Zákon o kritické infrastruktuře

Nový zákon o kritické infrastruktuře (implementující směrnici CER) přináší chybějící rámec pro celkovou odolnost. Připravte se na novou úroveň ochrany, která sjednocuje bezpečnostní standardy napříč odvětvími a řeší odolnost kritických subjektů komplexně. Získejte návod, jak posílit svou infrastrukturu napříč všemi složkami a zajistit kontinuitu provozu i v době rostoucích hrozeb.

Úvod

Manažerský úvod pro subjekty kritické infrastruktury

Nový zákon o kritické infrastruktuře (transpozice směrnice CER) už neřeší jen IT, ale skutečnou fyzickou a provozní odolnost vaší organizace. Pomůžeme vám nastavit funkční krizové plány a pohlídat si dodavatelský řetězec tak, aby vaše klíčové služby běžely bez výpadků. Ukážeme vám, jak propojit zákonné povinnosti s mezinárodními standardy ISO (např. ISO 22301ISO 27000) do jednoho logického celku.

MKI

Manažer Kritické Infrastruktury (nová role)

Ovládněte roli, která definuje budoucnost firemní resilience. Zákon o kritické infrastruktuře zvyšuje poptávku po lídrech, kteří sjednotí ochranu aktiv a zajistí nepřetržitý chod služeb. Získejte prestižní kvalifikaci a staňte se strategickým garantem odolnosti podle EU compliance.

C-Level

Exekutivní shrnutí směrnice CER a ZKI pro vrcholový management

ZKI⁴ Board je expertní workshop šitý na míru vedení organizací, které jsou určeny jako subjekty kritické infrastruktury v některém z 11 regulovaných odvětví. Jde o manažerské shrnutí a seznámení s klíčovými dopady EU směrnice CER a nového zákona o kritické infrastruktuře.

Zákon č. 266/2025 Sb. · prováděcí předpisy č. 122/2026 a 123/2026 Sb.

Povinnosti subjektu kritické infrastruktury

S vyhlášením prováděcích předpisů přestává být zákon o kritické infrastruktuře teorií. Níže je kompletní soubor povinností tak, jak na sebe navazují: od sebeposouzení přes zařazení na seznam až po plán odolnosti a hlášení incidentů. U každé povinnosti uvádíme termín, právní základ a předpis, který ji upřesňuje.

Zákon č. 266/2025 Sb. (ZoKI) Nařízení vlády o základních službách a kritériích významnosti Vyhláška: plán odolnosti, posouzení rizik, opatření Směrnice CER (EU) 2022/2557
19. 8. 2025
Účinnost zákona č. 266/2025 Sb.
2.7. 2026
Vyhlášky č. 122/2026 a 123/2026 Sb. ve Sbírce listin
do 17. 7. 2026
První zařazení na seznam subjektů KI; konec režimu dle zákona č. 240/2000 Sb.
≈ duben 2027
Posouzení rizik (do 9 měsíců od doručení rozhodnutí)
≈ květen 2027
Plán odolnosti, manažer KI, hlášení incidentů (do 10 měsíců)
srpen 2028
Konec přechodného období bezpečnostní způsobilosti stávajících manažerů KI
Fáze A · Poskytovatel základní službyPovinnosti před zařazením na seznam. Týkají se každého, kdo poskytuje základní službu v regulovaném odvětví.
01ihned

Sebeposouzení podle kritérií významnosti

Ověřte dvě věci: poskytujete některou ze základních služeb v 11 regulovaných odvětvích a naplňujete alespoň jedno kritérium významnosti? Základní služby i prahové hodnoty vymezuje nařízení vlády o základních službách a kritériích významnosti. Kdo parametry nesplňuje, žádné další kroky nečiní. Kdo je splňuje, pokračuje krokem 02.

