Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud
Celý záznam ALBSD2AH4CXO najdete zde
Vládní návrh
ZÁKON
ze dne … 2025
o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů
(zákon o kritické infrastruktuře)
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
Hlava I
Základní ustanovení
§ 1
Předmět úpravy
(1) Tento zákon zapracovává příslušné předpisy Evropské unie[footnoteRef:2]) a stanoví [2: ) Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES.]
a) působnost státních orgánů v oblasti zvyšování odolnosti subjektů kritické infrastruktury,
b) práva a povinnosti právnických a fyzických osob k zajištění poskytování základních služeb,
c) opatření ke zvyšování a zajišťování odolnosti subjektů kritické infrastruktury.
(2) Zvyšování odolnosti subjektů kritické infrastruktury je součástí krizového řízení podle krizového zákona.
CELEX 32022L2557
§ 2
Vymezení pojmů
(1) Pro účely tohoto zákona se rozumí
a) základní službou služba, která je nezbytná pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí, poskytovaná v odvětvích nebo pododvětvích podle přílohy tohoto zákona,
b) poskytovatelem základní služby každý, kdo poskytuje alespoň 1 základní službu na území České republiky a splňuje kritérium významnosti,
c) kritickou infrastrukturou aktivum, zařízení, vybavení, síť nebo systém anebo jejich část, které jsou nezbytné pro poskytování základní služby,
d) subjektem kritické infrastruktury poskytovatel základní služby, jehož kritická infrastruktura se nachází na území České republiky a je zařazen na seznam subjektů kritické infrastruktury,
e) subjektem evropské kritické infrastruktury subjekt kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v 6 členských státech Evropské unie a byl vyrozuměn o tom, že byl označen Evropskou komisí za kritický subjekt zvláštního evropského významu,
f) incidentem událost, která může významně narušit nebo která narušuje poskytování základní služby,
g) rizikem možnost narušení poskytování základní služby v důsledku incidentu, vyjádřená jako kombinace rozsahu takového narušení a pravděpodobnosti vzniku incidentu,
h) posouzením rizik subjektu kritické infrastruktury celkový postup určení povahy a rozsahu rizika identifikací a analýzou možných relevantních hrozeb, zranitelných míst a nebezpečí, které by mohly vést k incidentu, a hodnocením možného narušení poskytování základní služby způsobené tímto incidentem,
i) odolností subjektu kritické infrastruktury schopnost subjektu kritické infrastruktury předcházet incidentům, chránit se před těmito incidenty, reagovat na ně, odolávat jim, zmírňovat jejich následky a přijímat opatření k jejich předcházení,
j) pracovníkem fyzická osoba, která je v pracovněprávním vztahu, služebním poměru nebo jiném obdobném vztahu se subjektem kritické infrastruktury nebo s jeho kritickým dodavatelem,
k) kritickým pracovníkem pracovník, který je nezbytný pro zajištění poskytování základní služby,
l) kritickým dodavatelem osoba, která jako dodavatel vstoupila do právního vztahu se subjektem kritické infrastruktury a na základě toho poskytuje zboží nebo služby, které jsou nezbytné pro zajištění poskytování základní služby.
(2) Pro účely tohoto zákona se členským státem Evropské unie rozumí také smluvní stát Dohody o Evropském hospodářském prostoru.
CELEX 32022L2557
Hlava II
Strategie pro posílení odolnosti subjektů kritické infrastruktury
§ 3
(1) Strategie pro posílení odolnosti subjektů kritické infrastruktury (dále jen „strategie“) stanoví strategické cíle a opatření s cílem posilovat a zajišťovat odolnost subjektů kritické infrastruktury, a to v rozsahu odvětví a pododvětví podle přílohy tohoto zákona.
(2) Strategie obsahuje
a) strategické cíle a priority za účelem posílení celkové odolnosti subjektů kritické infrastruktury se zohledněním přeshraniční a meziodvětvové závislosti,
b) rámec pro naplnění strategických cílů a priorit, včetně popisu působnosti a odpovědnosti věcně příslušných orgánů státní správy a subjektů kritické infrastruktury,
c) popis opatření nezbytných k posílení odolnosti subjektů kritické infrastruktury, včetně popisu výsledků posouzení rizik České republiky podle krizového zákona (dále jen „posouzení rizik České republiky“),
d) popis procesu zařazení poskytovatelů základní služby na seznam subjektů kritické infrastruktury,
e) způsob podpory subjektů kritické infrastruktury ze strany příslušných orgánů státní správy, včetně opatření na posílení spolupráce mezi orgány státní správy a subjekty kritické infrastruktury,
f) přehled rozhodovacích orgánů v systému zajišťování a posilování odolnosti subjektů kritické infrastruktury,
g) způsob zajištění koordinace příslušených orgánů státní správy podle tohoto zákona s příslušnými orgány státní správy podle zákona o kybernetické bezpečnosti pro účely sdílení informací o rizicích, hrozbách a incidentech a výkonu kontroly,
h) popis stávajících nástrojů využitelných subjekty kritické infrastruktury pro zavádění opatření k zajištění své odolnosti.
(3) Strategii schvaluje vláda.
CELEX 32022L2557
Hlava III
Výkon státní správy
§ 4
Věcná působnost ministerstev, jiných ústředních správních úřadů a České národní banky v jednotlivých odvětvích nebo pododvětvích, ve kterých jsou poskytovány základní služby, k plnění úkolů podle tohoto zákona je stanovena v příloze tohoto zákona.
CELEX 32022L2557
§ 5
Ministerstva a jiné ústřední správní úřady
Ministerstva a jiné ústřední správní úřady za účelem zvyšování odolnosti subjektů kritické infrastruktury
a) poskytují Ministerstvu vnitra součinnost při
1. zpracování strategie,
2. zpracování souhrnné zprávy o incidentech,
3. cvičení k ověření odolnosti subjektů kritické infrastruktury a
4. mezinárodní výměně informací,
b) vyžadují od poskytovatele základní služby informace nezbytné k podání podnětu k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury,
c) podávají podnět Ministerstvu vnitra k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury,
d) poskytují Ministerstvu vnitra informace týkající se plnění opatření k zajišťování odolnosti subjektů kritické infrastruktury,
e) poskytují subjektu kritické infrastruktury v nezbytném rozsahu informace o možném ohrožení poskytování základní služby,
f) posuzují požadavek uplatněný subjektem kritické infastruktury podle § 14 odst. 3; za účelem jeho vyřízení podle jiného právního předpisu[footnoteRef:3]) spolupracují s příslušnými orgány, [3: 2) Například zákon č. 239/2000 Sb., o integrovaném záchranném systému a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.]
g) provádějí cvičení k ověření odolnosti subjektů kritické infrastruktury; za tímto účelem zpracovávají plán cvičení,
h) provádějí kontrolu subjektu kritické infrastruktury a ukládají nápravná opatření podle § 23,
i) poskytují Ministerstvu vnitra stanovisko k provedení poradní mise Evropskou komisí,
j) poskytují Evropské komisi součinnost při provádění poradní mise,
k) vyhodnocují potřebu zabezpečení nezbytných věcných prostředků prostřednictvím systému hospodářských opatření pro krizové stavy k zajištění poskytování základní služby v odvětví nebo pododvětví; k tomu využívají informace poskytnuté subjektem kritické infastruktury podle § 14 odst. 1 písm. q).
CELEX 32022L2557
§ 6
Ministerstvo vnitra
(1) Ministerstvo vnitra v oblasti zvyšování odolnosti subjektů kritické infrastruktury
a) koordinuje výkon státní správy,
b) zpracovává strategii, aktualizuje ji nejméně jednou za 4 roky a předkládá ji vládě ke schválení,
c) rozhoduje o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury a o jeho vyřazení z tohoto seznamu; tento seznam aktualizuje nejméně jednou za 4 roky,
d) na základě požadavku Evropské komise vyrozumí subjekt kritické infrastruktury o tom, že byl Evropskou komisí označen za kritický subjekt zvláštního evropského významu,
e) zřizuje a provozuje portál kritické infrastruktury,
f) poskytuje subjektu kritické infrastruktury části posouzení rizik České republiky pro účely zpracování posouzení rizik subjektu kritické infrastruktury,
g) koordinuje cvičení k ověření odolnosti subjektů kritické infrastruktury v působnosti více ministerstev nebo jiných ústředních správních úřadů; za tímto účelem zpracovává plán cvičení,
h) plní funkci jednotného kontaktního místa České republiky,
i) zabezpečuje mezinárodní výměnu informací,
j) předkládá Evropské komisi
1. bez zbytečného odkladu po poslední významné aktualizaci nebo nejpozději každé 4 roky informace o seznamu základních služeb, včetně jejich kritérií, a počtu subjektů kritické infrastruktury podle odvětví, pododvětví a každé základní služby,
2. každé 2 roky souhrnnou zprávu o incidentech,
3. strategii, informace o druzích zjištěných rizik a výsledcích posouzení rizik České republiky do 3 měsíců ode dne jejich schválení nebo poslední významné aktualizace,
4. informace o subjektu kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v 6 členských státech Evropské unie za účelem jeho označení za kritický subjekt zvláštního evropského významu,
5. v případě subjektu evropské kritické infrastruktury na základě její žádosti části posouzení rizik subjektu kritické infrastruktury, seznam opatření přijatých podle § 15, kontrolní zjištění podle § 22 a uložená nápravná opatření podle § 23 za účelem provedení poradní mise,
6. návrh kandidátů na členy poradní mise,
k) navrhuje Evropské komisi provedení poradní mise u subjektu evropské kritické infrastruktury,
l) schvaluje žádost Evropské komise o provedení poradní mise u subjektu evropské kritické infrastruktury,
m) vydává varování a rozhoduje o stanovení podmínek nebo uložení zákazu využití plnění dodavatele subjektu kritické infrastruktury,
n) poskytuje na vyžádání
1. hasičskému záchrannému sboru kraje za účelem zpracování krizového plánu kraje v nezbytném rozsahu informace o kritické infrastruktuře nacházející se na území kraje,
2. Českému úřadu zeměměřickému a katastrálnímu za účelem vedení neveřejné části digitální technické mapy identifikační údaje o subjektu kritické infrastruktury a o jeho kritické infrastruktuře,
o) spolupracuje s příslušnými orgány členských států Evropské unie.
(2) Působnost Ministerstva vnitra podle odstavce 1 plní generální ředitelství Hasičského záchranného sboru České republiky, s výjimkou působnosti podle odstavce 1 písm. m).
(3) Působnost Ministerstva vnitra předkládat Evropské komisi informace podle odstavce 1 písm. j) se nevztahuje na odvětví bezpečnost.
§ 7
Národní úřad pro kybernetickou a informační bezpečnost
Národní úřad pro kybernetickou a informační bezpečnost bez zbytečného odkladu poskytuje Ministerstvu vnitra informace o kybernetickém bezpečnostním incidentu s významným dopadem na kybernetický prostor státu, které obdrží na základě hlášení podle zákona o kybernetické bezpečnosti a ke kterému došlo u subjektu kritické infrastruktury v odvětví digitální infrastruktura.
CELEX 32022L2557
§ 8
Česká národní banka
(1) Česká národní banka vytváří podmínky pro zvyšování odolnosti subjektů kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů a za tímto účelem bez zbytečného odkladu poskytuje Ministerstvu vnitra informace o incidentech, které obdrží na základě přímo použitelného předpisu Evropské unie[footnoteRef:4]) od subjektu kritické infrastruktury v odvětví bankovnictví nebo infrastruktura finančních trhů. [4: ) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011.
]
(2) Pro Českou národní banku se § 5 písm. a) body 1 a 2 a § 5 písm. b), c) a f) použijí obdobně.
CELEX 32022L2557
Hlava IV
Poskytovatel základní služby a subjekt kritické infrastruktury
§ 9
Povinnosti poskytovatele základní služby
(1) Poskytovatel základní služby je povinen ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra za účelem rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury poskytnout informace o
a) poskytované základní službě a naplnění alespoň 1 kritéria významnosti,
b) jeho kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie a
c) základní službě poskytované na území jiného členského státu Evropské unie.
(2) Informace podle odstavce 1 poskytovatel základní služby poskytne prostřednictvím portálu kritické infrastruktury nejpozději do
a) 3 měsíců ode dne zahájení poskytování základní služby,
b) 1 měsíce ode dne, kdy k tomu byl ministerstvem, jiným ústředním správním úřadem, Českou národní bankou nebo Ministerstvem vnitra vyzván.
CELEX 32022L2557
§ 10
Základní služba a kritérium významnosti
(1) Kritérium významnosti v souladu s posouzením rizik České republiky určuje význam narušení poskytování základní služby na základě
a) počtu uživatelů, kteří jsou závislí na základní službě poskytované poskytovatelem základní služby,
b) rozsahu, v němž poskytování základní služby v jiném odvětví nebo pododvětví závisí na základní službě,
c) možného dopadu incidentů, pokud jde o jejich intenzitu a délku trvání, na hospodářské a společenské činnosti, životní prostředí, bezpečnost nebo na veřejné zdraví,
d) tržního podílu poskytovatele základní služby na trhu se základní službou nebo službami v České republice,
e) území, které by mohlo být incidentem ovlivněno, včetně případných přeshraničních dopadů, s přihlédnutím ke zranitelnosti spojené se stupněm odloučení určitých typů území, nebo
f) důležitosti poskytovatele základní služby, pokud jde o udržování dostatečné úrovně základní služby, s přihlédnutím k dostupnosti alternativních způsobů poskytování této základní služby.
(2) Základní služby v jednotlivých odvětvích nebo pododvětvích a kritéria významnosti podle odstavce 1 pro jednotlivé základní služby stanoví prováděcí právní předpis.
CELEX 32022L2557
§ 11
Zařazení na seznam subjektů kritické infrastruktury
(1) Ministerstvo, jiný ústřední správní úřad nebo Česká národní banka bez zbytečného odkladu posoudí informace o poskytovateli základní služby podle § 9 odst. 1 a podá Ministerstvu vnitra podnět k rozhodnutí o zařazení tohoto poskytovatele základní služby na seznam subjektů kritické infrastruktury.
(2) Ministerstvo vnitra na základě podnětu podle odstavce 1 bez zbytečného odkladu rozhodne o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.
(3) Rozhodnutí o zařazení na seznam subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o zařazení na seznam subjektů kritické infrastruktury nemá odkladný účinek.
(4) Seznam subjektů kritické infrastruktury je neveřejný a obsahuje tyto údaje:
a) identifikační údaje subjektu kritické infrastruktury,
b) informace o základní službě, kterou subjekt kritické infrastruktury poskytuje,
c) odvětví a pododvětví, ve kterém subjekt kritické infrastruktury poskytuje základní službu, a
d) členské státy Evropské unie, ve kterých subjekt kritické infrastruktury poskytuje základní službu.
(5) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o zařazení subjektu na seznam subjektů kritické infrastruktury do 1 měsíce ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury subjektu kritické infrastruktury.
(6) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, není-li stanoveno dále jinak, až do dne doručení rozhodnutí o jeho vyřazení ze seznamu subjektů kritické infrastruktury podle § 13.
CELEX 32022L2557
Změny v poskytování základní služby
§ 12
(1) Pokud subjekt kritické infrastruktury začne poskytovat základní službu v jiném rozsahu, začne poskytovat novou základní službu nebo ukončí poskytování základní služby, informuje o této skutečnosti ministerstvo, jiný ústřední správní úřad nebo Českou národní banku v rozsahu podle § 9 odst. 1 do 1 měsíce ode dne, kdy nastala tato skutečnost.
(2) Pokud subjekt kritické infrastruktury poskytuje novou základní službu, nebo došlo ke změně rozsahu u již poskytované základní služby, Ministerstvo vnitra na základě informace od ministerstva, jiného ústředního správního úřadu nebo České národní banky doplní do seznamu subjektů kritické infrastruktury informace o nově poskytované základní službě nebo o změně rozsahu již poskytované základní služby. O této skutečnosti následně Ministerstvo vnitra do 1 měsíce ode dne doplnění nových poskytnutých informací vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.
(3) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem k nově zapsané základní službě ode dne doručení vyrozumění podle odstavce 2, není-li stanoveno dále jinak.
§ 13
(1) V případě, že subjekt kritické infrastruktury nadále neposkytuje některou ze základních služeb zapsaných na seznamu subjektů kritické infrastruktury, Ministerstvo vnitra tuto základní službu vymaže ze seznamu subjektů kritické infrastruktury a o této skutečnosti bez zbytečného odkladu vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.
(2) V případě, že subjekt kritické infrastruktury nadále neposkytuje žádnou základní službu, Ministerstvo vnitra rozhodne o jeho vyřazení ze seznamu subjektů kritické infrastruktury.
(3) Rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury nemá odkladný účinek.
(4) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury bez zbytečného odkladu ode dne doručení rozhodnutí o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury subjektu kritické infrastruktury.
CELEX 32022L2557
§ 14
Práva a povinnosti subjektu kritické infrastruktury
(1) Subjekt kritické infrastruktury je při poskytování základní služby a při zajišťování své odolnosti povinen
a) poskytovat bez zbytečného odkladu Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance informace o poskytované základní službě, kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie, kritických pracovnících a kritických dodavatelích,
b) bez zbytečného odkladu informovat Ministerstvo vnitra, ve kterých členských státech Evropské unie poskytuje základní službu,
c) bez zbytečného odkladu informovat Ministerstvo vnitra a ministerstvo nebo jiný ústřední správní úřad, že je součástí koncernu podle zákona upravujícího obchodní korporace, včetně informace, zda se jedná o řízenou nebo řídící osobu,
d) do 9 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury a následně provádět jeho aktualizaci nejméně jednou za 4 roky,
e) bez zbytečného odkladu poskytnout na žádost ministerstva nebo jiného ústředního správního úřadu podklady pro zpracování posouzení rizik České republiky,
f) do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat plán odolnosti, ve kterém jsou stanovena technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury, a následně provádět jeho aktualizaci nejméně jednou za 4 roky,
g) určit manažera kritické infrastruktury do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, a bez zbytečného odkladu poté, co dosavadní manažer kritické infrastruktury skončí výkon této funkce,
h) bez zbytečného odkladu oznámit určení manažera kritické infrastruktury Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu,
i) vytvářet manažeru kritické infrastruktury podmínky nezbytné k plnění jeho povinností,
j) označit kritické dodavatele a sdělit Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance
1. v případě právnické nebo podnikající fyzické osoby identifikační údaje v rozsahu název, sídlo a identifikační číslo osoby,
2. v případě fyzické osoby identifikační údaje v rozsahu jméno a příjmení, datum narození a adresa místa pobytu,
3. důvody, pro které byl označen jako kritický dodavatel,
k) přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury podle § 15,
l) bez zbytečného odkladu hlásit Ministerstvu vnitra incidenty podle § 18 a 19,
m) zajistit podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací,
n) účastnit se cvičení k ověření odolnosti subjektů kritické infrastruktury,
o) využívat portál kritické infrastruktury pro plnění povinností podle tohoto zákona,
p) umožnit ministerstvu nebo jinému ústřednímu správnímu úřadu provedení kontroly plnění povinností stanovených tímto zákonem a přijímat nápravná opatření podle § 23,
q) informovat ministerstvo nebo jiný ústřední správní úřad o potřebě zabezpečení nezbytnými věcnými prostředky k zajištění poskytování základní služby, které není schopen zajistit jiným způsobem,
r) požádat u manažera kritické infrastruktury o ověření spolehlivosti, zda splňuje podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací.
(2) Za účelem zajištění své odolnosti a poskytování základní služby subjekt kritické infrastruktury
a) ověřuje spolehlivost podle § 17 v souladu s posouzením rizik České republiky,
b) pro plnění povinností podle tohoto zákona zpracovává v nezbytném rozsahu osobní údaje
1. kritických pracovníků,
2. osob ucházejících se u něj o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu a
3. osob, které jsou pověřené přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů.
(3) Za účelem zajištění své odolnosti a poskytování základní služby je subjekt kritické infrastruktury v nezbytném rozsahu dále oprávněn
a) při přípravě na krizové situace požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky,
b) během mimořádné události nebo za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele, pokud je to nezbytné pro poskytování základní služby,
c) za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury, pokud je to nezbytné pro poskytování základní služby.
(4) Subjekt evropské kritické infrastruktury je dále povinen ode dne doručení vyrozumění o označení kritickým subjektem zvláštního evropského významu
a) poskytnout Evropské komisi, pokud o to požádá, prostřednictvím Ministerstva vnitra
1. posouzení rizik subjektu kritické infrastruktury a
2. seznam opatření přijatých k zajišťování své odolnosti,
b) umožnit poradní misi Evropské komise přístup k nezbytným informacím souvisejícím s poskytováním jeho základní služby a ke kritické infrastruktuře a poskytnout jí nezbytnou součinnost a
c) přijmout nápravné opatření ke zjištěným nedostatkům a doporučením poradní mise a informovat o jeho přijetí Evropskou komisi prostřednictvím Ministerstva vnitra.
(5) Na subjekt kritické infrastruktury v odvětví bezpečnost se nevztahují povinnosti podle odstavce 1 písm. b) a odstavce 4.
(6) Náležitosti a způsob zpracování plánu odolnosti a posouzení rizik subjektu kritické infrastruktury stanoví prováděcí právní předpis.
CELEX 32022L2557
§ 15
Opatření k zajištění odolnosti subjektu kritické infrastruktury
(1) Subjekt kritické infrastruktury na základně posouzení rizik subjektu kritické infrastruktury přijímá technická, bezpečnostní a organizační opatření, a to v rozsahu opatření
a) k řízení rizik,
b) pro zajištění kontinuity činností,
c) odezvy na incidenty,
d) fyzické bezpečnosti,
e) k řízení bezpečnosti pracovníků a
f) k řízení bezpečnosti dodavatelského řetězce.
(2) Obsah opatření k zajištění odolnosti subjektu kritické infrastruktury podle odstavce 1 stanoví prováděcí právní předpis.
CELEX 32022L2557
§ 16
Manažer kritické infrastruktury
(1) Manažer kritické infrastruktury poskytuje součinnost Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu při plnění povinností podle tohoto zákona a součinnost Evropské komisi při provádění poradní mise.
(2) Manažerem kritické infrastruktury může být určena pouze osoba splňující podmínky pro výkon citlivé činnosti a požadavky odborné způsobilosti. Odborně způsobilou osobou se rozumí ten, kdo prokáže praxi v oblasti zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činností po dobu nejméně 3 let, nebo po dobu 1 roku v případě, že dosáhl vysokoškolského vzdělání.
(3) Do doby určení manažera kritické infrastruktury plní jeho povinnosti vedoucí organizační složky státu, guvernér České národní banky, statutární orgán právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřený člen, anebo subjektem kritické infrastruktury určený pracovník.
(4) Manažer kritické infrastruktury je přímo podřízen vedoucímu organizační složky státu, guvernérovi České národní banky, statutárnímu orgánu právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřenému členovi.
(5) U subjektu kritické infrastruktury, který je osobou podrobenou jednotnému řízení podle zákona upravujícího obchodní korporace, může funkci manažera kritické infrastruktury vykonávat manažer kritické infrastruktury řídící osoby podle zákona upravujícího obchodní korporace, je-li řídící osoba zároveň subjektem kritické infrastruktury.
§ 17
Ověřování spolehlivosti a citlivá činnost
(1) Za účelem zajištění bezpečného poskytování základní služby, řízení bezpečnosti pracovníků a řízení bezpečnosti dodavatelského řetězce subjekt kritické infrastruktury ověřuje spolehlivost pracovníků, včetně osob ucházejících se o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu.
(2) Za účelem ověřování spolehlivosti podle odstavce 1 subjekt kritické infrastruktury
a) vyžaduje od pracovníka podílejícího se na poskytování základní služby a osoby, která je pověřena přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů, prokázání totožnosti a bezúhonnosti výpisem z rejstříku trestů a dále dokladem obdobným výpisu z rejstříku trestů vydaným státem, jehož je pracovník nebo pověřená osoba státním občanem, nejde-li o státního občana České republiky, nebo ve kterém se pracovník nebo pověřená osoba v posledních 3 letech zdržoval nepřetržitě déle než 3 měsíce, anebo výpisem z rejstříku trestů s přílohou obsahující informace, které jsou zapsané v evidenci trestů takového státu, a
b) požaduje prokázání splnění podmínek pro výkon citlivé činnosti podle zákona o ochraně utajovaných informací od manažera kritické infrastruktury.
(3) Výkon funkce manažera kritické infrastruktury je citlivou činností podle zákona o ochraně utajovaných informací.
CELEX 32022L2557
Hlava V
Hlášení incidentu
§ 18
(1) Subjekt kritické infrastruktury hlásí incident Ministerstvu vnitra prostřednictvím portálu kritické infrastruktury. Nelze-li k hlášení incidentu využít portál kritické infrastruktury, zašle subjekt kritické infrastruktury hlášení Národnímu operačnímu a informačnímu středisku[footnoteRef:5]). [5: 4) Zákon č. 320/2015 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů (zákon o hasičském záchranném sboru), ve znění pozdějších předpisů.]
(2) Hlášením incidentu podle odstavce 1 není dotčena informační nebo ohlašovací povinnost podle jiného právního předpisu[footnoteRef:6]) nebo přímo použitelného předpisu Evropské unie3) a toto hlášení nenahrazuje tísňovou komunikaci. [6: ) Zákon č. …/2025 Sb., o kybernetické bezpečnosti.]
(3) Povinnost hlásit incidenty podle odstavce 1 začíná pro subjekt kritické infrastruktury platit 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury.
(4) Ministerstvo vnitra předá bez zbytečného odkladu hlášení o incidentu ministerstvu nebo jinému ústřednímu správnímu úřadu. Ministerstvo nebo jiný ústřední správní úřad neprodleně po obdržení této informace poskytne subjektu kritické infrastruktury nezbytnou součinnost.
(5) Ministerstvo vnitra bez zbytečného odkladu vyrozumí
a) jednotná kontaktní místa ostatních dotčených členských států, pokud incident má nebo by mohl mít významný dopad na subjekt kritické infrastruktury a poskytování základní služby v těchto státech, a
b) Evropskou komisi, pokud incident má nebo by mohl mít významný dopad na poskytování základní služby nejméně v 6 členských státech Evropské unie.
(6) Je-li to ve veřejném zájmu, Ministerstvo vnitra v součinnosti s ministerstvem nebo jiným ústředním správním úřadem a subjektem kritické infrastruktury informuje o incidentu veřejnost. Informace zveřejněné podle tohoto odstavce nesmí obsahovat žádné skutečnosti, jejichž zveřejnění by ohrozilo bezpečnost subjektu kritické infrastruktury a činnosti související s řešením incidentu.
(7) Ministerstvo vnitra v odůvodněných případech vyrozumí o incidentu hejtmana kraje, ve kterém k narušení poskytování základní služby došlo.
CELEX 32022L2557
§ 19
(1) Subjekt kritické infrastruktury ohlásí incident bez zbytečného odkladu po jeho zjištění. V hlášení incidentu uvede
a) počet a podíl uživatelů zasažených narušením poskytované základní služby,
b) dobu trvání narušení,
c) území zasažené narušením a
d) povahu, příčinu a možné důsledky incidentu, včetně informací nezbytných ke stanovení případného přeshraničního dopadu incidentu.
(2) Pokud není subjekt kritické infrastruktury schopen zaslat hlášení podle odstavce 1 z důvodu řešení incidentu, ohlásí incident tak, že
a) nejpozději do 24 hodin od vzniku incidentu zašle prvotní hlášení, které obsahuje informace nezbytné k řešení incidentu v rozsahu přiměřeném odstavci 1, a
b) nejpozději do 1 měsíce ode dne předložení prvotního hlášení zašle závěrečnou zprávu obsahující veškeré informace podle odstavce 1.
(3) V případě, že v době uvedené v odstavci 2 písm. b) incident stále trvá, předloží subjekt kritické infrastruktury v uvedené době zprávu o pokroku a poté předloží závěrečnou zprávu nejpozději do 1 měsíce po skončení incidentu.
(4) Hlášení incidentu nesmí narušit činnost subjektu kritické infrastruktury vedoucí k odvrácení incidentu nebo jeho řešení.
(5) Parametry incidentu, podrobnosti rozsahu hlášených informací podle odstavce 1 a způsob předávání informací o incidentu stanoví prováděcí právní předpis.
CELEX 32022L2557
Hlava VI
Portál kritické infrastruktury
§ 20
(1) Portál kritické infrastruktury je součástí informačního systému krizového řízení podle krizového zákona a slouží k plnění povinností poskytovatelů základní služby a subjektů kritické infrastruktury a vedení nezbytných informací, dat, údajů a evidencí podle tohoto zákona.
(2) Pro účely tohoto zákona se pro získávání informací z agendových informačních systémů použije § 25 odst. 3 až 9 krizového zákona obdobně.
(3) Informace obsažené v portálu kritické infrastruktury užívají ministerstva, jiné ústřední správní úřady nebo Česká národní banka v rozsahu nezbytném pro výkon jejich působnosti podle tohoto zákona.
(4) Informace obsažené v portálu kritické infrastruktury dále užívají
a) zpravodajské služby České republiky za účelem výkonu jejich působnosti podle jiných právních předpisů[footnoteRef:7]), [7: ) Zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.
Zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů.
Zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů.
]
b) Ministerstvo průmyslu a obchodu za účelem výkonu jeho působnosti podle zákona upravujícího oblast prověřování zahraničních investic a
c) hejtman kraje a krajský úřad v rozsahu nezbytném pro výkon jejich působnosti podle krizového zákona.
(5) Nelze-li využít portál kritické infrastruktury, předávají se informace za účelem plnění povinností podle tohoto zákona prostřednictvím datové schránky, pokud tento zákon nestanoví jinak.
(6) Pokud nelze využít náhradní způsob podle odstavce 5, předávají se informace prostřednictvím poskytovatele poštovních služeb.
(7) Správce portálu kritické infrastruktury zabezpečí informace před neoprávněným přístupem, změnou, zničením nebo ztrátou anebo odcizením, zneužitím nebo jiným neoprávněným zpracováním.
(8) Vložení informací, dat, údajů nebo evidencí podle § 5 písm. d), § 7, 9, 12, 13, § 14 odst. 1 písm. a) až c), h), j), l) a q), § 18 a 21 do portálu kritické infrastruktury je vždy považováno za splnění informační nebo ohlašovací povinnosti podle tohoto zákona.
(9) Formu a způsob zpracování informací, dat, údajů a evidencí vkládaných do portálu kritické infrastruktury a technické a organizační podmínky používání portálu kritické infrastruktury stanoví prováděcí právní předpis.
CELEX 32022L2557
§ 21
Cvičení
(1) Zajištění odolnosti subjektu kritické infrastruktury se ověřuje cvičením.
(2) Subjekt kritické infrastruktury provádí vlastní cvičení nebo cvičení podle plánu cvičení, bylo-li mu ohlášeno alespoň 3 měsíce před jeho konáním.
(3) Plán cvičení zpracovává ministerstvo, jiný ústřední správní úřad nebo Ministerstvo vnitra na kalendářní rok. Subjekt kritické infrastruktury může být do tohoto plánu cvičení zařazen nejvýše jednou za 3 roky.
(4) Subjekt kritické infrastruktury předává ministerstvu nebo jinému ústřednímu správnímu úřadu a Ministerstvu vnitra informace o vlastním cvičení. Informace o cvičeních podle plánu cvičení předává ten, kdo subjekt kritické infrastruktury do plánu cvičení zařadil, Ministerstvu vnitra. Informace o cvičeních jsou předávány prostřednictvím portálu kritické infrastruktury nejméně v rozsahu
a) termín a místo cvičení,
b) námět cvičení,
c) zjištěné zásadní poznatky ze cvičení.
Hlava VII
Kontrola a přestupky
§ 22
Kontrola
(1) Ministerstvo nebo jiný ústřední správní úřad vykonává v rámci své působnosti kontrolu v oblasti kritické infrastruktury. Při výkonu kontroly ministerstvo nebo jiný ústřední správní úřad zjišťuje, jak subjekty kritické infrastruktury plní povinnosti stanovené tímto zákonem a právními předpisy vydanými k jeho provedení a ukládá opatření k nápravě.
(2) Ministerstvo nebo jiný ústřední správní úřad informuje bez zbytečného odkladu Ministerstvo vnitra a Národní úřad pro kybernetickou a informační bezpečnost o kontrole subjektu kritické infrastruktury prostřednictvím portálu kritické infrastruktury.
(3) Ministerstvo vnitra může na základě informace podle odstavce 2 požádat Národní úřad pro kybernetickou a informační bezpečnost o vykonání kontroly subjektu kritické infrastruktury v oblasti kybernetické bezpečnosti podle zákona o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost může požadavek na vykonání kontroly podle věty první odmítnout, byla-li by s ohledem na jeho kapacity zjevně nepřiměřená.
(4) Ministerstvo nebo jiný ústřední správní úřad vykonává v rámci své působnosti kontrolu u subjektu evropské kritické infrastruktury za účelem ověření přijetí opatření uvedených ve zprávě z poradní mise provedené Evropskou komisí u tohoto subjektu evropské kritické infrastruktury.
CELEX 32022L2557
§ 23
Nápravná opatření
(1) Zjistí-li ministerstvo nebo jiný ústřední správní úřad při kontrole nedostatky, může uložit subjektu kritické infrastruktury, aby je ve stanovené lhůtě odstranil, popřípadě určit jakým způsobem. Ministerstvo nebo jiný ústřední správní úřad spolu s nápravným opatřením uloží povinnost oznámit provedení nápravného opatření a jeho výsledek ve stanovené lhůtě. Tyto skutečnosti uvede do protokolu o kontrole.
(2) V případě důvodné pochybnosti o plnění nápravných opatření na základě provedené kontroly podle § 22 nebo o zajišťování odolnosti subjektu kritické infrastruktury může ministerstvo nebo jiný ústřední správní úřad požádat Ministerstvo vnitra o provedení kontroly subjektu kritické infrastruktury.
(3) Kontrola podle odstavce 2 je kontrolou vykonanou Ministerstvem vnitra v součinnosti s ministerstvem nebo jiným ústředním správním úřadem. Při výkonu kontroly Ministerstvo vnitra zjišťuje, jak subjekty kritické infrastruktury plní povinnosti stanovené tímto zákonem a nápravná opatření uložená podle odstavce 1, a ukládá opatření k nápravě obdobně podle odstavce 1.
CELEX 32022L2557
§ 24
Přestupky
(1) Fyzická osoba se dopustí přestupku tím, že úmyslně použije portál kritické infrastruktury k jinému účelu než k plnění povinností stanovených tímto zákonem.
(2) Poskytovatel základní služby se dopustí přestupku tím, že v rozporu s § 9 odst. 1 neposkytne informaci nezbytnou k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury.
(3) Subjekt kritické infrastruktury se dopustí přestupku tím, že v rozporu s
a) § 12 odst. 1 nesplní povinnost informovat o změně v poskytování základní služby, o nově poskytované základní službě nebo o ukončení poskytování základní služby,
b) § 14 odst. 1 písm. a) nesplní povinnost informovat o poskytované základní službě, kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie, kritických pracovnících a kritických dodavatelích,
c) § 14 odst. 1 písm. b) nesplní povinnost informovat, ve kterých členských státech Evropské unie poskytuje základní službu,
d) § 14 odst. 1 písm. d) nebo f) nezpracuje nebo neaktualizuje posouzení rizik subjektu kritické infrastruktury nebo plán odolnosti,
e) § 14 odst. 1 písm. e) neposkytne podklady pro zpracování posouzení rizik České republiky,
f) § 14 odst. 1 písm. g) nebo h) neurčí manažera kritické infrastruktury nebo neoznámí jeho určení,
g) § 14 odst. 1 písm. j) nesdělí údaje o kritickém dodavateli,
h) § 14 odst. 1 písm. k) nepřijme opatření k zajištění odolnosti,
i) § 14 odst. 1 písm. l) nenahlásí incident,
j) § 14 odst. 1 písm. o) nevyužívá portál kritické infrastruktury,
k) § 14 odst. 1 písm. p) neumožní provedení kontroly,
l) § 14 odst. 4 písm. a) neposkytne posouzení rizik nebo seznam opatření k zajišťování své odolnosti,
m) § 14 odst. 4 písm. b) nebo c) neumožní provedení poradní mise, nepřijme nápravné opatření ke zjištěným nedostatkům nebo doporučením, nebo neinformuje o jeho přijetí,
n) § 16 odst. 2 umožní výkon funkce manažera kritické infrastruktury osobě, která nesplňuje podmínky pro výkon této funkce,
o) § 23 odst. 1 nebo 3 nepřijme nápravné opatření, nebo
p) § 23 odst. 1 nebo 3 neoznámí provedení nápravného opatření nebo jeho výsledek ve stanovené lhůtě.
(4) Za přestupek lze uložit pokutu do
a) 50 000 Kč, jde-li o přestupek podle odstavce 1,
b) 3 000 000 Kč, jde-li o přestupek podle odstavce 3 písm. f), j) nebo p),
c) 10 000 000 Kč nebo do výše 0,1 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 3 písm. g),
d) 15 000 000 Kč nebo do výše 0,2 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 3 písm. d), e), i), l) nebo m), nebo
e) 25 000 000 Kč nebo do výše 0,3 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 nebo odstavce 3 písm. a) až c), h), k), n) nebo o).
(5) Je-li přestupek podle odstavce 1 spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 100 000 Kč. Přestupek je spáchán opakovaně, jestliže od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 6 měsíců.
(6) Je-li přestupek podle odstavce 3 písm. f), j) nebo p) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 6 000 000 nebo do výše 0,25 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 12 měsíců.
(7) Je-li přestupek podle odstavce 3 písm. g) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 20 000 000 Kč nebo do výše 0,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.
(8) Je-li přestupek podle odstavce 3 písm. d), e), i), l) nebo m) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 30 000 000 Kč nebo do výše 1 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.
(9) Je-li přestupek podle odstavce 2 nebo odstavce 3 písm. a) až c), h), k), n), nebo o) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 50 000 000 Kč nebo do výše 1,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.
CELEX 32022L2557
§ 25
Společná ustanovení k přestupkům
(1) K řízení o přestupku je příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka, do jejichž působnosti patří základní služba, v souvislosti s kterou byla porušena povinnost stanovená tímto zákonem.
(2) Ministerstvo vnitra je dále příslušné k projednání přestupku podle
a) § 24 odst. 3 písm. b), d) až f) a j), porušil-li povinnost subjekt kritické infrastruktury, který má zapsanou základní službu ve více odvětvích nebo pododvětvích patřících do působnosti více ministerstev nebo jiných ústředních správních úřadů,
b) § 24 odst. 1 a § 24 odst. 3 písm. c), i), l) až m).
(3) K řízení o přestupku podle § 24 odst. 3 písm. k), o) a p) je příslušný správní orgán, který prováděl kontrolu nebo uložil nápravné opatření.
(4) Pravomocné rozhodnutí o přestupku podle tohoto zákona se zapisuje do evidence přestupků vedené Ministerstvem spravedlnosti.
CELEX 32022L2557
Hlava VIII
Vztah k jiným předpisům
§ 26
Režim rovnocennosti
(1) Splňuje-li jiná dokumentace, kterou subjekt kritické infrastruktury zpracoval, náležitosti posouzení rizik subjektu kritické infrastruktury nebo plánu odolnosti, považuje se povinnost subjektu kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury nebo plán odolnosti podle tohoto zákona za splněnou.
(2) Přijme-li subjekt kritické infrastruktury opatření, které svou povahou odpovídá opatření k zajištění odolnosti subjektu kritické infrastruktury, považuje se toto opatření za opatření pro zajištění odolnosti subjektu kritické infrastruktury podle § 15.
