Zákon o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)

ČÁST PRVNÍ

HLAVA I

Základní ustanovení

§ 1

Předmět úpravy

(1) Tento zákon zapracovává příslušné předpisy Evropské unie^1) a stanoví

• a) působnost státních orgánů v oblasti zvyšování odolnosti subjektů kritické infrastruktury,

• b) práva a povinnosti právnických a fyzických osob k zajištění poskytování základních služeb,

• c) opatření ke zvyšování a zajišťování odolnosti subjektů kritické infrastruktury.

(2) Zvyšování odolnosti subjektů kritické infrastruktury je součástí krizového řízení podle krizového zákona.

§ 2

Vymezení pojmů

(1) Pro účely tohoto zákona se rozumí

• a) základní službou služba, která je nezbytná pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí, poskytovaná v odvětvích nebo pododvětvích podle přílohy tohoto zákona,

• b) poskytovatelem základní služby každý, kdo poskytuje alespoň 1 základní službu na území České republiky a splňuje kritérium významnosti,

• c) kritickou infrastrukturou aktivum, zařízení, vybavení, síť nebo systém anebo jejich část, které jsou nezbytné pro poskytování základní služby,

• d) subjektem kritické infrastruktury poskytovatel základní služby, jehož kritická infrastruktura se nachází na území České republiky a je zařazen na seznam subjektů kritické infrastruktury,

• e) subjektem evropské kritické infrastruktury subjekt kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v 6 členských státech Evropské unie a byl vyrozuměn o tom, že byl označen Evropskou komisí za kritický subjekt zvláštního evropského významu,

• f) incidentem událost, která může významně narušit nebo která narušuje poskytování základní služby,

• g) rizikem možnost narušení poskytování základní služby v důsledku incidentu, vyjádřená jako kombinace rozsahu takového narušení a pravděpodobnosti vzniku incidentu,

• h) posouzením rizik subjektu kritické infrastruktury celkový postup určení povahy a rozsahu rizika identifikací a analýzou možných relevantních hrozeb, zranitelných míst a nebezpečí, které by mohly vést k incidentu, a hodnocením možného narušení poskytování základní služby způsobené tímto incidentem,

• i) odolností subjektu kritické infrastruktury schopnost subjektu kritické infrastruktury předcházet incidentům, chránit se před těmito incidenty, reagovat na ně, odolávat jim, zmírňovat jejich následky a přijímat opatření k jejich předcházení,

• j) pracovníkem fyzická osoba, která je v pracovněprávním vztahu, služebním poměru nebo jiném obdobném vztahu se subjektem kritické infrastruktury nebo s jeho kritickým dodavatelem,

• k) kritickým pracovníkem pracovník, který je nezbytný pro zajištění poskytování základní služby,

• l) kritickým dodavatelem osoba, která jako dodavatel vstoupila do právního vztahu se subjektem kritické infrastruktury a na základě toho poskytuje zboží nebo služby, které jsou nezbytné pro zajištění poskytování základní služby.

(2) Pro účely tohoto zákona se členským státem Evropské unie rozumí také smluvní stát Dohody o Evropském hospodářském prostoru.

HLAVA II

Strategie pro posílení odolnosti subjektů kritické infrastruktury

§ 3

(1) Strategie pro posílení odolnosti subjektů kritické infrastruktury (dále jen „strategie“) stanoví strategické cíle a opatření s cílem posilovat a zajišťovat odolnost subjektů kritické infrastruktury, a to v rozsahu odvětví a pododvětví podle přílohy tohoto zákona.

(2) Strategie obsahuje

• a) strategické cíle a priority za účelem posílení celkové odolnosti subjektů kritické infrastruktury se zohledněním přeshraniční a meziodvětvové závislosti,

• b) rámec pro naplnění strategických cílů a priorit, včetně popisu působnosti a odpovědnosti věcně příslušných orgánů státní správy a subjektů kritické infrastruktury,

• c) popis opatření nezbytných k posílení odolnosti subjektů kritické infrastruktury, včetně popisu výsledků posouzení rizik České republiky podle krizového zákona (dále jen „posouzení rizik České republiky“),

• d) popis procesu zařazení poskytovatelů základní služby na seznam subjektů kritické infrastruktury,

