotavení se.
Varianta IV.
Dopady na státní rozpočet mohou být dány jak požadavky na plnění povinností plynoucích z návrhu zákona od subjektů veřejné správy na ústřední úrovni ve formě významného zvýšení personálních kapacit i finančních prostředků určených na posílení odolnosti a zajištění úkolů stanových tímto zákonem, tak požadavky na zajištění kapacit nutných k zajištění plnění koordinační role Ministerstva vnitra. Orgány veřejné správy na ústřední úrovni jsou již v současném systému kritické infrastruktury podle krizového zákona zodpovědné za ochranu svých prvků kritické infrastruktury, nemají však zpracovánu příslušnou dokumentaci. Vzhledem k rozšíření povinností a stanovení výčtu minimálních opatření k zajištění odolnosti však lze očekávat nárůst požadavků na poskytnutí finančních prostředků (investičních i neinvestičních) k plnění zákonem stanovených kompetencí ze strany ministerstev a jiných ústředních správních úřadů a jimi řízených organizací. Naprostá většina nově předpokládaných subjektů kritické infrastruktury vzejde v souladu s obsahem transponované směrnice ze soukromého sektoru. V souhrnu je možné očekávat až dvojnásobný nárůst povinných osob proti současnému stavu, což bude muset být reflektováno i v zajištění fungování gestora této problematiky stejně tak jako gestorů za jednotlivá odvětví, případně pododvětví. S tím se rovněž pojí i náklady související s nutností zavést nový informační systém k zabezpečení plnění úkolů podle tohoto zákona (portál kritické infrastruktury), stejně tak jako zabezpečit organizační a personální kapacity na jeho provoz. Náklady na zavedení portálu kritické infrastruktury, včetně pořízení potřebného hardwaru v rámci Ministerstva vnitra, byly vyčísleny na částku 6 000 000 Kč. Tato částka bude z 90 % financována z operačního programu EU Fondu pro vnitřní bezpečnost. Organizační a personální kapacity na jeho provoz budou pokryty z aktuálních zdrojů.
Finanční náklady na informační systém krizového řízení nepřesáhnou částku 197 000 000 Kč. Tato částka bude financována z operačního programu EMAS/AMIF a rozpočtu Ministerstva vnitra – generálního ředitelství hasičského záchranného sboru České republiky.
Současně je potřeba kalkulovat s náklady spojenými s určením subjektů kritické infrastruktury v odvětví Veřejná správa, jelikož náklady ponesou jednotlivá ministerstva, jiné ústřední správní úřady a další orgány v případě, že budou určeny subjektem kritické infrastruktury. Tyto náklady budou spojené zejména s přijímáním opatření na zvyšování odolnosti, případně s určením subjektu kritické infrastruktury povinnou osobou v režimu vyšších povinností dle zákona o kybernetické bezpečnosti. Náklady spojené s přijímáním opatření na zvyšování odolnosti se budou odvíjet od již existujících opatření, obecně jsou v průměru odhadovány v řádech statisíců až jednotek milionů korun. Tyto výdaje budou pokryty v rámci schválených dotčených rozpočtových kapitol. Současně bude činnost orgánů státní správy související s touto agendou pokryta ze současných personálních kapacit. 
Další nároky na státní rozpočet budou představovat opatření související s řešením incidentů u subjektu kritické infrastruktury, zejména pak v souvislosti s pořizováním věcných prostředků v systému hospodářských opatření pro krizové stavy. Požadavky na pořízení těchto věcných prostředků ze strany státu se budou odvíjet od potřeb samotných subjektů kritické infrastruktury. Ty budou identifikovat nezbytné věcné zdroje v plánu odolnosti, a to až po určení za subjekt kritické infrastruktury (do 10 měsíců od doručení informace o určení subjektem kritické infrastruktury). Vzhledem k této skutečnosti je odhad finančních nákladů značně obtížný, nicméně za reálný lze považovat požadavek na navýšení ročního rozpočtu kapitoly Správa státních hmotných rezerv, konkrétně části určené k pořizování věcných zdrojů v systému hospodářských opatření pro krizové stavy o 20 %.
Nevýhodou otázky analýzy finančních dopadů na subjekty kritické infrastruktury je skutečnost, že distribuce nákladů na zajištění své odolnosti není plošná a existuje informační asymetrie ve směru od subjektů samotných k věcně příslušnému orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat své vlastní náklady na zavedení a udržování přiměřených opatření k zajištění své odolnosti). 