CELEX 32022L2557
§ 27
Vztah k odvětvovým předpisům Evropské unie
(1) Pokud přímo použitelný předpis Evropské unie nebo jiný právní předpis, který zapracovává příslušný předpis Evropské unie, stanoví subjektům kritické infrastruktury povinnosti v oblasti zajišťování odolnosti subjektů kritické infrastruktury a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti, které jsou subjektům kritické infrastruktury stanoveny podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavést a provádět opatření k posilování odolnosti a hlásit incidenty se vůči těmto osobám neuplatní.
(2) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně se považují taková ustanovení přímo použitelného předpisu Evropské unie nebo jiného právního předpisu, který zapracovává příslušný předpis Evropské unie, která
a) ve vztahu k povinnosti zavést a provádět opatření k posilování odolnosti odpovídají alespoň požadavkům stanoveným v § 15, nebo
b) ve vztahu k povinnosti hlásit incidenty odpovídají alespoň požadavkům stanoveným v § 18 a 19.
(3) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný předpis Evropské unie stanoví.
CELEX 32022L2557
Hlava IX
Ustanovení společná, přechodná a závěrečná
§ 28
(1) Na subjekty kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů se vztahují pouze povinnosti podle § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j) a o).
(2) Na subjekty kritické infrastruktury v odvětví digitální infrastruktura se vztahují pouze povinnosti podle § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j), o) a q).
(3) Na subjekty kritické infrastruktury v odvětví veřejná správa, které poskytují základní službu přímo související se zajišťováním obrany České republiky, se ve vztahu k této základní službě nevztahují povinnosti podle § 14 odst. 1 písm. j) a l) a § 18 a 19.
(4) Správní orgány podle § 6 odst. 1 písm. n) zajistí ochranu poskytnutých informací a nesmí je dále zveřejnit.
CELEX 32022L2557
§ 29
Zmocňovací ustanovení
(1) Vláda vydá nařízení k provedení § 10 odst. 2.
(2) Ministerstvo vnitra vydá vyhlášku k provedení § 14 odst. 6, § 15 odst. 2, § 19 odst. 5 a § 20 odst. 9.
§ 30
Přechodná ustanovení
(1) Vláda schválí strategii do 17. ledna 2026.
(2) Ministerstvo vnitra poprvé rozhodne o zařazení poskytovatele základní služby, který poskytl informace podle § 9 odst. 1 do 1. března 2026, na seznam subjektů kritické infrastruktury do 17. července 2026.
(3) Ministerstvo vnitra předloží Evropské komisi první souhrnnou zprávu o hlášených incidentech do 17. července 2028.
(4) Ministerstvo vnitra informuje Evropskou komisi o určení jednotného kontaktního místa s uvedením jeho kontaktních údajů, úkolů a povinností do 3 měsíců ode dne nabytí účinnosti tohoto zákona.
(5) Poskytovatel základní služby, který nejpozději k 30. listopadu 2025 zahájí poskytování základní služby, poskytne ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance poprvé informace podle § 9 odst. 1 do 1. března 2026.
(6) Subjekt kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, plní povinnosti podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, do 17. července 2026.
(7) Subjekt kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, u kterého bylo rozhodnuto o jeho zařazení na seznam subjektů kritické infrastruktury podle tohoto zákona, plní povinnosti subjektu kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, po dobu 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury podle tohoto zákona.
(8) Fyzická osoba, která ode dne nabytí účinnosti tohoto zákona vykonává citlivou činnost podle § 17 odst. 3 a nesplňuje podmínky pro výkon citlivé činnosti, je povinna nejpozději do 3 let ode dne nabytí účinnosti tohoto zákona prokázat splnění podmínek pro výkon citlivé činnosti podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Do doby splnění povinnosti podle věty první se pro účely tohoto zákona tato fyzická osoba považuje za fyzickou osobu splňující podmínky pro výkon citlivé činnosti za předpokladu, že v této době ani v době posledních 5 let přede dnem nabytí účinnosti tohoto zákona nebylo v řízení k této osobě vydáno rozhodnutí o nevydání dokladu o bezpečnostní způsobilosti fyzické osoby. Ustanovení věty druhé se nepoužije, jestliže bylo v řízení k této osobě v době posledních 5 let přede dnem nabytí účinnosti tohoto zákona vydáno rozhodnutí o zrušení platnosti dokladu o bezpečnostní způsobilosti fyzické osoby nebo rozhodnutí o zrušení platnosti osvědčení fyzické osoby.
CELEX 32022L2557
ČÁST DRUHÁ
Změna zákona o působnosti Správy státních hmotných rezerv
§ 31
Zákon č. 97/1993 Sb., o působnosti Správy státních hmotných rezerv, ve znění zákona č. 272/1996 Sb., zákona č. 189/1999 Sb., zákona č. 241/2000 Sb., zákona č. 256/2000 Sb., zákona č. 419/2004 Sb., zákona č. 174/2007 Sb., zákona č. 151/2010 Sb., zákona č. 250/2014 Sb., zákona č. 51/2016 Sb., zákona č. 183/2017 Sb., zákona č. 302/2017 Sb., zákona č. 544/2020 Sb., zákona č. 94/2021 Sb. a zákona č. 323/2023 Sb., se mění takto:
1. V § 4b odst. 1 se za slovo „situace“ vkládají slova „, k zachování poskytování základních služeb subjekty kritické infrastruktury“.
CELEX 32022L2557
2. V § 4b odst. 2 se za slovo „systému“ vkládají slova „, subjekt kritické infrastruktury“.
CELEX 32022L2557
3. Za § 4i se vkládá nový § 4j, který včetně poznámky pod čarou č. 11 zní:
㤠4j
Správa může na základě žádosti věcně příslušného ústředního správního úřadu v souvislosti s řešením významného narušení poskytování základní služby11) poskytnout pro potřeby subjektu kritické infrastruktury v jeho věcné působnosti v nezbytném rozsahu pohotovostní zásoby formou jejich bezúplatného použití. Ustanovení § 14 odst. 7, § 19 odst. 1, § 19b, 19c a 27 zákona o majetku České republiky a jejím vystupování v právních vztazích se nepoužijí. Poskytnuté pohotovostní zásoby je příjemce povinen vrátit nebo nahradit Správě bezodkladně po zvládnutí významného narušení poskytování základní služby, nejdéle však do 60 dnů od jejich poskytnutí. Po této lhůtě je příjemce oprávněn užívat poskytnuté pohotovostní zásoby pouze se souhlasem věcně příslušného ústředního správního úřadu na základě smlouvy uzavřené se Správou, popřípadě zápisu pořízeného se Správou1b). Návrh smlouvy, popřípadě zápisu, zpracuje Správa na základě žádosti předložené příjemcem. Ustanovení § 14 odst. 7, § 19 odst. 1, § 19b a 19c zákona o majetku České republiky a jejím vystupování v právních vztazích se nepoužijí. Pokud příjemce žádost v uvedené lhůtě nepředloží, je užívání pohotovostních zásob neoprávněným použitím majetku, k němuž má Správa příslušnost hospodařit. V případě nevrácení poskytnutých pohotovostních zásob se postupuje podle právních předpisů, které upravují hospodaření s majetkem státu.
_____________
11) Zákon č. …/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře).“.
CELEX 32022L2557
ČÁST TŘETÍ
Změna zákona o zeměměřictví
§ 32
V § 5 odst. 1 zákona č. 200/1994 Sb., o zeměměřictví a o změně a doplnění některých zákonů souvisejících s jeho zavedením, ve znění zákona č. 88/2023 Sb., se slova „ochrany kritické infrastruktury podle krizového zákona“ nahrazují slovy „zajišťování odolnosti subjektu kritické infrastruktury podle zákona o kritické infrastruktuře“.
CELEX 32022L2557
ČÁST ČTVRTÁ
Změna zákona o svobodném přístupu k informacím
§ 33
Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění zákona č. 101/2000 Sb., zákona č. 159/2000 Sb., zákona č. 39/2001 Sb., zákona č. 413/2005 Sb., zákona č. 61/2006 Sb., zákona č. 110/2007 Sb., zákona č. 32/2008 Sb., zákona č. 254/2008 Sb., zákona č. 274/2008 Sb., zákona č. 227/2009 Sb., nálezu Ústavního soudu, vyhlášeného pod č. 123/2010 Sb., zákona č. 375/2011 Sb., zákona č. 167/2012 Sb., zákona č. 181/2014 Sb., zákona č. 222/2015 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb., zákona č. 205/2017 Sb., zákona č. 111/2019 Sb., zákona č. 12/2020 Sb., zákona č. 36/2021 Sb., zákona č. 261/2021 Sb., zákona č. 241/2022 Sb., zákona č. 471/2022 Sb. a zákona č. 197/2024 Sb., se mění takto:
1. V § 11 odst. 1 se na konci textu písmene d) doplňují slova „nebo připravenosti na krizové situace a jejich řešení“.
CELEX 32022L2557
2. V § 11 odst. 1 se na konci písmene e) vkládá slovo „nebo“ a písmeno f) se včetně poznámky pod čarou č. 22 zrušuje.
Dosavadní písmeno g) se označuje jako písmeno f).
3. V § 11 odstavec 6 zní:
„(6) Povinný subjekt neposkytne informaci
a) o činnosti orgánů činných v trestním řízení nebo bezpečnostních sborů, která se týká předcházení, vyhledávání, odhalování nebo stíhání trestné činnosti nebo ochrany bezpečnosti osob, majetku a veřejného pořádku, pokud by její poskytnutí ohrozilo práva třetích osob anebo schopnost orgánů veřejné moci předcházet trestné činnosti, vyhledávat nebo odhalovat trestnou činnost, stíhat trestné činy nebo zajišťovat veřejný pořádek a bezpečnost České republiky,
b) o činnosti poskytovatele základní služby nebo subjektu kritické infrastruktury podle zákona o kritické infrastruktuře anebo o opatřeních k zajišťování nebo zvyšování odolnosti subjektu kritické infrastruktury, pokud by její poskytnutí
1. ohrozilo práva těchto nebo jiných osob,
2. ohrozilo poskytování základní služby subjektem kritické infrastruktury, nebo
3. ohrozilo zajištění odolnosti subjektu kritické infrastruktury.“.
CELEX 32022L2557
ČÁST PÁTÁ
Změna zákona o integrovaném záchranném systému
§ 34
Zákon č. 239/2000 Sb., o integrovaném záchranném systému a o změně některých zákonů, ve znění zákona č. 320/2002 Sb., zákona č. 20/2004 Sb., zákona č. 186/2006 Sb., zákona č. 267/2006 Sb., zákona č. 306/2008 Sb., zákona č. 151/2010 Sb., zákona č. 375/2011 Sb., zákona č. 303/2013 Sb., zákonného opatření Senátu č. 344/2013 Sb., zákona č. 64/2014 Sb., zákona č. 183/2017 Sb., zákona č. 225/2017 Sb., zákona č. 277/2019 Sb., zákona č. 403/2020 Sb., zákona č. 284/2021 Sb., zákona č. 374/2021 Sb., zákona č. 415/2021 Sb. a zákona č. 152/2023 Sb., se mění takto:
1. V § 5 odstavec 1 zní:
„(1) Stálými orgány pro koordinaci složek integrovaného záchranného systému jsou operační a informační střediska integrovaného záchranného systému, kterými jsou Krajské operační a informační středisko a Národní operační a informační středisko.“.
2. V § 20 odst. 1 se slova „operačního a informačního střediska generálního ředitelství hasičského záchranného sboru“ nahrazují slovy „Národního operačního a informačního střediska“.
ČÁST ŠESTÁ
Změna krizového zákona
§ 35
Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákona č. 127/2005 Sb., zákona č. 112/2006 Sb., zákona č. 110/2007 Sb., zákona č. 306/2008 Sb., zákona č. 153/2010 Sb., zákona č. 430/2010 Sb., zákona č. 375/2011 Sb., zákona č. 333/2012 Sb., zákona č. 303/2013 Sb., zákona č. 64/2014 Sb., zákona č. 320/2015 Sb., zákona č. 323/2016 Sb., zákona č. 183/2017 Sb., zákona č. 205/2017 Sb., zákona č. 277/2019 Sb., zákona č. 544/2020 Sb., zákona č. 14/2021 Sb., zákona č. 36/2021 Sb., zákona č. 261/2021 Sb., zákona č. 281/2023 Sb. a zákona č. 323/2023 Sb., se mění takto:
1. V § 1 odst. 1 se slova „a při ochraně kritické infrastruktury34)“ včetně poznámky pod čarou č. 34 zrušují.
CELEX 32022L2557
2. V § 1 se odstavec 2 zrušuje a zároveň se zrušuje označení odstavce 1.
CELEX 32022L2557
3. V § 2 písm. a) body 1 a 2 znějí:
„1. zajišťováním připravenosti na krizové situace a jejich řešením, nebo
2. zvyšováním odolnosti subjektů kritické infrastruktury,“.
CELEX 32022L2557
4. V § 2 písm. b) se slova „narušení kritické infrastruktury“ nahrazují slovy „významné narušení poskytování základní služby podle zákona o kritické infrastruktuře“.
CELEX 32022L2557
5. V § 2 se na konci písmene f) čárka nahrazuje tečkou a písmena g) až m) se zrušují.
CELEX 32022L2557
6. V § 4 odst. 1 úvodní část ustanovení zní:
„Vláda při zajišťování připravenosti České republiky na krizové situace a při jejich řešení“.
7. V § 4 odstavec 1 se na konci písmene c) čárka nahrazuje tečkou a písmena d) a e) se zrušují.
8. V § 4 se doplňuje odstavec 3, který zní:
„(3) Vláda při zajišťování připravenosti České republiky na krizové situace schvaluje
a) krizový plán České republiky,
b) posouzení rizik České republiky.“.
CELEX 32022L2557
9. V § 6 odst. 2 písm. g) bod 3 zní:
„3. subjektu kritické infrastruktury, a to v nezbytném rozsahu k zajištění základní služby podle zákona o kritické infrastruktuře,“.
10. V § 9 odst. 2 písm. b) se za slovo „zpracovávají“ vkládá slovo „krizový“ a slova „obsahuje souhrn krizových opatření a postupů k řešení krizových situací, (dále jen „krizový plán“); krizový plán“ se zrušují.
11. V § 9 odst. 2 písm. e) se za slovo „ministerstvům“ vkládají slova „, jiným ústředním správním úřadům, České národní bance“.
12. V § 9 odst. 2 písm. f), § 10 odst. 1 písm. h), § 14 odst. 2 písm. d), § 15 odst. 1 písm. f), § 16 odst. 2, § 18 odst. 2 písm. d), § 27 odst. 3, § 29 odst. 2 a § 31 odst. 2 se číslo „3“ nahrazuje číslem „2“.
13. V § 9 odst. 2 se na konci písmene g) tečka nahrazuje čárkou a doplňují se písmena h) až j), která znějí:
„h) podílí se na zpracování posouzení rizik České republiky a krizového plánu České republiky,
i) zpracovávají typový plán ve své působnosti na základě posouzení rizik České republiky,
j) plní úkoly podle krizového plánu České republiky.“.
CELEX 32022L2557
14. V § 9 se odstavce 3 a 5 zrušují.
Dosavadní odstavec 4 se označuje jako odstavec 3.
15. V § 10 odst. 1 písmena d) až f) znějí:
„d) za krizového stavu vede evidenci údajů o přechodných změnách pobytu osob,
e) zpracovává posouzení rizik České republiky,
f) zpracovává krizový plán České republiky,“.
CELEX 32022L2557
16. V § 10 odst. 1 se písmena g) až i) zrušují.
Dosavadní písmena j) až l) se označují jako písmena g) až i).
17. V § 10 odst. 2 se text „a l)“ nahrazuje textem „, e), f) a i)“.
18. V § 12a se odstavec 2 zrušuje a zároveň se zrušuje označení odstavce 1.
19. V § 13 odst. 1 se za písmeno b) vkládají písmena c) a d), která znějí:
„c) se podílí na zpracování posouzení rizik České republiky a krizového plánu České republiky,
d) zpracovává typový plán ve své působnosti v souladu s posouzením rizik České republiky,“.
Dosavadní písmena c) až f) se označují jako písmena e) až h).
CELEX 32022L2557
20. V § 13 odst. 1 se na konci písmene h) tečka nahrazuje čárkou a doplňuje se písmeno i), které zní:
„i) se podílí na plnění úkolů podle krizového plánu České republiky.“.
21. V § 13 se odstavec 4 zrušuje.
22. V § 14 odst. 2 se na konci písmene d) tečka nahrazuje čárkou a doplňuje se písmeno e), které zní:
„e) plní úkoly stanovené krizovým plánem České republiky.“.
23. V § 14 odst. 4 písm. d) se slovo „prvků“ nahrazuje se slovem „subjektů“.
24. V § 14a odst. 1 písm. b) se za slovo „podle“ vkládají slova „krizového plánu České republiky a“.
25. V § 15 odst. 1 písm. e) se za slovo „vnitra“ vkládají slova „, krizovým plánem České republiky“.
26. V § 18 odst. 3 se na konci textu písmene c) doplňují slova „a úkoly uvedené v krizovém plánu kraje“.
27. V § 18 odst. 3 se na konci písmena c) čárka nahrazuje tečkou a písmeno d) se zrušuje.
28. V § 19 odst. 1 písm. b) se za slovo „podle“ vkládají slova „krizového plánu kraje a“.
29. V § 21 odst. 2 písm. c) se za slovo „plánu“ vkládají slova „kraje a krizovém plánu“.
30. V § 21 odst. 2 se na konci písmena c) čárka nahrazuje tečkou a písmeno d) se zrušuje.
31. V § 21a odst. 1 písm. f) se za slovo „plánem“ vkládají slova „kraje a krizovým plánem“ a slova „při přípravě na krizové situace a jejich řešení“ se zrušují.
32. § 26 a 26a včetně nadpisu znějí:
㤠26
Informační systém krizového řízení
(1) Informační systém krizového řízení je informačním systémem veřejné správy, jehož účelem je podpora orgánů krizového řízení při zajišťování připravenosti na krizové situace a při jejich řešení.
(2) Správu informačního systému krizového řízení zajišťuje Ministerstvo vnitra, přičemž úkoly s tím spojené plní generální ředitelství hasičského záchranného sboru.
(3) Informační systém krizového řízení obsahuje údaje informačního systému evidence obyvatel, katastru nemovitostí, základního registru obyvatel, cizineckého informačního systému, základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci, základního registru územní identifikace, adres a nemovitostí, základního registru agend orgánů veřejné moci a některých práv a povinností, informačního systému územní identifikace, nebo informačního systému infekčních nemocí, které je jeho správce povinen zpřístupnit způsobem umožňujícím dálkový a nepřetržitý přístup.
(4) Orgány krizového řízení jsou povinny využívat informační systém krizového řízení a při plnění úkolů souvisejících se zajišťováním připravenosti na krizové situace a jejich řešením přistupovat k údajům podle odstavce 3.
(5) Orgány krizového řízení využívají i další informační systémy pro řešení a přípravu na řešení krizových situací, které umožňují sdílení dat s informačním systémem krizového řízení.
(6) Správce informačního systému uvedeného v odstavci 3 zpřístupňuje do informačního systému krizového řízení agendový identifikátor nově založených údajů vedených v jím spravovaném informačním systému prostřednictvím k tomu určených služeb.
(7) Údaje poskytované podle odstavce 3 a 6 se zpřístupňují ve formě, která neumožňuje přímé určení fyzické nebo právnické osoby, které se týkají, pokud tím nebude zmařen účel, pro který se tyto údaje poskytují.
(8) Při zajišťování připravenosti na krizové situace a při jejich řešení je možné sdružovat údaje z informačních systémů.
(9) Bližší podmínky rozsahu a přístupu k informačnímu systému infekčních nemocí podle odstavce 3 stanoví dohoda mezi Ministerstvem vnitra a Ministerstvem zdravotnictví.
§ 26a
(1) Při plnění úkolů souvisejících s řešením krizové situace využívá Ministerstvo vnitra údaje z informačního systému zajišťování obrany státu provozovaného podle zvláštního právního předpisu1).
(2) Při plnění úkolů obrany státu souvisejících s řešením stavu ohrožení státu nebo válečného stavu využívá Ministerstvo obrany údaje z informačního systému krizového řízení.“.
33. Za § 26a se vkládá nový § 26b, který včetně nadpisu zní:
㤠26b
Zabezpečení závaznými geografickými podklady
(1) Orgány krizového řízení využívají při zajištění připravenosti na krizové situace a při jejich řešení jednotné geografické podklady v analogové nebo digitální podobě.
(2) Jednotné geografické podklady musejí pro požadavky součinnosti splňovat zásady interoperability a standardizace všech zainteresovaných orgánů krizového řízení jak v národním, tak i mezinárodním rozsahu.
(3) Jednotnými geografickými podklady pro plnění úkolů při zajištění připravenosti na krizové situace a při jejich řešení jsou státní mapová díla a další geografické produkty vytvářené v souladu se zvláštním právním předpisem48).“.
34. V § 27 se odstavce 8 a 9 včetně poznámky pod čarou č. 20 zrušují.
35. V § 28 se odstavec 4 zrušuje.
36. V § 29 odst. 3 se slova „funkce prvku“ nahrazují slovy „poskytování základní služby subjektem“.
CELEX 32022L2557
37. § 29a až 29c se včetně nadpisů a poznámky pod čarou č. 51 zrušují.
38. V § 32 odst. 2 se věta druhá zrušuje.
39. V § 32 se za odstavec 2 vkládá nový odstavec 3, který zní:
„(3) Pracovní povinnost lze nařídit pracovníkům subjektu kritické infrastruktury
a) pouze v nezbytném rozsahu tak, aby nebylo ohroženo poskytování základní služby, nebo
b) pokud pracovní povinnost přímo souvisí se zajišťováním poskytování základní služby.“.
Dosavadní odstavce 3 a 4 se označují jako odstavce 4 a 5.
CELEX 32022L2557
40. § 40 včetně nadpisu zní:
㤠40
Zmocňovací ustanovení
(1) Vláda stanoví nařízením
a) obsahové náležitosti, členění a způsob zpracování posouzení rizik České republiky, krizového plánu České republiky, krizového plánu ministerstva nebo jiného ústředního správního úřadu, krizového plánu kraje, krizového plánu obce s rozšířenou působností a plánu krizové připravenosti,
b) obsah činnosti a složení bezpečnostní rady kraje, bezpečnostní rady obce s rozšířenou působností, krizového štábu kraje a krizového štábu obce s rozšířenou působností,
c) podrobnosti o označování, stanovení režimu evidence, manipulace a ukládání písemností a jiných materiálů obsahujících zvláštní skutečnosti, a postup při určování osob ke styku se zvláštními skutečnostmi.
(2) Ministerstvo školství, mládeže a tělovýchovy stanoví vyhláškou podmínky a způsob vykonávání péče o děti v mateřských školách, žáky plnící ve školách povinnou školní docházku, osoby umístěné ve školských zařízeních pro výkon ústavní výchovy a ochranné výchovy a osoby ve střediscích výchovné péče, pokud tuto péči nemohou za krizové situace vykonávat osoby, které jsou jinak povinny a oprávněny o dítě pečovat.
(3) Český báňský úřad stanoví vyhláškou báňsko-technické podmínky pro zřizování, využití a ochranu důlních děl a podzemních objektů, uplatňování preventivních, technických a bezpečnostních opatření a provádění kontrol.“.
CELEX 32022L2557
§ 36
Přechodná ustanovení
1. Posouzení rizik České republiky zpracuje Ministerstvo vnitra ve spolupráci s ministerstvy a jinými ústředními správními úřady a vláda schválí do 17. ledna 2026.
2. Krizový plán České republiky zpracuje Ministerstvo vnitra ve spolupráci s ministerstvy a jinými ústředními správními úřady a vláda schválí do 4 let ode dne nabytí účinnosti tohoto zákona.
CELEX 32022L2557
ČÁST SEDMÁ
Změna zákona o hospodářských opatřeních pro krizové stavy
§ 37
Zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění zákona č. 320/2002 Sb., zákona č. 354/2003 Sb., zákona č. 237/2004 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 296/2007 Sb., zákona č. 281/2009 Sb., zákona č. 153/2010 Sb., zákona č. 76/2012 Sb., zákona č. 183/2017 Sb., zákona č. 277/2019 Sb. a zákona č. 323/2023 Sb., se mění takto:
1. V § 3 se na konci odstavce 1 tečka nahrazuje slovem „, nebo“ a doplňuje se písmeno d), které zní:
„d) k zachování poskytování základních služeb subjekty kritické infrastruktury podle zákona o kritické infrastruktuře.“.
CELEX 32022L2557
2. V § 6 odst. 2 písmeno c) zní:
„c) jedná-li se o podporu činnosti ozbrojených sil, ozbrojených bezpečnostních sborů, záchranných sborů, havarijních služeb nebo zdravotnické záchranné služby zřízených v okruhu jeho působnosti a jedná-li se o zachování poskytování základních služeb subjekty kritické infrastruktury v odvětvích nebo pododvětvích, ve kterých jsou poskytovány základní služby, která jsou v jeho věcné působnosti podle zákona o kritické infrastruktuře.“.
CELEX 32022L2557
3. V § 10 odst. 1 se na konci textu písmene c) doplňuje slovo „a“.
4. V 10 odst. 1 se za písmeno c) vkládá písmeno d), které zní:
„d) zachování poskytování základních služeb subjekty kritické infrastruktury“.
CELEX 32022L2557
ČÁST OSMÁ
Změna vodního zákona
§ 38
V § 87b odst. 4 písm. a) zákona č. 254/2001 Sb., o vodách a o změně některých zákonů (vodní zákon), ve znění zákona č. 544/2020 Sb., se slova „zajištění funkčnosti kritické infrastruktury podle předpisů upravujících krizové řízení63)“ nahrazují slovy „zajištění poskytování základní služby podle zákona o kritické infrastruktuře“.
Poznámka pod čarou č. 63 se zrušuje.
CELEX 32022L2557
ČÁST DEVÁTÁ
Změna branného zákona
§ 39
V § 17 odst. 2 písm. a) zákona č. 585/2004 Sb., o branné povinnosti a jejím zajišťování (branný zákon), ve znění zákona č. 375/2011 Sb., zákona č. 320/2015 Sb., zákona č. 47/2016 Sb., zákona č. 294/2017 Sb. a zákona č. 178/2023 Sb., se slova „prvků kritické infrastruktury“ nahrazují slovy „subjektů kritické infrastruktury“.
CELEX 32022L2557
ČÁST DESÁTÁ
Změna zákona o hasičském záchranném sboru
§ 40
Zákon č. 320/2015 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů (zákon o hasičském záchranném sboru), ve znění zákona č. 173/2017 Sb., zákona č. 51/2021 Sb., zákona č. 374/2021 Sb. a zákona č. 31/2024 Sb., se mění takto:
1. V § 6 odst. 6 se za slovo „zřizuje“ vkládá slovo „Národní“.
2. V § 7 odst. 5 se za slovo „zřizuje“ vkládá slovo „Krajské“ a slovo „Operační“ se nahrazuje slovy „Krajské operační“.
3. V § 44 odst. 1 se slova „operačního a informačního střediska hasičského záchranného sboru kraje“ nahrazují slovy „Krajského operačního a informačního střediska“.
ČÁST JEDENÁCTÁ
Změna zákona o prověřování zahraničních investic
§ 41
V § 7 písm. b) zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), se slova „provozuje prvek kritické infrastruktury určený příslušným ústředním správním úřadem4)“ nahrazují slovy „je subjektem kritické infrastruktury podle zákona o kritické infrastruktuře“.
Poznámka pod čarou č. 4 se zrušuje.
CELEX 32022L2557
ČÁST DVANÁCTÁ
ÚČINNOST
§ 42
Tento zákon nabývá účinnosti patnáctým dnem následujícím po dni jeho vyhlášení.
CELEX 32022L2557
Příloha k zákonu č. …/2025 Sb.
Věcná působnost ministerstev, jiných ústředních správních úřadů a České národní banky pro jednotlivá odvětví nebo pododvětví
Odvětví
Pododvětví
Orgán s věcnou působností
Energetika
Elektřina
Ministerstvo průmyslu a obchodu
Dálkové vytápění a chlazení
Ministerstvo průmyslu a obchodu
Ropa
Správa státních hmotných rezerv
Zemní plyn
Ministerstvo průmyslu a obchodu
Vodík
Ministerstvo průmyslu a obchodu
Doprava
Letecká doprava
Ministerstvo dopravy
Železniční doprava
Vodní doprava
Silniční doprava
Veřejná přeprava
Bankovnictví
Česká národní banka
Infrastruktura finanční trhů
Česká národní banka
Zdravotnictví
Ministerstvo zdravotnictví
Pitná voda
Ministerstvo zemědělství
Odpadní voda
Ministerstvo zemědělství
Digitální infrastruktura
Služby vytvářející důvěru a elektronická identifikace
Digitální a informační agentura
Veřejné komunikační sítě a veřejně dostupné služby elektronických komunikací
Český telekomunikační úřad
Ostatní digitální služby a infrastruktura
Národní úřad pro kybernetickou a informační bezpečnost
Veřejná správa
Ministerstvo vnitra
Vesmír
Ministerstvo dopravy
Výroba, zpracování a distribuce potravin
Výroba potravin
Ministerstvo zemědělství
Skladování a distribuce potravin
Ministerstvo zemědělství
Bezpečnost
Požární ochrana a ochrana obyvatelstva
Ministerstvo vnitra
Vnitřní pořádek
Ministerstvo vnitra
Státní hmotné rezervy
Správa státních hmotných rezerv
Hydrometeorologická výstražná služba
Ministerstvo životního prostředí
DŮVODOVÁ ZPRÁVA
A. Obecná část
Ministerstvo vnitra vykonává na základě kompetenčního zákona a zákona o krizovém řízení, státní správu v oblasti krizového řízení a ochrany kritické infrastruktury. Z tohoto důvodu je i gestorem transpozice směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (dále jen „směrnice CER“), která je provedena předloženým návrhem nového zákona o kritické infrastruktuře. Směrnice CER zcela nahrazuje směrnici Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu (dále jen „směrnice EKI“), která byla v roce 2010 transponována do zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „krizový zákon“).
S ohledem na rozsah úprav požadovaných směrnicí CER, bylo přistoupeno k vyjmutí problematiky kritické infrastruktury z krizového zákona a vytvoření nového samostatného zákona o odolnosti subjektů kritické infrastruktury, ve kterém jsou zapracovány jak požadavky směrnice CER, tak i zkušenosti z dosavadní aplikační praxe krizového zákona v oblasti ochrany kritické infrastruktury.
Dílčí novela krizového zákona je nezbytná z důvodu transpozice směrnice CER. Konkrétně se jedná o potřebu odstranění ustanovení týkajících se oblasti kritické infrastruktury, která byla do krizového zákona doplněna v souvislosti s transpozicí směrnice EKI v roce 2010.
Vzhledem k rozsahu nezbytných úprav týkajících se oblasti kritické infrastruktury a potřebou novelizovat a precizovat některá ustanovení krizového zákona, která mají spojitost s implementací směrnice CER, přistoupilo Ministerstvo vnitra k vytvoření samostatného zákona o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů. Kromě zmíněné úpravy krizového zákona je ve velmi omezeném rozsahu (primárně jde o implementaci evropského práva) za účelem dosažení cílů transpozice směrnice CER navrhováno novelizovat několik dalších zákonů (zákon o působnosti Správy státních hmotných rezerv, zákon o zeměměřictví, zákon o svobodném přístupu k informacím, zákon o integrovaném záchranném systému, zákon o hospodářských opatřeních pro krizové stavy, vodní zákon, branný zákon, zákon o hasičském záchranném sboru a zákon o prověřování zahraničních investic)
Zároveň se však předpokládá, že oblast krizového řízení dozná dalších změn. V této souvislosti plánuje Ministerstvo vnitra předložit samostatný návrh, který by měl v komplexnějším rozsahu reagovat na zkušenosti s aplikací dosavadní právní úpravy a odstranit její nedostatky identifikované v kontextu nedávných krizových situací.
1. Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Ochrana kritické infrastruktury:
V současné době je problematika ochrany kritické infrastruktury zakotvena v krizovém zákoně, do kterého byla transponována směrnice EKI. Národní úprava ochrany kritické infrastruktury v roce 2010 byla obsáhlejší než požadavky vyplývající ze směrnice EKI a upravovala postavení prvků a subjektů kritické infrastruktury ve více odvětvích, než požadovala směrnice EKI. Zatímco směrnice EKI identifikovala dvě odvětví kritické infrastruktury, konkrétně odvětví energetiky a dopravy, národní úprava identifikovala celkem devět odvětví kritické infrastruktury. Kromě energetiky a dopravy byla rovněž identifkována odvětví vodního hospodářství, potravinářství a zemědělství, zdravotnictví, komunikačních a informačních systémů, finančního trhu a měny, nouzových služeb a veřejné správy. V souvislosti s navrhovanou právní úpravou tak nedochází k výrazným změnám v rozsahu regulovaných odvětví. I přes tuto skutečnost však dojde k dalšímu rozšíření regulovaných odvětví nebo pododvětví, a naopak některá současná odvětví, či jejich části, budou z nové regulace vyjmuta.
V dosavadním systému kritické infrastruktury existovala přímá vazba na oblast kybernetické bezpečnosti, která je předmětem zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“). Konkrétně se jedná o přímou provázanost kritické informační infrastruktury podle zákona o kybernetické bezpečnosti s kritickou infrastrukturou podle krizového zákona, kdy kritická informační infrastruktura je prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy podle nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvků kritické infrastruktury, ve znění pozdějších předpisů.
Provázanost zákona o kybernetické bezpečnosti a krizového zákona se poté promítla do specifického postavení kritické informační infrastruktury v systému kritické infrastruktury, kdy způsob a proces určování této infrastruktury vycházel z krizového zákona, nicméně povinnosti provozovatele kritické informační infrastruktury vycházely i ze zákona o kybernetické bezpečnosti. Tato provázanost systému kritické infrastruktury se systémem kybernetické bezpečnosti je zachována a dále rozvinuta i v novém přístupu podle návrhu zákona o kritické infrastruktuře a podle návrhu nového zákona o kybernetické bezpečnosti. Tato provázanost koneckonců vyplývá i ze směrnice CER a směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (dále jen „směrnice NIS2“).
Aplikační praxe od roku 2010 spolu s řešením nedávných krizových situací však poukázala na některé nedostatky stávajícího systému, na které rovněž návrh zákona o kritické infrastruktuře reaguje.
Nedostatky systému se týkají především problematiky určování prvků kritické infrastruktury. Proces určování v současném systému probíhá po dvou liniích, a to v souvislosti s tím, zdali je subjektem kritické infrastruktury organizační složka státu, či nikoliv. V případě organizačních složek státu určovala prvky kritické infrastruktury vláda, a to schválením seznamu prvků kritické infrastruktury, jejichž provozovatelem je organizační složka státu (dále jen „seznam prvků kritické infrastruktury“), který byl předkládán ze strany Ministerstva vnitra, přičemž podklady za jednotlivá odvětví a pododvětví poskytovala jednotlivá věcně příslušná ministerstva, jiné ústřední správní úřady nebo Česká národní banka.
V případě prvků kritické infrastruktury, jejichž provozovatelem není organizační složka státu, pak byl doposud celý proces decentralizován, kdy prvky kritické infrastruktury určovala samotná věcně příslušná ministerstva, jiné ústřední správní úřady nebo Česká národní banka opatřením obecné povahy a následně o tomto určení bez zbytečného odkladu informovala Ministerstvo vnitra.
Oba dva z těchto způsobů určování s sebou nesly určitá negativa vyplývající z časových a procesních náležitostí. V případě určování prvků kritické infrastruktury, jejichž provozovatelem je organizační složka státu, se jednalo o velice zdlouhavý proces, neboť každá aktualizace seznamu prvků kritické infrastruktury musela být v rámci standardního procesu před projednáním a schválením vládou projednána ve Výboru pro civilní nouzové plánování a následně v Bezpečnostní radě státu. Celý proces od identifikace potenciálního prvku až po jeho určení tak trval v řádu několika měsíců, což v mnoha případech vedlo k neaktuálnosti údajů uvedených v seznamu prvků kritické infrastruktury.
V případě určování prvků kritické infrastruktury, jejichž provozovatelem není organizační složka státu, pak decentralizovaný proces určování často vedl k prodlení předávání informací o aktuálně určených prvcích kritické infrastruktury Ministerstvu vnitra. Zároveň určování prvků kritické infrastruktury formou opatření obecné povahy s sebou neslo procesní komplikace spojené s nutností vyvěšovat opatření obecné povahy na úřední desku, čímž byla narušena a ohrožena citlivost informací o určované kritické infrastruktuře.
Stávající systém kritické infrastruktury je také příliš zaměřený na významné objekty a zařízení (prvky kritické infrastruktury), čímž upozaďuje méně významné jednotlivé prvky, které však v součtu vytváří systém prvků, který již může dosahovat značného významu.
Dalším nedostatkem je pak absence jakýchkoliv sankcí týkajících se porušení povinností subjektu kritické infrastruktury stanovených krizovým zákonem, což výrazně snižuje možnost vynucení stanovených povinností.
Požadavky stanovené směrnicí CER jsou ve svém důsledku takové povahy, že návrh zákona musí s ohledem na změnu dosavadního přístupu k oblasti kritické infrastruktury upravit nejen některé dílčí oblasti tak, aby bylo možné sladit požadavky směrnice CER s dosavadním způsobem ochrany kritické infrastruktury, ale především musí dojít k podstatným změnám v oblasti stanovení a identifikace základních služeb a podle toho i určení subjektů kritické infrastruktury, stanovení nových povinností těchto subjektů a dalších procesů a náležitostí, které přinesly požadavky na další dílčí úpravy zákonů. Výše uvedené skutečnosti vedly k závěru, že je nezbytné vyjmout problematiku kritické infrastruktury z krizového zákona a vytvořit nový samostatný zákon o odolnosti subjektů kritické infrastruktury. V návaznosti na návrh zákona bude také nutné zcela nahradit prováděcí právní předpisy ke krizovému zákonu, které se týkaly problematiky kritické infrastruktury, novými prováděcími právními předpisy k zákonu o odolnosti subjektů kritické infrastruktury. Krizový zákon vytváří právní rámec pro působnost a pravomoc státních orgánů a orgánů územních samosprávných celků a práva a povinnosti právnických a fyzických osob při přípravě na krizové situace, které nesouvisejí se zajišťováním obrany České republiky před vnějším napadením, a při jejich řešení. Krizový zákon i nadále bude mít přímou návaznost na ochranu a odolnost subjektu kritické infrastruktury a změny provedené v této aktualizaci přímo souvisí s nutností vzniku samostatného zákona o odolnosti subjektů kritické infrastruktury.
Současná právní úprava se nedotýká problematiky rovnosti mužů a žen.
2. Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Ochrana kritické infrastruktury:
Návrh zákona vychází tam, kde je to možné, z principů současného znění zákona o krizovém řízení, při zohlednění zkušeností z dosavadní aplikační praxe. Nové požadavky, vyplývající především ze směrnice CER, vedou k tomu, že návrh nového zákona musí zohlednit především:
· změnu přístupu od určování fyzických prvků kritické infrastruktury k určování subjektů kritické infrastruktury poskytujících základní služby,
· požadavky na zpracování dokumentace na národní úrovni (posouzení rizik, strategie),
· další požadavky na subjekty kritické infrastruktury,
· zpracování posouzení rizik,
· zavedení opatření k zajištění jejich odolnosti a jejich promítnutí do plánu odolnosti,
· požadavky na hlášení incidentů,
· intenzivnější sdílení informací mezi státní správou a soukromým sektorem,
· systém ověřování spolehlivosti kritických pracovníků subjektů kritické infrastruktury,
· provázání povinností se sankcemi,
· zohlednění problematiky řízení bezpečnosti dodavatelského řetězce,
· provázání s návrhem nového zákona o kybernetické bezpečnosti a nařízením Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (dále jen „nařízení DORA“),
· vznik nového informačního nástroje v podobě portálu kritické infrastruktury.