02do 3 měsíců / na výzvu

Poskytnutí informací gestorovi a Ministerstvu vnitra

Předáváte informace o poskytované základní službě a naplnění kritéria významnosti, o své kritické infrastruktuře v ČR i EU a o službách poskytovaných v jiných členských státech. Lhůty: první vlna do 1. 3. 2026 (fakticky bez zbytečného odkladu po účinnosti nařízení vlády), noví poskytovatelé do 3 měsíců od zahájení poskytování, do 1 měsíce na výzvu. Kanál: portál kritické infrastruktury, náhradně datová schránka.

Rozhodný moment: zařazení na seznam. O zařazení rozhoduje Ministerstvo vnitra na podnět gestora, který vyhodnotí poskytnuté informace (§ 11). První rozhodnutí padnou do 17. 7. 2026. Seznam subjektů kritické infrastruktury je neveřejný. Doručením rozhodnutí se z poskytovatele stává subjekt kritické infrastruktury a začínají běžet lhůty fáze B.
Fáze B · Subjekt kritické infrastrukturyPovinnosti od doručení rozhodnutí o zařazení. Lhůty běží individuálně, data platí pro první vlnu zařazení.
03do 9 měsíců · ≈ duben 2027

Posouzení rizik

Zpracujete posouzení všech relevantních rizik, která mohou narušit poskytování základní služby: přírodní hrozby i hrozby způsobené člověkem, včetně závislostí na dodavatelském řetězci. Regulátor očekává opakovatelný proces s vlastníky rizik a jasnou metodikou, ne jednorázový dokument. Náležitosti a způsob zpracování stanoví prováděcí vyhláška.

04do 10 měsíců · ≈ květen 2027

Plán odolnosti a opatření k zajištění odolnosti

Na posouzení rizik navazuje plán odolnosti: technická, bezpečnostní a organizační opatření pro prevenci, ochranu, reakci i obnovu. Dokumentaci připravenou podle zákona o kybernetické bezpečnosti lze využít, pokud splňuje předepsané náležitosti: srovnatelné povinnosti se neplní dvakrát.

05do 10 měsíců · ≈ květen 2027

Určení manažera kritické infrastruktury

Jmenujete manažera kritické infrastruktury, který zajišťuje plnění povinností a součinnost s Ministerstvem vnitra. Výkon funkce je citlivou činností podle zákona č. 412/2005 Sb.: kandidát potřebuje doklad o bezpečnostní způsobilosti a řízení o něm trvá měsíce. Stávající manažeři mají přechodné období tři roky od účinnosti zákona, tedy do srpna 2028. Kvalifikaci pokrývá certifikační kurz Manažer kritické infrastruktury (MKI).

06od 10. měsíce · ≈ květen 2027

Hlášení incidentů

Zahájíte hlášení incidentů, které významně narušují nebo mohou narušit poskytování základní služby. Nastavte interní proces detekce, eskalace a reportingu tak, aby hlášení navazovalo na krizové řízení i na povinnosti podle zákona o kybernetické bezpečnosti. Podrobnosti, formát a náležitosti hlášení stanoví prováděcí vyhláška.

Průběžné povinnostiNeběží na lhůtu, ale trvale. Právě zde se rozhoduje, zda compliance vydrží první kontrolu.
07průběžně

Kritičtí pracovníci a kritičtí dodavatelé

Ověřujete spolehlivost kritických pracovníků a řídíte rizika dodavatelského řetězce. Požadavky na bezpečnost se promítají do smluv s kritickými dodavateli: kdo z dodavatelů bezpečnost nedoloží, vypadává ze zakázek subjektů kritické infrastruktury.

08průběžně

Aktualizace, součinnost a kontroly

Posouzení rizik i plán odolnosti udržujete aktuální a poskytujete součinnost Ministerstvu vnitra a gestorovi. Zákon zavádí kontroly subjektů kritické infrastruktury, nápravná opatření a sankce za porušení povinností. Připravenost na kontrolu je proto trvalý stav, ne projekt s koncem.