Dopady na státní rozpočet bude mít také zabezpečení mechanismu ověřování spolehlivosti, zejména pak ověření spolehlivost kritických pracovníků, kteří budou vykonávat citlivou činnost podle zákona o ochraně utajovaných informací. V této souvislosti jsou odhadovány počty nových žádostí o ověření spolehlivosti, které bude posuzovat Národní bezpečnostní úřad, v řádech nižších stovek. Pro tyto potřeby bude nezbytné navýšit kapacity Národního bezpečnostního úřadu nejméně o 3 systemizovaná tabulková místa (13. platová třída) a v souvislosti s tím navýšit odpovídající finanční prostředky kapitoly 308 státního rozpočtu. Požadavek na navýšení systemizovaných tabulkových míst v uvedeném rozsahu je ze strany Národního bezpečnostního úřadu stanoven na nejnižší možné úrovni pro zajištění výše uvedených činností.
Dopady na rozpočty územních samosprávných celků lze očekávat zejména v souvislosti s tím, že územní samosprávné celky budou v některých případech přímo zřizovateli poskytovatelů základních služeb. Jejich dodatečné náklady se tak mohou projevit v majetkové sféře územních samosprávných celků, ať už jako snížení zisku obchodních korporací, v nichž mají podíl, nebo ve zvýšení cen za odebírané služby (ať už budou odběrateli služeb samotné územní samosprávné celky nebo jimi zřizované organizace). V této souvislosti lze totiž předpokládat, že subjekty kritické infrastruktury promítnou své náklady na plnění nově stanovených povinností právě do cen pro odběratele služeb. V případě, že bude aplikován zákaz konkrétního dodavatele dle § 15 návrhu zákona, vyvstanou subjektu kritické infrastruktury, jehož zřizovatelem může být územní samosprávný celek, další dodatečné náklady spojené s výběrovým řízením na dodavatele nového.
Výše finančních nákladů pro jednotlivé subjekty kritické infrastruktury v souvislosti se zajištěním jejich odolnosti se bude odvíjet od již zavedených opatření. V případě přijetí nových, dosud nezavedených, opatření bude finanční částka odpovídat typu a rozsahu opatření, obecně lze kalkulovat s průměrnou částkou v řádech statisíců či jednotek milionů korun. Současně je potřeba vnímat benefity, které opatření pro zajištění odolnosti přináší. Primárním benefitem je celková vyšší odolnost subjektu kritické infrastruktury, v jejímž důsledku dochází ke snížení dopadů vzniklých incidentů, které současně snižují také finanční náklady na zotavení se.
Návrh souvisejících úprav krizového zákona nepředpokládá významný nárůst zpracovávané agendy jednotlivých orgánů krizového řízení a tím také nárůst finančních nákladů na její řešení. Navrhované úpravy a změny krizové plánovací dokumentace nepředstavují výrazný nárůst administrativní zátěže.
3.3. Přínosy
Varianta I.
Tato varianta nemá přínosy.
Varianta II.
Přínosem varianty II. je částečná implementace směrnice CER, při které dojde alespoň částečně ke zvýšení odolnosti subjektů kritické infrastruktury. 
Varianta III.
Bude zaveden jednotný standard pro zajištění poskytování základních služeb a odolnosti v členských státech. Touto variantou bude částečně posílena konkurenceschopnost ČR a dosažena požadovaná úroveň bezpečnosti v EU jako celku. S ohledem na změnu bezpečnostního prostředí bude mít ČR takový nástroj, který částečně posílí schopnost reakce jednotlivých aktérů bezpečnostního systému na možné hrozby. Dojde tak k naplnění Bezpečnostní strategie České republiky. Současně nebude porušena povinnost implementace směrnice CER.
Varianta IV.
Bude zaveden jednotný standard pro zajištění poskytování základních služeb a odolnosti v členských státech. Touto variantou bude posílena konkurenceschopnost ČR a dosažena požadovaná úroveň bezpečnosti v EU jako celku. S ohledem na změnu bezpečnostního prostředí bude mít ČR takový nástroj, který posílí schopnost reakce jednotlivých aktérů bezpečnostního systému na možné hrozby. Dojde tak k naplnění Bezpečnostní strategie České republiky. Současně nebude porušena povinnost implementace směrnice CER.