Podle nového pojetí odolnosti subjektů kritické infrastruktury, jež vychází ze směrnice CER, není hlavní důraz kladen na prvek kritické infrastruktury ve smyslu budovy, zařízení, infrastruktury, ale na celkové zajištění poskytování základní služby subjektem kritické infrastruktury. Proto se upouští od určování jednotlivých (prvků) kritických infrastruktur, ale důraz je kladen na zajištění poskytování základní služby jako takové. Stěžejní je tedy stanovení základních služeb, které vycházejí z nařízení Evropské komise v souladu s článkem 5 směrnice CER a kritérií významnosti, která definují významnost této základní služby a jejího poskytovatele. Konkrétní základní služby a kritéria významnosti budou stanovena v nařízení vlády.
Ačkoliv je posledním krokem procesu určení subjektů kritické infrastruktury rozhodnutí Ministerstva vnitra o jejich zařazení na seznam subjektů kritické infrastruktury, celý proces se neobejde bez zapojení všech věcně příslušných ministerstev a jiných ústředních správních úřadů, které na základě svých odborných a odvětvových znalostí posuzují relevantnost informací nezbytných k zařazení subjektu kritické infrastruktury na seznam subjektů kritické infrastruktury, a to po předchozím procesu sebehodnocení poskytovatele základní služby. Tato informační povinnost vyplývá pro poskytovatele základních služeb přímo z návrhu zákona.
Zákon o krizovém řízení:
Novela krizového zákona primárně reaguje na transpozici směrnice CER a je zaměřena na ochranu a posilování odolnosti subjektů kritické infrastruktury. Kromě odstranění původních ustanovení upravujících kritickou infrastrukturu je v návaznosti na transpozici směrnice CER upravovanou oblastí též systém krizové plánovací dokumentace, kde byla na jedné straně provedena revize v současné době zpracovávané dokumentace, a na straně druhé došlo k rozšíření dokumentace na centrální (nově bude zpracováván krizový plán České republiky). Krizový plán České republiky bude obsahovat posouzení rizik, které je nedílnou součástí dokumentace subjektu kritické infrastruktury a má přímou návaznost na nově vznikající zákon o kritické infrastruktuře. Na ústřední úrovni je nově navrženo zpracovávání Posouzení rizik České republiky. Další zásadní oblastí novely krizového zákona je legislativní zajištění digitalizace systému krizového řízení skrze informační systém krizového řízení.
Zákon o IZS:
S ohledem na kompetence Ministerstva vnitra, které podle návrhu zákona o odolnosti subjektů kritické infrastruktury bude též zajišťovat plnění úkolů jednotného kontaktního místa, dochází k úpravě označení operačních a informačních středisek integrovaného záchranného systému (dále jen “IZS”). V návrhu zákona o odolnosti subjektů kritické infrastruktury, je pracováno s názvem Národní operační a informační středisko (NOPIS) - v dosavadních předpisech jde o operační a informační středisko generálního ředitelství hasičského záchranného sboru. Toto názvosloví je tedy zakotveno i v případě návrhu novely zákona o IZS, kdy je dále pro jasné oddělení upraveno také označení operačního střediska hasičského záchranného sboru kraje na Krajské operační a informační středisko (KOPIS).
Návrh novely zákona o IZS dále uvádí do souladu některé poznatky aplikační praxe a znění příslušných ustanovení aktuálního znění zákona o IZS, kdy vhodně strukturovaně rozděluje právní úpravu k náhradám za omezení vlastnického nebo užívacího práva, poskytnutí věcné a osobní pomoci (stávající § 29) a k náhradě škody (stávající § 30) k naplnění poznatků aplikační praxe v této oblasti.
Posouzení dopadů ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen
Návrh zákona o odolnosti subjektů kritické infrastruktury stanoví práva a povinnosti zejména právnických osob. Některá ustanovení zákona se ovšem vztahují i na fyzické osoby (např. ustanovení o manažerovi kritické infrastruktury). Návrh v tomto nerozlišuje, zdali činnost vykonávají ženy nebo muži, ani nestanoví žádné podmínky nebo omezení. V tomto ohledu lze dojít k závěru, že návrh zákona má neutrální dopad na rovnost žen a mužů. Nicméně zajištění odolnosti subjektu kritické infrastruktury s ohledem na přijímaná opatření k zajištění odolnosti mohou mít ve svém důsledku pozitivní dopady na postavení žen a mužů v organizaci, resp. zlepšení pracovních podmínek žen a mužů v různých regulovaných odvětvích. Návrh zákona má potenciál přispět k rovnosti žen a mužů prostřednictvím zlepšení pracovních podmínek, zvýšení příležitostí pro ženy, zahrnutí žen do rozhodovacích procesů a zajištění sociální a ekonomické stability. Tyto dopady jsou klíčové pro dosažení rovnosti a inkluze v odvětvích a pododvětvích kritické infrastruktury.
Následující tabulka uvádí příklady pozitivních benefitů, které mohou mít vliv na rovnost žen a mužů:
Oblast
Benefit
Zdůvodnění
Zlepšení pracovních podmínek
Bezpečnost na pracovišti
Některá opatření k zajištění odolnosti v sobě zahrnují i opatření ke zlepšení bezpečnosti na pracovišti. To může znamenat lepší pracovní prostředí pro všechny pracovníky, včetně žen, které mohou mít specifické potřeby, například pokud jde o fyzickou bezpečnost.
Flexibilita pracovních podmínek
Aplikace principů zajištění kontinuity činností, může také zahrnovat zavedení flexibilních pracovních podmínek, které mohou pomoci lépe sladit pracovní a rodinný život. To může být přínosné zejména pro ženy, které častěji nesou hlavní zodpovědnost za péči o rodinu.
Zvýšení příležitostí pro ženy
Diverzifikace pracovních sil
Přijetí návrhu zákona může vést k vytváření nových pracovních pozic v oblasti řízení rizik v regulovaných odvětvích nebo pododvětvích, což může otevřít příležitosti pro ženy v těchto do jisté míry tradičně mužských oborech. Podpora diverzity a rovnosti příležitostí může být součástí strategie na zvýšení odolnosti.
Podpora kariérního růstu
Organizace, které investují do odolnosti, mohou také více podporovat rozvoj a školení pracovníků. To může ženám poskytnout lepší možnosti kariérního postupu a zvýšení kvalifikace.
Rovnost v rozhodovacích procesech
V souvislosti s vytváření pracovních míst a zvyšováním kvalifikace lze předpokládat i větší zapojení žen do rozhodovacích pozic, což může přispět k rovnosti žen a mužů na vedoucích postech.
Podpora inkluzivního leadershipu
V rámci řízení bezpečnosti zaměstnanců nebo zajišťování kontinuity činnosti mohou být brány v úvahu potřeby a perspektivy různých skupin, včetně žen, což může přispívat i k rovnosti a diverzitě v managementu subjektů kritické infrastruktury.
Sociální a ekonomické dopady
Ochrana před ekonomickými dopady krizí
Zajištěná odolnost subjektů kritické infrastruktury může mít pozitivní sociální a ekonomické dopady, které se mohou projevit v ochraně pracovníků před ekonomickými důsledky krizí. To může mít zvláštní význam pro ženy, které mohou být zranitelnější vůči ekonomickým šokům.
Podpora rodinného života
Bezpečné a stabilní subjekty kritické infrastruktury podporují stabilitu rodinného života, což může mít pozitivní dopady na celou společnost. Stabilní přístup k základním službám, jako je zdravotní péče, doprava a energie, je klíčový pro rovnost žen a mužů v každodenním životě.
3. Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku
Hlavním důvodem pro zpracování návrhu zákona je nutnost zapracovat do právního řádu České republiky požadavky směrnice CER, přičemž v souladu s právem EU měla být směrnice CER zapracována do českého právního řádu ve stanovené transpoziční lhůtě, která činí 21 měsíců od nabytí platnosti této směrnice (tj. do 17. října 2024).
V případě, kdy by transpozice byla realizována pouze částečně nebo nebyla realizována vůbec, hrozilo by České republice zahájení řízení o porušení práva Evropské unie ze strany Evropské komise (tzv. infringement procedure). Stejný následek hrozí i v případě, že bude směrnice CER transponována s výrazným zpožděním oproti transpoziční lhůtě.
Návrh zákona také reflektuje zkušenosti z aplikační praxe krizového zákona, konkrétně z jeho novely z roku 2011, kterou byla implementována předchozí směrnice EKI.
S ohledem na zhoršení bezpečnostního prostřední je nezbytné, aby stát vytvořil podmínky pro zvyšování a zajišťování odolnosti základních služeb, které jsou nezbytné pro chod státu včetně zajištění podmínek pro obyvatele České republiky.
Bezpečnost a odolnost organizačních složek státu a dalších orgánů a osob, jež poskytují služby stěžejní pro fungování státu, jsou předpoklady pro zajištění bezpečnosti České republiky. Podle Bezpečnostní strategie České republiky existuje řada hrozeb, kterým Česká republika čelí, a to včetně kybernetických útoků, ohrožení funkčnosti kritické infrastruktury či přerušení dodávek strategických surovin nebo energií.
V návaznosti na zkušenosti z aplikační praxe je třeba také v dílčím rozsahu novelizovat krizový zákon a zákon o IZS za účelem provázání zajišťování odolnosti subjektů kritické infrastruktury a systému krizového řízení.
4. Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem České republiky
Navrhovaná právní úprava je v souladu s Ústavou, Listinou základních práv a svobod (dále jen „Listina“) a dalšími předpisy tvořícími ústavní pořádek České republiky.
Návrh zákona reflektuje požadavky na zásadu zákonnosti a enumerativnosti veřejnoprávních pretenzí (čl. 2 odst. 3 Ústavy a čl. 2 odst. 2 Listiny), jakožto i respektuje závazky České republiky, které pro ni vyplývají z mezinárodního práva ve smyslu čl. 1 odst. 2 Ústavy.
Návrh zákona musí z důvodu splnění svého očekávaného cíle přiměřeně zasáhnout do práva vlastnického a částečně též i z něj odvozovaného práva na podnikání. Povinnosti, které navrhovaná právní úprava stanoví vybraným subjektům (tj. orgánům a osobám), totiž v různé míře omezují tyto subjekty v neomezeném užívání věcí, k nimž vykonávají vlastnická nebo obdobná práva.
Výše uvedený zásah do práva vlastnického a práva na podnikání spočívá především v tom, že návrh zákona stanoví okruh adresátů – tzv. poskytovatelů základní služby a subjektů kritické infrastruktury – a těmto jsou následně uloženy povinnosti, jejichž splnění je nezbytné pro zajištění a zvyšování odolnosti subjektů kritické infrastruktury. Tato omezení se návrh zákona snaží kompenzovat tím, že v určitých odůvodněných případech (při řešení mimořádné události nebo krizové situace) umožňuje subjektům kritické infrastruktury získat zdroje pro zajištění kontinuity poskytování základní služby například formou přednostního zásobování. Zároveň lze konstatovat, že zvýšení odolnosti subjektu kritické infrastruktury, k němuž ukládané povinnosti směřují, je nejen ve veřejném zájmu, ale i v partikulárním zájmu daného subjektu kritické infrastruktury, neboť nerušené poskytování základní služby mu zpravidla přináší zisk. Omezení se tedy jeví jako přiměřené.
Určení samotných subjektů kritické infrastruktury vychází jak z požadavků směrnice CER, tak také z praktických zkušeností s významností a dopadem jednotlivých sektorů a služeb na fungování státu. S ohledem na tyto zdroje je i určení subjektů kritické infrastruktury orientováno na minimalistický přístup, jehož podstatou je podřadit pod regulaci návrhu zákona to, co je pro naplnění cíle regulace nezbytně potřebné, současně však nepřekračovat a neregulovat orgány a osoby plošně.
Omezení práva na užívání majetku, resp. jeho účel, chrání obecné zájmy, kterými jsou bezpečnost státu a obyvatelstva či jiné významné ekonomické a společenské zájmy. Zvyšování odolnosti subjektů kritické infrastruktury je součástí krizového řízení a v této souvislosti ochrana demokratických základů ČR a ochrana životů, zdraví a majetkových hodnot je základní povinností státu. Návrh zákona lze považovat za jeden z prostředků plnění této povinnosti státu. I v tomto ohledu se proto omezení jeví jako proporcionální.
Návrh zákona dále také částečně omezuje právo na informace, které je zaručené podle čl. 17 Listiny. Na základě tohoto článku mají státní orgány povinnost přiměřeným způsobem poskytovat informace o své činnosti. Zároveň však tento článek stanoví, že právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná mimo jiné pro bezpečnost státu, veřejnou bezpečnost a ochranu veřejného zdraví. Návrh zákona tedy ve smyslu Listiny omezuje právo na informace z důvodu bezpečnosti, kdy poskytování některých informací o subjektech kritické infrastruktury, včetně informací o jejich konkrétní kritické infrastruktuře, by mohlo být významným rizikem pro bezpečnost uvedených subjektů kritické infrastruktury a jejich prostřednictvím i pro bezpečnost státu (případně dalších členských států Evropské unie). Takové omezení proto není v nesouladu s demokratickým zřízením ani nepřiměřeně neomezuje adresáty práva na informace. Obdobně také návrh zákona přiměřeným způsobem limituje zveřejňování a poskytování informací v krizovém řízení, resp. informací důležitých pro řešení krizové situace.
Navrhovaná právní úprava, vyjma výše uvedeného, nijak neomezuje práva dotčených subjektů a nejsou jí diskriminovány žádné specifické skupiny adresátů právních norem. Návrh zákona respektuje obecné zásady ústavního pořádku České republiky a není v rozporu s nálezy Ústavního soudu.
5. Zhodnocení slučitelnosti navrhované právní úpravy s předpisy Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie
Návrhu zákona se dotýká především obsah směrnice CER. Návrh zákona do českého právního řádu transponuje ustanovení této směrnice a je s nimi v souladu. Směrnice CER měla být do právního řádu členských států transponována nejpozději do 17. října 2024.
V souladu s přijetím směrnice CER se ruší původní směrnice EKI.
Návrh zákona je dále v souladu s nařízením Evropského parlamentu a Rady (EU) 2019/452 ze dne 19. března 2019, kterým se stanoví rámec pro prověřování přímých zahraničních investic směřujících do Unie, podle kterého členské státy mohou mít zavedeny, měnit nebo zavádět mechanismy k prověřování přímých zahraničních investic na svém území z důvodu bezpečnosti nebo veřejného pořádku, tyto investice mohou členské státy dokonce i zakázat (čl. 2 odst. 3 a 4 a čl. 3 uvedeného nařízení). Uvedené nařízení dále v čl. 4 odst. 1 explicitně uvádí, že členské státy mohou v souvislosti s bezpečností a veřejným pořádkem zohlednit potenciální dopady investice na kritickou infrastrukturu, kritické technologie, dodávky kritických vstupů (např. energie nebo suroviny), přístup k citlivým informacím včetně osobních údajů a schopnost takové informace kontrolovat nebo také na svobodu a pluralitu sdělovacích prostředků. Podle čl. 4 odst. 2 uvedeného nařízení je rovněž vhodné zohledňovat, zdali je daný zahraniční investor přímo či nepřímo kontrolovaný vládou třetí země, zdali již daný investor byl zapojen do činností ovlivňujících bezpečnost nebo veřejný pořádek v některém členském státě či existuje-li vážné riziko, že je daný zahraniční investor zapojen do protiprávní nebo trestné činnosti. Stejně tak směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace, umožňuje v čl. 1 odst. 3 písm. c) členským státům přijímat opatření za účelem zajištění veřejného pořádku a veřejné bezpečnosti, jakož i za účelem obrany. Tyto právní předpisy tedy umožňují přijímání restriktivních opatření z důvodu bezpečnosti státu.
Návrh zákona je také v souladu s příslušnými ustanoveními o volném pohybu osob, služeb a kapitálu podle Smlouvy o fungování Evropské unie – konkrétně s jejím čl. 49 o svobodě usazování, ve kterém je zahrnut přístup k samostatně výdělečným činnostem a jejich výkon, jakož i zřizování a řízení podniků, zejména společností, v návaznosti na čl. 63 a čl. 65 odst. 1 písm. b) o pohybu kapitálu umožňující členským státům, mimo jiné, učinit opatření odůvodněná veřejným pořádkem či veřejnou bezpečností. Neméně důležitý je i soulad se Smlouvou o Evropské unii, který je dán skutečností, že EU podle této smlouvy respektuje základní funkce státu, zejména ty, které souvisejí se zajištěním územní celistvosti, udržením veřejného pořádku a ochranou národní bezpečnosti. Zejména podle čl. 4 odst. 2 Smlouvy o Evropské unii národní bezpečnost zůstává výhradní odpovědností každého členského státu.
Navrhovaná právní úprava je v souladu také s Listinou základních práv EU (dále jen „Listina EU“). Svoboda podnikání je Listinou EU garantována, avšak musí být vykonávána podle čl. 16 Listiny EU v souladu s právem Unie a vnitrostátními zákony a zvyklostmi.
Navrhovaný zákon taktéž nezakládá nerovnost (čl. 20 Listiny EU) ani diskriminaci mezi adresáty (čl. 21 Listiny EU), jelikož nastavuje obecná kritéria vztahující se na všechny adresáty a počítá i s právem na soudní ochranu (čl. 47 Listiny EU). Vzhledem k tomu, že hlavním účelem návrhu zákona je posílení celkové národní bezpečnosti státu a zvýšení ochrany demokratického zřízení, návrh zákona přispěje k zajištění práva na svobodu a osobní bezpečnost (čl. 6 Listiny EU). Zvýšením bezpečnostních standardů dojde v konečném důsledku, také k efektivnější ochraně osobních údajů (čl. 8 Listiny EU).
S ohledem na výše uvedené lze uzavřít, že návrh zákona je ve svém celku plně slučitelný s právními předpisy EU, respektuje judikaturu soudních orgánů EU a je v souladu s obecnými právními zásadami práva EU.
Předložený návrh novely krizového zákona se dotýká práva Evropské unie v rozsahu změn vynucených transpozicí směrnice CER. Novelou krizového zákona dochází k odstranění všech ustanovení, kterým byla v roce 2010 transponována směrnice EKI, kterou ruší směrnice CER s účinností od 18. října 2024. Nově tak bude část týkající se oblasti kritické infrastruktury řešena v samostatném zákoně o odolnosti subjektů kritické infrastruktury, který tvoří první část návrhu tohoto zákona.
6. Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, jimiž je Česká republika vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s mezinárodními smlouvami o lidských právech a základních svobodách
Na mezinárodní úrovni zatím žádná komplexní právní úprava odolnosti kritické infrastruktury neexistuje. Jak je zřejmé z předchozí kapitoly obecné části důvodové zprávy, navrhovaná právní úprava je plně v souladu s předpisy EU, judikaturou Soudního dvora EU a obecnými právními zásadami práva EU.
K dispozici je celá řada mezinárodních právních předpisů a koncepčních dokumentů upravujících buď partikulární aspekty bezpečnosti obecně, nebo oblasti s ní úzce související.
Z hlediska ochrany lidských práv a základních svobod cílí dopady navrhované úpravy zejména na ochranu práva na informační sebeurčení a nedistributivních práv České republiky, konkrétně práva státu na zajištění vnitřní bezpečnosti, na ochranu základních funkcionalit státu a na ochranu před škodlivými následky výjimečných stavů. Směrnice CER, a tudíž i návrh zákona, za tímto účelem dodržuje zásady přiznávané především Listinou EU, zejména právo na respektování soukromého života a komunikace, ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces. Obdobně je návrh zákona slučitelný i s požadavky Úmluvy o ochraně lidských práv a základních svobod a jejích protokolů (dále jen „Úmluva“).
Na základě výše uvedených skutečností lze konstatovat, že návrh zákona je plně v souladu s mezinárodními smlouvami, jimiž je Česká republika vázána.
Oblast odolnosti kritické infrastruktury spadá z části (tam, kde nezasahuje do oblastí mimo rozsah primárního práva EU, např. národní bezpečnosti) do oblasti zajištění řádného fungování vnitřního trhu, a tudíž není plně v gesci jednotlivých členských států, ale v oblasti sdílené pravomoci s EU.
6.1. Lidskoprávní závazky
Právo na spravedlivý proces je zajištěno možností soudního přezkumu podle zákona č. 150/2002 Sb., soudní řád správní, ve znění pozdějších předpisů. Ochrana vlastnictví podle Úmluvy chrání již nabytý majetek, existující nárok nebo legitimní očekávání nabytí majetku. Nevztahuje se na v budoucnu učiněné investice a dodávky. Předkládaný návrh zákona omezuje možnost provozovatelů strategicky významné infrastruktury svobodně nakládat se svým majetkem, ale k takovému omezení dochází při uplatnění principu proporcionality vůči ochraně veřejného zájmu ve vztahu k zajištění požadované úrovně odolnosti a poskytování základních služeb. Předkládaný návrh je tudíž v souladu s právem na ochranu vlastnictví podle Úmluvy.
Navrhovaná právní úprava je také v souladu s Mezinárodním paktem o občanských a politických právech (dále jen „Pakt“), který zakotvuje v článku 2 odst. 3 právo domáhat se ochrany před případným zásahem do práv garantovaných Paktem. S předkládaným návrhem souvisí právo na spravedlivý proces podle článků 14 a 15 Paktu, jehož obsah lze pro účely předkládaného návrhu považovat za shodný s obsahem čl. 6 Úmluvy. S odkazem na výše uvedené tedy předkládaný návrh není s Paktem v rozporu.
6.2. Obchodní a investiční závazky
Předkládaný návrh zákona je v souladu s výjimkami smluv inkorporovaných do Dohody o zřízení Světové obchodní organizace. Jejich společným cílem je zamezení vytváření bariér mezinárodního obchodu a vzájemná doložka nejvyšších výhod, tzn. povinnost zacházet s investory a dodavateli smluvních stran ne méně příznivě než se subjekty třetích států. Předkládaný návrh zákona má potenciál omezit zacházení s dodavateli některých smluvních stran na úroveň méně příznivou ve srovnání se zacházením s dodavateli ze třetích států, ale dochází tak v rámci níže uvedených povolených výjimek.
Všeobecná dohoda o clech a obchodu 1994 (GATT 1994) připouští v čl. XXI bezpečnostní výjimku z opatření omezující mezinárodní obchod za předpokladu jejich nutnosti a) k ochraně života a zdraví lidí, nebo d) zachování zákonů a jiných předpisů, které nejsou neslučitelné s jejími ustanoveními. Všeobecná dohoda o obchodu službami (GATS) v čl. XIV upravuje výjimky obdobně jako GATT 1994. Omezení mezinárodního obchodu předkládaným návrhem zákona je plně v souladu s výjimkami GATT 1994 i GATS, a proto neodporuje závazkům České republiky přijatým v rámci Světové obchodní organizace.
Navrhovaná právní úprava je dále v souladu s bilaterálními dohodami o podpoře a ochraně investic. Dohody o ochraně investic zavazují Českou republiku k tomu, aby poskytovala ochranu investorům pocházejícím z jiných smluvních států a jejich investicím v České republice. Jednou z podmínek zakotvených ve valné většině bilaterálních dohod o podpoře a ochraně investic, která určuje, zda je zahraniční investice chráněnou investicí, je soulad hospodářských aktivit investora s vnitrostátními předpisy druhé smluvní strany. Předkládaný návrh vytváří právní rámec především pro budoucí investice, kladení nových nároků na dodavatele tudíž není v rozporu s uvedeným.
Ochrana stávajících investic podle bilaterálních dohod o podpoře a ochraně investic taktéž není narušena, neboť návrh respektuje životní cyklus produktů, proto nevytváří nadbytečné náklady spojené s již uskutečněnou investicí. Dostatečná lhůta navíc umožňuje investorům se na nové právní podmínky adaptovat, jak změnou dodavatelů, tak snížením vlastní rizikovosti investorů, jejíž kritéria jsou součástí předkládaného návrhu zákona. Jedná se tudíž o minimální možný zásah k dosažení účelu předkládaného návrhu zákona. V neposlední řadě obsahuje většina bilaterálních dohod o podpoře a ochraně investic s doložku se základními bezpečnostními zájmy smluvních stran. Doložka opravňuje strany přijmout taková opatření, která považují za nezbytná pro ochranu svých základních bezpečnostních zájmů.
Ochrana nejvýznamnějších subjektů kritické infrastruktury nezbytné pro fungování státu se řadí pod základní bezpečnostní zájem státu, tudíž lze případná omezení vyplývající z aplikace předkládaného návrhu podřadit pod rozsah uvedené výjimky.
7. Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty a na podnikatelské prostředí České republiky
7.1. Dopady na státní rozpočet
Návrh zákona navazuje na účinnou právní úpravu, která již v současném systému kritické infrastruktury podle krizového zákona a nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury stanoví odpovědnost orgánů veřejné správy na ústřední úrovni za přijímání opatření k ochraně svých prvků kritické infrastruktury. Podstatná část subjektů veřejné správy tak již nyní vynakládá finanční prostředky, které jsou součástí jejich kapitol rozpočtu, na činnost související s ochranou kritické infrastruktury v jim svěřených oblastech (např. energetika, potravinářství a zemědělství, veřejná správa, vodní hospodářství, doprava, finanční trh a měna, komunikační a informační služby nebo nouzové služby). Vzhledem k rozšíření povinností a stanovení výčtu minimálních opatření k zajištění odolnosti dle návrhu zákona však lze očekávat nárůst požadavků na poskytnutí finančních prostředků (investičních i neinvestičních) k plnění tímto návrhem zákona stanovených kompetencí ze strany ministerstev a jiných ústředních správních úřadů a jimi řízených organizací, kterým je návrhem zákona svěřena gesce za jednotlivá odvětví základních služeb nezbytných pro zachování základních funkcí státu. Sem pro účely tohoto bodu spadají Energetika (MPO a SSHR), Doprava (MD), Zdravotnictví (MZdr), Pitná a odpadní voda (MZem), Digitální infrastruktura (DIA, NÚKIB a ČTÚ), Veřejná správa (MV), Vesmír (MD), Výroba, zpracování a distribuce potravin (MZem), Bezpečnost (MV, SSHR, MŽP).
Přijetí zákona tak může vyžadovat navýšení rozpočtů jednotlivých ministerstev a ústředních státních úřadů, avšak lze předpokládat, že tyto zvýšené náklady budou čerpány v delším časovém horizontu (cca 5-10 let), a to s ohledem na možnosti státního rozpočtu a dle vývoje bezpečnostní situace a za podmínek uvedených níže.
Primárně budou veškeré personální a výdajové dopady spojené s implementací navržené právní úpravy vykryty v rámci schválených limitů dotčených rozpočtových kapitol na příslušné roky. Pokud správci kapitol identifikují potřebu navýšení, tyto požadavky budou předmětem standardního vyjednávání s Ministerstvem financí při přípravě návrhu státního rozpočtu a jeho střednědobého výhledu.
Naprostá většina nově předpokládaných subjektů kritické infrastruktury vzejde v souladu s obsahem transponované směrnice ze soukromého sektoru. Podle současných kritérií lze na území České republiky identifikovat asi 200 subjektů kritické infrastruktury a 1300 prvků kritické infrastruktury. Po nabytí účinnosti tohoto návrhu zákona a příslušných prováděcích právních předpisů lze v horizontu cca jednoho roku očekávat nárůst povinných osob o více než dvojnásobek oproti současnému stavu. Nevýhodou otázky analýzy finančních dopadů na subjekty kritické infrastruktury je skutečnost, že distribuce nákladů na zajištění své odolnosti není plošná a existuje informační asymetrie ve směru od subjektů samotných k věcně příslušnému orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat své vlastní náklady na zavedení a udržování přiměřených opatření k zajištění své odolnosti).
S výše uvedeným se rovněž pojí náklady související s nutností zavést nový informační systém k zabezpečení plnění úkolů podle tohoto zákona (portál kritické infrastruktury), stejně tak jako zabezpečit organizační a personální kapacity na jeho provoz. Náklady na zavedení portálu kritické infrastruktury, včetně pořízení potřebného hardwaru v rámci Ministerstva vnitra, byly vyčísleny na částku 6 000 000 Kč. Tato částka bude z 90 % financována z operačního programu EU Fondu pro vnitřní bezpečnost. Organizační a personální kapacity na jeho provoz budou pokryty z aktuálních vlastních zdrojů.
Finanční náklady na informační systém krizového řízení nepřesáhnou částku 197 000 000 Kč. Tato částka bude financována z operačního programu EMAS/AMIF a rozpočtu Ministerstva vnitra – generálního ředitelství hasičského záchranného sboru České republiky.
Současně je potřeba kalkulovat s náklady spojenými s určením subjektů kritické infrastruktury v odvětví Veřejná správa, jelikož náklady ponesou jednotlivá ministerstva, jiné ústřední správní úřady a další orgány v případě, že budou určeny subjektem kritické infrastruktury rozhodnutím o jejich zařazení na seznam subjektů kritické infrastruktury. Tyto náklady budou spojené zejména s přijímáním opatření na zvyšování odolnosti, případně se zahrnutím subjektu kritické infrastruktury do regulace podle zákona o kybernetické bezpečnosti. Náklady spojené s přijímáním opatření na zvyšování odolnosti se budou odvíjet od již existujících opatření, obecně jsou v průměru odhadovány v řádech statisíců až jednotek milionů korun. Tyto výdaje budou primárně pokryty v rámci schválených dotčených rozpočtových kapitol. Současně bude činnost orgánů státní správy související s touto agendou pokryta také v prvé řadě z rezortních personálních kapacit.
Další nároky na státní rozpočet mohou představovat opatření související s řešením incidentů u subjektu kritické infrastruktury, zejména pak v souvislosti s pořizováním věcných prostředků v systému hospodářských opatření pro krizové stavy. Požadavky na pořízení těchto věcných prostředků ze strany státu se budou odvíjet od potřeb samotných subjektů kritické infrastruktury. Ty budou identifikovat nezbytné věcné zdroje v plánu odolnosti, a to až po určení za subjekt kritické infrastruktury (do 10 měsíců od doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury). Vzhledem k této skutečnosti je odhad finančních nákladů značně obtížný, přičemž rozpočtové nároky budou vycházet také z toho, že v oblasti odolnosti kritické infrastruktury si všechny dotčené subjekty nejdříve budou muset splnit zákonné povinnosti, provést analýzu, vyhodnocení a zpracování dokumentace, a teprve poté budou moci žádat o pořízení věcných zdrojů. I v této oblasti tak je z předchozího textu zřejmé, že případné zvýšené výdaje budou uplatňovány až na základě konkrétních zjištění a analytických výstupů a zohledněny při standardním vyjednávání o podobě relevantní kapitoly státního rozpočtu. V případě, že na základě výše uvedených skutečností identifikují státní orgány požadavky na navýšení personálních kapacit, využijí za tímto účelem postup uvedený v úvodu této části důvodové zprávy, tedy běžný postup, kterým jsou zajišťovány požadavky na navýšení personálních kapacit státních orgánů.
Dopady na státní rozpočet bude mít také zabezpečení mechanismu ověřování spolehlivosti, zejména pak ověření spolehlivosti manažerů kritické infrastruktury, kteří budou vykonávat citlivou činnost podle zákona o ochraně utajovaných informací. V této souvislosti jsou odhadovány počty nových žádostí o ověření spolehlivosti, které bude posuzovat Národní bezpečnostní úřad, v řádech nižších stovek. Pro tyto potřeby bude nezbytné navýšit kapacity Národního bezpečnostního úřadu nejméně o 3 systemizovaná tabulková místa (13. platová třída) a v souvislosti s tím navýšit odpovídající finanční prostředky kapitoly 308 státního rozpočtu. Požadavek na navýšení systemizovaných tabulkových míst v uvedeném rozsahu je ze strany Národního bezpečnostního úřadu stanoven na nejnižší možné úrovni pro zajištění výše uvedených činností.
Návrh novely krizového zákona nepředpokládá významný nárůst zpracovávané agendy jednotlivých orgánů krizového řízení a tím také nárůst finančních nákladů na její řešení (vyjma provozování informačního systému krizového řízení, přičemž s ním související náklady byly popsány výše). Navrhované úpravy krizové plánovací dokumentace nepředstavují výrazný nárůst administrativní zátěže. V případě novely zákona o IZS lze navrhované změny označit za toliko formální, nemající potenciál k citelným finančním dopadům na státní rozpočet, veřejné rozpočty ani podnikatelské prostředí České republiky oproti současnému stavu.
7.2. Dopady na rozpočty územních samosprávných celků
Dopady na rozpočty územních samosprávných celků (konkrétně pouze krajů) lze očekávat spíše sekundárního nepřímého charakteru zejména v souvislosti s tím, že územní samosprávné celky budou v některých případech přímo zřizovateli subjektů kritické infrastruktury. Jejich dodatečné náklady se tak mohou projevit v majetkové sféře územních samosprávných celků, ať už jako snížení zisku obchodních korporací, v nichž mají podíl, nebo ve zvýšení cen za odebírané služby (ať už budou odběrateli služeb samotné územní samosprávné celky nebo jimi zřizované organizace). V této souvislosti lze totiž předpokládat, že subjekty kritické infrastruktury promítnou své náklady na plnění nově stanovených povinností právě do cen pro odběratele služeb. V případě, že bude aplikován zákaz konkrétního dodavatele dle § 15 návrhu zákona, vyvstanou subjektu kritické infrastruktury, jehož zřizovatelem může být územní samosprávný celek, další dodatečné náklady spojené s výběrovým řízením na dodavatele nového.
Návrh novely krizového zákona ani zákona o IZS nepředpokládá žádné významné územní dopady.
7.3. Dopady na podnikatelské prostředí
Z důvodu rozsahu transponované směrnice CER může dojít k několikanásobnému nárůstu počtu subjektů kritické infrastruktury (více jak dvojnásobek), což přinese značné ekonomické a finanční dopady na podnikatelské prostředí v ČR. Naprostá většina z nově určených subjektů kritické infrastruktury bude ze soukromého sektoru.
V případě ekonomických a finančních dopadů lze stejným způsobem odkázat na informace uvedené výše u dopadů na státní rozpočet a veřejné rozpočty. Nevýhodou otázky analýzy finančních dopadů na subjekty kritické infrastruktury je skutečnost, že distribuce nákladů na zajištění odolnosti subjektu kritické infrastruktury není plošná a existuje zde naprostá informační asymetrie ve směru od subjektů samotných k věcně příslušnému orgánu (tj. jen regulovaná organizace samotná by měla být schopná identifikovat její vlastní náklady na zavedení a udržování přiměřených opatření k zajištění své odolnosti).
Výše finančních nákladů pro jednotlivé subjekty kritické infrastruktury v souvislosti se zajištěním jejich odolnosti se bude odvíjet od již zavedených opatření. V případě přijetí nových, dosud nezavedených, opatření bude finanční částka odpovídat typu a rozsahu opatření, obecně lze kalkulovat s průměrnou částkou v řádech statisíců či jednotek milionů korun. Současně je potřeba vnímat benefity, které opatření pro zajištění odolnosti přináší. Primárním benefitem je celková vyšší odolnost subjektu kritické infrastruktury, v jejímž důsledku dochází ke snížení dopadů vzniklých incidentů, které současně snižují také finanční náklady na zotavení se.
Administrativní zátěž navrhovaného řešení by měla být pro podnikatelské subjekty minimální, jelikož všechny nově zaváděné procesy navazují na již existující administrativní povinnosti těchto subjektů. Administrativní zátěž způsobená výhradně navrhovaným řešením by měla být za těchto předpokladů zanedbatelná, spočívající především v nově zavedené povinnosti hlásit věcně příslušnému orgánu informace nezbytné k posouzení naplnění kritérií pro identifikaci základní služby, které je nezbytné k určení subjektu kritické infrastruktury. Pro minimalizaci těchto administrativních dopadů je proto v navrhovaném řešení předpokládáno vytvoření portálu kritické infrastruktury, prostřednictvím kterého bude drtivá většina těchto povinností plněna.
V souvislosti s dopady do podnikatelského prostředí, je v souvislosti s náklady zapotřebí vnímat i benefity, které pro subjekt kritické infrastruktury přijímání opatření k zajištění odolnosti přináší. Investice do zajištění odolnosti subjektu kritické infrastruktury nejsou pouze nákladem, ale také dlouhodobě výhodným rozhodnutím, které přináší řadu hmatatelných i nehmatatelných benefitů. Jedná se například o minimalizaci finančních ztrát a operačních výpadků, neboť opatření na zajištění odolnosti umožňují rychlou obnovu provozu po incidentu, což minimalizuje finanční ztráty způsobené výpadky. Robustní záložní systémy a plány odolnosti mohou zajistit, že i při narušení základní služby bude subjekt kritické infrastruktury schopen pokračovat v klíčových činnostech své organizace. Současně může dojít ke zvýšení reputace a důvěry společnosti. Subjekty kritické infrastruktury, které prokazatelně investují do odolnosti, budují důvěru u svých zákazníků, partnerů a veřejnosti. Vědomí, že organizace je připravena čelit incidentům, zvyšuje její reputaci a atraktivitu pro obchodní partnery. Současně společnosti, které jsou odolné vůči incidentům, mohou být vnímány jako spolehlivější a stabilnější partneři, což může zvýšit jejich konkurenceschopnost na trhu. Odolnost přináší dlouhodobou udržitelnost a růst. Investice do odolnosti mohou být vnímány jako strategická výhoda. Organizace, které jsou schopné lépe zvládat a zotavit se z incidentů, jsou lépe připraveny na dlouhodobý růst a udržitelnost. Proces zajišťování odolnosti často vede k inovacím a zlepšení provozních postupů. Subjekty kritické infrastruktury, které se aktivně zaměřují na odolnost, mohou identifikovat a implementovat nové technologie a postupy, které zlepší jejich efektivitu a flexibilitu. V neposlední řadě odolné subjekty kritické infrastruktury zajišťují nejenom kontinuitu základních služeb, ale také bezpečnost svých pracovníků a de facto i občanů České republiky. Přijetí opatření k zajištění odolnosti může znamenat rozdíl mezi životem a smrtí při krizových událostech.
7.4. Dopady na spotřebitele
Návrh zákona nepředpokládá žádné přímé dopady na spotřebitele. Povinnost podnikatelských a nepodnikatelských subjektů zavádět bezpečnostní opatření, a tím co nejvíce předcházet výskytu incidentů, může mít nejen pozitivní dopad na jeho fungování, ale přeneseně také na spotřebitele a odběratele jejich služeb, protože poskytování těchto služeb bude méně náchylné na narušení způsobené incidentem, a zároveň může dojít ke zvýšení důvěryhodnosti a celkové odolnosti daného subjektu, což by mělo motivovat spotřebitele k využívání jeho služeb.
8. Zhodnocení sociálních dopadů, včetně dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, dopadů na ochranu práv dětí a dopadů na životní prostředí
Návrh zákona je z pohledu sociálních dopadů, včetně dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, dopadů na ochranu práv dětí a dopadů na životní prostředí, neutrální. V souvislosti s návrhem zákona se nepředpokládá dopad do těchto oblastí.
Dopady na životní prostředí budou spíše pozitivní, neboť zvyšování odolnosti subjektů kritické infrastruktury by mělo mít za důsledek snížení pravděpodobnosti vzniku incidentů s negativními následky pro životní prostředí (např. provozní havárie).
9. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů
9.1. Základní parametry navrhovaného zpracování osobních údajů
Návrh zákona přináší nové zpracování osobních údajů, neboť se jedná o novou právní úpravu reagující na směrnici CER, která zásadním způsobem změnila požadavky kladené na členské státy v oblasti kritické infrastruktury. Níže jsou popsány základní parametry navrhovaného zpracování osobních údajů v režimu návrhu zákona:
a) Subjekty údajů
Návrh zákona dopadá primárně na poskytovatele základních služeb a subjekty kritické infrastruktury, kterými jsou zpravidla právnické či podnikající fyzické osoby. O nepodnikající fyzické osoby půjde ve zcela ojedinělých případech.
Dalšími subjekty údajů jsou kritičtí dodavatelé subjektů kritické infrastruktury, kritičtí pracovníci, manažer kritické infrastruktury, pracovníci podílející se na poskytování základní služby a osoby, které jsou pověřeny přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů. Uvedenými osobami mohou být rovněž právnické či podnikající fyzické osoby (zejména v případě kritických dodavatelů), přičemž z povahy věci zde bude i významné zastoupení nepodnikajících fyzických osob (kritičtí pracovníci, manažer kritické infrastruktury, další pracovníci a osoby působící u subjektu kritické infrastruktury).
b) Druh a kategorie údajů
Návrh zákona nepředpokládá žádné zpracovávání zvláštní kategorie osobních údajů. Bude tedy docházet ke zpracování standardních kategorií osobních údajů, a to v rozsahu zcela nezbytném pro účely plnění zákonem uložených úkolů.
Zpracovávanými údaji budou zejména údaje identifikující poskytovatele základní služby, subjekty kritické infrastruktury, kritické dodavatele, kritické pracovníky, manažera kritické infrastruktury, pracovníky podílející se na poskytování základní služby a osoby, které jsou pověřeny přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů.
V případě fyzických osob půjde o jméno a příjmení, datum narození a adresu bydliště, případně údaje o vzdělání nebo délce a zaměření odborné praxe, a kontakt na pracoviště. V určitých odůvodněných případech bude pracováno rovněž s údaji o trestní bezúhonnosti fyzických osob, případně též s číslem dokladu totožnosti, nicméně v tomto případě bude sdělení příslušných osobních údajů na zvážení subjektu údajů (jejich neposkytnutí bude mít případné následky toliko v soukromoprávní rovině v mezích uvážení subjektu kritické infrastruktury, a to ve formě např. neuzavření pracovní smlouvy s danou osobou nebo jejího převedení na jinou práci). V případě podnikajících fyzických osob bude zpracováván název osoby, sídlo a IČO.
Nad rámec posouzení lze pro úplnost dodat, že podle návrhu zákona budou zpracovávány též identifikační údaje právnických osob, nicméně tyto údaje nejsou považovány za údaje osobní.
c) Doba zpracování osobních údajů
Ke zpracování osobních údajů bude docházet po celou dobu, kdy konkrétní poskytovatel základní služby nebo subjekt kritické infrastruktury spadá do působnosti navrhovaného zákona. Přestane-li poskytovatel základní služby nebo subjekt kritické infrastruktury spadat do působnosti předloženého zákona, jsou údaje o něm, jeho kritických dodavatelích, kritických pracovnících, manažeru kritické infrastruktury, pracovnících podílejících se na poskytování základní služby a osobách, které jsou pověřeny přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů, dále v souvislosti s plněním povinností podle navrhovaného zákona zpracovávány toliko po dobu nezbytnou z důvodu zajištění kontinuity evidovaných údajů pro potřeby následné kontroly či přestupkového řízení. Tato doba by zpravidla neměla přesahovat nižší jednotky let.
d) Právní základ zpracování osobních údajů
Právním základem zpracování popsaných údajů je primárně nařízení Evropského parlamentu a Rady (EU) 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Ke zpracování bude docházet zejména na základě čl. 6 odst. 1 písm. c) a e) obecného nařízení o ochraně osobních údajů, tj. je-li zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje nebo je-li nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.
V návrhu zákona je právní základ zpracování osobních údajů reflektován v kompetencích příslušných státních orgánů (ministerstva, jiné ústřední správní úřady a Česká národní banka). Návrh zákona dále obsahuje výslovné zmocnění pro státní orgány ke zpracování osobních údajů, jsou-li nezbytné pro výkon jejich působnosti podle uvedeného zákona a v rozsahu nezbytném pro plnění úkolů příslušných správců údajů.
e) Účely zpracování
Konkrétní účely zpracování osobních údajů na základě návrhu zákona jsou popsány v následující tabulce spolu s druhy či kategoriemi zpracovávaných údajů:
účel zpracování
subjekt údajů
druh (rozsah) údajů
identifikace a evidence kritických pracovníků
kritický pracovník
jméno, příjmení, datum narození, adresa bydliště, funkce na pracovišti
určení manažera kritické infrastruktury
manažer kritické infrastruktury
jméno, příjmení, datum narození, adresa bydliště, vzdělání nebo délka a zaměření odborné praxe, kontaktní údaj (pracovní)
identifikace a evidence kritického dodavatele
kritický dodavatel (je-li fyzickou osobou)
FO - jméno, příjmení, datum narození, adresa bydliště
PFO – název, sídlo, IČO
ověřování spolehlivosti
pracovník (případně uchazeč o zaměstnání), jiná osoba pověřená přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů
jméno, příjmení, datum narození, adresa bydliště, číslo dokladu totožnosti, údaje o trestní bezúhonnosti
určení subjektu kritické infrastruktury
poskytovatel základní služby splňující kritéria pro zařazení na seznam subjektů kritické infrastruktury
FO - jméno, příjmení, datum narození, adresa bydliště
PFO – název, sídlo, IČO
K dalšímu zpracování osobních údajů může dojít v souvislosti s kontrolou, nicméně v tomto případě se uplatní obecný postup podle kontrolního řádu. V případě, že je kontrolovanou osobou fyzická osoba nebo podnikající fyzická osoba, vyplývá zákonnost zpracování z čl. 6 odst. 1 písm. e) obecného nařízení o ochraně osobních údajů.
9.2. Posouzení navrhovaného řešení zpracování z hlediska nezbytnosti
Veškeré zpracování popsané výše je obecně prováděno za účelem plnění zákonných kompetencí ministerstev, jiných ústředních správních úřadů a České národní banky, tak jak jsou vymezeny v návrhu zákona (věcná příslušnost uvedených orgánů je stanovena přílohou zákona v návaznosti na odvětví nebo pododvětví, ve kterých dochází k poskytování základních služeb), případně za účelem plnění zákonem stanovených povinností a sledování veřejných zájmů i samotnými subjekty kritické infrastruktury (například v rámci ověřování spolehlivosti).
Je vhodné uvést, že v případě zpracování údajů o kritických pracovnících, manažeru kritické infrastruktury, pracovnících podílející se na poskytování základní služby a osobách, které jsou pověřeny přímým nebo vzdáleným přístupem do prostor subjektu kritické infrastruktury, k jeho informacím, nebo do jeho kontrolních systémů, se jedná o naplnění požadavků směrnice CER, přičemž zpracování je prováděno na základě zákonného podkladu a z důvodu zajištění odolnosti subjektu kritické infrastruktury.
Odolnost subjektu kritické infrastruktury je veřejným zájmem, neboť v případě, kdy by došlo k narušení činnosti subjektu kritické infrastruktury, dojde s největší pravděpodobností k omezení nebo přerušení poskytování základní služby – tedy takové služby, která je nezbytná pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí.
Bez zpracovávání dotčených osobních údajů by nebylo možné vyhovět požadavkům směrnice CER, a tím pádem ani efektivně zajišťovat a zvyšovat odolnost subjektů kritické infrastruktury. Předkladatel v oblastech dotýkajících se osobních údajů volil minimální transpozici, tedy při transpozici směrnice CER v uvedených oblastech nevytvářel v rámci národní právní úpravy prostor pro nadbytečné zpracovávání osobních údajů.
9.3. Posouzení navrhovaného řešení zpracování z hlediska přiměřenosti
Je nutné podotknout, že přiměřenost navrhovaného řešení zpracování je nutné posuzovat vzhledem k cílům, pro které má docházet ke zpracování osobních údajů. Jak již bylo předestřeno výše, zpracování je prováděno na základě zákonného podkladu a z důvodu zajištění odolnosti subjektu kritické infrastruktury a dále z důvodu řešení konkrétní krizové situace. Odolnost subjektu kritické infrastruktury je veřejným zájmem, jak již bylo uvedeno shora. Narušení činnosti subjektu kritické infrastruktury má potenciál omezit nebo dokonce přerušit poskytování základní služby. Taková situace pak může mít za důsledek velmi závažné dopady pro celou Českou republiky a případně i jiné členské státy Evropské unie. Míra zásahu do „osobní sféry“ subjektu údajů je přitom v porovnání s významností chráněného zájmu a s ohledem na zamýšlený rozsah získávaných osobních údajů spíše marginální.
Je navrhováno zpracovávat standardní osobní údaje, nikoliv zvláštní kategorie osobních údajů. Z hlediska rozsahu a druhu osobních údajů, které mají být zpracovávány, lze konstatovat, že převážná většina těchto údajů představuje zcela běžně zpracovávané osobní údaje.
Zpracování prováděná v souvislosti s návrhem zákona tak předkladatel považuje z uvedených důvodů, s ohledem na vymezené účely, za přiměřené.
9.4. Posouzení rizik pro práva a svobody fyzických osob
Jako možné riziko pro práva a svobody fyzických osob bylo identifikována možnost neoprávněného přístupu k osobním údajům, na základě, kterého by následně mohlo dojít ke zneužití osobních údajů za jiným účelem, než pro který mají být na základě návrhu zákona zpracovávány.
Významnějším uzlem, kdy by mohlo vznikat vyšší riziko neoprávněného přístupu k osobním údajům, je portál kritické infrastruktury (součást informačního systému krizového řízení), který je však odpovídajícím způsobem zabezpečen, a to včetně řízení a zaznamenávání přístupů ze strany osob, majících přístup ke konkrétním údajům v něm vedeným. Návrh zákona předpokládá, že předávání údajů mezi státními orgány navzájem a mezi státními orgány a poskytovatelem základní služby/subjektem kritické infrastruktury bude zpravidla probíhat prostřednictvím portálu kritické infrastruktury. Jedinou výjimkou je situace, kdy by nebylo možné portál kritické infrastruktury využít z objektivních příčin (např. výpadek) – v takovém případě se předpokládá využití systému datových schránek (§ 21 odst. 5).
Vyloučit nelze ani riziko zneužití přístupu k osobním údajům v souvislosti s ověřováním spolehlivosti (§ 18), kdy v některých případech může subjekt kritické infrastruktury zpracovávat osobní údaje o trestní bezúhonnosti pracovníků podílejících se na poskytování základní služby a osob, které jsou pověřeny přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím, nebo do jeho kontrolních systémů, a vyžadovat od těchto pracovníků prokázání totožnosti, přičemž uvedené oprávnění může realizovat i ve vztahu k uchazeči o uzavření pracovněprávního vztahu, resp. přijetí do služebního nebo obdobného poměru. Uvedené oprávnění subjekt kritické infrastruktury realizuje mimo portál kritické infrastruktury. Na druhou stranu lze podotknout, že tento požadavek (tedy doložení bezúhonnosti nebo prokázání totožnosti) uplatňuje subjekt kritické infrastruktury vůči pracovníkovi nebo jiné osobě napřímo, kdy případné odmítnutí požadavku ze strany uvedeného pracovníka nebo jiné osoby může mít za následek uplatnění režimových opatření – např. neumožnění uvedenému pracovníkovi nebo jiné osobě provedení určitých činností nebo zamezení jejich přístupu do uvedených prostor. Zpracování osobních údajů je v tomto případě tedy činěno se souhlasem subjektu údajů (resp. jeho aktivní součinností), neboť on sám tyto údaje poskytuje, aniž by jejich neposkytnutí bylo zákonem postihováno v jiné než soukromoprávní rovině (například neuzavřením pracovní smlouvy).
9.5. Stanovení možných opatření ke snížení rizik pro práva a svobody fyzických osob
Obecně z hlediska zachování integrity a důvěrnosti zpracovávaných údajů je třeba zmínit, že informační systém krizového řízení, jehož bude portál kritické infrastruktury součástí, bude kritickou informační infrastrukturou, a tedy zabezpečen v souladu se zákonem o kybernetické bezpečnosti a vyhláškou o kybernetické bezpečnosti.
Řada osob přicházejících do styku s osobními údaji v souvislosti s plněním úkolů ministerstev, jiných ústředních správních úřadů nebo České národní banky je vázána zákonnou povinností mlčenlivosti o skutečnostech, které se v souvislosti se svým zaměstnáním dozví – ať už z titulu služebně-právních či jiných vztahů, nebo podle ustanovení právních předpisů upravujících správní řízení (při ukládání nápravného opatření), kontrolu nebo jiné zvláštní postupy.
V oblasti krizového řízení bude ochrana osobních údajů zajištěna při vstupu do registrů, které s osobními údaji fyzických osob pracují. K těmto bude přistupováno pouze na základě zákonného zmocnění a informační systém, který bude tato data využívat, bude zabezpečen tak, jak je uvedeno v odstavci prvním.
10. Zhodnocení korupčních rizik
V souladu s Metodikou hodnocení korupčních rizik (CIA) nebyla identifikována žádná významná korupční rizika.
V rámci návrhu zákona nedochází k nedůvodnému rozšiřování kompetencí orgánů státní správy. Ministerstva, jiné ústřední správní úřady a Česká národní banka se dělí o kompetence v procesu určování subjektu kritické infrastruktury, jakožto i plnění dalších úkolů souvisejících se zvyšováním odolnosti subjektů kritické infrastruktury v jejich věcné příslušnosti. Ministerstvo vnitra nadto jako státní orgán, v jehož kompetenci je problematika krizového řízení, a tedy i kritické infrastruktury nadto plní některé další úkoly, zejména ve vztahu k fungování systému kritické infrastruktury jako celku a plnění povinností vůči Evropské unii. Takovou kompetenci nelze považovat za extensivní, neboť její stanovení je nezbytné pro efektivní zajištění dané agendy a v obecné rovině ji předpokládá i směrnice CER, která vyžaduje v rámci členských států zřízení jednotného kontaktního místa odpovědného za koordinaci záležitostí souvisejících s odolností kritických subjektů a přeshraniční spoluprací.
Co se týče jednoznačnosti, nebylo shledáno, že by právní úprava byla problematická z pohledu právní jistoty. Úprava obsahuje jasné vymezení práv a povinností všech dotčených orgánů a osob, jakožto i stanoví jasné procesní postupy, včetně jednoznačných lhůt.
Instituty navrhované právní úpravy jsou standardními instituty, které v obdobném rozsahu upravují i jiné právní předpisy. Případné odchylky jsou dány specifiky vyplývajícími z požadavků směrnice CER (např. v oblasti ověřování spolehlivosti).
Proces určení subjektů kritické infrastruktury je založen na doložení skutečného stavu (tj. naplnění objektivních kritérií), který je zcela transparentní. Samotný proces určování spočívá v posouzení toho, zda poskytovatel základní služby kritéria naplnil či nikoliv, a následném rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury. Rozhodování bude předmětem správního řízení, které bude s ohledem na účel právní úpravy přiměřeně modifikováno možností vydat rozhodnutí jako první úkon v řízení a zamezením odkladného účinku rozkladu podanému proti rozhodnutí o zařazení na seznam subjektů kritické infrastruktury.
Korupční rizika nelze předpokládat ani v souvislosti s kontrolou nebo projednáváním přestupků, neboť tyto procesy budou prováděny na základě jiné právní úpravy (kontrolní řád a zákon o odpovědnosti za přestupky), která zajišťuje transparentní provedení uvedených procesů.
Kromě ukládání opatření k ukládání nápravných opatření a projednávání přestupků nepředpokládá návrh zákona jinou oblast, ve které by orgány veřejné moci rozhodovaly. Ukládání nápravných opatření bude spjato s výsledkem kontroly a nelze proto předpokládat svévoli orgánu, který nápravné opatření uloží. Jako standardní správní rozhodnutí bude muset rozhodnutí o nápravném opatření splňovat náležitosti na takové rozhodnutí kladené, tj. včetně dostatečného odůvodnění, a bude proti němu možné uplatnit opravné a dozorčí prostředky, jakožto i iniciovat soudní přezkum.
11. Zhodnocení dopadů na bezpečnost nebo obranu státu
Návrh zákona má pozitivní dopady na bezpečnost a obranu státu, zejména přispěje k dalšímu posílení zabezpečení klíčových základních služeb v ČR a posílení jejich odolnosti před incidenty, které by mohly ohrozit poskytování základních služeb a bezpečnost ČR jako celku, čímž dojde ke snížení míry rizika vzniku takovýchto incidentů.
Návrh novely krizového zákona dále posiluje připravenost státu na řešení krizových situací, a to zavedením nového typu plánovací dokumentace na celostátní úrovni, kterým je krizový plán České republiky. Návrh novely krizového zákona také zakotvuje využívání informačního systému krizového řízení orgány krizového řízení, který přispěje k lepší koordinaci a efektivnějšímu řešení krizové situace z ústřední úrovně. Předložený návrh má významně pozitivní dopad na bezpečnost a obranu státu.
12. Zhodnocení dopadů na rodiny
Návrh zákona je z pohledu dopadů na rodiny neutrální. Nepředpokládají se žádné dopady v této oblasti, neboť návrh zákona žádným způsobem do těchto oblastí nezasahuje.
13. Zhodnocení územních dopadů, včetně dopadů na územní samosprávné celky
Negativní dopady na územní samosprávné celky se nepředpokládají. Oblast zvyšování odolnosti subjektů kritické infrastruktury je řešena na národní úrovni, stejně jako odvětví veřejné správy, které s regionální úrovní nepočítá, resp. směrnice CER je zaměřena pouze na orgány na úrovni centrální.
Návrh zákona může naopak mít pozitivní územní dopady, neboť zajištění poskytování základní služby může být podstatné pro zabezpečení základních potřeb a bezpečnosti v regionu. Návrh novely krizového zákona ani zákona o IZS nepředpokládá žádné významné územní dopady.
14. Zhodnocení souladu navrhovaného řešení se zásadami tvorby digitálně přívětivé legislativy
Navrhovaná právní úprava byla vyhodnocena jako souladná se zásadami digitálně přívětivé legislativy. Bližší zhodnocení viz níže.
14.1. Budování přednostně digitálních služeb (princip digital by default) je zajištěno prostřednictvím portálu kritické infrastruktury, prostřednictvím něhož bude docházet k toku informací a dat k poskytovatelům základních služeb/subjektů kritické infrastruktury od orgánů veřejné moci a naopak, jakožto i sdílení informací a dat mezi orgány veřejné moci navzájem. Portál kritické infrastruktury bude primárním komunikačním kanálem pro celou oblast kritické infrastruktury, v jehož rámci bude na základě požadavku směrnice CER k dispozici rovněž platforma pro sdílení informací mezi subjekty kritické infrastruktury.
14.2. Maximální opakovatelnost a znovupoužitelnost údajů a služeb je rovněž zajištěna prostřednictvím portálu kritické infrastruktury, v rámci kterého budou údaje uchovávány po dobu, po kterou bude poskytovatel základní služby nebo subjekt kritické infrastruktury spadat pod působnost návrhu zákona. Příslušné údaje proto bude moci využít znovu a opakovaně.
14.3. Budování služeb přístupných a použitelných pro všechny, včetně osob se zdravotním postižením (princip governance accessibility) navrhovaná právní úprava splňuje, neboť neztěžuje přístup určité skupiny osob k službám, ale naopak se snaží o to, aby byl přístup co nejsnazší pro co nejširší skupinu osob.
14.4. Sdílené služby veřejné správy jsou respektovány, kdy portál kritické infrastruktury je využitelný pro všechny dotčené orgány veřejné moci a další subjekty.
14.5. Konsolidace a propojování informačních systémů veřejné správy je zajištěno prostřednictvím informačního systému krizového řízení, jehož součástí je portál kritické infrastruktury. Tento informační systém v sobě koncentruje všechny agendy potřebné pro komplexní a efektivní krizové řízení. Zároveň je do budoucna předpokládáno propojení portálu kritické infrastruktury s Portálem NÚKIB podle zákona o kybernetické bezpečnosti, resp. vzájemné sdílení dat za účelem snížení administrativní zátěže subjektů kritické infrastruktury nebo povinných subjektů dle zákona o kybernetické bezpečnosti.
14.6. Mezinárodní interoperabilita – budování služeb propojitelných a využitelných v evropském prostoru se navrhované právní úpravy primárně netýká, resp. plnění určitých povinností zejména subjektů evropské kritické infrastruktury ve vztahu k Evropské komisi bude realizováno prostřednictvím Ministerstva vnitra, jakožto orgánu státní správy odpovědného za oblast kritické infrastruktury.
14.7. Ochrana osobních údajů v míře umožňující kvalitní služby (princip GDPR) je řešena vhodným zabezpečením osobních údajů prostřednictvím technických a organizačních opatření (kybernetické zabezpečení, logy, uživatelská oprávnění apod.) portálu kritické infrastruktury, resp. informačního systému krizového řízení, jehož je portál kritické infrastruktury součástí.
14.8. Otevřenost a transparentnost včetně otevřených dat a služeb (princip open government) je s ohledem na předmět regulace minimalizována toliko na rozsah, jež nemůže způsobit ohrožení poskytování základní služby.
14.9. Technologická neutralita je v navrhované právní úpravě splněna. Portál kritické infrastruktury, resp. informační systém krizového řízení, jehož je portál kritické infrastruktury součástí, je vybudován na obecných zásadách umožňující jeho použití prostřednictvím standardních technologických prostředků.
14.10. Uživatelská přívětivost je v navrhované právní úpravě splněna, neboť portál kritické infrastruktury konsolidací většiny agend v rámci jednoho systému významně snižuje administrativní náročnost pro adresáty povinností. Zároveň je portál kritické infrastruktury navržen tak, aby usnadnil jeho používání ze strany uživatelů jak na straně poskytovatelů základní služby/subjektů kritické infrastruktury, tak na straně orgánů veřejné správy.
Návrh novely krizového zákona je v souladu se zásadami tvorby digitálně přívětivé legislativy. Novela krizového zákona nově zavádí do systému krizového řízení informační systém krizového řízení (dále také jen „ISKŘ“), což je informační systém veřejné správy, jehož účelem bude podpora orgánů krizového řízení při zajišťování připravenosti na krizové situace a jejich řešení. ISKŘ je systém, jehož správu bude zajišťovat Ministerstvo vnitra-generální ředitelství HZS ČR. V kontextu zásad digitálně přívětivé legislativy pak ISKŘ zejména naplňuje zásadu týkající se maximální opakovatelnosti a znovu použitelnosti údajů a služeb (princip only once), neboť ISKŘ bude pro plnění své funkce využívat údaje ze základních registrů, agendových informačních systémů a ostatních informačních systémů veřejné správy, s tímto souvisí i soulad se zásadou sdílené veřejné správy.
15. Odůvodnění návrhu, aby Poslanecká sněmovna vyslovila s návrhem zákona souhlas již v prvém čtení
Hlavním důvodem pro zpracování návrhu zákona je nutnost zapracovat do právního řádu České republiky požadavky směrnice CER, přičemž v souladu s právem EU měla být směrnice CER zapracována do českého právního řádu ve velice krátké transpoziční lhůtě, která činí 21 měsíců od nabytí platnosti této směrnice. Lhůta tedy uplynula 17. října 2024. Odklad přijetí zákona s ohledem na blížící se konec funkčního období Poslanecké sněmovny by tak mohl způsobit, že by transpozice nebyla realizována vůbec, případně by k ní došlo s výraznou časovou prodlevou, čímž by České republice hrozila finanční sankce v řízení o porušení práva Evropské unie ze strany Evropské komise (tzv. infringement procedure). Zároveň je účelem směrnice CER posílení ochrany (odolnosti) subjektů kritické infrastruktury a vymezení základních služeb na určité jednotné evropské bázi. Je proto žádoucí, aby nová česká právní úprava týkající se ochrany a odolnosti kritické infrastruktury byla přijata co nejdříve a Česká republika se tak mohla plně zapojit do evropského systému odolnosti kritické infrastruktury. Pokud by zákon nebyl přijat, snížila by se schopnost státu reflektovat bezpečnostní hrozby v oblasti kritické infrastruktury a narušilo by se společné plnění závazků v oblasti bezpečnosti a krizového řízení.
B. Zvláštní část
K ČÁSTI PRVNÍ – ZÁKON O ODOLNOSTI SUBJEKTŮ KRITICKÉ INFRASTRUKTURY
K § 1 – Předmět úpravy
Věcná působnost návrhu zákona je obecně vymezena pro oblast zvyšování a zajišťování odolnosti subjektů kritické infrastruktury ve specifických odvětvích v souvislosti s poskytováním základních služeb. Ty jsou nezbytné pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí. V zákoně je v souvislosti se subjekty používán pojem "zajišťování odolnosti" a v souvislosti s výkonem státní správy používán pojem "zvyšování odolnosti". Uvedené rozdělení souvisí se skutečností, že zákon o odolnosti kritických subjektů cílí na to, aby subjekty kritické infrastruktury přijímaly opatření k zajištění své odolnosti v minimální zákonem stanovené úrovni, naproti tomu u činnosti státní správy (z pozice regulátora, nikoliv subjektu kritické infrastruktury) zákon počítá s kontinuálním procesem zvyšování odolnosti systému kritické infrastruktury, a to skrze pravidelné aplikování zákonem vymezených nástrojů v oblasti analýzy (posouzení rizik ČR) a koncepčního rozvoje celého systému (Strategie pro posílení odolnosti subjektů kritické infrastruktury).
Návrh zákona současně blíže stanovuje práva a povinnosti právnických a fyzických osob a působnost a pravomoc státních orgánů moci v této oblasti, kterými jsou vláda, Ministerstvo vnitra, další věcně příslušná ministerstva a jiné ústřední správní úřady a Česká národní banka.
Návrh zákona je transpozičním předpisem směrnice CER.
Návrh zákona o kritické infrastruktuře rovněž zachovává zakotvení problematiky zvyšování a zajišťování odolnosti subjektů kritické infrastruktury v systému krizového řízení, což kontinuálně navazuje na současný systém krizového řízení a ochrany kritické infrastruktury podle krizového zákona. Zároveň je v souladu s navrhovanou novelou krizovou zákona. Tyto dva zákony jsou úzce provázány např. v oblasti posouzení rizik České republiky, informačního systému krizového řízení, vyjmutí pracovníků subjektu kritické infrastruktury z pracovní povinnosti nebo zajišťování přednostního zásobování subjektů kritické infrastruktury. Současně je tak zachována kontinuita koordinační role Ministerstva vnitra, resp. MV-GŘ HZS ČR.
Navrhovaná úprava odstavce 1 reaguje na transpozici směrnice CER do samostatného zákona o odolnosti subjektů kritické infrastruktury. Směrnice CER upravuje současný systém kritické infrastruktury, který byl dosud legislativně ukotven v rámci krizového zákona. Směrnice CER zároveň přímo nahrazuje současnou směrnici EKI, která se ruší s účinností od 18. října 2024. Z původního znění krizového zákona tak jsou odstraněny všechny části, které souvisí se systémem kritické infrastruktury nebo s i transpozicí směrnice EKI. S tím souvisí i vyškrtnutí odstavce 2.
Ačkoli směrnice CER v článku 1 odst. 6 vylučuje aplikaci této směrnice v oblastech národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů. Česká republika přistoupila na základě rozhodnutí Ministerstva vnitra k regulaci odvětví „Bezpečnost“, avšak s omezenými povinnostmi vůči Evropské komisi. Jiná odvětví nad rámec regulace směrnice CER nebyla věcně příslušnými ministerstvy do návrhu zákona navržena.
K § 2 – Vymezení pojmů
Návrh zákona přináší řadu nových pojmů, a to ať už z důvodu jejich převzetí ze směrnice CER, nebo z toho důvodu, že návrh zákona svým obsahem navazuje na přístup a pojmosloví obsažené v dosavadním znění krizového zákona, avšak tento přístup prohlubuje. Z důvodu zajištění návaznosti na stávající systém kritické infrastruktury bylo přistoupeno k zachování co nejvíce dosud užívaných pojmů, ačkoliv jejich význam byl materiálně změněn v souvislosti s přijetím směrnice CER.
V rámci § 2 jsou definovány následující pojmy – základní služba, poskytovatel základní služby, kritická infrastruktura, subjekt kritické infrastruktury, subjekt evropské kritické infrastruktury, incident, riziko, posouzení rizik subjektu kritické infrastruktury, odolnost subjektu kritické infrastruktury, pracovník, kritický pracovníka kritický dodavatel.
Základní služba je pojem převzatý ze směrnice CER, který dosud nebyl v národní legislativě ve vazbě na kritickou infrastrukturu definován. Představuje službu, bez které by bylo ohroženo zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí. Jedná se tak o stěžejní pojem, neboť poskytovatelům základní služby bude automaticky z navrhovaného zákona vyplývat povinnost poskytnout informace nezbytné k jeho zařazení na seznam subjektů kritické infrastruktury, čímž dojde k jejich faktickému určení za subjekt kritické infrastruktury. Přehled jednotlivých základních služeb bude obsahem prováděcího právního předpisu, konkrétně nařízení vlády. Evropská komise za tímto účelem vydala v souladu s článkem 5 směrnice CER demonstrativní výčet základních služeb, a to konkrétně v Nařízení komise v přenesené pravomoci (EU) 2023/2450 ze dne 25. července 2023, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2022/2557 stanovením seznamu základních služeb, kdy s obsahem prováděcího právního předpisu budou základní služby uvedené ve zmíněném aktu v přenesené pravomoci Evropské komise, jakožto i další základní služby definované toliko na národní úrovni. K takto definovaným základním službám bude doplněno kritérium významnosti, která bude rozhodující pro sebehodnocení poskytovatele základní služby a jeho následné určení subjektem kritické infrastruktury.
Poskytovatel základní služby je nový pojem, který se v současném pojetí systému kritické infrastruktury nevyskytuje. Jedná se o subjekt, který poskytuje základní službu definovanou v nařízení vlády a zároveň splňuje kritéria významnosti. K naplnění podstaty poskytovatele základní služby nestačí pouze poskytovat základní službu uvedenou v nařízení vlády, ale musí být zároveň splněna kritéria významnosti, která stanoví úroveň, hodnotu či jiný údaj, od kterého bude subjekt považován za poskytovatele základní služby. Poskytovatelem základní služby se subjekt stane nabytím účinnosti tohoto zákona. Zároveň jím zůstává i v situacích, kdy byl určen za subjekt kritické infrastruktury, a je tedy zároveň i subjektem kritické infrastruktury, nebo mu bylo sděleno, že subjektem kritické infrastruktury nadále není. Naplnění definice poskytovatele základní služby je proto základním předpokladem pro pozdější rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury – tj. určení subjektem kritické infrastruktury, neboť tím se může stát pouze poskytovatel základní služby.
Kritická infrastruktura je pojem, který již byl dříve definován v krizovém zákoně. Vzhledem ke změně filosofie v pojetí systému kritické infrastruktury, související s přijetím směrnice CER, však dochází k odklonu od ochrany jednotlivých fyzických prvků kritické infrastruktury k zajištění poskytování základní služby jako takové. Nový pojem kritická infrastruktura tak klade větší důraz na celkovou infrastrukturu subjektu kritické infrastruktury, která je nezbytná pro poskytování základní služby, resp. její narušení by mělo závažný dopad na její poskytování. Kritickou infrastrukturou je jakékoli aktivum, zařízení, vybavení, síť nebo systém nebo jejich část, které jsou nezbytné pro poskytování základní služby, resp. jejichž prostřednictvím je základní služba poskytována. Zahrnují tedy širokou škálu prvků, které se podílejí na poskytování základní služby. Aktiva mohou být v obecné rovině z teoretického pohledu rozdělena do čtyř kategorií, kterými jsou 1) finanční aktiva (zejména finanční hotovost, bankovní účty, akcie, dluhopisy a další investiční nástroje, které mají monetární hodnotu), 2) fyzická aktiva (věci hmotné povahy, jako jsou nemovitosti, dopravní prostředky, vybavení, zařízení nebo prostředky), 3) nehmotná aktiva (zejména duševní vlastnictví, patenty, obchodní značky, ochranné známky či dobré jméno společnosti) a 4) přírodní zdroje (půda, nerostné bohatství, strategické suroviny a další). V kontextu kritické infrastruktury se pak jedná o následující příklady aktiv: 1) budovy a zařízení (např. elektrárny, vodárny, nemocnice, školy, datová centra); 2) technologická infrastruktura (např. servery, síťová zařízení, energetická zařízení, komunikační linky, protonové centrum); 3) data a informace (např. kritické databáze, patenty nebo know-how, kontrolní systémy); 4) informační systémy (např. operační software, technologie pro řízení a monitorování provozu); 5) kritické zásoby materiálu (např. zásobník paliva, sklad léčiv, sklad klíčových surovin, sklad pro havarijní opravy, distribuční centra); 6) finanční zdroje (např. finanční prostředky, fondy a investice potřebné pro provoz subjektu kritické infrastruktury). Na rozdíl od současného pojetí systému kritické infrastruktury, ve kterém jsou prvky kritické infrastruktury identifikovány věcně příslušným ministerstvem nebo ústředním správním úřadem, budou identifikaci kritické infrastruktury a jejích jednotlivých komponent provádět samotné subjekty kritické infrastruktury.
Subjekt kritické infrastruktury je pojem, který již byl definovaný v krizovém zákoně, nicméně svým významem se v novém pojetí systému kritické infrastruktury dostává do popředí a mění se tak do jisté míry jeho význam. Jedná se o poskytovatele základní služby, který byl po splnění své povinnosti poskytnout informace nezbytné k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury na podnět podaný věcně příslušným ministerstvem, jiným ústředním správním úřadem nebo Českou národní bankou Ministerstvem vnitra na tento seznam subjektů kritické infrastruktury zařazen prostřednictvím správního rozhodnutí. Pojem subjekt kritické infrastruktury pak významově odpovídá pojmu „kritický subjekt“, který je uvedený v článku 2 směrnice CER.
Subjekt evropské kritické infrastruktury je také pojem, který již byl definovaný v současném pojetí systému kritické infrastruktury podle krizového zákona. V souvislosti se směrnicí CER však byl tento pojem redefinován. Jedná se o takový subjekt, který poskytuje základní službu v šesti a více členských státech Evropské unie, a zároveň byl vyrozuměn o tom, že byl Evropskou komisí označen za kritický subjekt zvláštního evropského významů. Významově tedy odpovídá pojmu „kritický subjekt zvláštního evropského významu“, který je uvedený v článku 17 směrnice CER. Pro mírně odlišný pojem od pojmu uváděného směrnicí CER se předkladatel rozhodl především pro zajištění kontinuity dosavadního pojmosloví.
Incident je novým pojmem, který přímo vychází z článku 2 směrnice CER. Jedná se o událost, která může významně narušit nebo která narušuje poskytování základní služby. Pojem je do návrhu zákona zaveden také z důvodu nastavení nového mechanismu pro oznamování incidentů (událostí narušujících poskytování základní služby). Mezní hodnoty a způsob identifikace incidentu a jeho významnosti bude uveden v prováděcím právním předpise. Každý vzniklý incident související s poskytováním základní služby bude mít subjekt kritické infrastruktury povinnost hlásit Ministerstvu vnitra, a to za účelem pochopení jeho povahy, příčiny a možných důsledků, včetně jakýkoliv dostupných informací nezbytných ke stanovení jeho případného přeshraničního dopadu.
Riziko je velmi obecným pojmem v návrhu zákona explicitně uvedeným po vzoru směrnice CER, neboť s ním následně pracují navazující pojmy, které souvisí s povinností provádět posouzení rizik subjektu kritické infrastruktury. Jedná se o možnost narušení poskytování základní služby v důsledku incidentu. Riziko se vyjadřuje jako kombinace rozsahu takového narušení a pravděpodobnosti vzniku incidentu.
Posouzení rizik subjektu kritické infrastruktury navazuje na předcházející pojem. Jedná se o analytický proces zkoumající povahu a charakter rizik, která mohou u subjektu kritické infrastruktury potenciálně vést k incidentu. Zároveň je analyzován i potenciální dopad těchto incidentů - tj. jejich vliv na poskytování základní služby.
Odolnost subjektu kritické infrastruktury je zcela nový pojem, který přímo vychází ze směrnice CER, přičemž obsahově odpovídá pojmu „odolnost“. Jedná se o stěžejní změnu v přístupu k ochraně kritické infrastruktury. Kromě fyzické ochrany jednotlivých prvků kritické infrastruktury rozšiřuje přístup k zajištění bezpečnosti subjektu kritické infrastruktury a potažmo i k zajištění poskytování základních služeb. K tomu rovněž využívá principy k zajištění kontinuity činnosti. Odolnost tak lze chápat jako významný faktor mající přímý vliv na zajištění poskytování základních služeb, respektive spolehlivost jejich poskytování, subjektem kritické infrastruktury. V případě odolnosti se přitom jedná o stav, který má přímý vliv na snižování zranitelnosti subjektu kritické infrastruktury a jeho schopnost účinně a efektivně reagovat na incidenty, absorbovat jejich následky, obnovit svou činnost a adaptovat se na tyto či obdobné incidenty.
Schopnost subjektu kritické infrastruktury:
· předcházet incidentu znamená, že subjekt kritické infrastruktury přijal taková preventivní opatření, která zabránila vzniku incidentu;
· chránit se před incidentem znamená, že subjekt kritické infrastruktury přijímá dostatečná opatření, které nezabrání vzniku incidentu, ale zabrání dopadu incidentu na poskytování základní služby;
· reagovat na incident znamená, že subjekt kritické infrastruktury má dobře nastaveny procesy rychlé reakce na možný nebo vzniklý incident a tím zabrání narušení nebo výpadku poskytování základní služby;
· odolávat incidentu znamená, že subjekt kritické infrastruktury je sice vystaven působení dopadu incidentu, avšak po nějakou dobu je vůči těmto dopadům resistentní;
· zmírňovat incident znamená, že subjekt kritické infrastruktury bude zasažen dopadem incidentu, avšak má nastaven proces eliminace dopadů incidentů na únosnou mez, kterým vzniklý dopad redukuje;
· absorbovat incident znamená, že odolnost subjektu kritické infrastruktury je na tak vysoké úrovni, že incident nebude mít na poskytování základní služby vliv;
· přizpůsobovat se incidentu znamená, že v rámci zajištění kontinuity činnosti je subjekt kritické infrastruktury schopen překlenout dopady incidentu tak, že upraví své vnitřní procesy jiným způsobem zajišťujícím poskytování základní služby;
· zotavit se z incidentu znamená, že subjekt kritické infrastruktury byl incidentem zasažen, došlo k omezení nebo výpadku základní služby, avšak je stále schopen obnovit svoji činnost a i nadále poskytovat základní službu, byť s určitou časovou prodlevou.
Pracovník je nový pojem, který označuje osoby, které jsou v pracovněprávním vztahu, či služebním nebo jiném obdobném poměru vůči subjektu kritické infrastruktury nebo vůči jeho kritickému dodavateli. Jedná se proto o širokou množinu osob působících u subjektu kritické infrastruktury, kdy některé z těchto osob se mohou přímo podílet na poskytování základní služby, zatímco některé další se na poskytování základní služby nepodílí, ale například pouze působí v objektu, kde je základní služba poskytována nebo který je pro její poskytování klíčový. Z hlediska právní povahy se jedná o širokou škálu osob, které zpravidla konají práci/službu v pracovněprávním vztahu (pracovní poměr, dohody o pracích konaných mimo pracovní poměr), služebním poměru (příslušníci bezpečnostních sborů, zaměstnanci ve státní službě) nebo jiném poměru, který je svou povahou obdobný k výše uvedeným právním vztahům.
