Zákon o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře)

ČÁST PRVNÍ

HLAVA I

Základní ustanovení

§ 1

Předmět úpravy

(1) Tento zákon zapracovává příslušné předpisy Evropské unie^1) a stanoví

• a) působnost státních orgánů v oblasti zvyšování odolnosti subjektů kritické infrastruktury,

• b) práva a povinnosti právnických a fyzických osob k zajištění poskytování základních služeb,

• c) opatření ke zvyšování a zajišťování odolnosti subjektů kritické infrastruktury.

(2) Zvyšování odolnosti subjektů kritické infrastruktury je součástí krizového řízení podle krizového zákona.

§ 2

Vymezení pojmů

(1) Pro účely tohoto zákona se rozumí

• a) základní službou služba, která je nezbytná pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí, poskytovaná v odvětvích nebo pododvětvích podle přílohy tohoto zákona,

• b) poskytovatelem základní služby každý, kdo poskytuje alespoň 1 základní službu na území České republiky a splňuje kritérium významnosti,

• c) kritickou infrastrukturou aktivum, zařízení, vybavení, síť nebo systém anebo jejich část, které jsou nezbytné pro poskytování základní služby,

• d) subjektem kritické infrastruktury poskytovatel základní služby, jehož kritická infrastruktura se nachází na území České republiky a je zařazen na seznam subjektů kritické infrastruktury,

• e) subjektem evropské kritické infrastruktury subjekt kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v 6 členských státech Evropské unie a byl vyrozuměn o tom, že byl označen Evropskou komisí za kritický subjekt zvláštního evropského významu,

• f) incidentem událost, která může významně narušit nebo která narušuje poskytování základní služby,

• g) rizikem možnost narušení poskytování základní služby v důsledku incidentu, vyjádřená jako kombinace rozsahu takového narušení a pravděpodobnosti vzniku incidentu,

• h) posouzením rizik subjektu kritické infrastruktury celkový postup určení povahy a rozsahu rizika identifikací a analýzou možných relevantních hrozeb, zranitelných míst a nebezpečí, které by mohly vést k incidentu, a hodnocením možného narušení poskytování základní služby způsobené tímto incidentem,

• i) odolností subjektu kritické infrastruktury schopnost subjektu kritické infrastruktury předcházet incidentům, chránit se před těmito incidenty, reagovat na ně, odolávat jim, zmírňovat jejich následky a přijímat opatření k jejich předcházení,

• j) pracovníkem fyzická osoba, která je v pracovněprávním vztahu, služebním poměru nebo jiném obdobném vztahu se subjektem kritické infrastruktury nebo s jeho kritickým dodavatelem,

• k) kritickým pracovníkem pracovník, který je nezbytný pro zajištění poskytování základní služby,

• l) kritickým dodavatelem osoba, která jako dodavatel vstoupila do právního vztahu se subjektem kritické infrastruktury a na základě toho poskytuje zboží nebo služby, které jsou nezbytné pro zajištění poskytování základní služby.

(2) Pro účely tohoto zákona se členským státem Evropské unie rozumí také smluvní stát Dohody o Evropském hospodářském prostoru.

HLAVA II

Strategie pro posílení odolnosti subjektů kritické infrastruktury

§ 3

(1) Strategie pro posílení odolnosti subjektů kritické infrastruktury (dále jen „strategie“) stanoví strategické cíle a opatření s cílem posilovat a zajišťovat odolnost subjektů kritické infrastruktury, a to v rozsahu odvětví a pododvětví podle přílohy tohoto zákona.

(2) Strategie obsahuje

• a) strategické cíle a priority za účelem posílení celkové odolnosti subjektů kritické infrastruktury se zohledněním přeshraniční a meziodvětvové závislosti,

• b) rámec pro naplnění strategických cílů a priorit, včetně popisu působnosti a odpovědnosti věcně příslušných orgánů státní správy a subjektů kritické infrastruktury,

• c) popis opatření nezbytných k posílení odolnosti subjektů kritické infrastruktury, včetně popisu výsledků posouzení rizik České republiky podle krizového zákona (dále jen „posouzení rizik České republiky“),

• d) popis procesu zařazení poskytovatelů základní služby na seznam subjektů kritické infrastruktury,

• e) způsob podpory subjektů kritické infrastruktury ze strany příslušných orgánů státní správy, včetně opatření na posílení spolupráce mezi orgány státní správy a subjekty kritické infrastruktury,

• f) přehled rozhodovacích orgánů v systému zajišťování a posilování odolnosti subjektů kritické infrastruktury,

• g) způsob zajištění koordinace příslušných orgánů státní správy podle tohoto zákona s příslušnými orgány státní správy podle zákona o kybernetické bezpečnosti pro účely sdílení informací o rizicích, hrozbách a incidentech a výkonu kontroly,

• h) popis stávajících nástrojů využitelných subjekty kritické infrastruktury pro zavádění opatření k zajištění své odolnosti.

(3) Strategii schvaluje vláda.

HLAVA III

Výkon státní správy

§ 4

Věcná působnost ministerstev, jiných ústředních správních úřadů a České národní banky v jednotlivých odvětvích nebo pododvětvích, ve kterých jsou poskytovány základní služby, k plnění úkolů podle tohoto zákona je stanovena v příloze tohoto zákona.

§ 5

Ministerstva a jiné ústřední správní úřady

Ministerstva a jiné ústřední správní úřady za účelem zvyšování odolnosti subjektů kritické infrastruktury

• a) poskytují Ministerstvu vnitra součinnost při

• 1. zpracování strategie,

• 1. zpracování souhrnné zprávy o incidentech,

• 1. cvičení k ověření odolnosti subjektů kritické infrastruktury a

• 1. mezinárodní výměně informací,

• b) vyžadují od poskytovatele základní služby informace nezbytné k podání podnětu k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury,

• c) podávají podnět Ministerstvu vnitra k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury,

• d) poskytují Ministerstvu vnitra informace týkající se plnění opatření k zajišťování odolnosti subjektů kritické infrastruktury,

• e) poskytují subjektu kritické infrastruktury v nezbytném rozsahu informace o možném ohrožení poskytování základní služby,

• f) posuzují požadavek uplatněný subjektem kritické infastruktury podle § 14 odst. 3; za účelem jeho vyřízení podle jiného právního předpisu^2) spolupracují s příslušnými orgány,

• g) provádějí cvičení k ověření odolnosti subjektů kritické infrastruktury; za tímto účelem zpracovávají plán cvičení,

• h) provádějí kontrolu subjektu kritické infrastruktury a ukládají nápravná opatření podle § 23,

• i) poskytují Ministerstvu vnitra stanovisko k provedení poradní mise Evropskou komisí,

• j) poskytují Evropské komisi součinnost při provádění poradní mise,

• k) vyhodnocují potřebu zabezpečení nezbytných věcných prostředků prostřednictvím systému hospodářských opatření pro krizové stavy k zajištění poskytování základní služby v odvětví nebo pododvětví; k tomu využívají informace poskytnuté subjektem kritické infastruktury podle § 14 odst. 1 písm. q).

§ 6

Ministerstvo vnitra

(1) Ministerstvo vnitra v oblasti zvyšování odolnosti subjektů kritické infrastruktury

• a) koordinuje výkon státní správy,

• b) zpracovává strategii, aktualizuje ji nejméně jednou za 4 roky a předkládá ji vládě ke schválení,

• c) rozhoduje o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury a o jeho vyřazení z tohoto seznamu; tento seznam aktualizuje nejméně jednou za 4 roky,

• d) na základě požadavku Evropské komise vyrozumí subjekt kritické infrastruktury o tom, že byl Evropskou komisí označen za kritický subjekt zvláštního evropského významu,

• e) zřizuje a provozuje portál kritické infrastruktury,

• f) poskytuje subjektu kritické infrastruktury části posouzení rizik České republiky pro účely zpracování posouzení rizik subjektu kritické infrastruktury,

• g) koordinuje cvičení k ověření odolnosti subjektů kritické infrastruktury v působnosti více ministerstev nebo jiných ústředních správních úřadů; za tímto účelem zpracovává plán cvičení,

• h) plní funkci jednotného kontaktního místa České republiky,

• i) zabezpečuje mezinárodní výměnu informací,

• j) předkládá Evropské komisi

• 1. bez zbytečného odkladu po poslední významné aktualizaci nebo nejpozději každé 4 roky informace o seznamu základních služeb, včetně jejich kritérií, a počtu subjektů kritické infrastruktury podle odvětví, pododvětví a každé základní služby,

• 1. každé 2 roky souhrnnou zprávu o incidentech,

• 1. strategii, informace o druzích zjištěných rizik a výsledcích posouzení rizik České republiky do 3 měsíců ode dne jejich schválení nebo poslední významné aktualizace,

• 1. informace o subjektu kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v 6 členských státech Evropské unie za účelem jeho označení za kritický subjekt zvláštního evropského významu,

• 1. v případě subjektu evropské kritické infrastruktury na základě její žádosti části posouzení rizik subjektu kritické infrastruktury, seznam opatření přijatých podle § 15, kontrolní zjištění podle § 22 a uložená nápravná opatření podle § 23 za účelem provedení poradní mise,

• 1. návrh kandidátů na členy poradní mise,

• k) navrhuje Evropské komisi provedení poradní mise u subjektu evropské kritické infrastruktury,

• l) schvaluje žádost Evropské komise o provedení poradní mise u subjektu evropské kritické infrastruktury,

• m) vydává varování a rozhoduje o stanovení podmínek nebo uložení zákazu využití plnění dodavatele subjektu kritické infrastruktury,

• n) poskytuje na vyžádání

• 1. hasičskému záchrannému sboru kraje za účelem zpracování krizového plánu kraje v nezbytném rozsahu informace o kritické infrastruktuře nacházející se na území kraje,

• 1. Českému úřadu zeměměřickému a katastrálnímu za účelem vedení neveřejné části digitální technické mapy identifikační údaje o subjektu kritické infrastruktury a o jeho kritické infrastruktuře,

• o) spolupracuje s příslušnými orgány členských států Evropské unie.

