Novinky

  2. Titulní stránka
  3. Novinky
  4. Zákon o odolnosti kritické infrastruktury platí – prováděcí nařízení vlády stále chybí
Zákon o odolnosti kritické infrastruktury platí – prováděcí nařízení vlády stále chybí

Zákon o odolnosti kritické infrastruktury platí – prováděcí nařízení vlády stále chybí

Novinky Date: Zobrazení: 20

Zákon o odolnosti kritické infrastruktury platí – prováděcí nařízení vlády stále chybí

Zákon č. 266/2025 Sb. transponuje do českého právního řádu evropskou směrnici CER a zásadně mění přístup ke kritické infrastruktuře. Místo ochrany konkrétních objektů se nově zaměřuje na zajištění dostupnosti základních služeb – v energetice, dopravě, zdravotnictví, bankovnictví, digitální infrastruktuře a dalších odvětvích.

Organizace, které takové služby poskytují, měly do 1. března 2026 splnit informační povinnost: předat příslušnému ministerstvu a Ministerstvu vnitra základní údaje o sobě a svých službách. Na základě těchto informací by MV rozhodlo o jejich zařazení na seznam subjektů kritické infrastruktury. Jenže k tomu, aby organizace věděla, zda se jí zákon vůbec týká, potřebuje znát kritéria významnosti. Ta má stanovit prováděcí nařízení vlády – a to ke dni vzniku tohoto článku stále nevyšlo.

Ministerstvo vnitra situaci komentovalo veřejným sdělením: nesplnění březnového termínu nebude považovat za rozhodné pro účely sankcionování. Povinnost poskytnout informace vznikne až po nabytí účinnosti nařízení vlády, a to do jednoho měsíce od jeho nabytí účinnosti. Přesné datum vydání nařízení zatím není známo.

Image

Co to v praxi znamená? Organizace, které by mohly spadat pod zákon, se zatím pohybují v legislativním provizoriu. Plnohodnotné právní posouzení vlastních povinností není možné, protože bez nařízení nelze jednoznačně určit, zda organizace splňuje kritéria pro zařazení na seznam subjektů kritické infrastruktury. Příprava „naslepo" je sice možná – a u větších organizací pravděpodobně probíhá – ale je spojena s rizikem, že se některá opatření budou muset po vydání nařízení přehodnotit.

Přesto je jeden vztah jasný už nyní: každý subjekt zařazený na seznam kritické infrastruktury se automaticky stává poskytovatelem regulované služby ve vyšším režimu podle zákona o kybernetické bezpečnosti. Opačně to neplatí – zákon o kritické infrastruktuře je užší než zákon o kybernetické bezpečnosti. Organizace, které jsou regulovány DORA nebo které zákon o kritické infrastruktuře přímo vyjímá (bankovnictví, infrastruktura finančních trhů, digitální infrastruktura), navíc plní z nového zákona pouze minimální povinnosti – v podstatě pouze registraci a oznamování změn.

Zákon nicméně přináší i praktický princip pro ty, kdo pod oba zákony spadají: jednou a dost. Dokumentace připravená pro zákon o kybernetické bezpečnosti – pokud splňuje předepsané náležitosti – může sloužit i pro účely zákona o kritické infrastruktuře. To výrazně snižuje administrativní zátěž, pokud se na ni přípravy zaměří správně od začátku.

Kontakt

Další články

NovinkyZet

Zákon o odolnosti subjektů kritické infrastruktury je účinný od loňského srpna, ale organizace zatím nemohou splnit základní povinnost: přihlásit se. Nařízení vlády totiž dosud nevyšlo.
Premium novinkyZet

CISA přidala do svého katalogu Known Exploited Vulnerabilities (KEV) celkem devět nových záznamů.
NovinkyZet

V březnovém balíku záplat Microsoft opravil 83 zranitelností včetně dvou veřejně známých zero-day – poprvé po několika měsících bez aktivně zneužívaných chyb v době vydání.