Speciální režim tří odvětví. Bankovnictví, infrastruktura finančních trhů a digitální infrastruktura plní podle zákona o kritické infrastruktuře jen vybrané, zejména informační povinnosti. Jádro požadavků u nich řeší nařízení DORA a zákon č. 264/2025 Sb. o kybernetické bezpečnosti. Platí zásada: srovnatelné povinnosti se neplní dvakrát.
Podcenění má adresu: statutární orgán. Pokud nedostatečná příprava vyústí v narušení kontinuity základní služby, odpovědnost dopadá na vedení organizace. Manažer kritické infrastruktury proto potřebuje mandát a rozpočet, ne jen jmenovací dekret.
Struktura povinností vychází ze zákona č. 266/2025 Sb., metodiky MV‑GŘ HZS ČR a výkladů gestorů (MZd, MV) a předpisů č. 122/2026 Sb. a 123/2026 Sb. 

Lhůty začnou běžet doručením rozhodnutí. Náskok začíná teď.

Provedeme vás sebeposouzením, posouzením rizik i plánem odolnosti a připravíme vaše lidi na roli manažera kritické infrastruktury.

ZKI Readiness™: připravit organizaci

Kdo a proč potřebuje CER

Odvětví a pododvětví, která spadají pod rozšířený evropský seznam kritických subjektů

Elektřina

  • agregace elektřiny
  • odezva strany poptávky
  • výroba, dodávky a ukládání energie
  • služby nominovaného organizátora trhu s elektřinou 
  • provoz, údržba a rozvoj distribuční soustavy elektřiny 
  • provoz, údržba a rozvoj elektroenergetické přenosové soustavy

Dálkové vytápění a chlazení

  • poskytování dálkového vytápění, nebo chlazení

Ropa

  • rafinace a zpracování ropy
  • těžba, přeprava a skladování ropy a PHM
  • správa zásob, včetně nouzových a specifických

Zemní plyn

  • těžba zemního plynu
  • rafinace a zpracování
  • nákup, distribuce zemního plynu
  • přeprava, dodávky a skladování zemního plynu 
  • provozování zařízení na zkapalněný zemní plyn (LNG) 

Vodík

  • výroba vodíku 
  • skladování, přeprava a distribuce

Letecká doprava

  • služby řízení letového provozu
  • komerční služby letecké dopravy (osobní a nákladní)
  • provoz, správa a údržba infrastruktury letišť a sítě letišť

Železniční doprava

  • služby železniční dopravy (osobní a nákladní)
  • provoz, správa a údržba zařízení železničních služeb
  • provoz, správa a údržba řízení železničního provozu a systémů pro řízení a zabezpečení
  • provoz, správa a údržba železniční infrastruktury, včetně nádraží, nákladních terminálů a středisek řízení provozu

Vodní doprava

  • služby v lodní dopravě
  • služby vnitrozemské, námořní a pobřežní vodní dopravy (osobní a nákladní)
  • provoz, správa a údržba přístavů a přístavních zařízení a provoz děl a zařízení v rámci přístavů, včetně doplňování paliva, nákladových operací, vyvazování, služeb osobní dopravy, sběru lodního odpadu a zbytků lodního nákladu, lodivodských služeb a služeb vlečných lodí

Silniční doprava

  • kontrola řízení provozu
  • plánování, řízení a správa silniční sítě
  • služby inteligentních dopravních systémů
  • přijímání vkladů
  • poskytování úvěrů
  • provozování obchodního systému
  • provozování clearingových systémů
  • distribuce léčivých přípravků
  • výzkum a vývoj léčivých přípravků 
  • poskytování služeb zdravotní péče 
  • analýzy prováděné referenční laboratoří Evropské unie 
  • výroba základních farmaceutických výrobků a základních farmaceutických přípravků 
  • výroba zdravotnických prostředků považovaných za kriticky důležité v průběhu mimořádné situace v oblasti veřejného zdraví

Dodávka pitné vody a distribuce pitné vody s výjimkou distribuce vody určené k lidské spotřebě, pokud tato služba není podstatnou součástí obecné činnosti distributorů spočívající v distribuci jiných komodit a zboží.