(2) Působnost Ministerstva vnitra podle odstavce 1 plní generální ředitelství Hasičského záchranného sboru České republiky, s výjimkou působnosti podle odstavce 1 písm. m).

(3) Působnost Ministerstva vnitra předkládat Evropské komisi informace podle odstavce 1 písm. j) se nevztahuje na odvětví bezpečnost.

§ 7

Národní úřad pro kybernetickou a informační bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost bez zbytečného odkladu poskytuje Ministerstvu vnitra informace o kybernetickém bezpečnostním incidentu s významným dopadem na kybernetický prostor státu, které obdrží na základě hlášení podle zákona o kybernetické bezpečnosti a ke kterému došlo u subjektu kritické infrastruktury v odvětví digitální infrastruktura.

§ 8

Česká národní banka

(1) Česká národní banka vytváří podmínky pro zvyšování odolnosti subjektů kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů a za tímto účelem bez zbytečného odkladu poskytuje Ministerstvu vnitra informace o incidentech, které obdrží na základě přímo použitelného předpisu Evropské unie^3) od subjektu kritické infrastruktury v odvětví bankovnictví nebo infrastruktura finančních trhů.

(2) Pro Českou národní banku se § 5 písm. a) body 1 a 2 a § 5 písm. b), c) a f) použijí obdobně.

HLAVA IV

Poskytovatel základní služby a subjekt kritické infrastruktury

§ 9

Povinnosti poskytovatele základní služby

(1) Poskytovatel základní služby je povinen ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra za účelem rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury poskytnout informace o

• a) poskytované základní službě a naplnění alespoň 1 kritéria významnosti,

• b) jeho kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie a

• c) základní službě poskytované na území jiného členského státu Evropské unie.

(2) Informace podle odstavce 1 poskytovatel základní služby poskytne prostřednictvím portálu kritické infrastruktury nejpozději do

• a) 3 měsíců ode dne zahájení poskytování základní služby,

• b) 1 měsíce ode dne, kdy k tomu byl ministerstvem, jiným ústředním správním úřadem, Českou národní bankou nebo Ministerstvem vnitra vyzván.

§ 10

Základní služba a kritérium významnosti

(1) Kritérium významnosti v souladu s posouzením rizik České republiky určuje význam narušení poskytování základní služby na základě

• a) počtu uživatelů, kteří jsou závislí na základní službě poskytované poskytovatelem základní služby,

• b) rozsahu, v němž poskytování základní služby v jiném odvětví nebo pododvětví závisí na základní službě,

• c) možného dopadu incidentů, pokud jde o jejich intenzitu a délku trvání, na hospodářské a společenské činnosti, životní prostředí, bezpečnost nebo na veřejné zdraví,

• d) tržního podílu poskytovatele základní služby na trhu se základní službou nebo službami v České republice,

• e) území, které by mohlo být incidentem ovlivněno, včetně případných přeshraničních dopadů, s přihlédnutím ke zranitelnosti spojené se stupněm odloučení určitých typů území, nebo

• f) důležitosti poskytovatele základní služby, pokud jde o udržování dostatečné úrovně základní služby, s přihlédnutím k dostupnosti alternativních způsobů poskytování této základní služby.

(2) Základní služby v jednotlivých odvětvích nebo pododvětvích a kritéria významnosti podle odstavce 1 pro jednotlivé základní služby stanoví prováděcí právní předpis.

§ 11

Zařazení na seznam subjektů kritické infrastruktury

(1) Ministerstvo, jiný ústřední správní úřad nebo Česká národní banka bez zbytečného odkladu posoudí informace o poskytovateli základní služby podle § 9 odst. 1 a podá Ministerstvu vnitra podnět k rozhodnutí o zařazení tohoto poskytovatele základní služby na seznam subjektů kritické infrastruktury.

(2) Ministerstvo vnitra na základě podnětu podle odstavce 1 bez zbytečného odkladu rozhodne o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.

(3) Rozhodnutí o zařazení na seznam subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o zařazení na seznam subjektů kritické infrastruktury nemá odkladný účinek.

(4) Seznam subjektů kritické infrastruktury je neveřejný a obsahuje tyto údaje:

• a) identifikační údaje subjektu kritické infrastruktury,

• b) informace o základní službě, kterou subjekt kritické infrastruktury poskytuje,

• c) odvětví a pododvětví, ve kterém subjekt kritické infrastruktury poskytuje základní službu, a

• d) členské státy Evropské unie, ve kterých subjekt kritické infrastruktury poskytuje základní službu.

(5) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o zařazení subjektu na seznam subjektů kritické infrastruktury do 1 měsíce ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury subjektu kritické infrastruktury.

(6) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, není-li stanoveno dále jinak, až do dne doručení rozhodnutí o jeho vyřazení ze seznamu subjektů kritické infrastruktury podle § 13.

Změny v poskytování základní služby

§ 12

(1) Pokud subjekt kritické infrastruktury začne poskytovat základní službu v jiném rozsahu, začne poskytovat novou základní službu nebo ukončí poskytování základní služby, informuje o této skutečnosti ministerstvo, jiný ústřední správní úřad nebo Českou národní banku v rozsahu podle § 9 odst. 1 do 1 měsíce ode dne, kdy nastala tato skutečnost.

(2) Pokud subjekt kritické infrastruktury poskytuje novou základní službu, nebo došlo ke změně rozsahu u již poskytované základní služby, Ministerstvo vnitra na základě informace od ministerstva, jiného ústředního správního úřadu nebo České národní banky doplní do seznamu subjektů kritické infrastruktury informace o nově poskytované základní službě nebo o změně rozsahu již poskytované základní služby. O této skutečnosti následně Ministerstvo vnitra do 1 měsíce ode dne doplnění nových poskytnutých informací vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.

(3) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem k nově zapsané základní službě ode dne doručení vyrozumění podle odstavce 2, není-li stanoveno dále jinak.

§ 13

(1) V případě, že subjekt kritické infrastruktury nadále neposkytuje některou ze základních služeb zapsaných na seznamu subjektů kritické infrastruktury, Ministerstvo vnitra tuto základní službu vymaže ze seznamu subjektů kritické infrastruktury a o této skutečnosti bez zbytečného odkladu vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.

(2) V případě, že subjekt kritické infrastruktury nadále neposkytuje žádnou základní službu, Ministerstvo vnitra rozhodne o jeho vyřazení ze seznamu subjektů kritické infrastruktury.

(3) Rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury nemá odkladný účinek.

(4) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury bez zbytečného odkladu ode dne doručení rozhodnutí o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury subjektu kritické infrastruktury.