• e) způsob podpory subjektů kritické infrastruktury ze strany příslušných orgánů státní správy, včetně opatření na posílení spolupráce mezi orgány státní správy a subjekty kritické infrastruktury,

• f) přehled rozhodovacích orgánů v systému zajišťování a posilování odolnosti subjektů kritické infrastruktury,

• g) způsob zajištění koordinace příslušných orgánů státní správy podle tohoto zákona s příslušnými orgány státní správy podle zákona o kybernetické bezpečnosti pro účely sdílení informací o rizicích, hrozbách a incidentech a výkonu kontroly,

• h) popis stávajících nástrojů využitelných subjekty kritické infrastruktury pro zavádění opatření k zajištění své odolnosti.

(3) Strategii schvaluje vláda.

HLAVA III

Výkon státní správy

§ 4

Věcná působnost ministerstev, jiných ústředních správních úřadů a České národní banky v jednotlivých odvětvích nebo pododvětvích, ve kterých jsou poskytovány základní služby, k plnění úkolů podle tohoto zákona je stanovena v příloze tohoto zákona.

§ 5

Ministerstva a jiné ústřední správní úřady

Ministerstva a jiné ústřední správní úřady za účelem zvyšování odolnosti subjektů kritické infrastruktury

• a) poskytují Ministerstvu vnitra součinnost při

• 1. zpracování strategie,

• 1. zpracování souhrnné zprávy o incidentech,

• 1. cvičení k ověření odolnosti subjektů kritické infrastruktury a

• 1. mezinárodní výměně informací,

• b) vyžadují od poskytovatele základní služby informace nezbytné k podání podnětu k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury,

• c) podávají podnět Ministerstvu vnitra k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury,

• d) poskytují Ministerstvu vnitra informace týkající se plnění opatření k zajišťování odolnosti subjektů kritické infrastruktury,

• e) poskytují subjektu kritické infrastruktury v nezbytném rozsahu informace o možném ohrožení poskytování základní služby,

• f) posuzují požadavek uplatněný subjektem kritické infastruktury podle § 14 odst. 3; za účelem jeho vyřízení podle jiného právního předpisu^2) spolupracují s příslušnými orgány,

• g) provádějí cvičení k ověření odolnosti subjektů kritické infrastruktury; za tímto účelem zpracovávají plán cvičení,

• h) provádějí kontrolu subjektu kritické infrastruktury a ukládají nápravná opatření podle § 23,

• i) poskytují Ministerstvu vnitra stanovisko k provedení poradní mise Evropskou komisí,

• j) poskytují Evropské komisi součinnost při provádění poradní mise,

• k) vyhodnocují potřebu zabezpečení nezbytných věcných prostředků prostřednictvím systému hospodářských opatření pro krizové stavy k zajištění poskytování základní služby v odvětví nebo pododvětví; k tomu využívají informace poskytnuté subjektem kritické infastruktury podle § 14 odst. 1 písm. q).

§ 6

Ministerstvo vnitra

(1) Ministerstvo vnitra v oblasti zvyšování odolnosti subjektů kritické infrastruktury

• a) koordinuje výkon státní správy,

• b) zpracovává strategii, aktualizuje ji nejméně jednou za 4 roky a předkládá ji vládě ke schválení,

• c) rozhoduje o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury a o jeho vyřazení z tohoto seznamu; tento seznam aktualizuje nejméně jednou za 4 roky,

• d) na základě požadavku Evropské komise vyrozumí subjekt kritické infrastruktury o tom, že byl Evropskou komisí označen za kritický subjekt zvláštního evropského významu,

• e) zřizuje a provozuje portál kritické infrastruktury,

• f) poskytuje subjektu kritické infrastruktury části posouzení rizik České republiky pro účely zpracování posouzení rizik subjektu kritické infrastruktury,

• g) koordinuje cvičení k ověření odolnosti subjektů kritické infrastruktury v působnosti více ministerstev nebo jiných ústředních správních úřadů; za tímto účelem zpracovává plán cvičení,

• h) plní funkci jednotného kontaktního místa České republiky,

• i) zabezpečuje mezinárodní výměnu informací,

• j) předkládá Evropské komisi

• 1. bez zbytečného odkladu po poslední významné aktualizaci nebo nejpozději každé 4 roky informace o seznamu základních služeb, včetně jejich kritérií, a počtu subjektů kritické infrastruktury podle odvětví, pododvětví a každé základní služby,

