Subjekty, které vyhodnotí, že jejich nepřerušené poskytování služeb je klíčové pro chod státu, se do této lhůty musí samy identifikovat a oznámit to příslušnému úřadu, nejčastěji resortnímu ministerstvu. „Určitě do toho spadnou všechny větší firmy v definovaných oblastech jako jsou energetici, plynaři, velké nemocnice nebo i velké pekárny a potravináři, ale také někteří jejich subdodavatelé,“ říká šéf firmy Scaut Petr Moroz.
Kdo spadne do režimu kritické infrastruktury?
Česká republika si odvětví, v jejichž rámci se budou definovat subjekty kritické infrastruktury, stanovila poměrně široce. Na pozoru by se tak měly mít firmy operující v energetice, vodním hospodářství, zdravotnictví, dopravě, zemědělství, komunikačních systémech, nouzových službách nebo ve veřejné správě.
Ti, kteří se od března ocitnou v režimu kritické infrastruktury, budou muset následně do devíti měsíců vypracovat takzvané posouzení rizik, připravit plán odolnosti a jmenovat zodpovědného manažera – kvalifikovanou osobu s bezpečnostní způsobilostí. Připravit se budou muset rovněž na informační povinnost – nejen na průběžné poskytování dat o službách, kritických pracovnících a dodavatelích, ale také na nahlašování každého incidentu přes tzv. Portál kritické infrastruktury.
Nové povinnosti
V personální oblasti tak budou tyto firmy muset vést seznamy kritických pracovníků uvnitř podniku a ověřovat jejich spolehlivost. A nebudou to jen vlastní zaměstnanci, ale i pracovníci dodavatelů, jež budou mít k jejich kritické infrastruktuře přístup.
„To určitě vyvolá tlaky jak na personální oddělení uvnitř těchto firem, tak i na změny subdodavatelských smluv, kde se tito pracovníci a jejich prověření musí nově definovat,“ vysvětluje Moroz. U kritických pracovníků bude firma muset provést screening jejich totožnosti a trestní bezúhonnosti, což sebou ponese přenastavení vnitřních procesů pro práci s osobními údaji klidně stovek až tisíců osob.
„Představte si, že si jako významná energetická společnost najímáte na úklid kanceláří externí firmu, jejíž někteří pracovníci mohou mít přístup ke kritické infrastruktuře. Pak budete vy muset státu prokazovat, že i tito externí pracovníci subdodavatele prošli nezbytným screeningem,“ vysvětluje Moroz.
Je nejvyšší čas
Zákonem dotčené organizace by měly neprodleně zahájit přípravu, protože například zrovna ověřování spolehlivosti kritických pracovníků nemá v zákoně odklad a mělo by nastoupit hned poté, co se firma za součást kritické infrastruktury k 1. březnu označí. Experti dále doporučují co nejdříve jmenovat odpovědnou osobu pro koordinaci zavádění nových opatření, a předběžně si interně posoudit rizika a identifikovat možné kritické procesy (to už má často spousta větších subjektů zpracováno).
„Vyplatí se rovněž zmapovat si dodavatelské firmy s přístupem ke kritické infrastruktuře a začít s přípravou pravidel a nástrojů pro screening zaměstnanců. A v neposlední řadě je dobré si vytvořit finanční rámec v rozpočtu 2026 pro implementaci všech nových opatření,“ radí Moroz.
Reálné hrozby
Celá Evropská unie implementuje do svých právních řádů směrnici CER (2022/2557), jejíž nová pravidla mají pomoci zvýšit odolnost všech klíčových služeb pro fungování společnosti proti krizím jako jsou blackouty, virtuální či fyzické útoky nebo militantní a hybridní hrozby. Že nejde jen o zbytečnou byrokracii ukázaly třeba nedávné útoky na energetické uzly v Berlíně, které nechaly několik dní desítky tisíc lidí bez proudu. V Polsku to byly žhářské útoky na obchodní centra či pokusy o vykolejení vlaků.
Česko se zaváděním normy tradičně zaspalo, nicméně od loňského 19. srpna nový zákon o odolnosti kritické infrastruktury platný a účinný. Rok 2026 tak bude klíčovým pro praktické zavedení nových pravidel a procesů v dotčených firmách a institucích do reálné praxe.