§ 14

Práva a povinnosti subjektu kritické infrastruktury

(1) Subjekt kritické infrastruktury je při poskytování základní služby a při zajišťování své odolnosti povinen

• a) poskytovat bez zbytečného odkladu Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance informace o poskytované základní službě, kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie, kritických pracovnících a kritických dodavatelích,

• b) bez zbytečného odkladu informovat Ministerstvo vnitra, ve kterých členských státech Evropské unie poskytuje základní službu,

• c) bez zbytečného odkladu informovat Ministerstvo vnitra a ministerstvo nebo jiný ústřední správní úřad, že je součástí koncernu podle zákona upravujícího obchodní korporace, včetně informace, zda se jedná o řízenou nebo řídící osobu,

• d) do 9 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury a následně provádět jeho aktualizaci nejméně jednou za 4 roky,

• e) bez zbytečného odkladu poskytnout na žádost ministerstva nebo jiného ústředního správního úřadu podklady pro zpracování posouzení rizik České republiky,

• f) do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat plán odolnosti, ve kterém jsou stanovena technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury, a následně provádět jeho aktualizaci nejméně jednou za 4 roky,

• g) určit manažera kritické infrastruktury do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, a bez zbytečného odkladu poté, co dosavadní manažer kritické infrastruktury skončí výkon této funkce,

• h) bez zbytečného odkladu oznámit určení manažera kritické infrastruktury Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu,

• i) vytvářet manažeru kritické infrastruktury podmínky nezbytné k plnění jeho povinností,

• j) označit kritické dodavatele a sdělit Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance

• 1. v případě právnické nebo podnikající fyzické osoby identifikační údaje v rozsahu název, sídlo a identifikační číslo osoby,

• 1. v případě fyzické osoby identifikační údaje v rozsahu jméno a příjmení, datum narození a adresa místa pobytu,

• 1. důvody, pro které byl označen jako kritický dodavatel,

• k) přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury podle § 15,

• l) bez zbytečného odkladu hlásit Ministerstvu vnitra incidenty podle § 18 a 19,

• m) zajistit podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací,

• n) účastnit se cvičení k ověření odolnosti subjektů kritické infrastruktury,

• o) využívat portál kritické infrastruktury pro plnění povinností podle tohoto zákona,

• p) umožnit ministerstvu nebo jinému ústřednímu správnímu úřadu provedení kontroly plnění povinností stanovených tímto zákonem a přijímat nápravná opatření podle § 23,

• q) informovat ministerstvo nebo jiný ústřední správní úřad o potřebě zabezpečení nezbytnými věcnými prostředky k zajištění poskytování základní služby, které není schopen zajistit jiným způsobem,

• r) požádat u manažera kritické infrastruktury o ověření spolehlivosti, zda splňuje podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací.

(2) Za účelem zajištění své odolnosti a poskytování základní služby subjekt kritické infrastruktury

• a) ověřuje spolehlivost podle § 17 v souladu s posouzením rizik České republiky,

• b) pro plnění povinností podle tohoto zákona zpracovává v nezbytném rozsahu osobní údaje

• 1. kritických pracovníků,

• 1. osob ucházejících se u něj o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu a

• 1. osob, které jsou pověřené přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů.

(3) Za účelem zajištění své odolnosti a poskytování základní služby je subjekt kritické infrastruktury v nezbytném rozsahu dále oprávněn

• a) při přípravě na krizové situace požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky,

• b) během mimořádné události nebo za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele, pokud je to nezbytné pro poskytování základní služby,

• c) za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury, pokud je to nezbytné pro poskytování základní služby.

(4) Subjekt evropské kritické infrastruktury je dále povinen ode dne doručení vyrozumění o označení kritickým subjektem zvláštního evropského významu

• a) poskytnout Evropské komisi, pokud o to požádá, prostřednictvím Ministerstva vnitra

• 1. posouzení rizik subjektu kritické infrastruktury a

• 1. seznam opatření přijatých k zajišťování své odolnosti,

• b) umožnit poradní misi Evropské komise přístup k nezbytným informacím souvisejícím s poskytováním jeho základní služby a ke kritické infrastruktuře a poskytnout jí nezbytnou součinnost a

• c) přijmout nápravné opatření ke zjištěným nedostatkům a doporučením poradní mise a informovat o jeho přijetí Evropskou komisi prostřednictvím Ministerstva vnitra.

(5) Na subjekt kritické infrastruktury v odvětví bezpečnost se nevztahují povinnosti podle odstavce 1 písm. b) a odstavce 4.

(6) Náležitosti a způsob zpracování plánu odolnosti a posouzení rizik subjektu kritické infrastruktury stanoví prováděcí právní předpis.

§ 15

Opatření k zajištění odolnosti subjektu kritické infrastruktury

(1) Subjekt kritické infrastruktury na základně posouzení rizik subjektu kritické infrastruktury přijímá technická, bezpečnostní a organizační opatření, a to v rozsahu opatření

• a) k řízení rizik,

• b) pro zajištění kontinuity činností,

• c) odezvy na incidenty,

• d) fyzické bezpečnosti,

• e) k řízení bezpečnosti pracovníků a

• f) k řízení bezpečnosti dodavatelského řetězce.

(2) Obsah opatření k zajištění odolnosti subjektu kritické infrastruktury podle odstavce 1 stanoví prováděcí právní předpis.

§ 16

Manažer kritické infrastruktury

(1) Manažer kritické infrastruktury poskytuje součinnost Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu při plnění povinností podle tohoto zákona a součinnost Evropské komisi při provádění poradní mise.

(2) Manažerem kritické infrastruktury může být určena pouze osoba splňující podmínky pro výkon citlivé činnosti a požadavky odborné způsobilosti. Odborně způsobilou osobou se rozumí ten, kdo prokáže praxi v oblasti zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činností po dobu nejméně 3 let, nebo po dobu 1 roku v případě, že dosáhl vysokoškolského vzdělání.

(3) Do doby určení manažera kritické infrastruktury plní jeho povinnosti vedoucí organizační složky státu, guvernér České národní banky, statutární orgán právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřený člen, anebo subjektem kritické infrastruktury určený pracovník.

(4) Manažer kritické infrastruktury je přímo podřízen vedoucímu organizační složky státu, guvernérovi České národní banky, statutárnímu orgánu právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřenému členovi.

(5) U subjektu kritické infrastruktury, který je osobou podrobenou jednotnému řízení podle zákona upravujícího obchodní korporace, může funkci manažera kritické infrastruktury vykonávat manažer kritické infrastruktury řídící osoby podle zákona upravujícího obchodní korporace, je-li řídící osoba zároveň subjektem kritické infrastruktury.

§ 17

Ověřování spolehlivosti a citlivá činnost

(1) Za účelem zajištění bezpečného poskytování základní služby, řízení bezpečnosti pracovníků a řízení bezpečnosti dodavatelského řetězce subjekt kritické infrastruktury ověřuje spolehlivost pracovníků, včetně osob ucházejících se o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu.

(2) Za účelem ověřování spolehlivosti podle odstavce 1 subjekt kritické infrastruktury

• a) vyžaduje od pracovníka podílejícího se na poskytování základní služby a osoby, která je pověřena přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů, prokázání totožnosti a bezúhonnosti výpisem z rejstříku trestů a dále dokladem obdobným výpisu z rejstříku trestů vydaným státem, jehož je pracovník nebo pověřená osoba státním občanem, nejde-li o státního občana České republiky, nebo ve kterém se pracovník nebo pověřená osoba v posledních 3 letech zdržoval nepřetržitě déle než 3 měsíce, anebo výpisem z rejstříku trestů s přílohou obsahující informace, které jsou zapsané v evidenci trestů takového státu, a

• b) požaduje prokázání splnění podmínek pro výkon citlivé činnosti podle zákona o ochraně utajovaných informací od manažera kritické infrastruktury.

(3) Výkon funkce manažera kritické infrastruktury je citlivou činností podle zákona o ochraně utajovaných informací.

HLAVA V

Hlášení incidentu

§ 18

(1) Subjekt kritické infrastruktury hlásí incident Ministerstvu vnitra prostřednictvím portálu kritické infrastruktury. Nelze-li k hlášení incidentu využít portál kritické infrastruktury, zašle subjekt kritické infrastruktury hlášení Národnímu operačnímu a informačnímu středisku^4).

(2) Hlášením incidentu podle odstavce 1 není dotčena informační nebo ohlašovací povinnost podle jiného právního předpisu^5) nebo přímo použitelného předpisu Evropské unie^3) a toto hlášení nenahrazuje tísňovou komunikaci.

(3) Povinnost hlásit incidenty podle odstavce 1 začíná pro subjekt kritické infrastruktury platit 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury.

(4) Ministerstvo vnitra předá bez zbytečného odkladu hlášení o incidentu ministerstvu nebo jinému ústřednímu správnímu úřadu. Ministerstvo nebo jiný ústřední správní úřad neprodleně po obdržení této informace poskytne subjektu kritické infrastruktury nezbytnou součinnost.

(5) Ministerstvo vnitra bez zbytečného odkladu vyrozumí

• a) jednotná kontaktní místa ostatních dotčených členských států, pokud incident má nebo by mohl mít významný dopad na subjekt kritické infrastruktury a poskytování základní služby v těchto státech, a

• b) Evropskou komisi, pokud incident má nebo by mohl mít významný dopad na poskytování základní služby nejméně v 6 členských státech Evropské unie.

(6) Je-li to ve veřejném zájmu, Ministerstvo vnitra v součinnosti s ministerstvem nebo jiným ústředním správním úřadem a subjektem kritické infrastruktury informuje o incidentu veřejnost. Informace zveřejněné podle tohoto odstavce nesmí obsahovat žádné skutečnosti, jejichž zveřejnění by ohrozilo bezpečnost subjektu kritické infrastruktury a činnosti související s řešením incidentu.