V návaznosti na zkušenosti z aplikační praxe je třeba také v několika dílčích bodech novelizovat krizový zákon a zákon o IZS za účelem provázání zajišťování odolnosti subjektů kritické infrastruktury a systému krizového řízení. 

3.4. Vyhodnocení nákladů a přínosů variant
S variantou I a II nejsou spojeny žádné přínosy, ale přesto by vyžadovaly náklady minimálně v rozsahu sankcí spojených s porušením povinnosti řádně implementovat směrnici CER („infringement procedure“ ze strany Evropské komise).
Naopak varianta III v sobě obsahuje přijatelný poměr nezbytných nákladů a očekávaných přínosů. S ohledem na celkový očekávaný přínos je ovšem vhodnější varianta IV.
Investice do odolnosti subjektů kritické infrastruktury budou mít pozitivní dopad na společnost a státní rozpočet jako celek. Při výpadku základní služby současně může dojít k ovlivnění dalších odvětví, propadu ekonomiky, snížení HDP ČR, mezinárodní konkurenceschopnosti a mohou být zaznamenány další socioekonomické dopady, jako nárůst nezaměstnanosti a pokles životní úrovně obyvatelstva. Z tohoto důvodu je nezbytné, aby subjekty kritické infrastruktury byly odolné a připravené na řešení incidentů.
4. Stanovení pořadí variant a výběr nejvhodnějšího řešení
Nejvhodnější a preferovanou variantou je varianta IV., tedy úplná implementace směrnice CER a doplnění některých ustanovení nad její rámec. Jako druhá v pořadí byla vyhodnocena varianta III., tedy úplná implementace směrnice CER. Jako třetí v pořadí byla vyhodnocena varianta II., částečná implementace směrnice CER a jako nejméně vhodná varianta I., tedy žádná implementace směrnice CER.

Varianta IV. se jeví jako nejvýhodnější z toho důvodu, že ČR splní požadavky Evropské komise na implementaci směrnice a současně zachová minimální standard zajištění odolnosti poskytování základních služeb v EU. Tím bude zajištěna konkurenceschopnost ČR mezi ostatními členskými státy EU a současně budou splněny požadavky vyplývající pro ČR v členství v EU. Také bude zajištěno provázání systému kritické infrastruktury se systémem krizového řízení.

5. Implementace doporučené varianty a vynucování
Připravenost subjektů kritické infrastruktury na implementaci doporučené varianty bude zajištěna seznámením se s požadavky vyplývajícími z návrhu zákona v dostatečném časovém předstihu. Již od raných fází přípravy návrhu zákona byly státní subjekty i organizace sdružující soukromé subjekty součástí transpozičního procesu. Na základě této skutečnosti lze usuzovat, že dotčené subjekty již mají povědomí o nových právech a povinnostech, vyplývajících z nového návrhu zákona. Současně se od věcně příslušných orgánů předpokládá metodické vedení za účelem pomoci při jejich plnění. Náklady spojené s implementací doporučené varianty jsou popsány v části 3.2 Náklady. 
Dohled a vymáhání budou provádět věcně příslušná ministerstva a jiné ústřední správní úřady na základě kontrolní činnosti dle platného kontrolního řádu. Ustanovení obsahuje rozpětí pokut, které lze za přestupky podle zákona o odolnosti subjektů kritické infrastruktury uložit. 
S přihlédnutím k typové závažnosti je horní hranice sazby pokuty u některých přestupků kromě explicitně stanovené částky koncipována též alternativně zohledněním ročního obratu vykázaného subjektem kritické infrastruktury (podle toho, která z částek je vyšší), jakožto i přísnějším trestáním recidivy. 
Možnost uložit pokutu do výše zlomku z čistého obratu subjektu kritické infrastruktury lépe reaguje na skutečnost, že subjekty kritické infrastruktury jsou představovány značně nehomogenní množinou osob. Tato skutečnost je determinována mimo jiné i podstatnými odlišnostmi mezi jednotlivými odvětvími, které se následně odráží v počtu a povaze subjektů kritické infrastruktury v nich působících. Na jedné straně se jedná o nadnárodní korporace mající roční obrat ve výši desítek až stovek miliard korun – například některé subjekty působící v odvětví energetiky nebo zdravotnictví. Na druhé straně může jít o relativně malé podniky, které jsou jako subjekt kritické infrastruktury určeny spíše z důvodu jedinečnosti jimi poskytované základní služby (ať už s ohledem na charakter poskytované základní služby nebo s ohledem na území, kde je tato základní služba poskytována), nežli ekonomickou dominancí – například v odvětví pitná voda nebo odpadní voda. Předkladatel při analýze dopadů vycházel z veřejně dostupných účetních závěrek a výročních zpráv zveřejněných osobami, u nichž se předpokládá jejich zařazení do systému kritické infrastruktury (resp. lze konstatovat, že v drtivé většině jsou subjektem kritické infrastruktury již za současné právní úpravy). 
