CER

Odolnost kritické infrastruktury

Odolnost subjektu kritické infrastruktury je schopností subjektu předcházet incidentům, chránit se před těmito incidenty, reagovat na ně, odolávat jim, zmírňovat a absorbovat je, přizpůsobovat se jim a zotavit se z nich.

Směrnice o odolnosti kritických subjektů CER - Critical Entities Resilience (CER) č. 2022/2557 ze dne 14. prosince 2022 stanovuje pravidla, která mají za cíl posílit odolnost subjektů kritické infrastruktury v Evropském prostoru a rámci jednotlivých členských států EU vůči široké škále hrozeb, včetně těch přírodního rázu, terorismu, hybridních anebo vnitřních hrozeb a sabotáže v řadě odvětvích.

Evropský legislativní kontext dále stanovuje přesah směrnice CER do Nařízení DORA a Směrnice NIS2, která je implementována do právního řádu ČR zákonem č. 264/2025 Sb., o Kybernetické bezpečnosti (účinnost od 1.11.2025).

Nová legislativní úprava

Směrnice CER do právního řádu České republiky implementována samostatným zákonem č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury, který je účinný od 19.8.2025. Tento zákon přináší nový pohled zejména v orientaci na základní služby, Evropský "nadhled", risk-based přístup, rozšíření odvětví kritické infrastruktury a posílení její odolnosti.

Kritická infrastruktura je aktivum nebo soubor aktiv nezbytných pro poskytování základní služby:

  • Areály, budovy, stavby,
  • Infrastrukturní prvky a provozní technologie
  • Informační a komunikační technologie
  • Lidské zdroje
  • Know-how
  • Finanční aktiva
  • Dokumentace a postupy
  • Pověst a právní aspekty

Návrh nařízení vlády o základních službách a kritériích významnosti (před schválením vládou po skončení meziresortního připomínkového řízení) v návrhu stanovuje konkrétní základní služby v jednotlivých odvětvích, jako jsou energetika, doprava, zdravotnictví nebo bankovnictví. Zároveň definuje kritéria, podle kterých se určí, zda je konkrétní poskytovatel služby natolik významný, že má být zařazen mezi subjekty kritické infrastruktury. Tyto subjekty pak budou povinny plnit nové požadavky na svou odolnost.

Určení Subjektu kritické infrastruktury

Subjektem kritické infrastruktury je poskytovatel základní služby:

  • jehož kritická infrastruktura se nachází na území ČR,
  • je jako subjekt kritické infrastruktury určen MV ČR.

Poskytovatelem základní služby je každý, kdo splní obě podmínky a poskytuje:

  • alespoň jednu základní službu (služba nezbytná pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví, životního prostředí – stanoví příloha zákona o KI) a splňuje,
  • kritérium významnosti (kritérium zohledňující počet uživatelů, kteří jsou na základní službě závislí, rozsah závislosti dalších odvětví, dopad incidentů a jejich intenzita a rozsah na postiženém území, důležitost a jedinečnost poskytovatele kritické infrastruktury-kritéria stanoví prováděcí právní předpis).

Poskytovatel základní služby je povinen prostřednictvím Portálu kritické infrastruktury sdělit určenému orgánu (MV ČR) nejpozději do tří měsíců ode dne, kdy došlo k zahájení poskytování základní služby:

  • informace o poskytované základní službě a naplnění kritéria významnosti,
  • kritické infrastruktuře na území nebo mimo území České republiky,
  • základní službě poskytované mimo území České republiky.

Poskytovatel základní služby, který nejpozději k 30. listopadu 2025 zahájí poskytování základní služby, poskytne ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance poprvé informace do 1. března 2026. Ministerstvo vnitra ČR poprvé rozhodne o zařazení poskytovatele základní služby, na seznam subjektů kritické infrastruktury do 17. července 2026. Ministerstvo vnitra ČR tedy, ve stanovené lhůtě, určí s přihlédnutím k doporučení věcně příslušného ministerstva nebo jiného ústředního orgánu, zda bude subjekt zařazen na seznam subjektů kritické infrastruktury. O rozhodnutí vyrozumí do jednoho měsíce ode dne určení všechny zúčastněné strany.

Povinnosti subjektu kritické infrastruktury:

Bezodkladně od doručení informace o zařazení na seznam subjektů kritické infrastruktury identifikovat:

  • kritické pracovníky,
  • kritické dodavatele.

tyto informace poskytovat určenému orgánu včetně informací o subjektu kritické infrastruktury v ČR a mimo ni.

Do jednoho měsíce od zařazení na seznam subjektů KI

poskytovat určenému orgánu informace o:

  • změně v poskytování základní služby,
  • poskytování nové základní služby,
  • ukončení poskytování základní služby

Do devíti měsíců od zařazení na seznam subjektů KI

zpracovat Posouzení rizik. Identifikací a analýzou relevantních hrozeb a zranitelností, které by mohly vést k incidentu a zhodnocením možných ztrát nebo narušení poskytování základní služby určit povahu a rozsah rizik. Pro posouzení rizik lze využít ISO 31000 – Management rizik (náležitosti stanoví právní předpis).

Do deseti měsíců od zařazení na seznam subjektů KI:

  • zpracovat Plán odolnosti, ve kterém jsou stanovena technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury (doporučená aktualizace plánu cca 4 roky). Pro zpracování Plánu odolnosti lze využít ISO 22301 – BCM (náležitosti stanoví právní předpis),

  • subjekt určí manažera kritické infrastruktury.

Určený subjekt kritické infrastruktury je také povinen splňovat povinnosti podle zákona č. 264/2025 Sb., o kybernetické bezpečnosti.

Co Vám můžeme nabídnout?

Poskytujeme komplexní soubor služeb v oblasti kritické infrastruktury:

  • posouzení rizik,
  • identifikace kritických pracovníků a kritických dodavatelů,
  • zpracování Plánu odolnosti,
  • outsourcing manažera pro kritickou infrastrukturu,
  • komunikace s určeným orgánem prostřednictvím portálu kritické infrastruktury,
  • podpora při implementaci opatření k posilování odolnosti subjektu (opatření k řízení rizik, zajištění kontinuity činností, opatření odezvy na incidenty, opatření fyzické bezpečnosti, řízení bezpečnosti pracovníků, řízení bezpečnosti dodavatelského řetězce, a další),
  • plánování a realizace cvičení odolnosti,
  • hlášení povinných informací a incidentů prostřednictvím Portálu kritické infrastruktury,
  • podpora při řešení incidentů, jejich předcházení a zotavování se z nich,
  • nabízíme školení a workshopy pro váš personál, které zvyšují povědomí o rizicích a nutnosti zvyšování odolnosti vůči jednotlivým hrozbám.