Kritický pracovník je nový pojem, kterým reflektuje významnost určitých pracovníků. Za kritického pracovníka je považován takový pracovník, který je nezbytný pro zajištění poskytování základní služby. Subjekt kritické infrastruktury by přitom v rámci jím přijímaných opatření měl identifikovat všechny své kritické pracovníky a vést a průběžně aktualizovat jejich evidenci. Účel zavedení tohoto pojmu lze spatřovat především v identifikaci pracovníků, bez kterých by nemohlo být zajištěno poskytování základní služby. V souvislosti s tím lze pak na základě výsledků posouzení rizik subjektu kritické infrastruktury přijmout opatření k řízení bezpečnosti pracovníků, což přispívá k celkového posilování odolnosti subjektů kritické infrastruktury.
Kritický dodavatel je nový pojem označující takového dodavatele, který jako dodavatel se subjektem kritické infrastruktury vstupuje do právního vztahu a bez něhož by nebylo možné zajistit poskytování základní služby. Celkové znění této definice tak vylučuje případy, ve kterých by byl za kritického dodavatele považována jakákoliv jiná osoba v právním vztahu vůči subjektu kritické infrastruktury, například jeho zaměstnanec. Důvodem k zavedení tohoto pojmu je především samotné identifikování kritických dodavatelů ze strany subjektů kritické infrastruktury, což může být jím samotným reflektováno mimo jiné při posouzení rizik subjektu kritické infrastruktury. Na základě informování věcně příslušných ministerstev a ústředních správních úřadů a Ministerstva vnitra o kritických dodavatelích jednotlivých subjektů kritické infrastruktury pak bude možné identifikovat dodavatele pokrývající celá odvětví či pododvětví, případně jejich značnou část.
K § 3 – Strategie pro posílení odolnosti subjektů kritické infrastruktury
V návaznosti na ustanovení § 6 odst. 1 písm. b) návrhu zpracovává Ministerstvo vnitra strategii pro posílení odolnosti subjektů kritické infrastruktury, přičemž tuto následně podle § 3 odst. 3 schvaluje vláda. V rámci tohoto ustanovení je vymezen rozsah, v jakém je strategie pro posílení odolnosti subjektů kritické infrastruktury zpracována, a jsou zde stanoveny rovněž její nezbytné obsahové náležitosti. Jedná se o promítnutí čl. 4 směrnice CER. Lze konstatovat, že obsahem strategie budou jak analytické závěry (např. vymezení strategických cílů a priorit, rámec pro jejich naplnění), tak například části popisující proces určení subjektu kritické infrastruktury (tj. proces jeho zařazení na seznam subjektů kritické infrastruktury), opatření nezbytná k posílení jeho odolnosti nebo stávající nástroje využitelné pro zavádění opatření k zajištění odolnosti. Dále bude obsahem strategie přehled rozhodovacích procesů a způsob podpory subjektů kritické infrastruktury ze strany orgánů státní správy.
K § 4 - Výkon státní správy
Tento paragraf odkazuje na přílohu návrhu zákona, která definuje věcnou příslušnost ministerstev, jiných ústředních správních úřadů a České národní banky v jednotlivých odvětvích nebo pododvětvích. Věcná příslušnost představuje gesci uvedených orgánů nad odvětvími nebo pododvětvími k plnění úkolů podle tohoto návrhu zákona. Věcná příslušnost je primárně stanovena pro odvětví. V případě, že je odvětví děleno na pododvětví, je věcná příslušnost stanovena pro každé pododvětví. Věcná příslušnost za odvětví se v takovém případě nestanovuje. Věcná příslušnost pro odvětví má přitom rovnocenné postavení jako věcná příslušnost pro pododvětví, čemuž odpovídá užívání slova „nebo“ v souvislosti s věcnou příslušností pro odvětví a pododvětví v tomto návrhu zákona.
K § 5 – Ministerstva a jiné ústřední správní úřady
Ministerstva a jiné ústřední správní úřady zůstávají i nadále nedílnou součástí systému kritické infrastruktury, přičemž se rozšiřuje rozsah jejich činností v tomto systému. Dále pak zastávají stěžejní roli v procesu určování subjektů kritické infrastruktury a následných činností souvisejících s metodickým vedením a kontrolní činností v rámci své věcné působnosti.
Věcná působnost jednotlivých ministerstev a jiných ústředních správních úřadů je pro jednotlivá odvětví a pododvětví uvedena v příloze návrhu tohoto zákona. Věcná působnost v tomto kontextu znamená, že ministerstva a jiné ústřední správní úřady vykonávají svoji působnost pouze vůči subjektům kritické infrastruktury v odvětví nebo pododvětví, pro které jim byla příslušnost tímto zákonem stanovena. Věcná působnost orgánů státní správy stanovená jinými zákony tímto není dotčena.
Věcně příslušná ministerstva a jiné ústřední správní úřady konkrétně poskytují součinnost Ministerstvu vnitra při zpracování Strategie a souhrnné zprávy o incidentech, při cvičeních k ověření odolnosti subjektů kritické infrastruktury a při mezinárodní výměně informací. V případě součinnosti týkající se cvičení k ověření odolnosti subjektů kritické infrastruktury se poté v případě cvičení nařízených samotným ministerstvem, nebo jiným ústředním správním úřadem jedná o poskytnutí relevantních informací a výstupů z proběhlého cvičení. V případě cvičení, které koordinuje Ministerstvo vnitra, se poté jedná o součinnost s jeho přípravou, realizací a vyhodnocením v rámci jejich věcné působnosti. V oblasti spolupráce s Ministerstvem vnitra mají ministerstva a jiné ústřední správní úřady také povinnost poskytovat Ministerstvu vnitra informace, které se týkají plnění všech opatření k zajištění odolnosti subjektů kritické infrastruktury, které spadají do věcné příslušnosti daného ministerstva nebo jiného ústředního správního úřadu.
Ministerstva a jiné ústřední správní úřady se dále se podílejí na procesu určování subjektů kritické infrastruktury, a to oprávněním v rámci své působnosti vyžadovat od poskytovatele základní služby informace, které jsou nezbytné k podání podnětu k rozhodnutí o jeho možném zařazení na seznam subjektů kritické infrastruktury.
Rovněž se předpokládá, že ministerstva a jiné ústřední správní úřady budou metodicky vést poskytovatele základních služeb a subjekty kritické infrastruktury ve své věcné příslušnosti. Metodická pomoc poskytovatelům základních služeb spočívá zejména s poskytnutím pomoci při provádění sebehodnocení a následné registrace do portálu kritické infrastruktury. Metodická pomoc subjektům kritické infrastruktury by měla být zaměřena na kontinuální spolupráci se subjekty kritické infrastruktury. Metodická pomoc může mít několik forem se zaměřením do různých oblastí, a to zejména 1) informace z oblasti legislativního rámce (např. povinnosti vyplývající z regulace, informace o mezinárodních standardech a doporučeních, povinnosti při změně v poskytování základní služby); 2) pomoc při zpracování posouzení rizik a plánu odolnosti (např. vydávání metodik či doporučení, sdílení dobré praxe, uvádění příkladů z aplikační praxe); 3) spolupráce a výměna informací (např. kontakty na relevantní orgány a organizace, sdílení informací v rámci platformy, nastavení komunikačních toků); 4) finanční a jiná pomoc (např. možnosti pro aplikaci § 14 odst. 3, možné zdroje financování subjektů kritické infrastruktury, a to včetně dotačních programů) 5) výcvik a vzdělávání (např. realizace školení manažerů kritické infrastruktury). Ministerstva a jiné ústřední správní úřady mohou poskytování metodické pomoci koordinovat ve spolupráci s Ministerstvem vnitra.
Dále budou oprávněna vykonávat kontrolu plnění povinností subjektu kritické infrastruktury podle tohoto zákona, a to včetně oprávnění provést audit u subjektu kritické infrastruktury. Kontrola bude v oblasti procesních náležitostí prováděna v souladu se zákonem č. 255/2012 Sb., o kontrole (kontrolní řád). Kontrolu subjektů kritické infrastruktury poté ministerstva a jiné ústřední správní úřady provádějí u těch subjektů kritické infrastruktury, u nichž dávali podnět k rozhodnutí o jejich zařazení na seznam subjektů kritické infrastruktury, a které tak spadají do jejich věcné působnosti. V rámci své věcné příslušnosti budou ministerstva a jiné ústřední správní úřady oprávněny nařídit cvičení k ověření odolnosti subjektů kritické infrastruktury. Současně je v kompetenci věcně příslušného ministerstva nebo jiného ústředního správní úřadu cvičení provést, resp. jej organizovat se zapojením vybraných aktérů. Cvičení pak může být realizováno i samotným subjektem kritické infrastruktury. Forma cvičení není v návrhu zákona specifikována a může se tak jednat o klasické ověřovací cvičení, štábní cvičení, případně může být nařízeno či organizováno i cvičení formou zátěžového testu. Forma možných cvičení, resp. zátěžových testů bude obsahem metodického pokynu a způsob realizace cvičení ze strany subjektu kritické infrastruktury bude součástí metodického vedení ze strany věcně příslušných ministerstev a jiných ústředních správních úřadů. Odpovědnost za zajištění poskytování základní služby a své odolnosti je dána subjektu kritické infrastruktury. Při plánování cvičení pak věcně příslušná ministerstva a jiné ústřední správní úřady aplikují zásadu přiměřenosti a svá cvičení plánují tak, aby nebyly pro subjekty kritické infrastruktury nadmíru zatěžující.
Role státu v této oblasti je spíše kontrolní a metodická a jeho zásah se předpokládá až v případě, že subjekt není schopen zajistit poskytování základní služby zejména z externích příčin, např. z důvodu mimořádné události nebo krizové situace. V tomto případě lze využít postupy podle krizového zákona nebo jiných právních předpisů. Jako příklad lze uvést možnost vyhlášení krizového opatření, které umožní za krizového stavu přednostní zásobování subjektů kritické infrastruktury v nezbytném rozsahu. Návrh zákona o odolnosti subjektů kritické infrastruktury dále zavádí nástroje pro podporu subjektů kritické infrastruktury ze strany státu, opět spjaté s přípravou na mimořádné události nebo krizové situace (vizte § 14 odst. 3). Role věcně příslušných ministerstev, jiných ústředních správních úřadů nebo České národní banky je pak taková, že analyzují požadavky jednotlivých subjektů a po jejich vyhodnocení se spojí s příslušnými orgány, které jsou schopny vstup do uzavřených lokalit nebo přednostní spojení umožnit. V případě oprávnění žádat o vstup do uzavřených zón předá gestor tento požadavek Ministerstvu vnitra – generálnímu ředitelství HZS ČR, které tento požadavek předá na příslušný krizový štáb nebo veliteli zásahu.
V případě požadavku na přednostní připojení gestor posuzuje žádost subjektu kritické infrastruktury a dále postupuje podle standardních procedur, tedy potvrdí subjektu, že jeho žádost je relevantní a může ji dále postoupit příslušnému operátorovi, který předloží Ministerstvu vnitra tuto žádost ke konečnému schválení. Postup podle § 99 odst. 3 zákona o elektronických komunikacích není navrhovanou úpravou dotčen, resp. tento postup je předpokladem pro možnost účastníka krizové komunikace podat žádost o zřízení přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací podle § 99 odst. 3 zákona o elektronických komunikacích.
V případě potřeby jsou ministerstva a jiné ústřední správní úřady oprávněny poskytovat subjektům kritické infrastruktury relevantní nezbytné informace o jejich možném ohrožení, a to v rozsahu a způsobem podle svého uvážení, s ohledem na danou situaci. Sdílení informací o potenciálních hrozbách není novou iniciativou. Naopak, tato činnost je již dlouhou dobu považována za základní prvek systému krizového řízení. Cílem tohoto sdílení je zajištění co největší informovanosti všech relevantních subjektů, což přispívá k efektivnější prevenci a rychlejší reakci na případná rizika. V aplikační praxi tato činnost probíhá převážně v rámci útvarů krizového řízení na jednotlivých ministerstvech a jiných ústředních správních úřadech, zejména v souvislosti s plněním úkolů podle krizového zákona, případně jiných odvětvových právních předpisů. Ministerstva a jiné ústřední správní úřady se podílejí mimo jiné i na zpracování a aktualizaci Analýzy hrozeb ČR a podle nové právní úpravy tak budou činit v rámci Posouzení rizik ČR, které bude zpracováno v souvislosti s novelou krizového zákona.
Ministerstvům a jiným správním úřadům se ukládá povinnost vyhodnocovat, prostřednictvím systému hospodářských opatření pro krizové stavy, potřebu na zabezpečení věcných prostředků k poskytování základní služby. Subjekty kritické infrastruktury budou povinny dle ustanovení § 14 odst. 1 písm. q) informovat věcně příslušné ministerstvo nebo jiný ústřední správní úřad o potřebě zabezpečení věcnými prostředky k zajištění poskytování základní služby, které nejsou schopné zajistit jiným způsobem. Povinností subjektu kritické infrastruktury je zajišťovat základní službu a přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury. V této souvislosti je mimo jiné zapotřebí plánovat a pořizovat odpovídající věcné prostředky pro řešení incidentů. Součástí plánovacího procesu je i posouzení rizik a předpokládaná analýza dostupnosti věcných prostředků. Jestliže z této analýzy vyplyne, že za určitých okolností není subjekt kritické infrastruktury schopen tyto prostředky zajistit, je povinen o této skutečnosti informovat příslušné ministerstvo, jiný ústřední správní úřad, nebo Českou národní banku. V nezbytných případech tak mohou ministerstva a jiné ústřední správní úřady využít ustanovení § 6 odst. 1 písm. c) zákona č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy zajistit potřebné věcné prostředky požadavkem na tvorbu státních hmotných rezerv u Správy státních hmotných rezerv. V případě, že věcně příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka obdrží informace od subjektu kritické infrastruktury o věcných prostředcích, které není schopen zajistit podle § 14 odst. 1 písm. q), provede vyhodnocení těchto nezajištěných věcných prostředků za odvětví nebo pododvětví, kterého je gestorem. Na základě tohoto vyhodnocení může rozhodnout, zdali tyto věcné prostředky pro odvětví nebo pododvětví zajistí prostřednictvím systému hospodářských opatření pro krizové stavy.
Tedy řešený okruh působnosti ústředního správního úřadu z hlediska subjektů kritické infrastruktury a jejich informovanosti o potřebě zabezpečení věcnými prostředky primárně vychází z výše uvedené přílohy návrhu zákona o kritické infrastruktuře. Uvedený mechanismus „přímé linky“ řešení nezajištěných věcných prostředků subjektů kritické infrastruktury u centrální úrovně, tak zároveň (sekundárně) koresponduje s návrhem dílčích úprav zákona o hospodářských opatřeních pro krizové stavy.
Systém hospodářských opatření pro krizové stavy lze pro podporu subjektů kritické infrastruktury využít, obdobně jako v případě poskytování podpory pro ozbrojené síly, ozbrojené bezpečnostní sbory apod., s tím rozdílem, že okruh působnosti a způsob informovanosti ústřední úrovně primárně vychází z návrhu zákona o kritické infrastruktuře, nikoliv ze zákona o hospodářských opatření pro krizové stavy. V případě, že věcně příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka obdrží informace od subjektu kritické infrastruktury o věcných prostředcích, které není schopen zajistit (§ 14 odst. 1 písm. q), provede vyhodnocení těchto nezajištěných věcných prostředků za odvětví nebo pododvětví, kterého je gestorem. Na základě tohoto vyhodnocení může rozhodnout, zdali tyto věcné prostředky pro odvětví nebo pododvětví zajistí prostřednictvím systému hospodářských opatření pro krizové stavy. Postupuje se podle pravidel nastavených v systému hospodářských opatření pro krizové stavy v rámci zpracovávání plánu nezbytných dodávek. Subjekty současně budou přijímat vhodná a přiměřená opatření k zajištění své odolnosti, což jim stanoví § 14 a § 16. Toto ustanovení se týká situací, kdy je nezbytná pomoc ze strany státu, který má rovněž zájem na tom, aby subjekty kritické infrastruktury zajistily poskytování základní služby.
K § 6 – Ministerstvo vnitra
K odstavci 1
Ministerstvo vnitra bude nadále zastávat ústřední a koordinační roli v oblasti kritické infrastruktury. Pro účely plnění této role zřídí a bude provozovat portál kritické infrastruktury, který bude stěžejním nástrojem pro komunikaci a sdílení informací mezi poskytovateli základní služby, subjekty kritické infrastruktury, věcně příslušnými ministerstvy a jinými ústředními správními úřady, Českou národní bankou a Ministerstvem vnitra, v oblasti kritické infrastruktury.
V oblasti určování subjektů kritické infrastruktury bude mít Ministerstvo vnitra ve srovnání se současným systémem kritické infrastruktury výhradní postavení, neboť bude jediným orgánem s kompetencí rozhodovat o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury, a to ať už se jedná o organizační složky státu či osoby v soukromém sektoru. Ministerstvo vnitra v rámci procesu určování subjektů kritické infrastruktury rozhodnutím potvrdí skutečnosti, které nastaly na základě zákona a jeho prováděcích právních předpisů. Věcně příslušný resort dává Ministerstvu vnitra podnět k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury a v rámci tohoto procesu především ověřuje, zdali poskytovatel základní služby splňuje nebo nesplňuje zákonem stanovené požadavky. Ministerstvo vnitra současně bude vést seznam všech subjektů kritické infrastruktury, které zařadí na tento neveřejný seznam. Seznam subjektů kritické infrastruktury kromě informací o jednotlivých subjektech kritické infrastruktury obsahuje i informace týkající se odvětví a pododvětví, ve kterých daný subjekt kritické infrastruktury poskytuje základní službu. Dále přehled všech poskytovaných základních služeb a také informace o členských státech, do kterých nebo ve kterých subjekt kritické infrastruktury poskytuje základní službu. Ministerstvo vnitra dále plní úkoly v oblasti určování subjektů evropské kritické infrastruktury, kde bude mít povinnost vyrozumět tyto subjekty o jejich určení ze strany Evropské komise (resp. slovy směrnice CER o jejich označení Evropskou komisí za kritický subjekt zvláštního evropského významu). Ochrana poskytovaných dat je zaručena tím, že portál kritické infrastruktury bude součástí informačního systému krizového řízení a bude tak využívat jeho nastavené zabezpečení. Současně bude Ministerstvo vnitra, jako správce portálu kritické infrastruktury, regulovaným subjektem v režimu vyšších povinností podle zákona o kybernetické bezpečnosti, a bude tak muset plnit standardy stanovené tímto zákonem v oblasti kybernetické bezpečnosti.
Nově bude Ministerstvo vnitra zpracovávat Strategii pro posílení odolnosti subjektů kritické infrastruktury, jejíž struktura bude vycházet z požadavků stanovených směrnicí CER (k tomu viz implementační ustanovení § 3 zákona o odolnosti subjektů kritické infrastruktury).. Součinnost při zpracování Strategie budou poskytovat věcně příslušná ministerstva a jiné ústřední správní úřady a Česká národní banka. Věcně příslušná ministerstva, jiné ústřední správní úřady nebo Česká národní banka mohou v rámci zajišťování součinnosti spolupracovat s odborníky ve svých odvětvích, s poskytovateli základní služby a po jejich určení se subjekty kritické infrastruktury. Současně se předpokládají veřejné konzultace při přípravě Strategie a zapojení vhodných aktérů i mimo oblast státní správy.
Ministerstvo vnitra bude dále předávat subjektům kritické infrastruktury informace o možném ohrožení, které by mohlo zapříčinit narušení poskytování základní služby z jejich strany, a bude jim poskytovat části posouzení rizik České republiky, zpracovávaného podle novely krizového zákona, a to za účelem zpracování vlastních posouzení rizik, což je povinnost vyplývající ze směrnice CER. Rovněž bude organizovat v součinnosti s ministerstvy, jinými ústředními správními úřady a Českou národní bankou školení a cvičení subjektů kritické infrastruktury. Zahrnutí subjektu kritické infrastruktury do plánu cvičení Ministerstva vnitra se považuje za splnění povinnosti provést cvičení jednou za tři roky.
Ministerstvo vnitra bude i nadále pokračovat v plnění funkce jednotného kontaktního místa za Českou republiku pro zajištění komunikace, spolupráce a výměny informací s Evropskou komisí a ostatními členskými státy Evropské unie. V souvislosti s tím bude plnit úkoly v oblasti zvyšování odolnosti subjektů kritické infrastruktury vyplývající ze směrnice CER. Povinnosti vyplývající z členství v Evropské unii budou zahrnovat předkládání informací o seznamu základních služeb, včetně jejich kritérií a počtu subjektů kritické infrastruktury podle odvětví, pododvětví a každé základní služby, o Strategii a posouzení rizik České republiky, a to každé čtyři roky. Během této čtyřleté lhůty lze dokumenty novelizovat podle potřeby. Dále každé dva roky bude Ministerstvo vnitra povinno předložit souhrnnou zprávu o incidentech, a také nezbytné informace o subjektu kritické infrastruktury, který stejné nebo podobné základní služby v šesti nebo více členských státech Evropské unie. Uvedené informace bude Ministerstvo vnitra zasílat Evropské komisi. Tyto informace budou relevantní pouze pro odvětví uvedená ve směrnici CER a nebudou se vztahovat na odvětví přidaná v rámci národní implementace nad rámec směrnice CER. Výše uvedené lhůty vycházejí z příslušných článků směrnice CER.
S plněním úkolů vyplývajících z členství České republiky v Evropské unii souvisí i povinnosti v problematice realizace poradních misí Evropské komise. Jedná se o zcela nový nástroj, který je zaměřen na subjekty evropské kritické infrastruktury. Poradní mise může být zorganizována na základě odůvodněné žádosti Evropské komise nebo jednoho nebo více členských států, jimž nebo v nichž je poskytována základní služba, a to se souhlasem členského státu, který určil konkrétní subjekt evropské kritické infrastruktury jakožto kritický subjekt. Cílem poradní mise je posouzení opatření zavedených tímto subjektem, přičemž poradní mise by se měla řídit právními předpisy daného členského státu. Například se jedná o přesné podmínky, které je třeba splnit za účelem získání přístupu do relevantních prostor subjektu evropské kritické infrastruktury nebo k jeho dokumentaci zpracovávané v souladu s návrhem tohoto zákona.
S ohledem na skutečnosti vyplývající z informační povinnosti vůči Ministerstvu vnitra, bude Ministerstvo vnitra vést seznam subjektů kritické infrastruktury, evidenci hlášených incidentů a přehled o provedených kontrolách a cvičeních.
Ministerstvo vnitra bude na základě propojení návrhu zákona s dalšími právními předpisy poskytovat na základě žádosti informace o subjektech kritické infrastruktury HZS kraje a Českému úřadu zeměměřickému a katastrálnímu (dále jen „ČÚZK“) za účelem plnění jejich povinností podle zvláštních právních předpisů. HZS kraje obdrží informace potřebné pro zpracování části krizového plánu kraje a ČÚZK obdrží potvrzení, že osoba, která si žádá přístup do neveřejné části digitální technické mapy, je subjektem kritické infrastruktury.
K odstavci 2
Stejně jako v současném systému kritické infrastruktury podle krizového zákona bude vymezené úkoly Ministerstva vnitra plnit generální ředitelství hasičského záchranného sboru České republiky. Jedná se o ustálenou legislativní techniku, která je využita např. v krizovém zákoně, zákoně o IZS nebo zákoně o požární ochraně.
K odstavci 3
V souladu se směrnicí CER je stanoveno, že informační povinnost jednotného kontaktního místa nezahrnuje poskytování informací týkajících se odvětví bezpečnosti.
K § 7 - Národní úřad pro kybernetickou bezpečnost
Vzhledem k tomu, že se hlášení incidentů podle tohoto zákona nevztahuje na subjekty kritické infrastruktury v odvětví digitální infrastruktura, bude Národní úřad pro kybernetickou a informační bezpečnost bez zbytečného odkladu informovat Ministerstvo vnitra o kybernetických bezpečnostních incidentech hlášených podle zákona upravujícího kybernetickou bezpečnost. Náležitosti hlášení incidentů budou odpovídat parametrům uvedených v zákoně upravujícího kybernetickou bezpečnost.
K § 8 – Česká národní banka
Česká národní banka bude v systému kritické infrastruktury podle návrhu zákona vystupovat v zúžené roli oproti ministerstvům a jiným ústředním správním úřadům. Její vymezení v samostatném paragrafu je jednak dáno jejím odlišným právním postavením, a také z důvodu vyčlenění subjektů kritické infrastruktury v odvětví bankovnictví a infrastruktura finančních trhů z regulace podle článku 8 směrnice CER. Česká národní banka přitom bude výhradním gestorem v těchto dvou odvětvích. Gesce České národní banky v rámci těchto odvětví vychází ze současného systému kritické infrastruktury podle krizového zákona, ale také z hlavní gesce za nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (dále jen „nařízení DORA“), jehož působnost je promítnuta do odvětví bankovnictví a infrastruktury finančních trhů, které jsou uvedeny ve směrnici CER.
Vzhledem k tomu, že se hlášení incidentů podle tohoto zákona nevztahuje na subjekty kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů, bude Česká národní banka bez zbytečného odkladu informovat Ministerstvo vnitra o incidentech hlášených podle nařízení DORA. Náležitosti hlášení incidentů budou odpovídat parametrům uvedených v tomto nařízení.
V souvislosti s povinnými konzultacemi s Evropskou centrální bankou podle čl. 127 odst. 4 Smlouvy o fungování EU ke všem návrhům aktů Unie z oblasti její působnosti nebo ke všem návrhům právních předpisů, avšak v mezích a za podmínek stanovených Radou postupem podle čl. 129 odst. 4, proběhly prostřednictvím Česká národní banky neformální konzultace a Evropská centrální banka tuto konzultaci nepožaduje.
K § 9 – Povinnosti poskytovatele základní služby
K odstavci 1
Poskytovateli základní služby vznikne tímto ustanovením povinnost poskytnout věcně příslušnému ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra veškeré nezbytné informace, ze kterých budou věcně příslušné orgány vycházet při procesu určení subjektu kritické infrastruktury – tj. podklady potřebné k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury. Poskytovatel základní služby tak učiní z vlastní iniciativy. Poskytovatelem je každý, kdo poskytuje základní službu. Potvrzení této skutečnosti nastává, jakmile dojde k jeho určení subjektem kritické infrastruktury, tedy rozhodnutím o zařazení na seznam subjektů kritické infrastruktury. Od této chvíle se hovoří o subjektu kritické infrastruktury. Pokud k jeho určení nedojde, nejednalo se o poskytovatele základní služby - tj. uvedená osoba nesplňovala podmínky vymezené zákonem a jeho prováděcí právní úpravou.
Informace, které bude poskytovatel základní služby poskytovat, budou obsahovat údaje o poskytované základní službě a naplnění kritérií významnosti, kritické infrastruktuře na území nebo mimo území České republiky, která je nezbytná k zajištěné poskytování této základní služby a dále informace o základní službě poskytované mimo území České republiky. V této souvislosti tedy poskytovatel základní služby fakticky potvrzuje, že vlastní nebo provozuje alespoň část své kritické infrastruktury na území České republiky, v rámci portálu kritické infrastruktury - tedy poskytovatel základní služby potvrdí, že se na území České republiky nachází např. elektrárna, teplárna, vodárna, serverovna, nemocnice, atp., případně existuje podobné zařízení v zahraničí. Detailní analýzu kritické infrastruktury na území nebo mimo území České republiky a následné doplnění těchto informací provede až jako subjekt kritické infrastruktury v rámci opatření k zajištění odolnosti subjektu kritické infrastruktury.
K odstavci 2
Poskytovatel základní služby musí z vlastní iniciativy uvedené informace poskytnout ve lhůtě nejpozději do tří měsíců ode dne, kdy došlo k zahájení poskytování základní služby. V případě, že by poskytovatel základní služby nesplnil tuto povinnost v rámci zákonné lhůty, bude věcně příslušné ministerstvo a jiný ústřední správní úřad nebo Česká národní banka oprávněna uložit sankci za neplnění povinností. Stejně tak bude poskytovateli základní služby hrozit postih v případě, kdy při plnění povinnosti podle tohoto ustanovení úmyslně uvede nepravdivé informace, na základě, kterých by mohlo dojít k nesprávnému posouzení poskytnutých informací za účelem určení subjektu kritické infrastruktury.
Zákon rovněž předpokládá možnost, aby si mohlo věcně příslušné ministerstvo, jiný ústřední správní úřad, Česká národní banka nebo Ministerstvo vnitra vyžádat od poskytovatele základní služby potřebné informace. V tomto případě je stanovena lhůta 1 měsíce od doručení výzvy k poskytnutí informací. Nevyhovění této výzvě má za následek porušení povinnosti stanovené v odstavci 1 – tedy opět je možné potrestat poskytovatele základní služby za nesplnění informační povinnosti.
V rámci prvotního zařazení subjektů kritické infrastruktury na seznam subjektů kritické infrastruktury bude v souladu s přechodným ustanovením v návrhu zákona dostatečná časová lhůta pro poskytnutí informací podle odstavce 1, jelikož navržené přechodné ustanovení prodlužuje lhůtu pro plnění povinnosti tyto informace poprvé hlásit nejpozději do 1. března 2026.
Vzhledem k relativní jednoduchosti definic jednotlivých základních služeb a kritérií významnosti a nenáročnosti procesu sebehodnocení by měly být navrhované lhůty pro poskytnutí informací plně dostačující i pro subjekty s komplikovanější organizační strukturou.
Proces poskytnutí informací nezbytných k zařazení na seznam subjektů kritické infrastruktury bude realizován prostřednictvím portálu kritické infrastruktury, který bude pro potřeby tohoto zákona zřízen jako součást informačního systému krizového řízení, jenž bude zřízen v souvislosti s novelou krizového zákona. Podrobnosti ke způsobu přihlášení do portálu kritické infrastruktury a k rozsahu informací poskytovaných poskytovateli základních služeb stanoví vyhláška Ministerstva vnitra.
K § 10 – Základní služba a kritérium významnosti
Kritéria významnosti představují klíčové hodnoty pro identifikaci poskytovatele základní služby a rozhodnutí o jeho určení či neurčení za subjekt kritické infrastruktury zařazením na seznam subjektů kritické infrastruktury. Budou mít stejně jako v případě dosavadních odvětvových kritérií podobu specifických technických, provozních a dalších hodnot definovaných pro každou základní službu zvlášť s ohledem na odvětví nebo pododvětví. Jednotlivé parametry mohou být pro stanovení kritéria významnosti použity samostatně, nebo může být použita jejich kombinace.
Příloha návrhu zákona definuje seznam odvětví a pododvětví, v rámci, kterých mají být nařízením vlády stanoveny základní služby a kritéria významnosti. Obsah tohoto nařízení vlády bude z velké části vycházet z požadavků směrnice CER a zejména pak z aktu v přenesené pravomoci ke stanovení demonstrativního výčtu základních služeb v jednotlivých odvětvích a pododvětvích, který přijala Evropská komise v souladu s článkem 5 směrnice CER.
Způsob stanovení základních služeb a kritérií významnosti nařízením vlády byl zvolen jednak z důvodu zásahu do věcné působnosti více ministerstev a jiných ústředních správních úřadů nebo České národní banky, a pak také z důvodu budoucího operativnějšího procesu novelizace, resp. přidání nových základních služeb, pokud tyto budou identifikovány na základě posouzení rizik České republiky, při změně v bezpečnostním prostředí nebo rozšíření či zúžení aktérů působících na trhu.
V rámci písmena e) bylo oproti směrnici CER upuštěno od části znění ustanovení „ostrovní či“, a to z důvodu chybějící relevance pro Českou republiku.
Základní služby vychází z aktu v přenesené pravomoci Evropské komise a mohou být rozšířeny v rámci národní regulace. Ministerstvo vnitra bude jednotlivé základní služby společně s kritérii významnosti konzultovat s věcně příslušnými ministerstvy, jinými ústředními správními úřady nebo Českou národní bankou v rámci procesu přípravy nařízení vlády nebo jeho případné novelizace.
Jednotlivé základní služby a kritéria významnosti budou stanovena nařízením vlády, přičemž se bude jednat o specifické technické, provozní a další hodnoty definované pro každou základní službu zvlášť s ohledem na odvětví nebo pododvětví.
Ve srovnání se současným systémem kritické infrastruktury je tak první krok v procesu určení subjektu kritické infrastruktury na poskytovateli základní služby, kterým se daná osoba stane prostým naplněním objektivních kritérií od doby účinnosti tohoto návrhu zákona. Výhody tohoto přístupu lze spatřovat v urychlení, usnadnění a sjednocení procesu identifikace poskytovatelů základní služby a ve snadném přístupu k informacím potřebným pro následné určení subjektu kritické infrastruktury rozhodnutím o jeho zařazení na seznam subjektů kritické infrastruktury.
K § 11 – Zařazení na seznam subjektů kritické infrastruktury
K odstavci 1
Formální určení subjektu kritické infrastruktury rozhodnutím o zařazením poskytovatele základní služby na seznam subjektů kritické infrastruktury, které je posledním krokem celkového procesu určování subjektů kritické infrastruktury, se v novém pojetí bude od současného přístupu odlišovat. S novým přístupem dojde ke sjednocení a zjednodušení procesu určování, kdy již nebude hrát roli to, zda je potenciální subjekt kritické infrastruktury organizační složkou státu či nikoliv.
Tomuto kroku však bude předcházet posouzení poskytované základní služby a naplnění kritérií významnosti věcně příslušným ministerstvem, jiným ústředním správním úřadem nebo Českou národní bankou, a to na základě informací poskytnutých poskytovatelem základní služby. Věcně příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka posoudí informace o poskytovateli základní služby a následně podá podnět Ministerstvu vnitra k rozhodnutí o zařazení daného poskytovatele základní služby na seznam subjektů kritické infrastruktury. Obsahem výstupu věcně příslušného ministerstva, jiného ústředního správního úřadu nebo České národní banky přitom může být i faktické nedoporučení na určení daného poskytovatele základní služby subjektem kritické infrastruktury, pokud v rámci posouzení poskytnutých informací dojde k závěru, že nebyly splněny zákonem a prováděcí právní úpravou vymezené podmínky. V takovém případě Ministerstvo vnitra vezme toto nedoporučení na vědomí a přirozeně nebude vydávat rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.
K odstavci 2 a 3
Samotné rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury vydá Ministerstvo vnitra. S ohledem na účel směrnice CER byla v rámci implementace zohledněna potřeba stanovit možnost “jednoduššího správního řízení”. Bylo přitom zvoleno řešení známé i z jiných právních předpisů - tj. umožnění vydání rozhodnutí jako prvního úkonu v řízení a výslovné stanovení, že rozklad podaný proti takovému rozhodnutí nemá odkladný účinek. Možnost rozhodnout prvním úkonem pak nevylučuje, aby v určitých případech vedlo Ministerstvo vnitra běžné správní řízení - například v případech, kdy existují pochybnosti o tom, zda byly naplněny podmínky pro to, aby mohl být poskytovatel základní služby zařazen na seznam subjektů kritické infrastruktury. Lze však předpokládat, že takové situace budou výjimečné, neboť koncept určování subjektů kritické infrastruktury by měl být spíše formalitou - naplnění podmínek pro určení subjektu kritické infrastruktury by mělo být zjevné již na základě podřazení pod podmínky vymezené v zákoně a prováděcí právní úpravě, kdy použití exaktních kritérií prakticky vylučuje správní uvážení.
Takto nastavený proces vyplývá zejména ze zkušeností z aplikační praxe. Využívání opatření obecné povahy či usnesení vlády se neosvědčilo, a to jak z důvodu značné časové prodlevy, tak z důvodu nutnosti zachování neveřejnosti seznamu subjektů kritické infrastruktury. Určování prvků kritické infrastruktury formou opatření obecné povahy s sebou neslo procesní komplikace spojené s nutností vyvěšovat opatření obecné povahy na úřední desku, čímž byla narušena a ohrožena citlivost informací o určované kritické infrastruktuře.
Proces určování je postaven na procesu sebehodnocení a splnění informační povinnosti. Rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, tedy finální krok k začlenění poskytovatele základní služby do systému subjektů kritické infrastruktury, je proto primárně formálního charakteru a odvíjí se od něj například běh lhůt. Ve skutečnosti se však de facto jedná se o potvrzení skutečnosti, která nastala splněním kritérií významnosti základní služby.
K odstavci 4
V tomto ustanovení je vymezen obsah seznamu subjektů kritické infrastruktury - předkladatel vychází z požadavků směrnice CER a omezuje se tak na identifikační údaje subjektu kritické infrastruktury (zejména název, IČO), poskytovanou základní službu, odvětví, ve kterém základní službu poskytuje, a výčet členských států, ve kterých základní službu poskytuje. Zároveň se jedná o neveřejný seznam (nikoliv však o seznam utajovaný např. ve smyslu zákona č. 412/2005 Sb.).
K odstavci 5
Ministerstvo vnitra do jednoho měsíce od rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury informuje dotčený subjekt kritické infrastruktury, věcně příslušný orgán, který dal podnět k zařazení tohoto subjektu kritické infrastruktury, a Národní úřad pro kybernetickou a informační bezpečnost, o tom, že došlo k zařazení tohoto subjektu kritické infrastruktury na seznam subjektů kritické infrastruktury, a o vyplývajících povinnostech a souvisejících lhůtách vyplývajících z tohoto zařazení.
K odstavci 6
Lhůty k plnění povinností subjektu kritické infrastruktury podle tohoto zákona se začínají počítat od okamžiku doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, není-li stanoveno jinak. V souvislosti se stanovením lhůt u plnění povinností subjektu kritické infrastruktury, je návrh zákona vázán čl. 6 odstavcem 3 směrnice CER. Jedná se zejména o lhůty pro zpracování posouzení rizik subjektu kritické infrastruktury (9 měsíců) a dále pro plnění opatření pro zajištění odolnosti subjektu kritické infrastruktury (článek 13 směrnice CER) – konkrétně se jedná o zpracování plánu odolnosti, přijímání opatření k zajištění odolnosti subjektu kritické infrastruktury (10 měsíců), určení manažera kritické infrastruktury (10 měsíců) a povinnosti hlásit incidenty. Od tohoto okamžiku je také subjekt kritické infrastruktury odpovědný za případné přestupky, kterých se neplněním svých povinností dopustí.
Za účelem zachování právní jistoty je zároveň stanoveno, že subjekty kritické infrastruktury jsou povinni plnit povinnosti dané návrhem zákona po celou dobu svého zařazení na seznamu subjektů kritické infrastruktury, a to až do okamžiku doručení rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury.
K § 12 a 13 – Změny v poskytování základní služby
K § 12 odstavci 1
Informační povinnost subjektu kritické infrastruktury nekončí s jeho zařazením na seznam subjektů kritické infrastruktury, ale trvá po celou dobu jeho působení v systému subjektů kritické infrastruktury. Důvodem pro to je zejména potřeba reagovat na organizační, technické či výrobní změny u jednotlivých subjektů kritické infrastruktury, které mohou vést rozšíření počtu základních služeb, které daný subjekt kritické infrastruktury poskytuje. Návrh zákona tuto fakt zohledňuje povinností subjektu kritické infrastruktury hlásit změnu v rozsahu již poskytované základní služby, včetně ukončení jejího poskytování, nebo hlásit poskytování nové základní služby.