Směrnice CER v čl. 22 stanoví, že „stanovené sankce musí být účinné, přiměřené a odrazující“. Aby bylo možné naplnit požadavek směrnice CER, bylo při komparaci s jinými předpisy obsahujícími obdobný požadavek (viz níže) vyhodnoceno jako vhodné u některých přestupků přistoupit k přijetí alternativního režimu pro stanovení horní hranice sazby pokuty, než pouhou pevně stanovenou částkou, neboť s ohledem na extrémní disproporci mezi jednotlivými subjekty není u některých přestupků možné objektivně stanovit horní hranici pevné částky, která by zohledňovala odlišnosti adresátů a zároveň naplňovala požadavek přiměřenosti, účinnosti a odrazujícího účinku. Jelikož je pokuta svou povahou ekonomickou sankcí, je stanovení horní hranice sazby pokuty u nejzávažnějších přestupků prostřednictvím zlomku z obratu objektivním kritériem. Takto stanovená horní hranice sazby pokuty velmi dobře naplňuje všechna tři požadovaná kritéria stanovená směrnicí CER a zaručuje tak její plnou transpozici v této oblasti.
Stanovení horní hranice sazby pokuty prostřednictvím procentuální výše z obratu není ve vnitrostátním ani unijním kontextu ojedinělé řešení. Kromě návrhu tohoto zákona se objevuje například v návrhu zákona o kybernetické bezpečnosti nebo v nařízení GDPR (viz čl. 83 odst. 4 až 6 GDPR), přičemž i v případě GDPR je zohledněno (obdobně jako ve směrnici CER), aby potrestání bylo „v každém jednotlivém případě účinné, přiměřené a odrazující“. Podle GDPR lze uložit pokutu do výše až 4 % celkového ročního celosvětového obratu. Ve vnitrostátních předpisech je podobná konstrukce obsažena dále např. v § 105b autorského zákona (do 1 %), § 24 odst. 20 zákona o ochraně spotřebitele (do 4 %), § 162 a násl. zákona o podnikání na kapitálovém trhu (do 15 % - viz např. § 177), § 599 a násl. zákona o investičních společnostech a investičních fondech (do 10 %) atd. Ve srovnání s těmito předpisy se jeví navrhovaný zlomek 0,1 % - 0,3 % z obratu (resp. 0,25 % až 1,5 % v případě trestání recidivy) jako relativně umírněný. U ekonomicky nejsilnějších subjektů kritické infrastruktury, u kterých se tato alternace uplatní, lze uvažovat o horní hranici sazby pokuty ve výši desítek až nižších stovek milionů korun. Je však vhodné zdůraznit, že uvedený mechanismus slouží výhradně k určení horní hranice sazby pokuty – tj. maximální výši pokuty, která může být za přestupek uložena. Správní orgán rozhodující o přestupku je však při ukládání konkrétní pokuty povinen brát v úvahu polehčující a přitěžující okolnosti, jakožto i závažnost a způsob spáchání přestupku, a musí dbát na to, aby ukládaná sankce by přiměřená (nikoliv likvidační). V praxi proto bývá zpravidla ukládána pokuta o mnohem nižší výměře, než právní úprava umožňuje v těch nejextrémnějších případech.
V případě, kdy v některých případech nebude možné přesvědčivě doložit výši čistého obratu, bude v souladu se zásadou in dubio pro reo (v pochybnostech ve prospěch obviněného) aplikována horní hranice sazby stanovená konkrétní částkou, neboť tato bude v případech, kdy by horní hranice sazby stanovená zlomkem z obratu přicházela v úvahu, vždy nižší.