(7) Ministerstvo vnitra v odůvodněných případech vyrozumí o incidentu hejtmana kraje, ve kterém k narušení poskytování základní služby došlo.

§ 19

(1) Subjekt kritické infrastruktury ohlásí incident bez zbytečného odkladu po jeho zjištění. V hlášení incidentu uvede

• a) počet a podíl uživatelů zasažených narušením poskytované základní služby,

• b) dobu trvání narušení,

• c) území zasažené narušením a

• d) povahu, příčinu a možné důsledky incidentu, včetně informací nezbytných ke stanovení případného přeshraničního dopadu incidentu.

(2) Pokud není subjekt kritické infrastruktury schopen zaslat hlášení podle odstavce 1 z důvodu řešení incidentu, ohlásí incident tak, že

• a) nejpozději do 24 hodin od vzniku incidentu zašle prvotní hlášení, které obsahuje informace nezbytné k řešení incidentu v rozsahu přiměřeném odstavci 1, a

• b) nejpozději do 1 měsíce ode dne předložení prvotního hlášení zašle závěrečnou zprávu obsahující veškeré informace podle odstavce 1.

(3) V případě, že v době uvedené v odstavci 2 písm. b) incident stále trvá, předloží subjekt kritické infrastruktury v uvedené době zprávu o pokroku a poté předloží závěrečnou zprávu nejpozději do 1 měsíce po skončení incidentu.

(4) Hlášení incidentu nesmí narušit činnost subjektu kritické infrastruktury vedoucí k odvrácení incidentu nebo jeho řešení.

(5) Parametry incidentu, podrobnosti rozsahu hlášených informací podle odstavce 1 a způsob předávání informací o incidentu stanoví prováděcí právní předpis.

HLAVA VI

Portál kritické infrastruktury

§ 20

(1) Portál kritické infrastruktury je součástí informačního systému krizového řízení podle krizového zákona a slouží k plnění povinností poskytovatelů základní služby a subjektů kritické infrastruktury a vedení nezbytných informací, dat, údajů a evidencí podle tohoto zákona.

(2) Pro účely tohoto zákona se pro získávání informací z agendových informačních systémů použije § 25 odst. 3 až 9 krizového zákona obdobně.

(3) Informace obsažené v portálu kritické infrastruktury užívají ministerstva, jiné ústřední správní úřady nebo Česká národní banka v rozsahu nezbytném pro výkon jejich působnosti podle tohoto zákona.

(4) Informace obsažené v portálu kritické infrastruktury dále užívají

• a) zpravodajské služby České republiky za účelem výkonu jejich působnosti podle jiných právních předpisů^6),

• b) Ministerstvo průmyslu a obchodu za účelem výkonu jeho působnosti podle zákona upravujícího oblast prověřování zahraničních investic a

• c) hejtman kraje a krajský úřad v rozsahu nezbytném pro výkon jejich působnosti podle krizového zákona.

(5) Nelze-li využít portál kritické infrastruktury, předávají se informace za účelem plnění povinností podle tohoto zákona prostřednictvím datové schránky, pokud tento zákon nestanoví jinak.

(6) Pokud nelze využít náhradní způsob podle odstavce 5, předávají se informace prostřednictvím poskytovatele poštovních služeb.

(7) Správce portálu kritické infrastruktury zabezpečí informace před neoprávněným přístupem, změnou, zničením nebo ztrátou anebo odcizením, zneužitím nebo jiným neoprávněným zpracováním.

(8) Vložení informací, dat, údajů nebo evidencí podle § 5 písm. d), § 7, 9, 12, 13, § 14 odst. 1 písm. a) až c), h), j), l) a q), § 18 a 21 do portálu kritické infrastruktury je vždy považováno za splnění informační nebo ohlašovací povinnosti podle tohoto zákona.

(9) Formu a způsob zpracování informací, dat, údajů a evidencí vkládaných do portálu kritické infrastruktury a technické a organizační podmínky používání portálu kritické infrastruktury stanoví prováděcí právní předpis.

§ 21

Cvičení

(1) Zajištění odolnosti subjektu kritické infrastruktury se ověřuje cvičením.

(2) Subjekt kritické infrastruktury provádí vlastní cvičení nebo cvičení podle plánu cvičení, bylo-li mu ohlášeno alespoň 3 měsíce před jeho konáním.

(3) Plán cvičení zpracovává ministerstvo, jiný ústřední správní úřad nebo Ministerstvo vnitra na kalendářní rok. Subjekt kritické infrastruktury může být do tohoto plánu cvičení zařazen nejvýše jednou za 3 roky.

(4) Subjekt kritické infrastruktury předává ministerstvu nebo jinému ústřednímu správnímu úřadu a Ministerstvu vnitra informace o vlastním cvičení. Informace o cvičeních podle plánu cvičení předává ten, kdo subjekt kritické infrastruktury do plánu cvičení zařadil, Ministerstvu vnitra. Informace o cvičeních jsou předávány prostřednictvím portálu kritické infrastruktury nejméně v rozsahu

• a) termín a místo cvičení,

• b) námět cvičení,

• c) zjištěné zásadní poznatky ze cvičení.

HLAVA VII

Kontrola a přestupky

§ 22

Kontrola

(1) Ministerstvo nebo jiný ústřední správní úřad vykonává v rámci své působnosti kontrolu v oblasti kritické infrastruktury. Při výkonu kontroly ministerstvo nebo jiný ústřední správní úřad zjišťuje, jak subjekty kritické infrastruktury plní povinnosti stanovené tímto zákonem a právními předpisy vydanými k jeho provedení, a ukládá opatření k nápravě.

(2) Ministerstvo nebo jiný ústřední správní úřad informuje bez zbytečného odkladu Ministerstvo vnitra a Národní úřad pro kybernetickou a informační bezpečnost o kontrole subjektu kritické infrastruktury prostřednictvím portálu kritické infrastruktury.

(3) Ministerstvo vnitra může na základě informace podle odstavce 2 požádat Národní úřad pro kybernetickou a informační bezpečnost o vykonání kontroly subjektu kritické infrastruktury v oblasti kybernetické bezpečnosti podle zákona o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost může požadavek na vykonání kontroly podle věty první odmítnout, byla-li by s ohledem na jeho kapacity zjevně nepřiměřená.

(4) Ministerstvo nebo jiný ústřední správní úřad vykonává v rámci své působnosti kontrolu u subjektu evropské kritické infrastruktury za účelem ověření přijetí opatření uvedených ve zprávě z poradní mise provedené Evropskou komisí u tohoto subjektu evropské kritické infrastruktury.

§ 23

Nápravná opatření

(1) Zjistí-li ministerstvo nebo jiný ústřední správní úřad při kontrole nedostatky, může uložit subjektu kritické infrastruktury, aby je ve stanovené lhůtě odstranil, popřípadě určit jakým způsobem. Ministerstvo nebo jiný ústřední správní úřad spolu s nápravným opatřením uloží povinnost oznámit provedení nápravného opatření a jeho výsledek ve stanovené lhůtě. Tyto skutečnosti uvede do protokolu o kontrole.

(2) V případě důvodné pochybnosti o plnění nápravných opatření na základě provedené kontroly podle § 22 nebo o zajišťování odolnosti subjektu kritické infrastruktury může ministerstvo nebo jiný ústřední správní úřad požádat Ministerstvo vnitra o provedení kontroly subjektu kritické infrastruktury.

(3) Kontrola podle odstavce 2 je kontrolou vykonanou Ministerstvem vnitra v součinnosti s ministerstvem nebo jiným ústředním správním úřadem. Při výkonu kontroly Ministerstvo vnitra zjišťuje, jak subjekty kritické infrastruktury plní povinnosti stanovené tímto zákonem a nápravná opatření uložená podle odstavce 1, a ukládá opatření k nápravě obdobně podle odstavce 1.

§ 24

Přestupky

(1) Fyzická osoba se dopustí přestupku tím, že úmyslně použije portál kritické infrastruktury k jinému účelu než k plnění povinností stanovených tímto zákonem.

(2) Poskytovatel základní služby se dopustí přestupku tím, že v rozporu s § 9 odst. 1 neposkytne informaci nezbytnou k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury.