• 1. každé 2 roky souhrnnou zprávu o incidentech,

• 1. strategii, informace o druzích zjištěných rizik a výsledcích posouzení rizik České republiky do 3 měsíců ode dne jejich schválení nebo poslední významné aktualizace,

• 1. informace o subjektu kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v 6 členských státech Evropské unie za účelem jeho označení za kritický subjekt zvláštního evropského významu,

• 1. v případě subjektu evropské kritické infrastruktury na základě její žádosti části posouzení rizik subjektu kritické infrastruktury, seznam opatření přijatých podle § 15, kontrolní zjištění podle § 22 a uložená nápravná opatření podle § 23 za účelem provedení poradní mise,

• 1. návrh kandidátů na členy poradní mise,

• k) navrhuje Evropské komisi provedení poradní mise u subjektu evropské kritické infrastruktury,

• l) schvaluje žádost Evropské komise o provedení poradní mise u subjektu evropské kritické infrastruktury,

• m) vydává varování a rozhoduje o stanovení podmínek nebo uložení zákazu využití plnění dodavatele subjektu kritické infrastruktury,

• n) poskytuje na vyžádání

• 1. hasičskému záchrannému sboru kraje za účelem zpracování krizového plánu kraje v nezbytném rozsahu informace o kritické infrastruktuře nacházející se na území kraje,

• 1. Českému úřadu zeměměřickému a katastrálnímu za účelem vedení neveřejné části digitální technické mapy identifikační údaje o subjektu kritické infrastruktury a o jeho kritické infrastruktuře,

• o) spolupracuje s příslušnými orgány členských států Evropské unie.

(2) Působnost Ministerstva vnitra podle odstavce 1 plní generální ředitelství Hasičského záchranného sboru České republiky, s výjimkou působnosti podle odstavce 1 písm. m).

(3) Působnost Ministerstva vnitra předkládat Evropské komisi informace podle odstavce 1 písm. j) se nevztahuje na odvětví bezpečnost.

§ 7

Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost bez zbytečného odkladu poskytuje Ministerstvu vnitra informace o kybernetickém bezpečnostním incidentu s významným dopadem na kybernetický prostor státu, které obdrží na základě hlášení podle zákona o kybernetické bezpečnosti a ke kterému došlo u subjektu kritické infrastruktury v odvětví digitální infrastruktura.

§ 8

Česká národní banka

(1) Česká národní banka vytváří podmínky pro zvyšování odolnosti subjektů kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů a za tímto účelem bez zbytečného odkladu poskytuje Ministerstvu vnitra informace o incidentech, které obdrží na základě přímo použitelného předpisu Evropské unie^3) od subjektu kritické infrastruktury v odvětví bankovnictví nebo infrastruktura finančních trhů.

(2) Pro Českou národní banku se § 5 písm. a) body 1 a 2 a § 5 písm. b), c) a f) použijí obdobně.

HLAVA IV

Poskytovatel základní služby a subjekt kritické infrastruktury

§ 9

Povinnosti poskytovatele základní služby

(1) Poskytovatel základní služby je povinen ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra za účelem rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury poskytnout informace o

• a) poskytované základní službě a naplnění alespoň 1 kritéria významnosti,

• b) jeho kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie a

• c) základní službě poskytované na území jiného členského státu Evropské unie.

(2) Informace podle odstavce 1 poskytovatel základní služby poskytne prostřednictvím portálu kritické infrastruktury nejpozději do

• a) 3 měsíců ode dne zahájení poskytování základní služby,

• b) 1 měsíce ode dne, kdy k tomu byl ministerstvem, jiným ústředním správním úřadem, Českou národní bankou nebo Ministerstvem vnitra vyzván.