K § 12 odstavci 2
Proces posuzování nahlášených změn bude probíhat odlišně od procesu určování subjektů kritické infrastruktury. Bude založen primárně na plnění informačních povinností a provádění faktických změn z doručených informací plynoucích, přičemž v případě rozšíření celkového výčtu poskytovaných základních služeb provede Ministerstvo vnitra po posouzení ze strany věcně příslušného orgánu aktualizaci údajů v seznamu subjektů kritické infrastruktury doplněním těchto změn do seznamu subjektů kritické infrastruktury. Konkrétně se může jednat jak o úpravu již zapsaných údajů, tak i doplnění nově poskytované základní služby. Po doplnění těchto informací následně Ministerstvo vnitra vyrozumí dotčený subjekt kritické infrastruktury, věcně příslušný orgán a dále Národní úřad pro kybernetickou a informační bezpečnost.
K § 12 odstavci 3
Lhůty k plnění povinností subjektu kritické infrastruktury vůči nově zapsané základní službě pak začínají běžet od okamžiku doručení vyrozumění o zapsání nově poskytované základní služby na seznam subjektů kritické infrastruktury, není-li stanoveno jinak. Povinnosti vůči nově zapsané základní službě jsou pak subjekty kritické infrastruktury povinny plnit po celou dobu jejího zapsání na seznamu subjektů kritické infrastruktury, a to až do okamžiku doručení vyrozumění o jejím vymazání ze seznamu subjektů kritické infrastruktury. Lhůty související s nově zapsanou základní službou pak nemají žádný vliv na lhůty, týkající se dříve zapsaných základních služeb, nebo lhůty související s jeho prvotním zařazením na seznam subjektů kritické infrastruktury.
K § 13 odstavci 1
Ustanovení tohoto odstavce stanovuje postup při vymazání již neposkytované základní služby, respektive postup při rozhodnutí o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury v případě, kdy již subjekt kritické infrastruktury neposkytuje žádnou základní službu a pominuly tak podmínky pro jeho zařazení na seznamu subjektů kritické infrastruktury.
Proces vymazání služby se týká situace, kdy zapsaná základní služba, kterou subjekt kritické infrastruktury poskytuje, přestane splňovat kritéria pro identifikaci základní služby, nebo přestala být poskytována úplně. V takovém případě Ministerstvo vnitra tuto zapsanou službu vymaže ze seznamu subjektů kritické infrastruktury a o tomto úkonu vyrozumí daný subjekt kritické infrastruktury, věcně příslušný orgán a Národní úřad pro kybernetickou a informační bezpečnost. Vymazání již neposkytované základní služby však samo o sobě neznamená vyřazení daného subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury.
K § 13 odstavci 2
Vyřazení subjektu kritické infrastruktury se pak týká situace, kdy subjekt kritické infrastruktury přestane splňovat kritéria poskytovatele základní služby pro všechny poskytované základní služby, které má zapsány v seznamu subjektů kritické infrastruktury. V takovém případě pomíjí podmínky vést subjekt kritické infrastruktury v seznamu subjektů kritické infrastruktury a Ministerstvo vnitra jej tak ze seznamu vyřadí, a to na základě rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury. Praktickým důsledkem bude nutnost nového zařazení na seznam subjektů kritické infrastruktury v případě, že tento orgán nebo osoba začne opět poskytovat službu naplňující kritéria pro identifikace základní služby.
K § 13 odst. 3
Pro rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury je stanoven postup obdobný jako v případě jeho zařazení na tento seznam - blíže viz odůvodnění k § 11.
K § 13 odst. 4
Obdobně jako v případě zařazení subjektu kritické infrastruktury na seznam subjektů kritické infrastruktury, musí Ministerstvo vnitra o této skutečnosti informovat Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.
K § 14 – Práva a povinnosti subjektu kritické infrastruktury
K odstavci 1
Návrh zákona rozšíří a upraví povinnosti subjektu kritické infrastruktury. V rámci zpracovávané dokumentace bude nově subjekt kritické infrastruktury povinen vypracovat posouzení rizik subjektu kritické infrastruktury, přičemž toto posouzení rizik bude vycházet z Posouzení rizik České republiky zpracovávaného podle novely krizového zákona, která bude zohledňovat požadavky směrnice CER na posouzení rizik členského státu. Ke zpracování posouzení rizik subjektu kritické infrastruktury je možné využít ČSN ISO 31000 Management rizik – směrnice a ČSN EN IEC 31010 Management rizik – Techniky posuzování rizik. Směrnice CER za tímto účelem definuje pojmy riziko a posouzení rizik, které jsou používány v běžné praxi řízení rizik a přizpůsobuje je pro potřeby odolnosti subjektů kritické infrastruktury – tyto definice byly přijaty i do předkládaného zákona (viz § 2). Dále bude subjekt kritické infrastruktury zpracovávat plán odolnosti subjektu kritické infrastruktury, který nahradí dosavadní plán krizové připravenosti subjektu kritické infrastruktury. Obsahem plánu odolnosti subjektu kritické infrastruktury budou mimo jiné technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury. Technická a organizační opatření přitom nejsou považována za podmnožinu bezpečnostních opatření, neboť mohou obsahovat opatření nevztahující se primárně ke zvýšení bezpečnosti, ale např. ke kontinuitě podnikání nebo dalších opatření ryze organizačního charakteru, která s bezpečností nesouvisejí (např. řízení lidských zdrojů). Náležitosti a obsah posouzení rizik subjektu kritické infrastruktury a plánu odolnosti subjektu kritické infrastruktury budou specifikovány ve vyhlášce Ministerstva vnitra.
Další povinností subjektu kritické infrastruktury bude určení manažera kritické infrastruktury (viz § 17), a to do 10 měsíců od doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury. V případě, že dojde k určení subjektů kritické infrastruktury, které jsou podrobeny jednotnému řízení v rámci koncernu, může subjekt kritické infrastruktury určit pouze jednoho manažera kritické infrastruktury zastupujícího všechny subjekty kritické infrastruktury v rámci takového koncernu. K této možnosti bylo přistoupeno za účelem umožnění jednodušší komunikace se subjekty kritické infrastruktury v rámci koncernu.
Je též žádoucí, aby v případě změn na pozici manažera kritické infrastruktury nedocházelo k delším prodlevám nebo pasivitě subjektu kritické infrastruktury v jeho obsazení (určení). Z tohoto důvodu je stanovena povinnost určení bez zbytečného odkladu vždy, když dosavadní manažer kritické infrastruktury přestane vykonávat svoji funkci. Co se týká možného postihu za neurčení bez zbytečného odkladu, nutno brát v potaz, že přestupkové jednání musí naplňovat nejenom formální stránku, ale také tu materiální. Proto by postih přicházel v úvahu primárně za situace, kdy by subjekt kritické infrastruktury tuto funkci neobsadil, ačkoli by mu v tom objektivně nebránila žádná podstatná skutečnost. V tomto smyslu nutno také nahlížet na lhůtu „bez zbytečného odkladu“, která bude vždy vycházet z konkrétních okolností daného subjektu či situace „na trhu práce“. Část ustanovení písmena g) pojednávající o ukončení vykonávání funkce manažera kritické infrastruktury je potřeba vykládat tak, že manažer kritické infrastruktury např. ukončil pracovní poměr nebo je dlouhodobě neschopen práce. Nejedná se tedy např. o kontinuální čerpání dovolené v řádu dnů či týdnů nebo krátkodobou nemoc.
Subjekt kritické infrastruktury bude povinen informovat Ministerstvo vnitra o skutečnosti, v nebo do kterých členských států Evropské unie poskytuje základní, nebo jí obdobou službu nebo služby. Dále bude povinen Ministerstvu vnitra hlásit vzniklé incidenty a informovat jej o skutečnosti, že je součástí koncernu a že je v rámci něj řízenou nebo řídící organizací. Současně bude subjekt kritické infrastruktury informovat Ministerstvo vnitra o osobách, které jsou poskytovateli základní služby. Je potřeba zdůraznit, že ustanovení „oznámit Ministerstvu vnitra a věcně příslušnému ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance“ neznačí povinnost subjektu kritické infrastruktury oznamovat uvedenou skutečnost dvakrát, ale pouze jednou. Dotčené orgány si ji následně předají. To platí pro všechny části návrhu zákona, ve kterých se takové či obdobné ustanovení vyskytuje.
Za účelem zpracování Posouzení rizik ČR podle krizového zákona, může být subjekt kritické infrastruktury vyzván k poskytnutí podkladů pro zpracování tohoto posouzení. Bude se jednat o podklady, které má subjekt kritické infrastruktury k dispozici a současně budou směřovat zejména na část Posouzení rizik ČR, která bude zapracovávat požadavky směrnice CER, zejména pak s ohledem na posuzování meziodvětvových dopadů, konkrétně v souladu s článkem 5 odst. 2 písm. c) směrnice CER („relevantní rizika vyplývající z míry závislosti mezi odvětvími, jež jsou stanovena v příloze, včetně míry závislosti na subjektech nacházejících se v jiných členských státech a třetích zemích, a dopad, který může významné narušení v jednom odvětví mít na ostatní odvětví, včetně veškerých významných rizik pro občany a vnitřní trh“).
Návrh zákona uloží subjektu kritické infrastruktury povinnost umožnit Ministerstvu vnitra a věcně příslušnému ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance vykonání kontroly plnění povinností včetně způsobu zajišťování své odolnosti, a to včetně umožnění vstupů a vjezdů na pozemky a do prostorů, které subjekt kritické infrastruktury používá k poskytování svých základních služeb. Dále pak určit kritické dodavatele a informovat Ministerstvo vnitra o tomto jejich postavení. V souvislosti s identifikací kritického dodavatele a informování o typu významné dodávky nelze provést bližší specifikaci v rámci návrhu zákona, a to zejména v souvislosti s širokým rozsahem regulovaných odvětví a pododvětví a v nich určených subjektech kritické infrastruktury vykonávajících různé typy činností, které v rámci své činnosti navazují různé druhy dodavatelských vztahů. V rámci plnění informační povinnosti související s typem dodávky nebude zapotřebí poskytovat detailní informace, ale základní charakteristiku dodávky.
Příklady typů významných dodávek podle jednotlivých odvětví
Odvětví
Typ významné dodávky
Energetika
· Dodávky transformátorů, kabelů, generátorů, náhradních dílů pro elektrárny;
· Dodávky kompresorových stanic, potrubí, měřicích zařízení, regulačních ventilů;
· Dodávky skladovacích nádrží, čerpacích stanic;
· Dodávky klíčových materiálů a surovin.
Pitná voda
· Dodávky čerpacích stanic, filtračních zařízení, chemikálií pro úpravu vody (např. chlor);
· Dodávky průmyslových filtrů, čerpadel, systémů pro recyklaci vody.
Odpadní voda
· Dodávky čistíren odpadních vod, kanalizačních trubek, biologických reaktorů.
Digitální infrastruktura
· Dodávky optických kabelů, routerů, switchů;
· Dodávky serverových racků, záložních napájecích zdrojů (UPS), chlazení datových center;
· Dodávky firewallů, antivirových programů, bezpečnostních softwarů.
Doprava
· Dodávky silničních vozidel, vlakových souprav, letadel;
· Dodávky ICT řešení pro řízení dopravních systémů;
· Dodávky nafty, benzínu, maziv, aditiv
Zdravotnictví
· Dodávky rentgenových přístrojů, ultrazvukových zařízení, monitorovacích systémů;
· Dodávky surovin pro výrobu léků, balicích materiálů, skladovacích podmínek;
· Dodávky roušek, rukavic, ochranných oděvů.
Potraviny
· Dodávky surovin pro výrobu potravin, balicích materiálů, skladovacích zařízení;
· Skladovací prostory a přepravní kapacity
Bankovnictví a Infrastruktura finančních trhů
· Dodávky IT systémů pro bankovní transakce, zabezpečovacích zařízení, bankomatů;
· Dodávky softwarů pro správu pojistných smluv, školicích materiálů;
· Dodávky platebních terminálů, karet, zabezpečovacích systémů.
Veřejná správa
· Dodávky softwarů pro správu dat, komunikačních zařízení, školení pracovníků
· Dodávky bezpečnostních kamer, monitorovacích systémů, ochranných bariér.
Bezpečnost
· Dodávky techniky a prostředků;
· Spolupráce s JSHD, leteckou záchrannou službou;
· Specifická ICT řešení pro výkon činnosti.
Povinností subjektu kritické infrastruktury je zajišťovat základní službu a zvyšovat svoji odolnost. V této souvislosti je mimo jiné zapotřebí plánovat a pořizovat odpovídající věcné prostředky pro řešení incidentů. Součástí plánovacího procesu je i analýza dostupnosti věcných prostředků. Pakliže z této analýzy vyplyne, že za určitých okolností není subjekt kritické infrastruktury schopen tyto prostředky zajistit, např. z důvodu krizové situace, je možné o této skutečnosti informovat příslušné ministerstvo, jiný ústřední správní úřad, nebo Českou národní banku.
Mezi povinnosti subjektu kritické infrastruktury návrh zákona též výslovně zařazuje povinnost ověřovat existenci příslušného oprávnění u osob vykonávajících citlivou činnost ve smyslu zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Návrh zákona stanoví okruh citlivých činností ve svém § 18 odst. 3. Podle zákona č. 412/2005 Sb. je nezbytné, aby byl pracovník, který vykonává citlivou činnost podle návrhu zákona držitelem dokladu o bezpečnostní způsobilosti nebo držitelem osvědčení fyzické osoby. Předkladatel se na základě praktické zkušenosti z aplikační praxe Národního bezpečnostního úřadu rozhodl výslovně uložit povinnost ověřovat, zda je příslušný pracovník oprávněn citlivou činnost vykonávat. Tím se zvýší právní jistota, že citlivou činnost budou vykonávat pouze ty osoby, které jsou k tomu oprávněné a nepředstavují tak bezpečnostní riziko. Stanovením předmětné povinnosti současně dojde ke zvýšení odolnosti subjektu kritické infrastruktury.
K odstavci 2
Součástí návrhu zákona jsou také nové možnosti pro subjekt kritické infrastruktury. K těm patří ověřování spolehlivosti pracovníků včetně uchazečů o zaměstnání v odvětvích nebo pododvětvích, v souladu s Posouzením rizik České republiky. Dále bude subjekt kritické infrastruktury oprávněn využívat platformu pro výměnu informací zřízenou Ministerstvem vnitra. V tomto případě se může jednat o platformu v rámci portálu kritické infrastruktury (např. společný „chatu“ subjektů kritické infrastruktury) či pracovní skupinu. Subjekty kritické infrastruktury dále budou zpracovávat osobní údaje zaměstnanců, které jsou nezbytné pro plnění úkolů podle tohoto návrhu zákona.
K odstavci 3
V souvislosti s přípravou na krizové situace bude subjekt kritické infrastruktury oprávněn požádat o zajištění přednostního volání v sítích mobilních operátorů pro kritické pracovníky, a to jejich zahrnutím mezi účastníky krizové komunikace. Přednostní připojení se však tímto ustanovením přímo nezřizuje. Jedná se o součást procesu pro zajištění přednostního připojení, a to v souladu se zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů. Subjekt kritické infrastruktury identifikuje požadavek na zajištění přednostního připojení svého kritického pracovníka a tento požadavek přednese svému gestorovi pro odvětví nebo pododvětví. Gestor následně v souladu s § 5 tohoto zákona bude postupovat standardním způsobem, kdy nejprve posoudí rozsah a oprávněnost uplatňovaného požadavku. Po tomto posouzení následně informuje Ministerstvo vnitra – generální ředitelství HZS ČR a následně informuje příslušný subjekt, který bude moci tímto okamžikem podat žádost o zřízení přednostního připojení na svého mobilního operátora. Mobilní operátor poté při procesu zřízení přednostního připojení již bude postupovat podle zákona o elektronických komunikacích.
Návrh zákona rovněž stanovuje oprávnění požádat během mimořádné události nebo za krizového stavu o zprostředkování vstupu do míst, kam byl omezen nebo zakázán vstup, a to za účelem zajištění poskytování základní služby. Jedná se především o vstup z důvodu zajištění nezbytných oprav a servisních úkonů na kritické infrastruktuře, jež se nachází v místě omezení či zákazu vstupu, anebo pokud je obsluha nutná pro poskytování základní služby. Z charakteru úkonu zcela jasně vyplývá, že se toto oprávnění vztahuje na fyzické osoby, de facto se tedy jedná o pracovníky subjektu kritické infrastruktury a pracovníky kritického dodavatele. Zprostředkováním vstupu se v tomto případě rozumí to, že gestor se níže uvedenými způsobem bude žádostí zabývat, posoudí ji a v případě, že ji vyhodnotí jako potřebnou, předá požadavek příslušnému krizovému štábu k dalšímu opatření.
V aplikační praxi se předpokládá, že příslušný orgán krizového řízení již na základě této právní úpravy zohlední při přípravě krizového opatření možnost zakotvení výjimek pro subjekty kritické infrastruktury a jejich kritické dodavatele tak, že přímo v krizovém opatření se udělí oprávnění gestorovi k individualizovanému posouzení podmínek ve vztahu k vymezeným osobám v ad hoc případech (resp. k vydání povolení na základě kterého bude umožněn vstup do daného prostoru). MV bude na orgány krizového řízení působit především metodicky, aby tyto možnosti byly při vydávání krizových opatření zohledněny.
V případě vyhlášení krizového stavu bude gestor cestou HZS kraje (stav nebezpečí) nebo Ministerstva vnitra – GŘ HZS ČR (nouzový stav, stav ohrožení státu) kontaktovat příslušný krizový štáb, který v případě ad hoc případů (při neexistenci výjimky již v samotném krizovém opatření) posoudí a předá podnět příslušnému orgánu krizového řízení s rozhodovací pravomocí (hejtman, vláda).
K odstavci 4
V případě, že bude subjekt kritické infrastruktury určen také za subjekt evropské kritické infrastruktury, bude povinen poskytnout Evropské komisi prostřednictvím Ministerstva vnitra posouzení rizik subjektu kritické infrastruktury a seznam opatření přijatých k posilování své odolnosti. Dále bude povinen umožnit poradní misi Evropské komise přístup k nezbytným informacím souvisejícím s poskytováním jejich základních služeb a své kritické infrastruktuře a poskytnout jí nezbytnou součinnost. V případě zjištěných nedostatků v rámci poradní mise bude subjekt evropské kritické infrastruktury povinen přijmout nápravná opatření a doporučení s tím související, a o jejich přijetí informovat Evropskou komisi prostřednictvím Ministerstva vnitra.
K odstavci 5
Subjekt kritické infrastruktury, který bude zařazen na seznam subjektů kritické infrastruktury v odvětví bezpečnosti, nebude povinen informovat Ministerstvo vnitra, v nebo do kterých členských států Evropské unie poskytuje základní, nebo jí obdobnou, službu nebo služby a také nebude povinen plnit úkoly v souvislosti s postavením subjektu evropské kritické infrastruktury podle odstavce 4. Odvětví bezpečnosti bude totiž do nového systému kritické infrastruktury zakomponováno nad rámec povinností směrnice CER a pouze pro národní potřeby.
K odstavci 6
V případě posouzení rizik subjektu kritické infrastruktury budou zohledněna veškerá příslušná přírodní rizika a rizika způsobená člověkem, která by mohla zapříčinit incident, včetně rizik meziodvětvové nebo přeshraniční povahy, havárií, přírodních katastrof, mimořádných událostí, hybridních hrozeb či jiných antagonistických hrozeb. Posouzení rizik subjektu kritické infrastruktury zohlední i míru závislosti jiných odvětví stanovených v příloze na základní službě poskytované subjektem kritické infrastruktury a míru závislosti subjektu kritické infrastruktury na základních službách poskytovaných subjekty v těchto jiných odvětvích, a to v příslušných případech včetně odvětví v sousedních členských státech a případně třetích zemích. Základem pro posouzení rizik subjektu kritické infrastruktury by pak mělo být posouzení rizik České republiky, které bude zpracovávané podle návrhu novely krizového zákona. Zároveň, pokud subjekty kritické infrastruktury provedly jiná posouzení rizik nebo vypracovaly dokumenty podle povinností stanovených v jiných právních předpisech, které jsou relevantní pro posouzení rizik subjektu kritické infrastruktury, mohou tato posouzení a dokumenty použít ke splnění požadavku na zpracování posouzení rizik subjektu kritické infrastruktury.
V plánu odolnosti subjektu kritické infrastruktury budou rozpracována a popsána technická, bezpečnostní a organizační opatření, která jsou vhodná a přiměřená rizikům, jimž subjekt kritické infrastruktury čelí, a to za účelem předcházení incidentům, zajištění odolnosti a řízení kontinuity činnosti. Konkrétně bude v rámci plánu odolnosti řešeno předcházení vzniku incidentů, zajištění přiměřené fyzické ochrany kritické infrastruktury, dále opatření zaměřená na odezvu a odolávání důsledkům incidentu a jejich zmírňování. Součástí budou také opatření související se zotavením subjektu kritické infrastruktury z následků incidentu, a to včetně opatření pro zajištění kontinuity činnosti. Součástí opatření k řízení rizik bude plánování věcných zdrojů a dalších nástrojů, ke kterému je subjekt oprávněn podle § 14 odst. 3 zákona.
Obsahem plánu odolnosti dále budou opatření týkající se řízení bezpečnosti zaměstnanců, a to i ve vazbě na mechanismus ověřování spolehlivosti. Spolu s personálními opatřeními budou také řešena opatření k zajištění odborné přípravy zaměstnanců a zvyšování povědomí o přijatých opatřeních a možných rizicích. Stejně jako u posouzení rizik subjektu kritické infrastruktury, i v případě plánu odolnosti může subjekt kritické infrastruktury ke splnění požadavku na zpracování plánu odolnosti použít obdobnou dokumentaci zpracovávanou podle povinností stanovených v jiných právních předpisech, která je relevantní pro plán odolnosti. Struktura a obsah plánu odolnosti nad rámec stanovený směrnicí CER bude vycházet i z plánu kontinuity podnikání podle ISO 22301.
K § 15 – Opatření k zajištění odolnosti subjektu kritické infrastruktury
Návrh zákona je transpozičním předpisem směrnice CER, která stanovuje povinnost přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury, a to konkrétně v článku 13 směrnice. V tomto ohledu je tak nezbytné, aby opatření přijímaná subjekty kritické infrastruktury k zajištění své odolnosti splňovala v minimálním rozsahu požadavky uvedené v této směrnici. Subjekt kritické infrastruktury je odpovědný za zajištění své odolnosti, musí tedy činit veškeré dostupné kroky k tomu, aby svoji odolnost zajistil. To může provádět mimo jiné opatřeními k zajištění odolnosti. Opatření uvedená v § 16 pak subjekt kritické infrastruktury přijímá kontinuálně po celou dobu poskytování základní služby, což v tomto kontextu znamená splnění předpokladu provedení posouzení rizik subjektu kritické infrastruktury a následného zahrnutí nezbytných opatření do plánu odolnosti. V případě nastalých okolností, které budou vyžadovat přijetí specifických opatření, však není vázán výše uvedeným předpokladem.
V souladu se směrnicí se požadavky na zajištění odolnosti vztahují kromě technických a bezpečnostních opatření také na související organizační opatření, související s řízením bezpečnosti zaměstnanců a s organizačními postupy v rámci subjektu kritické infrastruktury.
Cílem opatření je zajistit řádné poskytování základní služby ze strany subjektu kritické infrastruktury. Samotná opatření se poté netýkají pouze reaktivních opatření sloužících k bezprostřednímu zvládnutí nastalého incidentu, ale zaměřují se i na opatření preventivního charakteru, která jsou určena k předcházení vzniku incidentů a s tím související opatření k řízení bezpečnosti zaměstnanců, a to jednak ve smyslu pravidelného školení a výcviku klíčových či kritických pracovníků subjektu kritické infrastruktury, tak i v kontextu minimalizace možných rizik spojených s vnitřní sabotáží subjektu, např. formou stanovování kategorií pracovníků, kteří vykonávají kritické funkce, stanovení přístupových práv, ale i v oblasti ověřování spolehlivosti kritických pracovníků. Dalšími souvisejícími opatřeními jsou pak také opatření zaměřená na řízení bezpečnosti dodavatelského řetězce, a to zejména skrze identifikaci všech kritických dodavatelů, bez nichž by subjekt kritické infrastruktury, bez nichž by subjekt nebyl schopen poskytovat základní službu a dále pak jejich řízení, které by však mělo probíhat primárně na základě smluvně ošetřeného vztahu.
Podstatnými opatřeními, které se budou vztahovat na subjekty kritické infrastruktury, jsou poté opatření pro zajištění kontinuity činnosti, přičemž v tomto hledisku návrh zákona vyžaduje přijímání opatření v souladu s technickými normami ČSN EN ISO 22301 (012306) Bezpečnost a odolnost - Systémy managementu kontinuity podnikání – Požadavky a ČSN EN ISO 22313 (012316) Bezpečnost a odolnost - Systémy managementu kontinuity podnikání - Pokyny pro používání ISO 22301. Navázání požadavku řešit problematiku kontinuity činnosti v souladu s uvedenými technickými normami pak přímo vyplývá i z požadavků směrnice CER, konkrétně článku 16, který se týká možného použití evropských a mezinárodních standardů, norem a technických specifikací.
Součástí opatření odezvy na incidenty a opatření k řízení kontinuity činnosti, je mimo jiné i analýza a zajištění zdrojů pro řešení incidentů. V případě, že nastane taková situace, že subjekt kritické infrastruktury není schopen zajistit si věcné prostředky pro řešení incidentu z vlastních zdrojů, typickým příkladem je krizová situace, která naruší dodavatelský řetězec s dopadem na dostupnost těchto zdrojů na trhu, je v návrhu zákona zakotven systém plánování věcných prostředků v rámci systému hospodářských opatření pro krizové stavy (§ 5 odst. 1 písm. k a § 14 odst. 1 písm. q). Opatření k řízení rizik pak dále obsahuje činnosti odpovídající teorii řízení rizik, a to v souladu s ISO 28000 Specifikace pro systémy managementu bezpečnosti dodavatelských řetězců, ISO 31000 Management rizik – směrnice a ISO 31010 Management rizik – techniky posuzování rizik, stejně jako preventivní opatření k předcházení vzniku incidentů. V rámci opatření fyzické bezpečnosti lze nastavovat různá režimová opatření a systém ochrany kritické infrastruktury. Opatření k řízení bezpečnosti pracovníků pak stanoví pravidla pro ověřování spolehlivosti, ochranu pracovníků a další související opatření.
Detaily týkající se opatření k zajištění odolnosti subjektu kritické infrastruktury pak bude stanoven prováděcím právním předpisem.
K § 16 – Manažer kritické infrastruktury
K odstavci 1
Pojem „manažer kritické infrastruktury“ nově nahradí stávající pojem v oblasti ochrany kritické infrastruktury „styčný bezpečnostní zaměstnanec“. K navrhované změně pojmu má dojít za účelem vhodnějšího pojmenování osoby, která bude plnit úkoly v oblasti zajišťování odolnosti kritické infrastruktury plynoucí z návrhu zákona. Pojem „styčný bezpečnostní zaměstnanec“ totiž podle aplikační praxe neodpovídá definované náplni práce takové osoby a jejímu významu v oblasti kritické infrastruktury.
K odstavci 2
Zároveň dojde ke změně v požadavcích odborné způsobilosti k výkonu funkce manažera kritické infrastruktury. V dosavadním systému může být styčným bezpečnostním zaměstnancem určena pouze osoba, která dosáhla vysokoškolského vzdělání absolvováním studia v akreditovaném studijním programu poskytujícího ucelené poznatky o zajišťování bezpečnosti České republiky, o ochraně obyvatelstva nebo o krizovém řízení nebo má alespoň v jedné z těchto oblastí tříletou praxi. Nově bude muset dosáhnout vysokoškolského vzdělání a prokázat praxi v oblasti zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činností po dobu alespoň jednoho roku nebo bude mít alespoň tříletou praxi v těchto oblastech. Zároveň je nutné, aby osoba, která má vykonávat funkci manažera kritické infrastruktury, splňovala podmínky pro výkon citlivé činnosti podle zákona č. 412/2005 Sb. Za předpokladu splnění kvalifikačních podmínek pro výkon funkce manažera kritické infrastruktury, je výkon této funkce slučitelný s výkonem jiných funkcí (např. s funkcí manažera kybernetické bezpečnosti podle zákona upravujícího kybernetickou bezpečnost).
K odstavci 3
V dosavadním systému plnil úkoly styčného bezpečnostního zaměstnance do doby jeho určení subjekt kritické infrastruktury. V novém pojetí bude úkoly manažera kritické infrastruktury do doby jeho určení (ve lhůtách podle § 14 odst. 1 písm. g) plnit vedoucí organizační složky státu, guvernér České národní banky, statutární orgán právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřený člen, anebo subjektem kritické infrastruktury určený pracovník.
Požadavky na odpovídající vzdělání a praxi se na vrcholového řídícího pracovníka nebo subjektem kritické infrastruktury určeného pracovníka do doby určení manažera kritické infrastruktury nevztahují.
V rámci dotčeného subjektu tak bude nepřetržitě určena osoba, která bude poskytovat součinnost Ministerstvu vnitra a příslušnému ministerstvu nebo jinému ústřednímu správnímu úřadu.
V případě, že manažer kritické infrastruktury nemůže dlouhodobě plnit svoji funkci, například z důvodu dlouhodobě nemoci, ukončení své činnosti nebo jiných dlouhodobých překážkách na straně pracovníka, určí subjekt kritické infrastruktury jiného pracovníka, a to i na dobu přechodnou. Nepřítomnost manažera kritické infrastruktury by současně neměla mít přímý vliv na poskytování základní služby.
K odstavci 4
Podřízenost manažera kritické infrastruktury zmíněným vrcholovým řídícím pracovníkům vychází z požadavků aplikační praxe. Manažer kritické infrastruktury by měl mít rozsáhlý přehled o fungování organizace, z tohoto důvodu je vhodné jeho přímé napojení na řídící pracovníky.
K odstavci 5
U organizace podrobené jednotnému řízení, zejména u subjektů kritické infrastruktury, které jsou koncernem nebo mají jiné obdobné zřízení, je možné určit pouze jednoho manažera kritické infrastruktury, který bude poskytovat součinnost příslušnému orgánu jménem celé společnosti.
K § 17 – Ověřování spolehlivosti
K odstavci 1
Ověřování spolehlivosti kritických pracovníků je jednou z pravomocí subjektu kritické infrastruktury, kterou s sebou přinesla směrnice CER. Důvodem ke vzniku této pravomoci je zajištění bezpečného poskytování základní služby a efektivního řízení bezpečnosti pracovníků a dodavatelského řetězce dotčeného subjektu kritické infrastruktury. Subjekty kritické infrastruktury tak budou moci do stěžejních pracovních pozic ustanovovat prověřené a bezpečnostně způsobilé pracovníky či uchazeče o pracovní pozici. Vzhledem k tomu, že se jedná o oprávnění pro subjekty kritické infrastruktury, je na jejich rozhodnutí, zdali a případně na jaké pracovníky a uchazeče o zaměstnání budou toto ustanovení aplikovat.
K odstavci 2
Směrnice CER stanovila mantinely týkající se okruhu osob, u kterých může subjekt kritické infrastruktury požádat o ověření jejich spolehlivosti, a zároveň minimálního rozsahu tohoto ověřování. Konkrétně se jedná o povinnost ověřit totožnost a bezúhonnost prověřované osoby.
Návrh zákona přímo vychází z tohoto základního vymezení daného směrnicí CER, ale celý systém dále rozvíjí. Celý mechanismus bude tvořen ze dvou paralelních způsobu ověřování spolehlivosti. První z nich přímo vychází ze směrnice CER. V jeho rozsahu tak bude ověřována pouze totožnost ověřované osoby a její bezúhonnost. Tento systém je v České republice již zaveden a běžně probíhá systémem výpisu z rejstříku trestů zejména na pracovištích CzechPoint. Na tomto pracovišti současně dojde jak k ověření totožnosti, tak bezúhonnosti, a to formou výpisu z rejstříků trestů pro občany České republiky, nebo jiného obdobného dokladu u cizích státních příslušníků. Takto nastavený postup bude odpovídat i požadavku čl. 14 odst. 3 směrnice CER, která stanoví, že při ověřování spolehlivosti členské státy využívají Evropský informační systém rejstříků trestů v souladu s postupy stanovenými v rámcovém rozhodnutí 2009/315/SVV a v příslušných situacích případně v nařízení (EU) 2019/816 pro účely získávání informací z rejstříků trestů vedených jinými členskými státy. Ústřední orgány uvedené v čl. 3 odst. 1 rámcového rozhodnutí 2009/315/SVV a v čl. 3 bodě 5 nařízení (EU) 2019/816 poskytnou odpovědi na žádosti o tyto informace do 10 pracovních dnů ode dne, v němž byla taková žádost obdržena v souladu s čl. 8. odst. 1 rámcového rozhodnutí 2009/315/SVV.
K odstavci 3
Druhým stupněm ověřování spolehlivosti, zde již nad rámec směrnice CER, je ověřování bezpečnostní způsobilosti u manažera kritické infrastruktury. Tento systém bude provázán s institutem výkonu citlivé činnosti podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečností způsobilosti. Tato nová povinnost vychází z dosavadních zkušeností týkajících se výměny informací se subjekty kritické infrastruktury, kdy je žádoucí, aby u styčné osoby pro orgány státní správy v této oblasti byla zajištěna určitá míra důvěry. Tím, že manažer kritické infrastruktury bude vykonávat citlivou činnost podle zákona o utajovaných informacích, prokáže svou spolehlivost a důvěryhodnost. Tato skutečnost tak může vést k lepší a efektivnější komunikaci s orgány státní správy a možnosti předávání důležitých informací související s požadavky na zajišťování odolnosti nebo charakteru možného ohrožení. Tato potřeba je o to více markantní v souvislosti s nutností posilování ochrany kritické infrastruktury po začátku ruské agrese na Ukrajině v roce 2022 a hybridního působení určitých státních aktérů na území ČR, ale i EU. Současně je nutné brát v úvahu, že manažer kritické infrastruktury má v rámci subjektu kritické infrastruktury přístup k citlivým informacím, které mohou zahrnovat detaily o bezpečnostních opatřeních, plánovací dokumenty, a strategických informací o kritické infrastruktuře. Pokud by tyto informace byly zneužity nebo se dostaly do nepovolaných rukou, mohlo by to ohrozit národní bezpečnost a fungování klíčových služeb. Výkon citlivé činnosti podle zákona o utajovaných informacích zajistí, že subjekt kritické infrastruktury bude mít do jisté míry jistotu, že tuto funkci vykonává osoba, která splnila bezpečnostní způsobilost.
Pracovník vykonávající citlivou činnost bude muset být držitelem platného dokladu o bezpečnostní způsobilosti fyzické osoby. Citlivou činností je v rámci tohoto zákona výkon funkce manažera kritické infrastruktury. Manažer kritické infrastruktury musí splňovat podmínky pro výkon citlivé činnosti podle § 80 odst. 2 zákona č. 412/2005 Sb., respektive musí být držitelem dokladu o bezpečnostní způsobilosti nebo držitelem osvědčení fyzické osoby.
V rámci analýzy náročnosti na prověřování bezpečnostní způsobilosti ze strany Národního bezpečnostního úřadu se předpokládá cca 300 – 500 osob vykonávajících funkci manažera kritické infrastruktury s tím, že část těchto pracovníků je i v současné době držitelem oprávnění na stupeň utajení DŮVĚRNÉ nebo TAJNÉ.
Současně bude v souvislosti s ověřováním spolehlivosti osob, které budou vykonávat citlivou činnost manažera kritické infrastruktury, nezbytné navýšit kapacity Národního bezpečnostního úřadu nejméně o 3 systemizovaná tabulková místa (13. platová třída) a v souvislosti s tím navýšit odpovídající finanční prostředky kapitoly 308 státního rozpočtu. Požadavek na navýšení systemizovaných tabulkových míst v uvedeném rozsahu je ze strany Národního bezpečnostního úřadu stanoven na nejnižší možné úrovni pro zajištění výše uvedených činností.
K § 18 a 19 – Hlášení incidentu
K § 18 odstavci 1
Ze směrnice CER vychází povinnost zavést mechanismus pro oznamování incidentů, který by příslušným orgánům umožnil na incidenty reagovat rychle a odpovídajícím způsobem a mít komplexní přehled o dopadu, povaze, příčinách a možných důsledcích incidentů, které subjekty kritické infrastruktury řeší. V rámci používání informačního nástroje pro plnění úkolů podle návrhu zákona se předpokládá zasílání hlášení o incidentech prostřednictvím portálu kritické infrastruktury, přičemž bude docházet k automatickému zasílání těchto hlášení všem relevantním subjektům. V případě, že bude tento portál z jakéhokoli důvodu nefunkční, budou subjekty kritické infrastruktury hlásit incidenty z důvodu nebezpečí z prodlení na Národní operační a informační středisko, tedy operační a informační středisko generálního ředitelství HZS ČR.
K § 18 odstavci 2
Hlášení incidentu podle návrhu zákona o odolnosti subjektů kritické infrastruktury nenahrazuje hlášení incidentů podle zákona o kybernetické bezpečnosti nebo nařízení DORA. Pokud se subjekt kritické infrastruktury nachází v nebezpečí, měl by kontaktovat příslušné tísňové linky , hlášení incidentů totiž nenahrazuje potřebu povolat na místo události složky integrovaného záchranného systému, je-li s událostí spojena nutnost provést záchranné nebo likvidační práce.
K § 18 odstavci 3
Aby měl subjekt kritické infrastruktury dostatečný čas přijmout opatření k zajišťování své odolnosti, směrnice CER zavádí lhůtu, od které začíná pro subjekt kritické infrastruktury platit povinnost incidenty podle tohoto návrhu zákona hlásit. Tato lhůta je 10 měsíců od doručení informace o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.
K § 18 odstavci 4
Subjekty kritické infrastruktury by měly bez zbytečného odkladu oznamovat Ministerstvu vnitra, které dále vyrozumí věcně příslušné ministerstvo nebo jiný ústřední správní úřad, incidenty, které významně narušují nebo mohou významně narušit poskytování základních služeb. Věcně příslušné ministerstvo nebo jiný ústřední správní úřad pak může poskytnout subjektu kritické infrastruktury součinnost při řešení incidentu, případně přijmout další návazná opatření v jeho pravomoci.
Oproti jiným ustanovením zákona je v rámci hlášení incidentu nastaven odlišný mechanismus směřující v prvním kroku pouze na Ministerstvo vnitra zcela cíleně, a to právě z důvodu nebezpečí z prodlení, ke kterému by mohlo dojít. Hlášení incidentu představuje určitou časovou tíseň, ve které se subjekt nachází a z důvodu zjednodušení procesu hlášení incidentů je zde subjekt směřován pouze na jedno jediné místo, které disponuje službou 24/7, a to je Ministerstvo vnitra.
Ministerstvo vnitra je současně jednotným kontaktním místem pro Evropskou komisi, které se incidenty rovněž hlásí. Současně má Ministerstvo vnitra povinnost bezodkladně o incidentu informovat příslušného gestora.
Z důvodu odstraňování administrativní zátěže subjektů kritické infrastruktury a jasně deklarovaného postupu při hlášení incidentů bylo Ministerstvo vnitra zvoleno i z toho důvodu, že subjekt v případě poskytování více základních služeb nemusí v prvním kroku řešit, kterému gestorovi incident nahlásí.
K § 18 odstavci 5
Ministerstvo vnitra z pozice jednotného kontaktního místa bez zbytečného odkladu informuje jednotná kontaktní místa ostatních států EU, pokud by na ně mohl mít incident dopad. V případě, že incident vznikl u subjektu evropské kritické infrastruktury, bude Ministerstvo vnitra současně informovat Evropskou komisi.