Odvádění, čištění a vypouštění odpadních vod s výjimkou odvádění, vypouštění nebo čištění městských odpadních vod, splašků nebo průmyslových odpadních vod, pokud nejsou podstatnou součástí obecných činností podniků.

Služby vytvářející důvěru

  • poskytování služeb vytvářejících důvěru
  • poskytování služeb elektronické identifikace

Sítě a služby veřejných komunikací

  • poskytování veřejné sítě elektronických komunikací
  • poskytování veřejně dostupných služeb elektronických komunikací

Ostatní digitální služby a infrastruktura

  • datová centra
  • cloud computin služby
  • poskytování sítí pro doručování obsahu
  • provoz a správa registrů domén nejvyšší úrovně (TLD) 
  • poskytování a provozování služeb výměnných uzlů internetu
  • systém překladu jmen domén (DNS) s výjimkou služeb souvisejících s kořenovými jmennými servery

Služby poskytované subjekty veřejné správy dle čl. 2 bodu 10 směrnice CER ústředních vlád vymezenými členskými státy v souladu s vnitrostátním právem.

Provoz pozemních infrastruktur vlastněných, spravovaných a provozovaných členskými státy nebo soukromými subjekty a podporujících poskytování služeb využívajících kosmického prostoru, s výjimkou poskytovatelů veřejných sítí elektronických komunikací.

  • velkoobchodní distribuce potravin
  • rozsáhlá průmyslová výroba a zpracování potravin
  • služby dodavatelského řetězce potravin, včetně skladování a logistiky

Proč CER

Pandemie Covid-19, sabotáž Nord Stream v Baltském moři, rozsáhlé lesní požáry ve Středomoří, kolaps logistických cest v důsledku zablokovaného Suezu, bleskové povodně v Německu, sabotáže muničních skladů v Česku, válka v bezprostřední blízkosti schengenských hranic, či každodenní kybernetické útoky na evropskou kritickou infrastrukturu. To je jen stručný výčet krizí, kterým EU čelila a čelí v posledních letech.

V reakci na zhoršující se bezpečnostní situaci a přibývající extrémní klimatické jevy přichází Evropská unie s iniciativou mající za cíl posílení odolnosti kritických subjektů. 

Směrnice CER poprvé sjednocuje pravidla pro určování a zajištění bezpečnosti  kritické infrastruktury v celé osmadvacítce.

A koho se nové nařízení a povinnost chránit odolnost kritické infrastruktury týká? Celkem 11 sektorů:

  • doprava
  • energetika
  • zdravotnictví, potraviny
  • pitná voda, odpadní vody
  • bankovnictví, finanční tržní infrastruktury
  • digitální infrastruktura, veřejná správa, vesmír
Směrnice Evropské kritické infrastruktury (ECI)

Cíle

Směrnice o odolnosti kritických subjektů (CER) má za cíl snížit zranitelnost a posílit fyzickou odolnost kritických entit. Jedná se o subjekty poskytující životně důležité služby na nichž závisí živobytí občanů EU a řádné fungování vnitřního trhu.

Ty musí být schopny připravit se na přírodní katastrofy, teroristické hrozby či zdravotní mimořádné události, umět se s nimi vyrovnat, chránit se před nimi, reagovat na ně a zotavit se z nich. Ambicí směrnice je především:

  • Sjednotit evropská pravidla
  • Rozšířit odvětví kritické infrastruktury 
  • Výrazně eliminovat reálné zranitelnosti 
  • Co nejefektivněji posílit odolnost kritických subjektů 
  • Navýšit kapacity EU na ochranu své kritické infrastruktury
Směrnice Evropské kritické infrastruktury (ECI)

Case Study - ÚVN

Chcete to připravit na míru? Kontaktujte nás!

Zavolejte nám a my vám poradíme.

Jsme vám k dispozici na telefonním čísle +420 222 553 101 vždy od pondělí do pátku: 9:00 - 17:00.

*položky označené hvězdičkou jsou povinné

Chcete získat dárek k narozeninám?