(3) Subjekt kritické infrastruktury se dopustí přestupku tím, že v rozporu s

• a) § 12 odst. 1 nesplní povinnost informovat o změně v poskytování základní služby, o nově poskytované základní službě nebo o ukončení poskytování základní služby,

• b) § 14 odst. 1 písm. a) nesplní povinnost informovat o poskytované základní službě, kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie, kritických pracovnících a kritických dodavatelích,

• c) § 14 odst. 1 písm. b) nesplní povinnost informovat, ve kterých členských státech Evropské unie poskytuje základní službu,

• d) § 14 odst. 1 písm. d) nebo f) nezpracuje nebo neaktualizuje posouzení rizik subjektu kritické infrastruktury nebo plán odolnosti,

• e) § 14 odst. 1 písm. e) neposkytne podklady pro zpracování posouzení rizik České republiky,

• f) § 14 odst. 1 písm. g) nebo h) neurčí manažera kritické infrastruktury nebo neoznámí jeho určení,

• g) § 14 odst. 1 písm. j) nesdělí údaje o kritickém dodavateli,

• h) § 14 odst. 1 písm. k) nepřijme opatření k zajištění odolnosti,

• i) § 14 odst. 1 písm. l) nenahlásí incident,

• j) § 14 odst. 1 písm. o) nevyužívá portál kritické infrastruktury,

• k) § 14 odst. 1 písm. p) neumožní provedení kontroly,

• l) § 14 odst. 4 písm. a) neposkytne posouzení rizik nebo seznam opatření k zajišťování své odolnosti,

• m) § 14 odst. 4 písm. b) nebo c) neumožní provedení poradní mise, nepřijme nápravné opatření ke zjištěným nedostatkům nebo doporučením, nebo neinformuje o jeho přijetí,

• n) § 16 odst. 2 umožní výkon funkce manažera kritické infrastruktury osobě, která nesplňuje podmínky pro výkon této funkce,

• o) § 23 odst. 1 nebo 3 nepřijme nápravné opatření, nebo

• p) § 23 odst. 1 nebo 3 neoznámí provedení nápravného opatření nebo jeho výsledek ve stanovené lhůtě.

(4) Za přestupek lze uložit pokutu do

• a) 50 000 Kč, jde-li o přestupek podle odstavce 1,

• b) 3 000 000 Kč, jde-li o přestupek podle odstavce 3 písm. f), j) nebo p),

• c) 10 000 000 Kč nebo do výše 0,1 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 3 písm. g),

• d) 15 000 000 Kč nebo do výše 0,2 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 3 písm. d), e), i), l) nebo m), nebo

• e) 25 000 000 Kč nebo do výše 0,3 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 nebo odstavce 3 písm. a) až c), h), k), n) nebo o).

(5) Je-li přestupek podle odstavce 1 spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 100 000 Kč. Přestupek je spáchán opakovaně, jestliže od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 6 měsíců.

(6) Je-li přestupek podle odstavce 3 písm. f), j) nebo p) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 6 000 000 Kč nebo do výše 0,25 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 12 měsíců.

(7) Je-li přestupek podle odstavce 3 písm. g) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 20 000 000 Kč nebo do výše 0,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.

(8) Je-li přestupek podle odstavce 3 písm. d), e), i), l) nebo m) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 30 000 000 Kč nebo do výše 1 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.

(9) Je-li přestupek podle odstavce 2 nebo odstavce 3 písm. a) až c), h), k), n) nebo o) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 50 000 000 Kč nebo do výše 1,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.

§ 25

Společná ustanovení k přestupkům

(1) K řízení o přestupku je příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka, do jejichž působnosti patří základní služba, v souvislosti s kterou byla porušena povinnost stanovená tímto zákonem.

(2) Ministerstvo vnitra je dále příslušné k projednání přestupku podle

• a) § 24 odst. 3 písm. b), d) až f) a j), porušil-li povinnost subjekt kritické infrastruktury, který má zapsanou základní službu ve více odvětvích nebo pododvětvích patřících do působnosti více ministerstev nebo jiných ústředních správních úřadů,

• b) § 24 odst. 1 a § 24 odst. 3 písm. c), i), l) až m).

(3) K řízení o přestupku podle § 24 odst. 3 písm. k), o) a p) je příslušný správní orgán, který prováděl kontrolu nebo uložil nápravné opatření.

(4) Pravomocné rozhodnutí o přestupku podle tohoto zákona se zapisuje do evidence přestupků vedené Ministerstvem spravedlnosti.

HLAVA VIII

Vztah k jiným předpisům

§ 26

Režim rovnocennosti

(1) Splňuje-li jiná dokumentace, kterou subjekt kritické infrastruktury zpracoval, náležitosti posouzení rizik subjektu kritické infrastruktury nebo plánu odolnosti, považuje se povinnost subjektu kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury nebo plán odolnosti podle tohoto zákona za splněnou.

(2) Přijme-li subjekt kritické infrastruktury opatření, které svou povahou odpovídá opatření k zajištění odolnosti subjektu kritické infrastruktury, považuje se toto opatření za opatření pro zajištění odolnosti subjektu kritické infrastruktury podle § 15.

§ 27

Vztah k odvětvovým předpisům Evropské unie

(1) Pokud přímo použitelný předpis Evropské unie nebo jiný právní předpis, který zapracovává příslušný předpis Evropské unie, stanoví subjektům kritické infrastruktury povinnosti v oblasti zajišťování odolnosti subjektů kritické infrastruktury a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti, které jsou subjektům kritické infrastruktury stanoveny podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavést a provádět opatření k posilování odolnosti a hlásit incidenty se vůči těmto osobám neuplatní.

(2) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně se považují taková ustanovení přímo použitelného předpisu Evropské unie nebo jiného právního předpisu, který zapracovává příslušný předpis Evropské unie, která

• a) ve vztahu k povinnosti zavést a provádět opatření k posilování odolnosti odpovídají alespoň požadavkům stanoveným v § 15, nebo

• b) ve vztahu k povinnosti hlásit incidenty odpovídají alespoň požadavkům stanoveným v § 18 a 19.

(3) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný předpis Evropské unie stanoví.

HLAVA IX

Ustanovení společná, přechodná a závěrečná

§ 28

(1) Na subjekty kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů se vztahují pouze povinnosti podle § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j) a o).

(2) Na subjekty kritické infrastruktury v odvětví digitální infrastruktura se vztahují pouze povinnosti podle § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j), o) a q).

(3) Na subjekty kritické infrastruktury v odvětví veřejná správa, které poskytují základní službu přímo související se zajišťováním obrany České republiky, se ve vztahu k této základní službě nevztahují povinnosti podle § 14 odst. 1 písm. j) a l) a § 18 a 19.

(4) Správní orgány podle § 6 odst. 1 písm. n) zajistí ochranu poskytnutých informací a nesmí je dále zveřejnit.

§ 29

Zmocňovací ustanovení

(1) Vláda vydá nařízení k provedení § 10 odst. 2.

(2) Ministerstvo vnitra vydá vyhlášku k provedení § 14 odst. 6, § 15 odst. 2, § 19 odst. 5 a § 20 odst. 9.

§ 30

Přechodná ustanovení

(1) Vláda schválí strategii do 17. ledna 2026.

(2) Ministerstvo vnitra poprvé rozhodne o zařazení poskytovatele základní služby, který poskytl informace podle § 9 odst. 1 do 1. března 2026, na seznam subjektů kritické infrastruktury do 17. července 2026.

(3) Ministerstvo vnitra předloží Evropské komisi první souhrnnou zprávu o hlášených incidentech do 17. července 2028.

(4) Ministerstvo vnitra informuje Evropskou komisi o určení jednotného kontaktního místa s uvedením jeho kontaktních údajů, úkolů a povinností do 3 měsíců ode dne nabytí účinnosti tohoto zákona.

(5) Poskytovatel základní služby, který nejpozději k 30. listopadu 2025 zahájí poskytování základní služby, poskytne ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance poprvé informace podle § 9 odst. 1 do 1. března 2026.

(6) Subjekt kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, plní povinnosti podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, do 17. července 2026.

(7) Subjekt kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, u kterého bylo rozhodnuto o jeho zařazení na seznam subjektů kritické infrastruktury podle tohoto zákona, plní povinnosti subjektu kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, po dobu 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury podle tohoto zákona.

(8) Fyzická osoba, která ode dne nabytí účinnosti tohoto zákona vykonává citlivou činnost podle § 17 odst. 3 a nesplňuje podmínky pro výkon citlivé činnosti, je povinna nejpozději do 3 let ode dne nabytí účinnosti tohoto zákona prokázat splnění podmínek pro výkon citlivé činnosti podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Do doby splnění povinnosti podle věty první se pro účely tohoto zákona tato fyzická osoba považuje za fyzickou osobu splňující podmínky pro výkon citlivé činnosti za předpokladu, že v této době ani v době posledních 5 let přede dnem nabytí účinnosti tohoto zákona nebylo v řízení k této osobě vydáno rozhodnutí o nevydání dokladu o bezpečnostní způsobilosti fyzické osoby. Ustanovení věty druhé se nepoužije, jestliže bylo v řízení k této osobě v době posledních 5 let přede dnem nabytí účinnosti tohoto zákona vydáno rozhodnutí o zrušení platnosti dokladu o bezpečnostní způsobilosti fyzické osoby nebo rozhodnutí o zrušení platnosti osvědčení fyzické osoby.