K § 18 odstavci 6
Pokud bude nutná součinnost ze strany obyvatelstva, případně by měl incident na obyvatelstvo přímý dopad, informuje o této skutečnosti Ministerstvo vnitra v součinnosti s věcně příslušným orgánem a subjektem kritické infrastruktury, veřejnost. K tomuto informování využije běžně používané kanály, jako jsou hromadné informační prostředky, které tuto informaci v nezměněné podobě odvysílají či zveřejní. Informace obsažené ve sdělení či zprávě nesmí být citlivého nebo utajovaného charakteru, nesmí ohrozit bezpečnost subjektu kritické infrastruktury či mu znemožnit řešení incidentu. Takto zveřejněné informace by měly sloužit veřejnosti k tomu, aby se mohla připravit na výpadek či dočasnou nedostupnost základní služby ze strany subjektu kritické infrastruktury.
K § 18 odstavci 7
V odůvodněných případech, tj. takové případy narušení poskytování základní služby, které mohou vést ke vzniku mimořádné události třetího a zvláštního stupně poplachu nebo ke vzniku krizové situace, a to na území příslušného kraje, vyrozumí Ministerstvo vnitra o tomto incidentu hejtmana. Tímto ustanovením není dotčena informační nebo ohlašovací povinnost podle jiných právních předpisů. V případě, že by incident následně přerostl do mimořádné události nebo krizové situace, je v ČR nastaven systém vyrozumění o mimořádných událostech (zákon č. 239/2000 Sb.) nebo krizových situacích (zákon č. 240/2000 Sb.), který bude standardně aplikován.
K § 19 odstavci 1
Subjekt kritické infrastruktury by měl bez zbytečného odkladu oznamovat Ministerstvu vnitra incidenty, které významně narušují nebo mohou významně narušit poskytování základních služeb. Pokud je toho schopen, zašle komplexní informace o incidentu v hlášení. Obsah hlášení plně vychází ze směrnice CER.
K § 19 odstavci 2
V případě, že subjekt kritické infrastruktury není z důvodu řešení incidentu nebo z důvodu rozsahu a povahy incidentu schopen nahlásit veškeré informace podle odstavce 1, předloží nejpozději do 24 hodin od vzniku incidentu prvotní oznámení. Prvotní oznámení by mělo obsahovat pouze informace, které jsou zcela nezbytné k vyrozumění příslušného orgánu o incidentu, a které subjektu kritické infrastruktury umožňují v případě potřeby požádat o pomoc. Toto oznámení by mělo uvádět předpokládanou příčinu incidentu, je-li to v daném případě možné. Prvotní oznámení musí být učiněno tak, aby nebránilo subjektu kritické infrastruktury takovýto incident řešit.
Je-li to relevantní, měla by po prvotním oznámení následovat závěrečná zpráva, a to nejpozději do 30 dnů od předložení prvotního hlášení. V situacích dlouhodobého incidentu trvajícího déle než měsíc se předpokládá předložení průběžné zprávy o pokroku a závěrečnou zprávu lze předložit do 30 dnů po skončení incidentu. Závěrečná zpráva by měla doplnit prvotní oznámení a poskytnout úplnější přehled o incidentu.
K § 19 odstavci 3
V případě, že incident trvá po dobu delší, než 30 dnů, zašle subjekt kritické infrastruktury tzv. zprávu o pokroku, která bude obsahovat další doplňující informace ve vztahu k prvotnímu hlášení.
K § 19 odstavci 4
V případě vzniku incidentu subjekt vynakládá veškeré úsilí k řešení tohoto incidentu a není nutné okamžitě po vzniku incidentu zasílat hlášení o jeho vzniku. Tento úkon tedy nesmí bránit subjektu incident řešit. Toto hlášení zasílá subjekt bez zbytečného odkladu, avšak včasnost zaslání může zefektivnit řešení incidentu samotného.
K § 19 odstavci 5
Podrobnosti k parametrům incidentu, stejně tak jako k dokumentaci, stanoví vyhláška Ministerstva vnitra.
K § 20 – Portál kritické infrastruktury
K odstavci 1
Portál kritické infrastruktury bude součástí neboli komponentou informačního systému krizového řízení zřizovaného v souladu s novelou krizového zákona (§ 26 a § 26a krizového zákona). Úkony podle návrhu tohoto zákona jsou v souladu s procesy digitalizace prováděny primárně prostřednictvím portálu kritické infrastruktury. Jednou z funkcionalit portálu kritické infrastruktury přitom bude vzájemné sdílení informací s Portálem NÚKIB, a to za účelem zajištění vzájemné spolupráce mezi orgány zajišťujícími aplikaci směrnic CER a NIS 2. Tato funkcionalita by měla snížit administrativní zátěž subjektů, které podléhají regulaci jak ze strany návrhu zákona o odolnosti subjektů kritické infrastruktury, tak návrhu zákona o kybernetické bezpečnosti. Úzkou spolupráci národního regulátora, tedy v případě ČR Ministerstva vnitra a Národního úřadu pro kybernetickou a informační bezpečnost, předpokládají obě zmiňované směrnice.
K odstavci 2
Vzhledem k tomu, že je portál kritické infrastruktury komponentou informačního systému krizového řízení, bude využívat jeho nástroje, zabezpečení i infrastrukturu, v tomto případě zejména tzv. „konektor“ a přístup do základních registrů a agendových informačních systémů pro účely plnění úkolů podle tohoto zákona. Ministerstvo vnitra jako správce portálu kritické infrastruktury bude muset splňovat podmínky režimu vyšších povinností podle zákona o kybernetické bezpečnosti. S tím souvisí i plnění požadavků na zajištění kybernetické bezpečnosti tohoto informačního systému. Ochrana informací je dále zajištěna povinností mlčenlivosti, která je zakotvena např. v zákonu č. 234/2014 Sb., o státní službě, zákonu č. 361/2003 Sb., o služebním poměru příslušníků bezpečnostních sborů, nebo u zaměstnanců ve veřejném sektoru podle § 303 zákona č. 262/2006 Sb., zákoník práce.
K odstavci 3
Příslušné orgány státní správy jsou pak povinny a oprávněny skrze tento portál sdílet veškeré informace týkající se oblasti kritické infrastruktury.
K odstavci 4
Ustanovení tohoto odstavce zaručuje přístup k informacím o subjektech kritické infrastruktury pro Ministerstvo průmyslu a obchodu za účelem provádění zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), a to v nezbytné míře. Ministerstvo průmyslu a obchodu bude z portálu zejména získávat aktuální informace o subjektech kritické infrastruktury, vč. informací podle § 11 odst. 1, a jejich kritických dodavatelích, a ověřovat, zda byl poskytovatel základní služby zařazen na seznam subjektů kritické infrastruktury, zda z něj nebyl vyřazen, zda proběhly změny v poskytování základní služby a jakého charakteru nebo zda nedošlo k ukončení jejího poskytování.
Zpravodajské služby budou mít umožněn přístup k informacím o subjektech kritické infrastruktury, a to s ohledem na svou působnost a úkoly. Tyto informace budou získávat nejenom za účelem ochrany subjektů kritické infrastruktury, ale i pro plnění dalších úkolů zpravodajských služeb. Znalost aktuálních informací o subjektech kritické infrastruktury je důležitou podmínkou pro řádný výkon úkolů zpravodajských služeb.
Hejtmanům krajů a zaměstnancům oddělení krizového řízení krajských úřadů bude umožněn přístup do portálu kritické infrastruktury. Důvodem je zajištění přehledu o kritické infrastruktuře nacházející se na území dotčeného kraje pro uvedené osoby. Pouze takto bude umožněno řádné plnění povinností podle krizového zákona, zejména ve vztahu k oprávnění hejtmana kraje vyhlásit krizové opatření přednostního zásobování subjektů kritické infrastruktury na území kraje.
K odstavci 5
Pouze pokud není možné používat portál kritické infrastruktury, např. z důvodu dlouhodobého výpadku či nefunkčnosti, jsou v návrhu zákona nastaveny alternativní postupy pro sdílení informací prostřednictvím datových schránek (s výjimkou hlášení incidentů, kdy má být incident v případě nedostupnosti portálu kritické infrastruktury hlášen Národnímu operačnímu a informačnímu středisku).
K odstavci 6
Pouze v případě, že dojde k úplnému výpadku digitálních služeb, může být využit poskytovatel poštovních služeb a potřebné informace či dokumenty doručit v listinné podobě. Jedná se ovšem o zcela výjimečný postup.
K odstavci 7
Portál kritické infrastruktury musí být zabezpečen před neoprávněným přístupem do systému. Za tímto účelem bude do portálu možno přistupovat pouze díky unikátním přihlašovacím údajům. Uživatelé rovněž nebudou mít přístup do celého portálu, ale pouze do částí, které jim umožní jejich uživatelská práva. Historie činnosti v portálu bude zaznamenávaná a dohledatelná.
K odstavci 8
Přístup do portálu kritické infrastruktury a jeho následné používání se provádí prostřednictvím webového rozhraní. Portál kritické infrastruktury je neveřejný a přihlašuje se do něj prostřednictvím přidělených přihlašovacích údajů a ověření identity. Portál je modulem tzv. informačního systému krizového řízení a využívá tak jeho infrastruktury a procesy zabezpečení.
Portál bude získávat a zpracovávat informace o poskytovatelích základních služeb potřebné k jejich zařazení na seznam subjektů kritické infrastruktury. Data budou zadávána prostřednictvím formulářů s filtry. Prostřednictvím portálu budou subjekty určovány a vedena s nimi elektronická komunikace. Portál bude sloužit i k dalšímu plnění povinností subjektů kritické infrastruktury a budou v něm vedeny informace, data, údaje nebo evidencí, zejména:
· poskytování součinnosti ze strany věcně příslušných ministerstev, jiných ústředních správních úřadů nebo České národní banky,
· informace týkající se plnění opatření ze strany subjektů kritické infrastruktury,
· proces zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury a změny s tím související,
· informace o cvičeních, kontrolách a incidentech.
Portál bude rovněž schopen vzájemné dobrovolné komunikace mezi subjekty navzájem a mezi subjekty a věcně příslušnými orgány.
Systém bude sloužit k zabezpečení získávání informací potřebných k zařazení poskytovatelů základní služby na seznam subjektů kritické infrastruktury pomocí filtru, do kterého budou poskytovatele základní služby zadávat jednotlivé parametry. Dále portál kritické infrastruktury bude zabezpečovat proces určení subjektů kritické infrastruktury (i včetně porovnávání zadaných údajů s kritérii pro identifikaci základní služby, které budou uvedeny v nařízení vlády), dále sběr údajů od dotčených orgánů nebo osob, vzájemnou komunikaci mezi nimi a věcně příslušnými orgány, hlášení incidentů a předávání informací či notifikací o možném ohrožení. V souladu s požadavky směrnice CER bude portál kritické infrastruktury také sloužit jako informační platforma pro školení manažerů kritické infrastruktury či kritických pracovníků a dále také jako nástroj pro tvorbu výstupů a pro evidenci relevantních údajů včetně seznamu subjektů kritické infrastruktury.
Ministerstvo vnitra vydá uživatelský manuál pro práci s portálem kritické infrastruktury a současně se předpokládá zajištění informovanosti o jeho používání široké veřejnosti tak, aby byla usnadněna práce s ním pro poskytovatele základních služeb a dalších jeho uživatelů.
K odstavci 9
Ministerstvo vnitra stanoví vyhláškou další podrobnosti k zadávání údajů do portálu kritické infrastruktury a technické a organizační náležitosti portálu.
K § 21 – Cvičení
K odstavci 1
Požadavek na podporu subjektů kritické infrastruktury formou metodické podpory a organizování cvičení vychází z článku 10 směrnice CER. Česká republika organizací či nařízením cvičení podporuje subjekty kritické republiky v posilování jejich odolnosti. Cvičením se tak prokazuje nejenom připravenost na řešení incidentů, ale i úroveň odolnosti subjektu kritické infrastruktury, přijatých opatření a odborná připravenost pracovníků.
K odstavci 2
Cvičení může subjekt kritické infrastruktury provádět sám, v rámci zajišťování vlastní připravenosti a zvyšování odolnosti.
Za účelem zvyšování odolnosti může věcně příslušné ministerstvo nebo jiný ústřední správní úřad organizovat cvičení v rámci své gesce na základě identifikované potřeby procvičit nastavené postupy jak z pozice gestora, tak ze strany subjektu kritické infrastruktury. Za tímto účelem vytváří plán cvičení a zařazuje do něj subjekt kritické infrastruktury. Cvičení subjektů kritické infrastruktury se řídí obdobnými principy jako cvičení orgánů krizového řízení.
K odstavci 3
Aby byla zajištěna dostatečná příprava jak ze strany subjektu kritické infrastruktury, tak ze strany věcně příslušného ministerstva nebo jiného ústředního správního úřadu, a efektivnost prováděných cvičení, zpracovává se plán cvičení. Nařízená cvičení by neměla být pro subjekty kritické infrastruktury zatěžující, ale jejich plánování by mělo být efektivní, a to na základě analýzy potřeb daného odvětví nebo pododvětví. Současně je možno spojit plán cvičení v oblasti zvyšování odolnosti kritické infrastruktury s plánem cvičeními orgánů krizového řízení. Při plánování cvičení budou ti, kteří cvičení nařídí, dodržovat zásadu přiměřenosti v tom smyslu, že subjekt kritické infrastruktury nesmí být nadměrně cvičeními zatěžován a současně jeho provedení nesmí ohrozit poskytování základní služby. Aby nedocházelo k přetěžování subjektů kritické infrastruktury, byla v zákoně stanovena limita účasti na cvičení maximálně 1x 3 roky. Současně bude Ministerstvo vnitra poskytovat metodickou pomoc jednotlivým gestorům při přípravě nebo provádění cvičení.
Plán cvičení, do kterého bude zařazen subjekt kritické infrastruktury, by měl být s tímto subjektem dopředu projednán, aby byla zajištěna jeho maximální angažovanost na cvičení a zhodnoceny jeho časové možnosti.
Je žádoucí, aby plán cvičení byl zpracováván v úzké koordinaci se všemi gestory a Ministerstvem vnitra tak, aby nebyly subjekty kritické infrastruktury zbytečně zatěžovány a plánování cvičení bylo efektivní. Zvláštního zřetele se musí brát v případech, kdy je subjekt kritické infrastruktury regulován v rámci více odvětví. V tomto případě je koordinace mezi Ministerstvem vnitra a věcně příslušnými ministerstvy nebo jinými ústředními správními úřady nezbytná.
K odstavci 4
Za účelem efektivního plánování dalších cvičení a získávání poznatků ze cvičení, které přispějí k lepšímu zvyšování či zajišťování odolnosti subjektů kritické infrastruktury je zpracováváno vyhodnocení cvičení a zjištěné zásadní poznatky ze cvičení jak pozitivního, tak negativního charakteru jsou zasílány Ministerstvu vnitra a věcně příslušnému ministerstvu nebo jinému ústřednímu správnímu úřadu. Současně ten, kdo plánuje cvičení, o tomto cvičení informuje svého gestora a Ministerstvo vnitra.
K § 22 – Kontrola
K odstavci 1
Kontrolní činnost je integrální součástí výkonu státní správy a ověřování plnění povinností podle tohoto zákona. Kontrolní činnost se řídí zákonem č. 255/2012 Sb., o kontrole (kontrolní řád). V souladu s principy kontrolní řádu je nutná koordinace jednotlivých kontrol prováděných různými orgány. Tato ustanovené jsou tak zcela v souladu se základními principy fungování veřejné správy, kdy státní správa má spolupracovat a minimálně zatěžovat soukromý subjekt. V praxi je plánováno vytvoření přehledu plánovaných kontrol tak, aby věcně příslušní gestoři mohli absolvovat kontrolu společně.
K odstavci 2
Vzhledem k tomu, že lze důvodně předpokládat, že všechny subjekty kritické infrastruktury budou podléhat také regulaci podle nového zákona o kybernetické bezpečnosti v režimu vyšších povinností, je potřebné předávat i informace o kontrolách Národnímu úřadu pro kybernetickou a informační bezpečnost za účelem efektivní koordinace kontrol prováděných podle návrhu zákona o kritické infrastruktuře a nového zákona o kybernetické bezpečnosti u stejných subjektů (resp. regulovaných osob).
K odstavci 3
Další specifikem je poté problematika kontrol, kdy je Ministerstvo vnitra oprávněno požádat Národní úřad pro kybernetickou a informační bezpečnost o provedení kontroly u subjektu kritické infrastruktury týkající se plnění povinností, které vyplývají návrhu nového zákona o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost může tuto žádost odmítnout, je-li zjevně nepřiměřená, a to zejména v souvislosti s kapacitními možnostmi úřadu.
K odstavci 4
Na základě zjištění poradní mise u subjektu evropské kritické infrastruktury je nutné, aby věcně příslušný orgán provedl ověření, že subjekt kritické infrastruktury přijal opatření k nápravě. V tomto případě se postupuje obdobně jako u odstavce 1.
K § 23 – Nápravná opatření
Zjistí-li věcně příslušné ministerstvo nebo ústřední správní úřad při kontrole nedostatky uvede tyto do protokolu o kontrole a následně vyzve subjekt kritické infrastruktury, aby je ve stanovené lhůtě odstranil, popřípadě určit jakým způsobem. Věcně příslušné ministerstvo nebo ústřední správní úřad spolu s nápravným opatřením uloží povinnost oznámit provedení nápravného opatření a jeho výsledek ve stanovené lhůtě. Takto uložené nápravné opatření může například směřovat vůči nutnosti přijímat či zkvalitnit opatření k zajištění odolnosti subjektu kritické infrastruktury, zpracovat či zpřesnit plán odolnosti, určit manažera kritické infrastruktury, lépe identifikovat kritickou infrastrukturu nebo kritické pracovníky, apod.
Tam, kde je to možné, by mělo docházet k metodickému vedení se strany věcně příslušného orgánu. Jedním z druhů nápravných opatření je oprávnění nařizovat a provádět audity v oblasti kritické infrastruktury, což vyžaduje v obecné rovině směrnice CER, a to konkrétně v článku 21.
Audit je ve smyslu návrhu tohoto zákona kontrolou vykonanou Ministerstvem vnitra v součinnosti s věcně příslušným ministerstvem nebo jiným ústředním správním úřadem podle kontrolního řádu. Jedná se o specifický nástroj spadající do nápravných opatření, který může být aplikován jako nejkrajnější opatření v rámci kontrolních zjištění, a to za účelem kontroly plnění povinností stanovených podle návrhu zákona a souvisejících prováděcích právních předpisů a nápravných opatření. Současně může Ministerstvo vnitra v součinnosti s věcně příslušným ministerstvem nebo jiným ústředním správním úřadem ukládat vlastní nápravná opatření.
K § 24 – Přestupky
Navrhované ustanovení zakotvuje skutkové podstaty přestupků, kterých se na úseku souvisejícím s kritickou infrastrukturou může dopustit fyzická, podnikající fyzická nebo právnická osoba. Z hlediska systematiky jsou skutkové podstaty přestupků rozčleněny na přestupky, kterých se může dopustit jakákoliv fyzická osoba (odstavec 1), poskytovatel základní služby (odstavec 2) nebo subjekt kritické infrastruktury (odstavec 3).
Z formálního hlediska jsou jednotlivé skutkové podstaty koncipovány za použití odkazu na ustanovení obsahující povinnost, jejíž porušení je sankcionováno. Samotná skutková podstata proto v souladu s kapitolou 3.1.2 Zásad tvorby právní úpravy přestupků obsahuje pouze hlavní znaky protiprávního jednání, přičemž je doplněna odkazem na příslušné ustanovení zákona, v němž je povinnost uložena, což je indikováno slovy „v rozporu s § …“.
Jak bylo zmíněno, přestupku se může dopustit i fyzická osoba, přičemž s výjimkou přestupku podle odstavce 1 není vyžadováno zavinění ve formě úmyslu. Formu zavinění lze však podle obecných pravidel zohlednit při ukládání správního trestu podle § 37 písm. a) ve spojení s § 38 písm. e) zákona o odpovědnosti za přestupky. Je však vhodné poznamenat, že množina fyzických (nepodnikajících) osob bude ve většině případů tvořit jen zanedbatelnou množinu potenciálních pachatelů přestupku.
U podnikajících fyzických osob a právnických osob je odpovědnost za přestupek objektivní, kdy oproti obecné právní úpravě nejsou rozšiřovány liberační důvody.
K odstavci 1
Navržená skutková podstata primárně směřuje na fyzickou osobu, která zneužije portál kritické infrastruktury k jiným účelům než k plnění zákonem stanovené povinnosti. Zejména se bude jednat o případy zlomyslného zahlcování informačního systému. Je proto vyžadováno, aby fyzická osoba z hlediska zavinění jednala úmyslně.
Jak bylo naznačeno výše, tato skutková podstata cílí na úmyslné přehlcování portálu kritické infrastruktury zejména falešnými podáními a nevztahuje se na situace, kdy fyzická osoba využívá portál kritické infrastruktury k výkonu povinností nebo práv stanovených zákonem (např. na základě § 21 odst. 1), ač tak například z důvodu nedbalosti nebo omylu učiní formálně vadně. V takovém případě bude absentovat zavinění ve formě úmyslu.
K odstavci 2
Ustanovení obsahuje přestupek poskytovatele základní služby jakožto zvláštního subjektu přestupku ve smyslu § 12 zákona o odpovědnosti za přestupky a řízení o nich.
Navrhuje se, aby prostřednictvím norem správního práva trestního bylo postihováno porušení povinností poskytovatele základní služby, jejichž plnění je nezbytným předpokladem pro následný proces jejich zařazení na seznam subjektů kritické infrastruktury. Jedná se o povinnosti související s předáváním informací orgánům státní správy.
Z tohoto pohledu je esenciální, aby poskytovatel základní služby plnil informační povinnost podle § 9 odst. 1 návrhu, související s
· jím poskytovanou základní službou (včetně její kvalitativní stránky – tj. informování o naplnění kritérií významnosti),
· kritickou infrastrukturou (bez ohledu na její umístění v nebo mimo území České republiky) a
· základní službou, kterou poskytuje mimo území České republiky.
Zároveň lze dovodit, že implicitním požadavkem je, že poskytovaná informace musí být úplná a správná. V případě podnikajících fyzických osob a právnických osob je s ohledem na pojetí jejich správně-trestní odpovědnosti požadavek na správnost a úplnost poskytovaných informací objektivní. V případě fyzické osoby není vyžadováno zavinění ve formě úmyslu - tedy uvedená skutková podstata může být naplněna i ve formě nedbalosti – tj. poskytovatel základní služby se může přestupku dopustit jak úmyslným uvedením lživé informace, tak jejím nedbalostním opomenutím. Formu zavinění lze, jak již bylo uvedeno výše, zohlednit při ukládání správního trestu.
Způsob poskytování informací je podrobněji upraven v § 9 odst. 2. Z něho vyplývá, že informace musí být poskytnuta prostřednictvím portálu kritické infrastruktury, a to ve lhůtě stanovené v předmětném ustanovení (3 měsíce, případně 1 měsíc, je-li k tomu vyzván příslušným orgánem).
K odstavci 3
Ustanovení obsahuje přestupky subjektu kritické infrastruktury jakožto zvláštního subjektu přestupku ve smyslu § 12 zákona o odpovědnosti za přestupky a řízení o nich. Sankce může být uložena též za opakované spáchání přestupku. Současně platí zásada přiměřenosti, tedy například v případě skutkové podstaty podle § 25 odst. 2 písm. f) subjekt kritické infrastruktury nebude sankcionován ihned, když neobsadí místo manažera kritické infrastruktury, ale pouze tehdy, pokud protiprávní stav neodstraní ani ve lhůtě bez zbytečného odkladu. Je považováno za žádoucí, aby v případě změn na pozici manažera kritické infrastruktury nedocházelo k delším prodlevám nebo pasivitě subjektu kritické infrastruktury v jeho obsazení (určení). Za přestupkové jednání bude možné uložit případný finanční postih za předpokladu, že takové jednání v souvislosti s neurčením manažera kritické infrastruktury „bez zbytečného odkladu“ bude naplňovat nejenom formální stránku, ale také tu materiální. Proto by postih přicházel v úvahu primárně za situace, kdy by subjekt kritické infrastruktury tuto funkci neobsadil, ačkoli by mu v tom objektivně nebránila žádná podstatná skutečnost. V tomto smyslu nutno také nahlížet na lhůtu „bez zbytečného odkladu“, která bude vždy vycházet z konkrétních okolností daného subjektu či situace „na trhu“.
Postihováno je porušení informačních povinností, které zákon o odolnosti subjektů kritické infrastruktury subjektům kritické infrastruktury ukládá. Jedná se o informační povinnost ve vztahu:
· ke změně v poskytování základní služby, k nově poskytované základní službě nebo k ukončení poskytování základní služby,
· k poskytované základní službě, kritické infrastruktuře na území nebo mimo území České republiky, kritickým pracovníkům a kritickým dodavatelům,
· ke skutečnosti, v nebo do kterých členských států Evropské unie poskytuje základní službu nebo služby,
· k oznámení o určení manažera kritické infrastruktury,
· k údajům o kritickém dodavateli,
· k hlášení incidentu,
· k provedení nápravného opatření nebo jeho výsledku
· k informování o přijetí nápravného opatření poradní mise Evropské komise, jde-li o subjekt evropské kritické infrastruktury.
Dále dochází k postihu porušení povinností na úseku zpracování nebo aktualizace posouzení rizik, resp. neposkytnutí podkladů pro zpracování posouzení rizik České republiky. Zákon o odolnosti subjektů kritické infrastruktury rovněž v případě subjektů evropské kritické infrastruktury postihuje neposkytnutí posouzení rizik nebo seznamu opatření přijatých k zajišťování odolnosti.
Mezi další postihovaná porušení povinností patří:
· neurčení manažera kritické infrastruktury,
· umožnění vykonávat funkci manažera kritické infrastruktury osobě, která pro to nesplňuje předpoklady (srov. § 17 odst. 2),
· nevyužívání portálu kritické infrastruktury v případech, ve kterých ze zákona musí uvedený portál subjekt kritické infrastruktury použít (není-li jeho použití vyloučeno z objektivní příčiny jeho nefunkčnosti, přičemž v takovém případě se uplatní náhradní způsob komunikace podle § 21 odst. 5 zákona o odolnosti subjektů kritické infrastruktury),
· neumožnění provedení kontroly,
· neumožnění poradní mise Evropské komise nebo nepřijetí nápravného opatření poradní mise Evropské komise, jde-li o subjekt evropské kritické infrastruktury,
· nepřijetí nápravných opatření nebo neoznámení jejich provedení nebo výsledku.
K odstavcům 4 až 9
Ustanovení obsahuje rozpětí pokut, které lze za přestupky podle zákona o odolnosti subjektů kritické infrastruktury uložit.
S přihlédnutím k typové závažnosti je horní sazba pokuty u některých přestupků kromě explicitně stanovené částky koncipována též alternativně zohledněním ročního obratu vykázaného subjektem kritické infrastruktury (podle toho, která z částek je vyšší), jakožto i přísnějším trestáním recidivy.
Možnost uložit pokutu do výše zlomku z čistého obratu subjektu kritické infrastruktury lépe reaguje na skutečnost, že subjekty kritické infrastruktury jsou představovány značně nehomogenní množinou osob. Tato skutečnost je determinována mimo jiné i podstatnými odlišnostmi mezi jednotlivými odvětvími, které se následně odráží v počtu a povaze subjektů kritické infrastruktury v nich působících. V případě, kdy v některých případech nebude možné přesvědčivě doložit výši celosvětového čistého obratu, bude aplikována horní sazba stanovená konkrétní částkou. Zároveň je tímto nejlépe naplněn požadavek směrnice CER, která v čl. 22 výslovně vyžaduje, aby sankce byly účinné, přiměřené a odrazující.
Obecně bylo při stanovení rozpětí pokut, resp. jejich horní sazby, bráno v úvahu, aby tyto plnily z hlediska generální prevence odstrašující funkci. Následně v případě, kdy se pachatel přestupku dopustí, je podstatné, aby pokuta byla efektivním nástrojem k jeho nápravě (tedy aby pachatel protiprávního jednání zanechal, neopakoval jej a do budoucna plnil stanovené povinnosti). Soudní praxe dovodila, že aby pokuta za přestupek naplnila svůj účel z hlediska individuální i generální prevence, musí být citelným zásahem do majetkové sféry pachatele. Nikoliv však zásahem vzhledem ke svému účelu nepřiměřeným, resp. likvidačním. Tento parametr lze s ohledem na široké rozpětí sazeb zohlednit v každém individuálním případě.
Pro potřeby efektivnějšího trestání recidivy je v případě některých přestupků stanoveno navýšení horní sazby pokuty, zpravidla na dvojnásobek. Pro potřeby zpřísněného trestání recidivy je zároveň v ustanoveních obsaženo, v jakém případě bude příslušné ustanovení aplikováno – a to prostřednictvím stanovení doby od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným v minulosti, do spáchání přestupku, za který je postihován. Podle typové závažnosti přestupků je tato doba odstupňována od 6 měsíců do 24 měsíců.
Stanovení sazby pokuty prostřednictvím procentuální výše z obratu není ve vnitrostátním ani unijním kontextu ojedinělé řešení. Kromě návrhu tohoto zákona se objevuje například v návrhu zákona o kybernetické bezpečnosti nebo v nařízení GDPR (viz čl. 83 odst. 4 až 6 GDPR), přičemž i v případě GDPR je zohledněno (obdobně jako ve směrnici CER), aby potrestání bylo „v každém jednotlivém případě účinné, přiměřené a odrazující“. Podle GDPR lze uložit pokutu do výše až 4 % celkového ročního celosvětového obratu.
Ve vnitrostátních předpisech je podobná konstrukce dále obsažena např. v § 105b autorského zákona (do 1 %), § 24 odst. 20 zákona o ochraně spotřebitele (do 4 %), § 162 a násl. zákona o podnikání na kapitálovém trhu (do 15 % - viz např. § 177), § 599 a násl. zákona o investičních společnostech a investičních fondech (do 10 %) atd.
Je třeba zdůraznit, že podle zásad správního trestání a principů dovozených z judikatury musí být ukládaná taková sankce, aby naplnila cíl generální i individuální prevence, vždy citelným zásahem do majetkové sféry pachatele, nikoliv však zásahem likvidačním (viz např. rozsudek NSS č.j. 1 As 9/2008-133). Konkrétní výše pokuty (uvedená ve výrokové části rozhodnutí) proto vždy musí zohlednit reálné majetkové poměry postihované osoby. Cílem zákona je toliko stanovit horní hranici sazby pokuty - tj. maximální možnou výši sankce, jakou bude moci správní orgán v nejzávažnějších případech oprávněn uložit. V praxi však zpravidla správní orgány neukládají pokuty na samotné horní hranici sazby (zejména pokud není zároveň zjištěno větší množství přitěžujících okolností).
K § 25 – Společná ustanovení k přestupkům
Navrhované ustanovení stanovuje věcnou příslušnost k projednání přestupků podle předkládaného zákona o odolnosti subjektů kritické infrastruktury. Obecná právní úprava správního trestání vychází z předpokladu, že není-li zákonem stanovena příslušnost k projednávání přestupků, je správním orgánem příslušným k přestupkovému řízení obecní úřad obce s rozšířenou působností (viz § 60 odst. 1 zákona o odpovědnosti za přestupky a řízení o nich). Této možnosti předkládaný návrh nevyužívá s ohledem na povahu jednotlivých skutkových podstat, danou specifickou povahou dotčené agendy. Naopak obsahuje určení věcně příslušných orgánů, které budou přestupky projednávat – konkrétně půjde o Ministerstvo vnitra, další věcně příslušná ministerstva nebo jiné správní úřady či Českou národní banku.
K odstavci 1
Uvedené ustanovení obsahuje pravidlo, podle kterého přestupek projednává věcně příslušný orgán ve smyslu přílohy (tj. gestor odvětví nebo pododvětví), pokud se porušení povinnosti týká základní služby v předmětném odvětví. Toto řešení vychází z filosofie, že gestor odvětví nebo pododvětví je z hlediska své odbornosti nejvíce způsobilý k projednání přestupků, neboť i tyto ve vztahu k základní službě zpravidla mají vysoce odbornou povahu. V případě, kdy není možné gesční příslušnost na základě tohoto ustanovení určit, obsahuje zákon o odolnosti subjektů kritické infrastruktury postupy k řešení ve větě druhé tohoto odstavce, případně v dalších odstavcích.
K odstavci 2
Toto ustanovení stanovuje věcnou příslušnost Ministerstva vnitra s ohledem na jeho specifický status na úseku problematiky kritické infrastruktury.
Konkrétně bude Ministerstvo vnitra projednávat přestupky související s porušením povinností, které subjekt kritické infrastruktury plní k Ministerstvu vnitra (povinnosti související s informováním o tom, v nebo do kterých členských států Evropské unie poskytuje základní službu a s hlášením incidentů), a v případě subjektu evropské kritické infrastruktury ve vztahu k Evropské komisi nebo její poradní misi.
Ministerstvo vnitra bude projednávat přestupky subjektu kritické infrastruktury poskytujícího základní služby ve více odvětvích nebo pododvětvích s odlišným věcně příslušným orgánem (podle přílohy), kdy porušenou povinnost nebude možné podle vztáhnout k základní službě v jediném odvětví (typově půjde o přestupky spočívající např. v nezpracování patřičných dokumentací, neurčení manažera kritické infrastruktury apod.). Jak bylo naznačeno výše, věcná příslušnost Ministerstvo vnitra k projednávání těchto přestupků vyplývá z jeho postavení jako ústředního orgánu státní správy, který je za oblast kritické infrastruktury odpovědný
Jako správce portálu kritické infrastruktury bude dále Ministerstvo vnitra projednávat přestupky související s úmyslným zneužitím uvedeného portálu.
K odstavci 3
Podle § 25 odst. 3 písm. k, p) a q) se subjekt kritické infrastruktury může dopustit přestupku tím, že neumožní provedení kontroly nebo nepřijme nápravné opatření, případně neoznámí provedení nápravného opatření nebo jeho výsledek ve stanovené lhůtě. Postupy při provádění kontroly a ukládání nápravného opatření jsou upraveny v § 23 a 24 předkládaného zákona. Je žádoucí, aby uvedené přestupky projednával ten orgán, který provedl kontrolu nebo uložil nápravné opatření, jelikož dokáže nejlépe posoudit skutkové okolnosti přestupku.
K odstavci 4
Pro možnost efektivního trestání recidivy se stanoví, že pravomocné rozhodnutí o přestupku podle tohoto zákona se zapisuje do evidence přestupků vedené Ministerstvem spravedlnosti. Uvedené ustanovení reaguje na § 25 odst. 5 až 9, které vždy v druhé větě dotčených ustanovení řeší problematiku přísnějšího postihu v případě recidivy. Aby mohl orgán projednávající přestupek naplnění podmínky pro uložení přísnějšího postihu náležitě posoudit, musí disponovat možností zjistit potřebné informace o přestupkové minulosti osoby, s kterou řízení o přestupku vede.
K § 26 – Režim rovnocennosti
Pokud subjekt kritické infrastruktury přijal technická, bezpečnostní a organizační opatření a vypracoval dokumenty podle jiných právních předpisů, které jsou relevantní pro opatření na posílení odolnosti podle tohoto návrhu zákona, měl by mít možnost tato opatření a dokumenty použít ke splnění požadavků týkajících se opatření k zajištění odolnosti podle tohoto zákona s cílem zabránit zbytečnému zdvojování činností.
To, zdali je dokumentace či opatření rovnocenné, posuzuje věcně příslušný orgán v součinnosti s Ministerstvem vnitra v rámci kontrolní či metodické činnosti. Režim rovnocennosti má za cíl odstranit zbytečnou administrativní zátěž subjektů kritické infrastruktury.
Současně bude v případě relevance a uvedení této informace možné považovat i další úkony podle jiných právních předpisů za ekvivalentní k úkonům podle tohoto návrhu zákona. Příkladem mohou být identifikována aktiva podle zákona upravujícího kybernetickou bezpečnost, která případně a za předpokladu splnění podmínek podle předchozí věty, bude možné považovat za kritickou infrastrukturu podle tohoto návrhu zákona.
Současně vzhledem k tomu, že mají členské státy podporovat v souladu se článkem 16 směrnice CER subjekty kritické infrastruktury ve využívání evropských a mezinárodních standardů, norem a technických specifikací týkajících se opatření v oblasti bezpečnosti a odolnosti, je žádoucí, aby dokumentace, či opatření přijímané podle těchto standardů, norem a technických specifikací byly uznány rovnocenné, pokud svým obsahem naplňují obsah tohoto zákona.
K § 27 – Vztah k odvětvovým právním předpisům Evropské unie
Pokud přímo použitelný předpis Evropské unie stanoví subjektům kritické infrastruktury povinnosti v oblasti zajišťování odolnosti subjektů kritické infrastruktury a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti, které jsou subjektům kritické infrastruktury stanoveny podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavést a provádět opatření k posilování odolnosti a hlásit incidenty se vůči těmto orgánům a osobám neuplatní, a to včetně ustanovení o dozoru nad dodržováním uvedených povinností.
Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v navrhovaném zákoně podle odstavce 1 se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný předpis Evropské unie sám stanoví.
Toto ustanovení má za cíl minimalizovat duplikování požadavků kladených na subjekty kritické infrastruktury ze strany navrhovaného zákona a právních předpisů Evropské unie. Pokud tedy subjekt kritické infrastruktury aplikuje opatření podle přímo použitelného právního předpisu Evropské unie, které je co do míry účinku srovnatelné s opatřením podle navrhovaného zákona, považuje se povinnost provést opatření podle navrhovaného zákona za splněnou.
K § 28 – Ustanovení společná, přechodná a závěrečná
K odstavci 1
Povinnosti stanovené tímto zákonem subjektu kritické infrastruktury se nevztahují na subjekty kritické infrastruktury v odvětvích bankovnictví nebo infrastruktury finančních trhů. Toto ustanovení je transpozicí článku 8 směrnice CER.
Pokud ustanovení odvětvových právních aktů Unie vyžadují, aby subjekty kritické infrastruktury přijaly opatření k posílení své odolnosti ve výše zmíněných odvětvích, a pokud jsou tyto požadavky uznány Českou národní bankou za přinejmenším rovnocenné odpovídajícím povinnostem vyplývajícím ze směrnice CER, neměla by se příslušná ustanovení této směrnice, resp. tohoto návrhu zákona uplatnit. Účelem daného ustanovení je zabránění zdvojování a zbytečné zátěži subjektů kritické infrastruktury ve výše uvedených odvětvích, pokud je regulace dána již jinou směrnicí/ nařízením. V takovém případě by se měla použít příslušná ustanovení nařízení DORA.
Nicméně práva subjektu kritické infrastruktury byla zachována i pro subjekty kritické infrastruktury v odvětvích bankovnictví nebo infrastruktury finančních trhů. Výčet oprávnění je uveden v § 14 odst. 2 a 3. Za tímto účelem je nezbytné, aby subjekt kritické infrastruktury identifikoval kritickou infrastrukturu, kritické zaměstnance a kritického dodavatele, jelikož vůči těmto oprávnění směřují. Z tohoto důvodu byla těmto subjektům ponechána povinnost v rozsahu § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j) a o).
Ve vztahu k § 11 odst. 6 pak nutno uvést, že ustanovení § 29 odst. 1 jednoznačně vymezuje výčet povinností, které na dané odvětví dopadají, přičemž výrazně je oproti obecné úpravě zužuje. Ustanovení § 11 odst. 6 pak dále pouze upravuje časové určení, od kdy se tyto (pro dané odvětví zúžené povinnosti) plní.
K odstavci 2
Povinnosti stanovené tímto zákonem subjektu kritické infrastruktury se nevztahují na subjekty kritické infrastruktury v odvětví digitální infrastruktura. Toto ustanovení je transpozicí článku 8 směrnice CER.