§ 10

Základní služba a kritérium významnosti

(1) Kritérium významnosti v souladu s posouzením rizik České republiky určuje význam narušení poskytování základní služby na základě

• a) počtu uživatelů, kteří jsou závislí na základní službě poskytované poskytovatelem základní služby,

• b) rozsahu, v němž poskytování základní služby v jiném odvětví nebo pododvětví závisí na základní službě,

• c) možného dopadu incidentů, pokud jde o jejich intenzitu a délku trvání, na hospodářské a společenské činnosti, životní prostředí, bezpečnost nebo na veřejné zdraví,

• d) tržního podílu poskytovatele základní služby na trhu se základní službou nebo službami v České republice,

• e) území, které by mohlo být incidentem ovlivněno, včetně případných přeshraničních dopadů, s přihlédnutím ke zranitelnosti spojené se stupněm odloučení určitých typů území, nebo

• f) důležitosti poskytovatele základní služby, pokud jde o udržování dostatečné úrovně základní služby, s přihlédnutím k dostupnosti alternativních způsobů poskytování této základní služby.

(2) Základní služby v jednotlivých odvětvích nebo pododvětvích a kritéria významnosti podle odstavce 1 pro jednotlivé základní služby stanoví prováděcí právní předpis.

§ 11

Zařazení na seznam subjektů kritické infrastruktury

(1) Ministerstvo, jiný ústřední správní úřad nebo Česká národní banka bez zbytečného odkladu posoudí informace o poskytovateli základní služby podle § 9 odst. 1 a podá Ministerstvu vnitra podnět k rozhodnutí o zařazení tohoto poskytovatele základní služby na seznam subjektů kritické infrastruktury.

(2) Ministerstvo vnitra na základě podnětu podle odstavce 1 bez zbytečného odkladu rozhodne o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.

(3) Rozhodnutí o zařazení na seznam subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o zařazení na seznam subjektů kritické infrastruktury nemá odkladný účinek.

(4) Seznam subjektů kritické infrastruktury je neveřejný a obsahuje tyto údaje:

• a) identifikační údaje subjektu kritické infrastruktury,

• b) informace o základní službě, kterou subjekt kritické infrastruktury poskytuje,

• c) odvětví a pododvětví, ve kterém subjekt kritické infrastruktury poskytuje základní službu, a

• d) členské státy Evropské unie, ve kterých subjekt kritické infrastruktury poskytuje základní službu.

(5) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o zařazení subjektu na seznam subjektů kritické infrastruktury do 1 měsíce ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury subjektu kritické infrastruktury.

(6) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, není-li stanoveno dále jinak, až do dne doručení rozhodnutí o jeho vyřazení ze seznamu subjektů kritické infrastruktury podle § 13.

Změny v poskytování základní služby

§ 12

(1) Pokud subjekt kritické infrastruktury začne poskytovat základní službu v jiném rozsahu, začne poskytovat novou základní službu nebo ukončí poskytování základní služby, informuje o této skutečnosti ministerstvo, jiný ústřední správní úřad nebo Českou národní banku v rozsahu podle § 9 odst. 1 do 1 měsíce ode dne, kdy nastala tato skutečnost.

(2) Pokud subjekt kritické infrastruktury poskytuje novou základní službu, nebo došlo ke změně rozsahu u již poskytované základní služby, Ministerstvo vnitra na základě informace od ministerstva, jiného ústředního správního úřadu nebo České národní banky doplní do seznamu subjektů kritické infrastruktury informace o nově poskytované základní službě nebo o změně rozsahu již poskytované základní služby. O této skutečnosti následně Ministerstvo vnitra do 1 měsíce ode dne doplnění nových poskytnutých informací vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.

(3) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem k nově zapsané základní službě ode dne doručení vyrozumění podle odstavce 2, není-li stanoveno dále jinak.

§ 13

(1) V případě, že subjekt kritické infrastruktury nadále neposkytuje některou ze základních služeb zapsaných na seznamu subjektů kritické infrastruktury, Ministerstvo vnitra tuto základní službu vymaže ze seznamu subjektů kritické infrastruktury a o této skutečnosti bez zbytečného odkladu vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.

(2) V případě, že subjekt kritické infrastruktury nadále neposkytuje žádnou základní službu, Ministerstvo vnitra rozhodne o jeho vyřazení ze seznamu subjektů kritické infrastruktury.

(3) Rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury nemá odkladný účinek.

(4) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury bez zbytečného odkladu ode dne doručení rozhodnutí o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury subjektu kritické infrastruktury.

§ 14

Práva a povinnosti subjektu kritické infrastruktury

(1) Subjekt kritické infrastruktury je při poskytování základní služby a při zajišťování své odolnosti povinen