ČÁST DRUHÁ

Změna zákona o působnosti Správy státních hmotných rezerv

§ 31

Zákon č. 97/1993 Sb., o působnosti Správy státních hmotných rezerv, ve znění zákona č. 272/1996 Sb., zákona č. 189/1999 Sb., zákona č. 241/2000 Sb., zákona č. 256/2000 Sb., zákona č. 419/2004 Sb., zákona č. 174/2007 Sb., zákona č. 151/2010 Sb., zákona č. 250/2014 Sb., zákona č. 51/2016 Sb., zákona č. 183/2017 Sb., zákona č. 302/2017 Sb., zákona č. 544/2020 Sb., zákona č. 94/2021 Sb. a zákona č. 323/2023 Sb., se mění takto:

• 1. V § 4b odst. 1 se za slovo „situace“ vkládají slova „ , k zachování poskytování základních služeb subjekty kritické infrastruktury“.

• 1. V § 4b odst. 2 se za slovo „systému“ vkládají slova „ , subjekt kritické infrastruktury“.

• 1. Za § 4i se vkládá nový § 4j, který včetně poznámky pod čarou č. 11 zní:

㤠4j

Správa může na základě žádosti věcně příslušného ústředního správního úřadu v souvislosti s řešením významného narušení poskytování základní služby^11) poskytnout pro potřeby subjektu kritické infrastruktury v jeho věcné působnosti v nezbytném rozsahu pohotovostní zásoby formou jejich bezúplatného použití. Ustanovení § 14 odst. 7, § 19 odst. 1, § 19b, 19c a 27 zákona o majetku České republiky a jejím vystupování v právních vztazích se nepoužijí. Poskytnuté pohotovostní zásoby je příjemce povinen vrátit nebo nahradit Správě bezodkladně po zvládnutí významného narušení poskytování základní služby, nejdéle však do 60 dnů od jejich poskytnutí. Po této lhůtě je příjemce oprávněn užívat poskytnuté pohotovostní zásoby pouze se souhlasem věcně příslušného ústředního správního úřadu na základě smlouvy uzavřené se Správou, popřípadě zápisu pořízeného se Správou^1b). Návrh smlouvy, popřípadě zápisu, zpracuje Správa na základě žádosti předložené příjemcem. Ustanovení § 14 odst. 7, § 19 odst. 1, § 19b a 19c zákona o majetku České republiky a jejím vystupování v právních vztazích se nepoužijí. Pokud příjemce žádost v uvedené lhůtě nepředloží, je užívání pohotovostních zásob neoprávněným použitím majetku, k němuž má Správa příslušnost hospodařit. V případě nevrácení poskytnutých pohotovostních zásob se postupuje podle právních předpisů, které upravují hospodaření s majetkem státu.

^11) Zákon č. 266/2025 Sb., o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů (zákon o kritické infrastruktuře).“.

ČÁST TŘETÍ

Změna zákona o zeměměřictví

§ 32

V § 5 odst. 1 zákona č. 200/1994 Sb., o zeměměřictví a o změně a doplnění některých zákonů souvisejících s jeho zavedením, ve znění zákona č. 88/2023 Sb., se slova „ochrany kritické infrastruktury podle krizového zákona“ nahrazují slovy „zajišťování odolnosti subjektu kritické infrastruktury podle zákona o kritické infrastruktuře“.

ČÁST ČTVRTÁ

Změna zákona o svobodném přístupu k informacím

§ 33

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění zákona č. 101/2000 Sb., zákona č. 159/2000 Sb., zákona č. 39/2001 Sb., zákona č. 413/2005 Sb., zákona č. 61/2006 Sb., zákona č. 110/2007 Sb., zákona č. 32/2008 Sb., zákona č. 254/2008 Sb., zákona č. 274/2008 Sb., zákona č. 227/2009 Sb., nálezu Ústavního soudu, vyhlášeného pod č. 123/2010 Sb., zákona č. 375/2011 Sb., zákona č. 167/2012 Sb., zákona č. 181/2014 Sb., zákona č. 222/2015 Sb., zákona č. 298/2016 Sb., zákona č. 301/2016 Sb., zákona č. 368/2016 Sb., zákona č. 205/2017 Sb., zákona č. 111/2019 Sb., zákona č. 12/2020 Sb., zákona č. 36/2021 Sb., zákona č. 261/2021 Sb., zákona č. 241/2022 Sb., zákona č. 471/2022 Sb. a zákona č. 197/2024 Sb., se mění takto:

• 1. V § 11 odst. 1 se na konci textu písmene d) doplňují slova „nebo připravenosti na krizové situace a jejich řešení“.

• 1. V § 11 odst. 1 se na konci písmene e) vkládá slovo „nebo“ a písmeno f) se včetně poznámky pod čarou č. 22 zrušuje.

Dosavadní písmeno g) se označuje jako písmeno f).

• 1. V § 11 odstavec 6 zní:

„(6) Povinný subjekt neposkytne informaci

• a) o činnosti orgánů činných v trestním řízení nebo bezpečnostních sborů, která se týká předcházení, vyhledávání, odhalování nebo stíhání trestné činnosti nebo ochrany bezpečnosti osob, majetku a veřejného pořádku, pokud by její poskytnutí ohrozilo práva třetích osob anebo schopnost orgánů veřejné moci předcházet trestné činnosti, vyhledávat nebo odhalovat trestnou činnost, stíhat trestné činy nebo zajišťovat veřejný pořádek a bezpečnost České republiky,

• b) o činnosti poskytovatele základní služby nebo subjektu kritické infrastruktury podle zákona o kritické infrastruktuře anebo o opatřeních k zajišťování nebo zvyšování odolnosti subjektu kritické infrastruktury, pokud by její poskytnutí

• 1. ohrozilo práva těchto nebo jiných osob,

• 1. ohrozilo poskytování základní služby subjektem kritické infrastruktury, nebo

• 1. ohrozilo zajištění odolnosti subjektu kritické infrastruktury.“.

ČÁST PÁTÁ

Změna zákona o integrovaném záchranném systému

§ 34

Zákon č. 239/2000 Sb., o integrovaném záchranném systému a o změně některých zákonů, ve znění zákona č. 320/2002 Sb., zákona č. 20/2004 Sb., zákona č. 186/2006 Sb., zákona č. 267/2006 Sb., zákona č. 306/2008 Sb., zákona č. 151/2010 Sb., zákona č. 375/2011 Sb., zákona č. 303/2013 Sb., zákonného opatření Senátu č. 344/2013 Sb., zákona č. 64/2014 Sb., zákona č. 183/2017 Sb., zákona č. 225/2017 Sb., zákona č. 277/2019 Sb., zákona č. 403/2020 Sb., zákona č. 284/2021 Sb., zákona č. 374/2021 Sb., zákona č. 415/2021 Sb. a zákona č. 152/2023 Sb., se mění takto:

• 1. V § 5 odstavec 1 zní:

„(1) Stálými orgány pro koordinaci složek integrovaného záchranného systému jsou operační a informační střediska integrovaného záchranného systému, kterými jsou Krajské operační a informační středisko a Národní operační a informační středisko.“.

• 1. V § 20 odst. 1 se slova „operačního a informačního střediska generálního ředitelství hasičského záchranného sboru“ nahrazují slovy „Národního operačního a informačního střediska“.

ČÁST ŠESTÁ

Změna krizového zákona

§ 35

Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákona č. 127/2005 Sb., zákona č. 112/2006 Sb., zákona č. 110/2007 Sb., zákona č. 306/2008 Sb., zákona č. 153/2010 Sb., zákona č. 430/2010 Sb., zákona č. 375/2011 Sb., zákona č. 333/2012 Sb., zákona č. 303/2013 Sb., zákona č. 64/2014 Sb., zákona č. 320/2015 Sb., zákona č. 323/2016 Sb., zákona č. 183/2017 Sb., zákona č. 205/2017 Sb., zákona č. 277/2019 Sb., zákona č. 544/2020 Sb., zákona č. 14/2021 Sb., zákona č. 36/2021 Sb., zákona č. 261/2021 Sb., zákona č. 281/2023 Sb. a zákona č. 323/2023 Sb., se mění takto:

• 1. V § 1 odst. 1 se slova „a při ochraně kritické infrastruktury^34)“ včetně poznámky pod čarou č. 34 zrušují.

• 1. V § 1 se odstavec 2 zrušuje a zároveň se zrušuje označení odstavce 1.

• 1. V § 2 písm. a) body 1 a 2 znějí:

• „1. zajišťováním připravenosti na krizové situace a jejich řešením, nebo

• 1. zvyšováním odolnosti subjektů kritické infrastruktury,“.