Pokud ustanovení zákona upravujícího kybernetickou bezpečnost vyplývající ze směrnice NIS2 vyžadují, aby subjekty kritické infrastruktury přijaly opatření k posílení své odolnosti ve výše zmíněném odvětví, a pokud jsou tyto požadavky uznány věcně příslušným orgánem za přinejmenším rovnocenné odpovídajícím povinnostem vyplývajícím ze směrnice CER, neměla by se příslušná ustanovení této směrnice, resp. tohoto návrhu zákona uplatnit, aby se zabránilo zdvojování a zbytečné zátěži subjektů kritické infrastruktury v odvětví digitální infrastruktura. V takovém případě by se měla použít příslušná ustanovení zákona upravujícího kybernetickou bezpečnost.
Nicméně práva subjektu kritické infrastruktury byla zachována i pro subjekty kritické infrastruktury v odvětví digitální infrastruktura. Za tímto účelem je nezbytné, aby subjekt kritické infrastruktury identifikoval kritickou infrastrukturu, kritické zaměstnance, kritické dodavatele a informoval o svých věcných prostředcích, jelikož vůči těmto oprávnění směřují. Z tohoto důvodu byla těmto subjektům ponechána povinnost v rozsahu § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j), o) a q).
Výjimka z tohoto zákona se týká pouze subjektů kritické infrastruktury, resp. je platná od jejich zařazení na seznam subjektů kritické infrastruktury. Povinnosti pro poskytovatelé základní služby směřující k jejich zařazení na seznam subjektů kritické infrastruktury zůstávají v platnosti.
K odstavci 3
Plnění povinností v omezeném režimu je dále stanoveno v případě subjektu kritické infrastruktury v odvětví veřejné správy, který poskytuje základní službu přímo související se zajišťováním obrany České republiky. Uvedené ustanovení navazuje na čl. 1 odst. 6 a 7 směrnice CER. Konkrétně je spektrum plněných povinností zúženo o povinnosti podle § 14 odst. 1 písm. j) a l), § 19 a 20.
K odstavci 4
Vzhledem ke skutečnosti, že je seznam subjektů kritické infrastruktury neveřejný, je nezbytné, aby hasičský záchranný sbor kraje, stejně jako ČÚZK, bral tuto skutečnost na vědomí a zachoval neveřejnost a ochranu těchto informací.
K § 29 – Zmocňovací ustanovení
Návrh zákona předpokládá vydání několika prováděcích právních předpisů. Konkrétně se bude jednat o nařízení vlády k provedení § 10 odst. 2 a vyhlášky Ministerstva vnitra k provedení § 14 odst. 6, § 16 odst. 2, § 20 odst. 5, § 21 odst. 9. V této souvislosti bude zrušeno nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění pozdějších předpisů, v němž byla doposud upravena problematika určování prvků kritické infrastruktury. Zmocnění k vydání prováděcích právních předpisů respektují čl. 49 Legislativních pravidel vlády, neboť konkretizují oblasti, které mají být upraveny, a rozsah úpravy. Předkladatel v rámci prováděcí právní úpravy bude respektovat zásadu secundum et intra legem, neboť stanovení primárních povinností nebude předmětem prováděcí právní úpravy.
Rozsah zmocnění je uveden v odkazovaných ustanoveních, přičemž § 30 upravuje toliko orgán, který prováděcí právní předpis vydá.
Současně s návrhem zákona jsou předkládány teze zmíněných prováděcích právních předpisů.
K § 30 – Přechodná ustanovení
Jsou stanovena přechodná ustanovení z důvodu současně účinné regulace v podobě ochrany kritické infrastruktury zakotvené v krizovém zákoně a současně z důvodu nutnosti akceptace určitých termínů vycházející ze směrnice CER.
Klíčové datum pro subjekty kritické infrastruktury je 17. července 2026. Do této doby by měli všichni, kteří se domnívají, že jsou poskytovateli základní služby provést proces sebehodnocení a splnit svou informační povinnost vůči gestorovi a Ministerstvu vnitra, aby mohli být zařazeny na seznam subjektů kritické infrastruktury, jelikož každý poskytovatel základní služby bude mít povinnost informovat věcně příslušnému ministerstvo, ústřednímu správnímu úřadu nebo Českou národní bance poprvé podle § 9 odst. 1 nejpozději do 1. března 2026.
Ministerstvo vnitra dále předloží Evropské komisi první souhrnnou zprávu o hlášených incidentech do 17. července 2028 a informuje Evropskou komisi o určení jednotného kontaktního místa s uvedením jeho kontaktních údajů, úkolů a povinností do 3 měsíců ode dne účinnosti tohoto zákona.
K ČÁSTI DRUHÉ: ZMĚNA ZÁKONA O PŮSOBNOSTI SPRÁVY STÁTNÍCH HMOTNÝCH REZERV
V části pojmosloví se jedná se legislativně-technickou změnu související se změnou terminologie na úseku kritické infrastruktury.
Odůvodnění účelu dalších změn je uvedeno podrobněji v části první u § 14.
K ČÁSTI TŘETÍ: ZMĚNA ZÁKONA O ZEMĚMĚŘICTVÍ
Jedná se legislativně-technickou změnu související se změnou terminologie na úseku kritické infrastruktury.
K ČÁSTI ČTVRTÉ: ZMĚNA ZÁKONA O SVOBODNÉM PŘÍSTUPU K INFORMACÍM
Za účelem zajištění ochrany citlivých informací a dalších údajů o subjektech kritické infrastruktury a činnostech související s řešením krizových situací, jejichž zveřejnění by mohlo mít negativní dopad v souvislosti s přípravou nebo řešením krizové situace, byla navržena novela zákona o svobodném přístupu k informacím.
Pro oblast krizového řízení se konkrétně jedná o § 11 odst. 1 písm. d), kdy povinný subjekt může omezit poskytnutí informace. Tedy je zde ponechána možnost správního uvážení a posouzení dopadu na dva chráněné zájmy, konkrétně zajištění bezpečnosti a práva na informace.
Příslušnou změnou dochází k vyjasnění toho, že institut bezpečnostního opatření podle písmene d) se vztahuje nejen na oblasti čistě bezpečnostní, jak implikuje současné znění a text příslušné důvodové zprávy, ale že má zahrnovat též problematiku související s připraveností a řešením krizových situací a krizovým řízením obecně. Ve shodě s definičním vymezením pojmu bezpečnostní opatření tak bude pro oblast krizového řízení zahrnovat veškeré podklady, opatření a postupy, které jsou využívané či zpracovávané k připravenosti subjektu na krizové situace a k jejich řešení, včetně těch, které jsou označovány jako zvláštní skutečnosti podle § 27 krizového zákona. Za dodržení dalších zákonných podmínek tak může jít o širokou škálu nástrojů, které vychází jak z ústavního zákona o bezpečnosti České republiky, tak ze zákona o krizovém řízení, popřípadě v odůvodněných případech vazby na krizovou situaci i jiných právních předpisů (např. zákon o integrovaném záchranném systému). Vždy se bude jednat o informace, které sice nejsou utajované, ale i přesto jsou citlivé povahy a není žádoucí, aby vešly v obecnou známost.
V oblasti odolnosti subjektů kritické infrastruktury pak povinný subjekt informace vztahující se k základním službám, a tedy i subjektu kritické infrastruktury, neposkytne v žádném případě. Tento postup je zvolen zejména s ohledem na to, že je zapotřebí chránit subjekty kritické infrastruktury a současně zachovat jejich důvěru v orgány státní správy, že jim mohou poskytovat pro ně citlivé informace, se kterými následně orgány rovněž pracují a využívání pro plnění úkolů stanovených návrhem zákona o odolnosti subjektů kritické infrastruktury a nebude tak možné je zveřejnit na základě tohoto zákona.
K ČÁSTI PÁTÉ: ZMĚNA ZÁKONA O INTEGROVANÉM ZÁCHRANNÉM SYSTÉMU
K § 5 odst. 1
Navrhované ustanovení § 5 řeší nevyhovující stav názvosloví stálých orgánů pro koordinaci složek IZS v rámci aktuálního znění § 5. Nahrazuje slovní spojení „operační střediska hasičského záchranného sboru kraje“ slovním spojením „Krajské operační a informační středisko“ a nahrazení slovního spojení „operační a informační středisko generálního ředitelství hasičského záchranného sboru“ slovním spojením „Národní operační a informační středisko“, a to v souladu s organizační změnou hasičského záchranného sboru ČR.
K § 20 odst. 1
Navrhovaná změna stávajícího znění toliko reflektuje navrhovanou znění ustanovení § 5 odst. 1, kdy nahrazuje slovní spojení „operačního a informačního střediska generálního ředitelství hasičského záchranného sboru“ slovním spojením „Národního operačního a informačního střediska“.
K ČÁSTI ŠESTÉ: ZMĚNA KRIZOVÉHO ZÁKONA
K § 1
Navrhovaná úprava odstavce 1 reaguje na transpozici směrnice CER do samostatného zákona o odolnosti subjektů kritické infrastruktury. Směrnice CER upravuje současný systém kritické infrastruktury, který byl dosud legislativně ukotven v rámci krizového zákona. Směrnice CER zároveň přímo nahrazuje současnou směrnici EKI, která se na úrovni Evropské unie ruší s účinností od 18. října 2024. Z původního znění krizového zákona tak jsou odstraněny všechny části, které souvisí se systémem kritické infrastruktury nebo s i transpozicí směrnice EKI. S touto změnou zároveň souvisí i vyškrtnutí odstavce 2. V navrhované novele krizového zákona je ve vazbě na nový systém odolnosti subjektů kritické infrastruktury zachována provázanost některých krizových opatření. Konkrétně se jedná o krizové opatření související s přednostním zásobováním a dále specifikace krizového opatření k nařízení pracovní povinnosti nebo pracovní výpomoci vůči kritickým zaměstnancům subjektu kritické infastruktury a stanovení souvisejících výjimek pro pracovníky subjektu kritické infrastruktury.
K § 2
V ustanovení § 2 v písm. a) a b) je navržena úprava definic krizového řízení a krizové situace, a to ve vazbě na transpozici směrnice CER do národní legislativy a související změnu systému kritické infrastruktury. Nový systém kritické infrastruktury je zaměřen především na subjekty kritické infrastruktury a poskytování základní služby místo prvků kritické infrastruktury. Úprava definic rovněž reflektuje přesun od ochrany kritické infrastruktury směrem k posilování odolnosti subjektů kritické infrastruktury. Odolnost je v tomto kontextu chápána jako širší soubor technických, bezpečnostních a organizačních opatření s cílem předcházet vzniku incidentů, odolávat jim a zotavit se z nich, a to včetně zajištění kontinuity činnosti. Navrhovaná úprava zároveň nevyjímá problematiku kritické infrastruktury z oblasti krizového řízení a ponechává tak jeho chápání v obdobném smyslu, jak je tomu v současné době.
Z důvodu transpozice směrnice CER a s tím souvisejícího návrhu zákona o odolnosti subjektů kritické infrastruktury rovněž dochází k vyškrtnutí veškerých pojmů, které byly do krizového zákona zahrnuty v souvislosti s transpozicí směrnice EKI v roce 2010. Konkrétně se jedná o vyškrtnutí definic kritické infrastruktury, evropské kritické infrastruktury, prvku kritické infrastruktury, ochrany kritické infrastruktury, subjektu kritické infrastruktury, průřezových kritérií a odvětvových kritérií (§ 2 písm. g) až m)).
K § 4
K odstavci 1
Návrh novely krizového zákona upravuje vymezení role vlády v systému krizového řízení, a to v návaznosti na vyjmutí problematiky ochrany kritické infrastruktury z krizového zákona. V návaznosti na nový samostatný zákon o odolnosti kritické infrastruktury je rovněž navrženo vyškrtnutí úkolů a pravomocí vlády, které se týkají oblasti kritické infrastruktury. Konkrétně se jedná o vyškrtnutí ustanovení písmen d) a e), kterým vláda stanovuje průřezová a odvětvová kritéria a také ustanovení, podle kterého vláda určovala prvky kritické infrastruktury, jejichž provozovatelem je organizační složka státu.
K odstavci 3
Toto ustanovení přidává vládě nové kompetence na úseku připravenosti České republiky na řešení krizových situací. Úprava souvisí s vytvořením nové krizové plánovací dokumentace na ústřední úrovni (krizový plán České republiky), která bude zastřešujícím dokumentem zahrnujícím celé území České republiky. Úprava v tomto případě rovněž reaguje na dlouhodobá doporučení na zpracovávání tohoto typu plánovací dokumentace ze strany mezinárodních institucí, zejména z úrovně Evropské unie. Toto doporučení se například objevuje ve vyhodnoceních Evropské komise, která se týkají pravidelných hlášení členských států EU v souladu s rozhodnutím Evropského parlamentu a Rady č. 1313/2013/EU ze dne 17. prosince 2013 o mechanismu civilní ochrany Unie. Krizový plán České republiky bude zpracován Ministerstvem vnitra ve spolupráci s ministerstvy a jinými ústředními správními úřady do čtyř let od nabytí účinnosti tohoto zákona. Následné pravidelné aktualizace budou probíhat v rámci čtyřletých cyklů, přičemž v případě potřeby bude možné aktualizaci provádět i mimo tyto pravidelné aktualizace. Konkrétní způsob aktualizace a lhůty pro její provedení budou uvedeny v prováděcím právním předpise.
Úprava dále legislativně zakotvuje povinnost schvalovat posouzení rizik České republiky, které je základem pro tvorbu plánovací dokumentace, zejména národního krizového plánu. Požadavek na zpracování posouzení rizik vychází z rozhodnutí Evropského parlamentu a Rady č. 1313/2013/EU ze dne 17. prosince 2013 o mechanismu civilní ochrany Unie. Navrhované posouzení rizik nahrazuje a aktualizuje dříve zpracovanou Analýzu hrozeb ČR, (schválena usnesením vlády ze dne 27. dubna 2016 č. 369). Náležitosti a způsob zpracování posouzení rizik České republiky stanoví prováděcí právní předpis. Posouzení rizik bude schvalováno na dobu čtyř let, což odpovídá maximální lhůtě pro aktualizaci krizového plánu České republiky. V případě potřeby však bude možné provést její aktualizaci dříve. Posouzení rizik České republiky bude rovněž splňovat náležitosti a požadavky na národní posouzení rizik podle směrnice CER, které je zaměřeno na posilování odolnosti subjektů kritické infrastruktury v rámci České republiky. Posouzení rizik České republiky bude zpracováno do jednoho roku od účinnosti krizového zákona, přičemž další pravidelné termíny aktualizace tohoto posouzení budou stanoveny spolu s jeho strukturou a požadovaným obsahem v prováděcím právním předpise.
K § 6 odst. 2
Navrhovaná úprava odstavci 2 v písm. g) bod 3 reaguje na implementaci směrnice CER do samostatného zákona o odolnosti kritické infrastruktury, a s tím související úpravu terminologie. Konkrétně je tak přednostní zásobování prvku kritické infrastruktury změněno na přednostní zásobování subjektu kritické infrastruktury.
K § 9
Ustanovení rozšiřuje podmínky připravenosti na krizové situace a jejich řešení zavedením nových povinností souvisejících se zpracováním posouzení rizik České republiky a krizového plánu České republiky, zpracováním typového plánu a plněním úkolů podle Krizového plánu České republiky.
Současný odstavec 3 je v návrhu novely krizového zákona vyškrtnut z důvodu transpozice směrnice CER.V rámci novely krizového zákona je vyškrtnut odstavec 5, který se týká zmocňovacích ustanovení pro vydání vyhlášky Ministerstva školství mládeže a tělovýchovy a Českého Báňského úřadu. Důvodem vyškrtnutí odstavce 5 je jeho faktické přesunutí do části zákona, která se týká zmocňovacích ustanovení (§ 40 návrhu zákona).
K § 10
K odstavci 1
Ustanovení upravuje činnosti Ministerstva vnitra při koordinaci výkonu státní správy v návaznosti na návrh zákona o odolnosti subjektů kritické infrastruktury. Původní písm. e) až i) jsou odstraněna v návaznosti na úpravu oblasti kritické infrastruktury samostatným zákonem o odolnosti subjektů kritické infrastruktury. Návrh novely upravuje také kompetence Ministerstva vnitra uvedené v písm. d), které se týkají vedení evidence o přechodných změnách pobytu. Návrh novely krizového zákona počítá s vedením této evidence skrze informační systém krizového řízení, který je v zákoně dále řešen v § 26 a 26a, přičemž správcem tohoto informačního systému je právě Ministerstvo vnitra. Jelikož však návrh novely i nadále počítá s oprávněním hejtmana vyhlásit krizové opatření k vedení evidence o přechodných změnách pobytu osob za stavu nebezpečí, je nutné vedení evidence ze strany Ministerstva vnitra rozšířit i na tento krizový stav.
Nově se zavádí povinnosti ke zpracování tzv. ústřední krizové dokumentace, která obsahuje posouzení rizik ČR a Krizový plán ČR, k čemuž využívá podkladů zpracovaných gesčními ministerstvy nebo jinými ústředními správními úřady.
Posouzení rizik ČR bude kromě obecného posouzení rizik v souladu s čl. 6 odst. 1 rozhodnutí č. 1313/2013/EU obsahovat i požadavky stanovené směrnicí CER, a v této souvislosti zohlední přírodní rizika a rizika způsobená člověkem, včetně meziodvětvových nebo přeshraničních rizik, která by mohla poskytování základních služeb ovlivnit, včetně havárií, přírodních katastrof, mimořádných událostí v oblasti veřejného zdraví, jako jsou pandemie, a hybridní hrozby či jiné antagonistické hrozby, včetně teroristických trestných činů, pronikání trestné činnosti a sabotáže. Při provádění posouzení rizik bude zváženo další obecné nebo odvětvové posouzení rizik provedené podle jiných právních aktů Unie a bude zohledněna závislost odvětví nebo pododvětví ve vztahu k jiným odvětvím nebo pododvětvím. Posouzení rizik musí být provedeno do 17. ledna 2026 a následně v případě potřeby a alespoň každé čtyři roky. Zpracováno bude standardním postupem, který byl nastaven i v rámci zpracování Analýzy hrozeb ČR (2015), tedy v součinnosti s věcně příslušnými ministerstvy, jinými ústředními správními úřady nebo Českou národní bankou a dále ve spolupráci s odborníky a dalšími relevantními aktéry.
K odstavci 2
Jde o legislativně-technickou úpravu spočívající v úpravě odkazu.
K § 12a
Původní odstavec 2 se zrušuje. Navrhovaná úprava reaguje na implementaci směrnice CER do samostatného zákona o odolnosti subjektů kritické infrastruktury.
K § 13
Úpravou tohoto ustanovení dochází k úpravě kompetencí České národní banky v systému krizového řízení. Česká národní banka se nově podílí na zpracování krizového plánu České republiky, posouzení rizik České republiky a na zpracování typových plánů, které mohou ze zpracovaného posouzení rizik České republiky plynout, a které spadají do věcné působnosti České národní banky. Dále se podílí na plnění úkolů vyplývajících z krizového plánu České republiky.
Ustanovení uvedená v odstavce 4 se ruší, neboť navrhovaná úprava reaguje na implementaci směrnice CER do samostatného zákona o odolnosti subjektů kritické infrastruktury, který problematiku kritické infrastruktury vyjímá z krizového zákona.
K § 14
K odstavci 2 písm. d)
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, která nebyla reflektována v předchozí novele krizového zákona.
K odstavci 2 písm. e)
Nová povinnost plnit úkoly stanovené v krizovém plánu České republiky vyplývá z navrhované úpravy, podle které se bude nově na ústřední úrovni zpracovávat krizový plán České republiky v návaznosti na zpracované posouzení rizik České republiky. Tímto ustanovením pouze dochází k začlenění krizového plánu České republiky do systému krizové plánovací dokumentace a jeho navázání na činnosti příslušných orgánů krizového řízení.
K odstavci 4 písm. d)
Uvedená změna reaguje na implementaci směrnice CER do samostatného zákona o odolnosti kritické infrastruktury, a s tím související úpravu terminologie. Konkrétně je tak přednostní zásobování prvku kritické infrastruktury změněno na přednostní zásobování subjektu kritické infrastruktury.
K § 14a odst. 1 písm. b)
Nová povinnost plnit úkoly stanovené v krizovém plánu České republiky vyplývá z navrhované úpravy, podle které se bude nově na ústřední úrovni zpracovávat krizový plán České republiky v návaznosti na zpracované posouzení rizik České republiky. Tímto ustanovením pouze dochází k začlenění krizového plánu České republiky do systému krizové plánovací dokumentace a jeho navázání na činnosti příslušných orgánů krizového řízení.
K § 15 odst. 1 písm. e)
Nová povinnost plnit úkoly stanovené v krizovém plánu České republiky vyplývá z navrhované úpravy, podle které se bude nově na ústřední úrovni zpracovávat krizový plán České republiky v návaznosti na zpracované posouzení rizik České republiky. Tímto ustanovením pouze dochází k začlenění krizového plánu České republiky do systému krizové plánovací dokumentace a jeho navázání na činnosti příslušných orgánů krizového řízení.
K § 15 odst. 1 písm. f)
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, která nebyla reflektována v předchozí novele krizového zákona.
K § 16 odst. 2
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, která nebyla reflektována v předchozí novele krizového zákona.
K § 18
K odstavci 2 písm. d)
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, která nebyla reflektována v předchozí novele krizového zákona.
K odstavci 3
Ustanovení reflektuje současný stav, kdy v krizovém plánu kraje mohou být starostovi uloženy úkoly pro řešení krizové situace. Ustanovení je zároveň v souladu s obdobným ustanovením § 14 odst. 2 písm. e), které stanovuje povinnost hejtmana plnit úkoly z krizového plánu ČR.
Vyškrtnutí písmena d) souvisí s legislativním ukotvením informačního systému krizového řízení v § 26 a 26a.
K § 19 odst. 1 písm. b)
Ustanovení doplňuje povinnost obecního úřadu obce s rozšířenou působností plnit jak úkoly vyplývající z krizového plánu ORP, tak i krizového plánu kraje. Ustanovení není v rozporu se současným stavem a je v souladu s nastavenou filozofií, kdy krizový plán vyšší úrovně může ukládat úkoly orgánům krizového řízení na nižší úrovni.
K § 21
K odstavci 2 písm. c)
Ustanovení reflektuje současný stav, kdy v krizovém plánu kraje mohou být starostovi uloženy úkoly pro řešení krizové situace. Ustanovení je zároveň v souladu s obdobným ustanovením § 14 odst. 2 písm. e), které stanovuje povinnost hejtmana plnit úkoly z krizového plánu ČR.
K odstavci 2 písm. d)
Vyškrtnutí písmene d) souvisí s legislativním ukotvením informačního systému krizového řízení v § 26 a 26a.
K § 21a odst. 1 písm. f)
Ustanovení doplňuje povinnost obecního úřadu plnit jak úkoly vyplývající z krizového plánu ORP, tak i krizového plánu kraje. Ustanovení není v rozporu se současným stavem a je v souladu s nastavenou filozofií, kdy krizový plán vyšší úrovně může ukládat úkoly orgánům krizového řízení na nižší úrovni.
K § 26
Ustanovení § 26 je nahrazeno novým zněním, které odpovídá záměru vybudovat jednotný informační systém krizového řízení (ISKŘ), jehož účelem je zejména podpora orgánů krizového řízení při řešení krizových situací. Orgány krizového řízení mají povinnost ISKŘ využívat. Podmínkou je sdílení dat mezi těmito systémy, neboť záměrem ISKŘ není nahradit jiné informační systémy, které se např. využívají na krajích při zpracování plánovací dokumentace a předávání informací.
Nedávno řešené krizové situace (zejména pandemie COVID-19 a migrační vlna) poukázaly na to, že pro efektivní řízení a koordinaci činností nezbytných pro řešení krizové situace je třeba získávat velké množství dat, tato data dále zpracovávat a analyzovat, případně je dále evidovat.
Z důvodů technických omezení není možné a ani žádoucí potřebné údaje začít sdílet až v době krizové situace. Sdílení velkého množství dat je časově náročné a řešení krizových situací vyžaduje okamžitý zdroj dat, která je možné využívat, analyzovat, a z kterých je třeba vycházet při strategických rozhodnutích, která nesnesou odkladu (není možné čekat hodiny či dny, než si infomační systémy předají potřebné informace). Je třeba tedy již v době přípravy na krizové situace nastavit vhodné toky informací z nejvýznamnějších informačních systémů a nastavit technická opatření pro sdílení předem známých dat.
Správce ISKŘ bude při potřebě získání či sdílení údajů se základními registry, s agendovými informačními systémy, s informačními systémy státní správy a s informačními systémy soukromoprávních postupovat v souladu s příslušnými ustanoveními zákona č. 111/2009 Sb., o základních registrech. S ohledem na různý charakter krizových situací a nemožnost přesně předvídat jejich povahu a rozsah, nelze předem striktně stanovit, které údaje a v jakém rozsahu budou pro řešení dané krizové situace nezbytné. S ohledem na specifičnost informačního systému infekčních nemocí budou konkrétní rozsah a podmínky propojení s ISKŘ řešeny dohodou mezi dotčenými rezorty.
ISKŘ je budován jako jednotná platforma pro řešení krizových situací na území České republiky. Jeho jednotlivé části umožňují orgánům krizového řízení zejména sbírat a analyzovat aktuální údaje o řešení krizové situace a informovat veřejnost. ISKŘ tvoří v současném návrhu tyto základní komponenty:
1. Národní portál krizového řízení – je vstupní branou do ISKŘ, přičemž je sám rozdělen na volně přístupnou část a část vyžadující přihlášení. Volně přístupná část je určena pro informování obyvatelstva o probíhajících krizových situacích, o zaváděných opatřeních a omezeních. Zároveň budou na národním portálu umístěny rady obyvatelstvu pro ochranu člověka za mimořádných událostí a zásadní veřejné dokumenty z oblasti ochrany obyvatelstva, krizového řízení a bezpečnosti. V chráněné části národního portálu získají oprávnění uživatelé podrobné informace o probíhajících krizových situacích, včetně neveřejných statistických údajů (dashboardy), a přistupují jeho prostřednictvím do dalších komponent a modulů ISKŘ. V národním portálu bude uveřejněn i Krizový plán České republiky se svými přílohami.
2. Konektor a datová základna – slouží primárně k propojení ISKŘ na základní registry (ISZR), vybrané agendové informační systémy (AIS) a informační systémy státní správy (ISSS) či dalších subjektů. Poskytuje unifikované zabezpečené rozhraní a datový prostor pro ukládání dohodnutých údajů ze základních registrů a informačních systémů, tzv. datovou základnu. Konektor zajišťuje nepřetržitou aktualizaci dat v datové základně. Data jsou pro uživatele ISKŘ zpřístupněna pouze v případě řešení konkrétní krizové situace (viz Správa krizové situace), v běžném stavu je propojení mezi datovou základnou konektoru a DB ISKŘ přerušeno. Konektor zajistí přístup k údajům základních registrů a dalších informačních systémů i v případě výpadku ISZR či příslušných AIS. Předávání dat mezi ISKŘ a ISZR/AIS bude realizováno vždy pomocí referenčního rozhraní veřejné správy. Práce s osobními údaji je logována v souladu s požadavky příslušných úřadů.
3. Správa identit a přístupů – zajišťuje evidenci uživatelů a správu jejich přístupů k jednotlivým komponentám, modulům a jednotlivým údajům. Využívá všech standardních nástrojů k zajištění bezpečné komunikace s ISKŘ, např. JIP-KAAS, NIA ID, více faktorové ověřování atd. Komponenta umožňuje dynamicky udělovat přístupy k jednotlivým údajům nebo k větším celkům dat.
4. Správa krizové situace – umožňuje nastavit ISKŘ pro řešení konkrétní krizové situace. Obsahuje nástroje pro definici zasaženého území, využívaných komponent a modulů a definici odpovědných uživatelů – administrátorů. Schválením připraveného nastavení cestou HZS ČR, MV či MO (podle typu krizové situace) dojde k uvolnění jasně specifikovaných dat oprávněným uživatelům. Komponenta slouží i k ukončení krizové situace, tímto úkonem dojde k anonymizaci všech osobních údajů osob dotčených krizovou situací. Zároveň se pro všechny uživatele uzavírá přístup k datům v datové základně konektoru.
5. Humanitární pomoc (HUMPO) – komponenta obsahuje moduly, které jsou určeny k řešení konkrétních úkolů. Vytvořením dále uvedených modulů bude nově zajištěna centrální koordinace řešení krizové situace. Mezi základní moduly budou patřit:
a. Komunikace krizových štábů – poskytne jednotnou platformu pro výměnu informací mezi krizovými štáby ORP, krajů, ÚSÚ a ÚKŠ. Nahradí dnes používaný systém vyplňování a zasílání formulářů cestou e-mailových schránek jednotlivých úřadů. Kromě zefektivnění komunikace dojde k výraznému zvýšení bezpečnosti při výměně citlivých údajů.
b. Evidence osob při krizových situacích s velkým počtem zraněných – zajistí rychlou výměnu informací mezi místem zásahu, zdravotnickou záchrannou službou, nemocnicemi, PČR a informační linkou IZS. Bude poskytovat základní přehled o místě hospitalizace zraněných, případně o nutnosti informovat rodinné příslušníky. Je základním nástrojem pro předávání informací příbuzným zasažených osob.
c. Přechodné pobyty – určený k plnění povinnosti dané orgánům krizového řízení krizovým opatřením „hlášení přechodné změny pobytu osob“.
d. Evakuace – umožňuje vést kompletní evidenci evakuovaných osob i evakuačních středisek, včetně sledování kapacit, potřeb apod.
e. Humanitární a dobrovolná pomoc – poskytne nástroj pro evidenci požadavků na poskytnutí materiální či dobrovolné humanitární pomoci pro konkrétní občany, obce či organizace. Bude obsahovat evidenci poskytnuté pomoci i evidenci místa a času nasazení dobrovolníků. Nedílnou součástí modulu bude i dynamický formulář pro sběr údajů o potřebách na území zasaženém krizovou situací a propojení na data spolupracujících NNO.
f. Psychosociální pomoc – slouží k evidenci poskytnuté psychosociální pomoci na místě probíhající krizové situace. Modul je určen pro koordinaci činnosti psychologů a jeho data nejsou přístupná ostatním uživatelům ISKŘ.
Přístup do ISKŘ bude vydáván konkrétním osobám na návrh vedoucího funkcionáře/pracovníka příslušného subjektu (ministerstvo, úřad apod.). Přidělení konkrétních oprávnění k jednotlivým částem ISKŘ bude předmětem jednání s příslušnými resorty. Technicky pro řízení přístupu ISKŘ využívá nástroje shodné např. s datovými schránkami, např. NIA či CAAIS (dříve JIP/KAAS). Z hlediska zajištění bezpečnosti nebude v obecné rovině možné se do ISKŘ přihlašovat pomocí obecných či skupinových přihlašovacích údajů.
K § 26a
Nové ustanovení § 26a stanovuje, že při plnění úkolů souvisejících s řešením krizové situace využívá Ministerstvo vnitra údaje z informačního systému zajišťování obrany státu provozovaného podle jiného právního předpisu. Stejně tak je stanoveno oprávnění pro Ministerstvo obrany využívat data z ISKŘ. Toto ustanovení cílí na propojení a sdílení dat ISKŘ s informačním systémem Ministerstva obrany pro potřeby zajišťování obrany státu, kdy se jedná především o vyřešení potřeby užšího provázání a koordinace vojenského a civilního krizového řízení.
K § 26b
Nejedná se o nové ustanovení, ale pouze o přesun ustanovení z § 26a z důvodů logické návaznosti ustanovení.
K § 27
K odstavci 8
Uvedené ustanovení upravovalo omezení práva na informace v případech, kdy je daná informace označena jako zvláštní skutečnost. S ohledem na to, že nově je problematika poskytování informací z krizového řízení řešena komplexně přímo v zákoně č. 106/1999 Sb., tedy bude v sobě zahrnovat také informace, které jsou zvláštními skutečnostmi, dochází ke zrušení odst. 8 z důvodu nadbytečnosti.
K odstavci 9
Zmocňovací ustanovení jsou za účelem přehlednosti a v souladu s legislativními pravidly vlády stanovena v samostatném § 40.
K § 28 odst. 4
Zmocňovací ustanovení jsou za účelem přehlednosti a v souladu s legislativními pravidly vlády stanovena v samostatném § 40.
K § 29 odst. 3
Jedná se o úpravu znění ve vazbě na nový zákon o kritické infrastruktuře.
K § 29a až § 29c
Ustanovení se zrušují ve vazbě na nový zákon o kritické infrastruktuře.
K § 31 odst. 2
Jedná se o formální úpravu odkazu na § 15 odst. 2, v návaznosti na odstranění odstavce, jež nebylo nereflektováno v předchozí novele krizového zákona.
K § 32 odst. 2 a 3
S ohledem na zkušenosti z řešení krizových situací, je nezbytné provést úpravu výjimek z pracovní povinnosti pro pracovníky subjektů kritické infrastruktury. V praxi se ukázala absolutní výjimka z pracovní povinnosti pro zaměstnance subjektu kritické infrastruktury jako nežádoucí. V době krizového stavu může být naopak žádoucí, aby vybraným pracovníkům subjektu kritické infrastruktury mohla být nařízena pracovní povinnost, a to zejména za účelem zajištění poskytování základní služby.
K § 40
Úprava ustanovení souvisí s přesunem všech zmocňovacích ustanovení do § 40, a to za účelem přehlednosti a v souladu s legislativními pravidly.
Rozšíření zmocňovacích ustanovení souvisí se zakotvením či úpravou nové plánovací dokumentace, a tak prováděcí právní předpis nově stanoví i obsahové náležitosti, členění a způsob zpracování posouzení rizik ČR, krizového plánu ČR, plánu krizové připravenosti krajského úřadu a úřadu obce s rozšířenou působností, karty obce a karty subjektu. V rámci prováděcího právního předpisu budou také nově stanoveny podrobnosti k odborné přípravě a podobě podkladů do souhrnného vyhodnocení této odborné přípravy.
Zmocňovací ustanovení k vydání vyhlášky Českým báňským úřadem je rozšiřováno i o podzemní objekty, ve smyslu ustanovení § 37 zákona č. 61/1988 Sb., o hornické činnosti, výbušninách a o státní báňské správě, ve znění pozdějších předpisů, které mohou být rovněž využity při řešení krizových situací.
K přechodným ustanovením
V rámci přechodných ustanovení jsou stanoveny lhůty pro zpracování určených materiálů jednotlivými orgány krizového řízení. Délka lhůt se odvíjí od věcné i obsahové náročnosti jednotlivých materiálů a její počátek je vázán na nabytí účinnosti zákona.
K ČÁSTI SEDMÉ: ZMĚNA ZÁKONA O HOSPODÁŘSKÝCH OPATŘENÍCH PRO KRIZOVÉ STAVY
V části pojmosloví se jedná se legislativně-technickou změnu související se změnou terminologie na úseku kritické infrastruktury.
Věcné změny souvisejí s odůvodněním návrhu zákona v části první, konkrétně § 14.
K ČÁSTI OSMÉ: ZMĚNA VODNÍHO ZÁKONA
Jedná se o legislativně-technickou změnu související se změnou terminologie na úseku kritické infrastruktury.
K ČÁSTI DEVÁTÉ: ZMĚNA BRANNÉHO ZÁKONA
Jedná se o legislativně-technické změny související se změnou terminologie na úseku kritické infrastruktury.
K ČÁSTI DESÁTÉ: ZMĚNA ZÁKONA O HASIČSKÉM ZÁCHRANNÉM SBORU
Jedná se o zpřesnění názvu operačního střediska GŘ HZS ČR a krajského operačního a informačního střediska v souladu s částí první návrhu (§ 19 odst. 1) a s částí pátou návrhu.
K ČÁSTI JEDENÁCTÉ: ZMĚNA ZÁKONA O PROVĚŘOVÁNÍ ZAHRANIČNÍCH INVESTIC
Jedná se o legislativně-technické změny související se změnou terminologie na úseku kritické infrastruktury.
K ČÁSTI DVANÁCTÉ: ÚČINNOST
V případě, že by transpozice byla realizována pouze částečně, nebo nebyla realizována vůbec, případně by k ní došlo s delší časovou prodlevou po 17. říjnu 2024, hrozilo by České republice zahájení řízení o porušení práva Evropské unie ze strany Evropské komise (tzv. infringement procedure). Současně lze za realizaci transpozice považovat stav, kdy je předpis v rámci legislativního procesu projednáván v Poslanecké sněmovně, z tohoto důvodu je účinnost návrhu zákona navrhována od patnáctého dne následujícího po vyhlášení zákona ve Sbírce zákonů, aby byla minimalizována prodleva mezi lhůtou, do kdy měla být směrnice CER implementována, a skutečným okamžikem nabytí účinnosti předloženého návrhu. S ohledem na zásadní povahu některých ustanovení je však potřebné ponechat alespoň krátkou legisvakanční dobu pro možnost adresátů seznámit se se změnami, které zákon pro aplikační praxi přinese.
K PŘÍLOZE ZÁKONA: VĚCNÁ PŮSOBNOST MINISTERSTEV, JINÝCH ÚSTŘEDNÍCH SPRÁVNÍCH ÚŘADŮ A ČESKÉ NÁRODNÍ BANKY PRO JEDNOTLIVÁ ODVĚTVÍ NEBO PODODVĚTVÍ
Nově budou v příloze návrhu zákona definováni gestoři (orgány s věcnou působností) za jednotlivá odvětví nebo pododvětví, což povede k transparentnosti při stanovování odpovědnosti za naplňování úkolů podle tohoto zákona. Vzhledem k nastavenému procesu sebehodnocení poskytovatelů základní služby tím bude současně zaručena přehlednost a snazší orientace v nové regulaci. Poskytovatelé základní služby, subjekty kritické infrastruktury, ale i věcně příslušné orgány mezi sebou budou mít stanoveny jasné kompetence a oblast své působnosti.
S ohledem na různou věcnou příslušnost Národního úřadu pro kybernetickou a informační bezpečnost, Českého telekomunikačního úřadu a Digitální a informační agentury v odvětví digitální infrastruktura muselo být toto odvětví rozděleno do tří pododvětví.
Směrnice CER se podle článku 1 odstavce 6 nevztahuje na subjekty veřejné správy, které vykonávají své činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů. Současně se ovšem členské státy mohou podle článku 1 odstavce 7 rozhodnout, že se článek 11 a kapitoly III, IV a VI směrnice zcela nebo zčásti nepoužijí na konkrétní kritické subjekty, které vykonávají činnosti v oblasti národní bezpečnosti, veřejné bezpečnosti, obrany nebo prosazování práva, včetně vyšetřování, odhalování a stíhání trestných činů, nebo které poskytují služby výhradně subjektům veřejné správy uvedeným v článku 1 odstavci 6. V souladu s tímto ustanovením bude nad rámec směrnice CER do regulace tohoto návrhu zákona zahrnuto odvětví bezpečnosti. V rámci tohoto odvětví byla vytvořena 4 pododvětví – Nouzové služby, Vnitřní pořádek, Hydrometeorologická výstražná služba, které zahrnují zejména ty prvky kritické infrastruktury, které jsou v dosud platném znění NV č. 432/2010 Sb. určovány v odvětví „Nouzové služby“ a Státní hmotné rezervy). Další odvětví nebo pododvětví pro jinak vyloučené subjekty podle článku 1 odstavce 6 nebo 7 nebyla věcně příslušnými ministerstvy nebo jinými ústředními správními úřady v rámci národní regulace navržena.
V Praze dne 26. března 2025
Předseda vlády:
prof. PhDr. Petr Fiala, Ph.D., LL.M.
podepsáno elektronicky
1. místopředseda vlády a ministr vnitra:
Mgr. Bc. Vít Rakušan
podepsáno elektronicky
44
image1.png