Obecně bylo při stanovení rozpětí pokut, resp. jejich horní hranice sazby, bráno v úvahu, aby tyto plnily z hlediska generální prevence odstrašující funkci. Následně v případě, kdy se pachatel přestupku dopustí, je podstatné, aby pokuta byla efektivním nástrojem k jeho nápravě (tedy aby pachatel protiprávního jednání zanechal, neopakoval jej a do budoucna plnil stanovené povinnosti). Soudní praxe dovodila, že aby pokuta za přestupek naplnila svůj účel z hlediska individuální i generální prevence, musí být citelným zásahem do majetkové sféry pachatele. Nikoliv však zásahem vzhledem ke svému účelu nepřiměřeným, resp. likvidačním. Tento parametr lze s ohledem na široké rozpětí sazeb zohlednit v každém individuálním případě.
Pro potřeby efektivnějšího trestání recidivy je v případě některých přestupků stanoveno navýšení horní hranice sazby pokuty, zpravidla na dvojnásobek. Pro potřeby zpřísněného trestání recidivy je zároveň v ustanoveních obsaženo, v jakém případě bude příslušné ustanovení aplikováno – a to prostřednictvím stanovení doby od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným v minulosti, do spáchání přestupku, za který je postihován. Podle typové závažnosti přestupků je tato doba odstupňována od 6 měsíců do 24 měsíců. 
Ministerstvo vnitra pak provádí sjednocování postupů státní správy v této oblasti a je vrcholným orgánem při procesu určování subjektů kritické infrastruktury.
6. Přezkum účinnosti regulace
Výchozím předpokladem pro kvalitní provedení přezkumu účinnosti regulace je průběžná spolupráce věcně příslušných ministerstev, jiných ústředních orgánů státní správy nebo České národní banky se subjekty kritické infrastruktury a současně spolupráce s Ministerstvem vnitra, které bude odpovědné za samotný přezkum. V této souvislosti se předpokládá především sběr podnětů od subjektů kritické infrastruktury získaných při provádění metodické pomoci nebo při sdílení příkladů dobré praxe a z podnětů věcně příslušných ministerstev, jiných ústředních správních úřadů nebo České národní banky.
Přezkum účinnosti regulace je plánován po čtyřech letech od nabytí jeho účinnosti, a to současně s revizí strategie pro posilování odolnosti subjektů kritické infrastruktury. Indikátory pro přezkoumání účinnosti budou následující:
· Průměrné finanční náklady státních subjektů kritické infrastruktury na zajištění své odolnosti,
Průměrné finanční náklady soukromých subjektů kritické infrastruktury na zajištění své odolnosti,
Navýšení ročního rozpočtu kapitoly Správa státních hmotných rezerv, konkrétně části určené k pořizování věcných zdrojů v systému hospodářských opatření pro krizové stavy,
Vznik a spuštění portálu kritické infrastruktury,
Vznik a spuštění Informačního systému krizového řízení,
Počet subjektů kritické infrastruktury,
Počet subjektů evropské kritické infrastruktury.
Počet subjektů kritické infrastruktury a subjektů evropské kritické infrastruktury bude možné odvodit ze seznamu subjektů kritické infrastruktury, který bude součástí portálu kritické infrastruktury.

7. Konzultace a zdroje dat
Pro potřeby návrhu zákona o odolnosti subjektů kritické infrastruktury je zdrojem dat směrnice CER a dále mezinárodně uznávané standardy pro řízení rizik, zejména ISO 31000, ISO 31010, ISO 28000, ISO 22301, ISO 22313 a další.
Konzultace návrhu zákona o odolnosti subjektu kritické infrastruktury byly provedeny v rámci meziresortní pracovní skupiny, která byla za tímto účelem zřízena. Současně probíhala dílčí jednání s jednotlivými jejími členy a dalšími subjekty. Tato skupina byla složena z vybraných zástupců ministerstev a jiných ústředních správních úřadů, České národní banky, Asociace krajů, Svazu měst a obcí ČR, Svazu místních samospráv, Hospodářské komory, Svazu průmyslu a dopravy, Asociace kritické infrastruktury a dalších.
Konzultace tedy probíhaly napříč soukromým i veřejným sektorem.
8. Kontakt na zpracovatele RIA
Ministerstvo vnitra
odbor bezpečnostní politiky
Mgr. Lubomír Janků
974 833 156

Ministerstvo vnitra – generální ředitelství HZS ČR
odbor ochrany obyvatelstva a krizového řízení
grh.novela240@hzscr.cz