• 1. V § 2 písm. b) se slova „narušení kritické infrastruktury“ nahrazují slovy „významné narušení poskytování základní služby podle zákona o kritické infrastruktuře“.

• 1. V § 2 se na konci písmene f) čárka nahrazuje tečkou a písmena g) až m) se zrušují.

• 1. V § 4 odst. 1 úvodní část ustanovení zní:

„Vláda při zajišťování připravenosti České republiky na krizové situace a při jejich řešení“.

• 1. V § 4 odst. 1 se na konci písmene c) čárka nahrazuje tečkou a písmena d) a e) se zrušují.

• 1. V § 4 se doplňuje odstavec 3, který zní:

„(3) Vláda při zajišťování připravenosti České republiky na krizové situace schvaluje

• a) krizový plán České republiky,

• b) posouzení rizik České republiky.“.

• 1. V § 6 odst. 2 písm. g) bod 3 zní:

• „3. subjektu kritické infrastruktury, a to v nezbytném rozsahu k zajištění základní služby podle zákona o kritické infrastruktuře,“.

• 1. V § 9 odst. 2 písm. b) se za slovo „zpracovávají“ vkládá slovo „krizový“ a slova „obsahuje souhrn krizových opatření a postupů k řešení krizových situací, (dále jen „krizový plán“); krizový plán“ se zrušují.

• 1. V § 9 odst. 2 písm. e) se za slovo „ministerstvům“ vkládají slova „ , jiným ústředním správním úřadům, České národní bance“.

• 1. V § 9 odst. 2 písm. f), § 10 odst. 1 písm. h), § 14 odst. 2 písm. d), § 15 odst. 1 písm. f), § 16 odst. 2, § 18 odst. 2 písm. d), § 27 odst. 3, § 29 odst. 2 a § 31 odst. 2 se číslo „3“ nahrazuje číslem „2“.

• 1. V § 9 odst. 2 se na konci písmene g) tečka nahrazuje čárkou a doplňují se písmena h) až j), která znějí:

• „h) podílí se na zpracování posouzení rizik České republiky a krizového plánu České republiky,

• i) zpracovávají typový plán ve své působnosti na základě posouzení rizik České republiky,

• j) plní úkoly podle krizového plánu České republiky.“.

• 1. V § 9 se odstavce 3 a 5 zrušují.

Dosavadní odstavec 4 se označuje jako odstavec 3.

• 1. V § 10 odst. 1 písmena d) až f) znějí:

• „d) za krizového stavu vede evidenci údajů o přechodných změnách pobytu osob,

• e) zpracovává posouzení rizik České republiky,

• f) zpracovává krizový plán České republiky,“.

• 1. V § 10 odst. 1 se písmena g) až i) zrušují.

Dosavadní písmena j) až l) se označují jako písmena g) až i).

• 1. V § 10 odst. 2 se slova „a l)“ nahrazují slovy „ , e), f) a i)“.

• 1. V § 12a se odstavec 2 zrušuje a zároveň se zrušuje označení odstavce 1.

• 1. V § 13 odst. 1 se za písmeno b) vkládají nová písmena c) a d), která znějí:

• „c) se podílí na zpracování posouzení rizik České republiky a krizového plánu České republiky,

• d) zpracovává typový plán ve své působnosti v souladu s posouzením rizik České republiky,“.

Dosavadní písmena c) až f) se označují jako písmena e) až h).

• 1. V § 13 odst. 1 se na konci písmene h) tečka nahrazuje čárkou a doplňuje se písmeno i), které zní:

• „i) se podílí na plnění úkolů podle krizového plánu České republiky.“.

• 1. V § 13 se odstavec 4 zrušuje.

• 1. V § 14 odst. 2 se na konci písmene d) tečka nahrazuje čárkou a doplňuje se písmeno e), které zní:

• „e) plní úkoly stanovené krizovým plánem České republiky.“.

• 1. V § 14 odst. 4 písm. d) se slovo „prvků“ nahrazuje slovem „subjektů“.

• 1. V § 14a odst. 1 písm. b) se za slovo „podle“ vkládají slova „krizového plánu České republiky a“.

• 1. V § 15 odst. 1 písm. e) se za slovo „vnitra“ vkládají slova „ , krizovým plánem České republiky“.

• 1. V § 18 odst. 3 se na konci textu písmene c) doplňují slova „a úkoly uvedené v krizovém plánu kraje“.

• 1. V § 18 odst. 3 se na konci písmene c) čárka nahrazuje tečkou a písmeno d) se zrušuje.

• 1. V § 19 odst. 1 písm. b) se za slovo „podle“ vkládají slova „krizového plánu kraje a“.

• 1. V § 21 odst. 2 písm. c) se za slovo „plánu“ vkládají slova „kraje a krizovém plánu“.

• 1. V § 21 odst. 2 se na konci písmene c) čárka nahrazuje tečkou a písmeno d) se zrušuje.

• 1. V § 21a odst. 1 písm. f) se za slovo „plánem“ vkládají slova „kraje a krizovým plánem“ a slova „při přípravě na krizové situace a jejich řešení“ se zrušují.

• 1. § 26 a 26a včetně nadpisu znějí:

㤠26

Informační systém krizového řízení

(1) Informační systém krizového řízení je informačním systémem veřejné správy, jehož účelem je podpora orgánů krizového řízení při zajišťování připravenosti na krizové situace a při jejich řešení.

(2) Správu informačního systému krizového řízení zajišťuje Ministerstvo vnitra, přičemž úkoly s tím spojené plní generální ředitelství hasičského záchranného sboru.

(3) Informační systém krizového řízení obsahuje údaje informačního systému evidence obyvatel, katastru nemovitostí, základního registru obyvatel, cizineckého informačního systému, základního registru právnických osob, podnikajících fyzických osob a orgánů veřejné moci, základního registru územní identifikace, adres a nemovitostí, základního registru agend orgánů veřejné moci a některých práv a povinností, informačního systému územní identifikace, nebo informačního systému infekčních nemocí, které je jeho správce povinen zpřístupnit způsobem umožňujícím dálkový a nepřetržitý přístup.

(4) Orgány krizového řízení jsou povinny využívat informační systém krizového řízení a při plnění úkolů souvisejících se zajišťováním připravenosti na krizové situace a jejich řešením přistupovat k údajům podle odstavce 3.

(5) Orgány krizového řízení využívají i další informační systémy pro řešení a přípravu na řešení krizových situací, které umožňují sdílení dat s informačním systémem krizového řízení.

(6) Správce informačního systému uvedeného v odstavci 3 zpřístupňuje do informačního systému krizového řízení agendový identifikátor nově založených údajů vedených v jím spravovaném informačním systému prostřednictvím k tomu určených služeb.

(7) Údaje poskytované podle odstavců 3 a 6 se zpřístupňují ve formě, která neumožňuje přímé určení fyzické nebo právnické osoby, které se týkají, pokud tím nebude zmařen účel, pro který se tyto údaje poskytují.

(8) Při zajišťování připravenosti na krizové situace a při jejich řešení je možné sdružovat údaje z informačních systémů.

(9) Bližší podmínky rozsahu a přístupu k informačnímu systému infekčních nemocí podle odstavce 3 stanoví dohoda mezi Ministerstvem vnitra a Ministerstvem zdravotnictví.

§ 26a

(1) Při plnění úkolů souvisejících s řešením krizové situace využívá Ministerstvo vnitra údaje z informačního systému zajišťování obrany státu provozovaného podle zvláštního právního předpisu^1).

(2) Při plnění úkolů obrany státu souvisejících s řešením stavu ohrožení státu nebo válečného stavu využívá Ministerstvo obrany údaje z informačního systému krizového řízení.“.

• 1. Za § 26a se vkládá nový § 26b, který včetně nadpisu zní:

㤠26b

Zabezpečení závaznými geografickými podklady

(1) Orgány krizového řízení využívají při zajištění připravenosti na krizové situace a při jejich řešení jednotné geografické podklady v analogové nebo digitální podobě.

(2) Jednotné geografické podklady musejí pro požadavky součinnosti splňovat zásady interoperability a standardizace všech zainteresovaných orgánů krizového řízení jak v národním, tak i mezinárodním rozsahu.

(3) Jednotnými geografickými podklady pro plnění úkolů při zajištění připravenosti na krizové situace a při jejich řešení jsou státní mapová díla a další geografické produkty vytvářené v souladu se zvláštním právním předpisem^48).“.

• 1. V § 27 se odstavce 8 a 9 včetně poznámky pod čarou č. 20 zrušují.

• 1. V § 28 se odstavec 4 zrušuje.

• 1. V § 29 odst. 3 se slova „funkce prvku“ nahrazují slovy „poskytování základní služby subjektem“.

• 1. § 29a až 29c se včetně nadpisů a poznámky pod čarou č. 51 zrušují.

• 1. V § 32 odst. 2 se věta druhá zrušuje.

• 1. V § 32 se za odstavec 2 vkládá nový odstavec 3, který zní:

„(3) Pracovní povinnost lze nařídit pracovníkům subjektu kritické infrastruktury

• a) pouze v nezbytném rozsahu tak, aby nebylo ohroženo poskytování základní služby, nebo

• b) pokud pracovní povinnost přímo souvisí se zajišťováním poskytování základní služby.“.

Dosavadní odstavce 3 a 4 se označují jako odstavce 4 a 5.

• 1. § 40 včetně nadpisu zní:

㤠40

Zmocňovací ustanovení

(1) Vláda stanoví nařízením

• a) obsahové náležitosti, členění a způsob zpracování posouzení rizik České republiky, krizového plánu České republiky, krizového plánu ministerstva nebo jiného ústředního správního úřadu, krizového plánu kraje, krizového plánu obce s rozšířenou působností a plánu krizové připravenosti,

• b) obsah činnosti a složení bezpečnostní rady kraje, bezpečnostní rady obce s rozšířenou působností, krizového štábu kraje a krizového štábu obce s rozšířenou působností,

• c) podrobnosti o označování, stanovení režimu evidence, manipulace a ukládání písemností a jiných materiálů obsahujících zvláštní skutečnosti, a postup při určování osob ke styku se zvláštními skutečnostmi.

(2) Ministerstvo školství, mládeže a tělovýchovy stanoví vyhláškou podmínky a způsob vykonávání péče o děti v mateřských školách, žáky plnící ve školách povinnou školní docházku, osoby umístěné ve školských zařízeních pro výkon ústavní výchovy a ochranné výchovy a osoby ve střediscích výchovné péče, pokud tuto péči nemohou za krizové situace vykonávat osoby, které jsou jinak povinny a oprávněny o dítě pečovat.

(3) Český báňský úřad stanoví vyhláškou báňsko-technické podmínky pro zřizování, využití a ochranu důlních děl a podzemních objektů, uplatňování preventivních, technických a bezpečnostních opatření a provádění kontrol.“.

§ 36

Přechodná ustanovení

• 1. Posouzení rizik České republiky zpracuje Ministerstvo vnitra ve spolupráci s ministerstvy a jinými ústředními správními úřady a vláda schválí do 17. ledna 2026.

• 1. Krizový plán České republiky zpracuje Ministerstvo vnitra ve spolupráci s ministerstvy a jinými ústředními správními úřady a vláda schválí do 4 let ode dne nabytí účinnosti tohoto zákona.

ČÁST SEDMÁ

Změna zákona o hospodářských opatřeních pro krizové stavy

§ 37

Zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění zákona č. 320/2002 Sb., zákona č. 354/2003 Sb., zákona č. 237/2004 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 296/2007 Sb., zákona č. 281/2009 Sb., zákona č. 153/2010 Sb., zákona č. 76/2012 Sb., zákona č. 183/2017 Sb., zákona č. 277/2019 Sb. a zákona č. 323/2023 Sb., se mění takto:

• 1. V § 3 se na konci odstavce 1 tečka nahrazuje slovem „ , nebo“ a doplňuje se písmeno d), které zní:

• „d) k zachování poskytování základních služeb subjekty kritické infrastruktury podle zákona o kritické infrastruktuře.“.

• 1. V § 6 odst. 2 písmeno c) zní:

• „c) jedná-li se o podporu činnosti ozbrojených sil, ozbrojených bezpečnostních sborů, záchranných sborů, havarijních služeb nebo zdravotnické záchranné služby zřízených v okruhu jeho působnosti a jedná-li se o zachování poskytování základních služeb subjekty kritické infrastruktury v odvětvích nebo pododvětvích, ve kterých jsou poskytovány základní služby, která jsou v jeho věcné působnosti podle zákona o kritické infrastruktuře.“.

• 1. V § 10 odst. 1 se na konci textu písmene c) doplňuje slovo „a“.

• 1. V § 10 odst. 1 se za písmeno c) vkládá nové písmeno d), které zní:

• „d) zachování poskytování základních služeb subjekty kritické infrastruktury“.

ČÁST OSMÁ

Změna vodního zákona

§ 38

V § 87b odst. 4 písm. a) zákona č. 254/2001 Sb., o vodách a o změně některých zákonů (vodní zákon), ve znění zákona č. 544/2020 Sb., se slova „zajištění funkčnosti kritické infrastruktury podle předpisů upravujících krizové řízení^63)“ nahrazují slovy „zajištění poskytování základní služby podle zákona o kritické infrastruktuře“.

Poznámka pod čarou č. 63 se zrušuje.

ČÁST DEVÁTÁ

Změna branného zákona

§ 39

V § 17 odst. 2 písm. a) zákona č. 585/2004 Sb., o branné povinnosti a jejím zajišťování (branný zákon), ve znění zákona č. 375/2011 Sb., zákona č. 320/2015 Sb., zákona č. 47/2016 Sb., zákona č. 294/2017 Sb. a zákona č. 178/2023 Sb., se slova „prvků kritické infrastruktury“ nahrazují slovy „subjektů kritické infrastruktury“.

ČÁST DESÁTÁ

Změna zákona o hasičském záchranném sboru

§ 40

Zákon č. 320/2015 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů (zákon o hasičském záchranném sboru), ve znění zákona č. 183/2017 Sb., zákona č. 51/2021 Sb., zákona č. 374/2021 Sb. a zákona č. 31/2024 Sb., se mění takto:

• 1. V § 6 odst. 6 se za slovo „zřizuje“ vkládá slovo „Národní“.

• 1. V § 7 odst. 5 se za slovo „zřizuje“ vkládá slovo „Krajské“ a slovo „Operační“ se nahrazuje slovy „Krajské operační“.

• 1. V § 44 odst. 1 se slova „operačního a informačního střediska hasičského záchranného sboru kraje“ nahrazují slovy „Krajského operačního a informačního střediska“.

ČÁST JEDENÁCTÁ

Změna zákona o prověřování zahraničních investic

§ 41

V § 7 písm. b) zákona č. 34/2021 Sb., o prověřování zahraničních investic a o změně souvisejících zákonů (zákon o prověřování zahraničních investic), se slova „provozuje prvek kritické infrastruktury určený příslušným ústředním správním úřadem^4)“ nahrazují slovy „je subjektem kritické infrastruktury podle zákona o kritické infrastruktuře“.

Poznámka pod čarou č. 4 se zrušuje.

ČÁST DVANÁCTÁ

ÚČINNOST

§ 42

Tento zákon nabývá účinnosti patnáctým dnem následujícím po dni jeho vyhlášení.

Pekarová Adamová v. r.

Pavel v. r.

Fiala v. r.

Příloha

Věcná působnost ministerstev, jiných ústředních správních úřadů a České národní banky pro jednotlivá odvětví nebo pododvětví

Odvětví	Pododvětví	Orgán s věcnou působností
Energetika	Elektřina	Ministerstvo průmyslu a obchodu
Dálkové vytápění a chlazení	Ministerstvo průmyslu a obchodu
Ropa	Správa státních hmotných rezerv
Zemní plyn	Ministerstvo průmyslu a obchodu
Vodík	Ministerstvo průmyslu a obchodu
Doprava	Letecká doprava	Ministerstvo dopravy
Železniční doprava
Vodní doprava
Silniční doprava
Veřejná přeprava
Bankovnictví		Česká národní banka
Infrastruktura finanční trhů		Česká národní banka
Zdravotnictví		Ministerstvo zdravotnictví
Pitná voda		Ministerstvo zemědělství
Odpadní voda		Ministerstvo zemědělství
Digitální infrastruktura	Služby vytvářející důvěru a elektronická identifikace	Digitální a informační agentura
Veřejné komunikační sítě a veřejně dostupné služby elektronických komunikací	Český telekomunikační úřad
Ostatní digitální služby a infrastruktura	Národní úřad pro kybernetickou a informační bezpečnost
Veřejná správa		Ministerstvo vnitra
Vesmír		Ministerstvo dopravy
Výroba, zpracování a distribuce potravin	Výroba potravin	Ministerstvo zemědělství
Skladování a distribuce potravin	Ministerstvo zemědělství
Bezpečnost	Požární ochrana a ochrana obyvatelstva	Ministerstvo vnitra
Vnitřní pořádek	Ministerstvo vnitra
Státní hmotné rezervy	Správa státních hmotných rezerv
Hydrometeorologická výstražná služba	Ministerstvo životního prostředí

^1) Směrnice Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES.

^2) Například zákon č. 239/2000 Sb., o integrovaném záchranném systému a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.

^3) Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011.

^4) Zákon č. 320/2015 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů (zákon o hasičském záchranném sboru), ve znění pozdějších předpisů.

^5) Zákon č. 264/2025 Sb., o kybernetické bezpečnosti.

^6) Zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů. Zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů. Zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů.