Základní ustanovení

Strategie pro posílení odolnosti subjektů kritické infrastruktury

Výkon státní správy

Poskytovatel základní služby a subjekt kritické infrastruktury
Změny v poskytování základní služby

Hlášení incidentu

Portál kritické infrastruktury

Kontrola a přestupky

Vztah k jiným předpisům

Ustanovení společná, přechodná a závěrečná

(1) Tento zákon zapracovává příslušné předpisy Evropské unie¹) a stanoví

a) působnost státních orgánů v oblasti zvyšování odolnosti subjektů kritické infrastruktury,

c) opatření ke zvyšování a zajišťování odolnosti subjektů kritické infrastruktury.

b) práva a povinnosti právnických a fyzických osob k zajištění poskytování základních služeb,

(2) Zvyšování odolnosti subjektů kritické infrastruktury je součástí krizového řízení podle krizového zákona.

(1) Pro účely tohoto zákona se rozumí

a) základní službou služba, která je nezbytná pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví nebo životního prostředí, poskytovaná v odvětvích nebo pododvětvích podle přílohy tohoto zákona,

b) poskytovatelem základní služby každý, kdo poskytuje alespoň 1 základní službu na území České republiky a splňuje kritérium významnosti,

c) kritickou infrastrukturou aktivum, zařízení, vybavení, síť nebo systém anebo jejich část, které jsou nezbytné pro poskytování základní služby,

d) subjektem kritické infrastruktury poskytovatel základní služby, jehož kritická infrastruktura se nachází na území České republiky a je zařazen na seznam subjektů kritické infrastruktury,

f) incidentem událost, která může významně narušit nebo která narušuje poskytování základní služby,

g) rizikem možnost narušení poskytování základní služby v důsledku incidentu, vyjádřená jako kombinace rozsahu takového narušení a pravděpodobnosti vzniku incidentu,

e) subjektem evropské kritické infrastruktury subjekt kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v 6 členských státech Evropské unie a byl vyrozuměn o tom, že byl označen Evropskou komisí za kritický subjekt zvláštního evropského významu,

j) pracovníkem fyzická osoba, která je v pracovněprávním vztahu, služebním poměru nebo jiném obdobném vztahu se subjektem kritické infrastruktury nebo s jeho kritickým dodavatelem,

l) kritickým dodavatelem osoba, která jako dodavatel vstoupila do právního vztahu se subjektem kritické infrastruktury a na základě toho poskytuje zboží nebo služby, které jsou nezbytné pro zajištění poskytování základní služby.

k) kritickým pracovníkem pracovník, který je nezbytný pro zajištění poskytování základní služby,

i) odolností subjektu kritické infrastruktury schopnost subjektu kritické infrastruktury předcházet incidentům, chránit se před těmito incidenty, reagovat na ně, odolávat jim, zmírňovat jejich následky a přijímat opatření k jejich předcházení,

h) posouzením rizik subjektu kritické infrastruktury celkový postup určení povahy a rozsahu rizika identifikací a analýzou možných relevantních hrozeb, zranitelných míst a nebezpečí, které by mohly vést k incidentu, a hodnocením možného narušení poskytování základní služby způsobené tímto incidentem,

(2) Pro účely tohoto zákona se členským státem Evropské unie rozumí také smluvní stát Dohody o Evropském hospodářském prostoru.

(1) Strategie pro posílení odolnosti subjektů kritické infrastruktury (dále jen „strategie“) stanoví strategické cíle a opatření s cílem posilovat a zajišťovat odolnost subjektů kritické infrastruktury, a to v rozsahu odvětví a pododvětví podle přílohy tohoto zákona.

(2) Strategie obsahuje

a) strategické cíle a priority za účelem posílení celkové odolnosti subjektů kritické infrastruktury se zohledněním přeshraniční a meziodvětvové závislosti,

c) popis opatření nezbytných k posílení odolnosti subjektů kritické infrastruktury, včetně popisu výsledků posouzení rizik České republiky podle krizového zákona (dále jen „posouzení rizik České republiky“),

b) rámec pro naplnění strategických cílů a priorit, včetně popisu působnosti a odpovědnosti věcně příslušných orgánů státní správy a subjektů kritické infrastruktury,

e) způsob podpory subjektů kritické infrastruktury ze strany příslušných orgánů státní správy, včetně opatření na posílení spolupráce mezi orgány státní správy a subjekty kritické infrastruktury,

g) způsob zajištění koordinace příslušných orgánů státní správy podle tohoto zákona s příslušnými orgány státní správy podle zákona o kybernetické bezpečnosti pro účely sdílení informací o rizicích, hrozbách a incidentech a výkonu kontroly,

f) přehled rozhodovacích orgánů v systému zajišťování a posilování odolnosti subjektů kritické infrastruktury,

d) popis procesu zařazení poskytovatelů základní služby na seznam subjektů kritické infrastruktury,

h) popis stávajících nástrojů využitelných subjekty kritické infrastruktury pro zavádění opatření k zajištění své odolnosti.

(3) Strategii schvaluje vláda.

2. zpracování souhrnné zprávy o incidentech,

a) poskytují Ministerstvu vnitra součinnost při

4. mezinárodní výměně informací,

3. cvičení k ověření odolnosti subjektů kritické infrastruktury a

1. zpracování strategie,

c) podávají podnět Ministerstvu vnitra k rozhodnutí o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury,

b) vyžadují od poskytovatele základní služby informace nezbytné k podání podnětu k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury,

d) poskytují Ministerstvu vnitra informace týkající se plnění opatření k zajišťování odolnosti subjektů kritické infrastruktury,

g) provádějí cvičení k ověření odolnosti subjektů kritické infrastruktury; za tímto účelem zpracovávají plán cvičení,

e) poskytují subjektu kritické infrastruktury v nezbytném rozsahu informace o možném ohrožení poskytování základní služby,

f) posuzují požadavek uplatněný subjektem kritické infastruktury podle § 14 odst. 3; za účelem jeho vyřízení podle jiného právního předpisu²) spolupracují s příslušnými orgány,

h) provádějí kontrolu subjektu kritické infrastruktury a ukládají nápravná opatření podle § 23,

k) vyhodnocují potřebu zabezpečení nezbytných věcných prostředků prostřednictvím systému hospodářských opatření pro krizové stavy k zajištění poskytování základní služby v odvětví nebo pododvětví; k tomu využívají informace poskytnuté subjektem kritické infastruktury podle § 14 odst. 1 písm. q).

j) poskytují Evropské komisi součinnost při provádění poradní mise,

i) poskytují Ministerstvu vnitra stanovisko k provedení poradní mise Evropskou komisí,

(1) Ministerstvo vnitra v oblasti zvyšování odolnosti subjektů kritické infrastruktury

a) koordinuje výkon státní správy,

b) zpracovává strategii, aktualizuje ji nejméně jednou za 4 roky a předkládá ji vládě ke schválení,

c) rozhoduje o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury a o jeho vyřazení z tohoto seznamu; tento seznam aktualizuje nejméně jednou za 4 roky,

6. návrh kandidátů na členy poradní mise,

2. Českému úřadu zeměměřickému a katastrálnímu za účelem vedení neveřejné části digitální technické mapy identifikační údaje o subjektu kritické infrastruktury a o jeho kritické infrastruktuře,

1. hasičskému záchrannému sboru kraje za účelem zpracování krizového plánu kraje v nezbytném rozsahu informace o kritické infrastruktuře nacházející se na území kraje,

j) předkládá Evropské komisi

5. v případě subjektu evropské kritické infrastruktury na základě její žádosti části posouzení rizik subjektu kritické infrastruktury, seznam opatření přijatých podle § 15, kontrolní zjištění podle § 22 a uložená nápravná opatření podle § 23 za účelem provedení poradní mise,

4. informace o subjektu kritické infrastruktury, který poskytuje stejnou nebo podobnou základní službu nejméně v 6 členských státech Evropské unie za účelem jeho označení za kritický subjekt zvláštního evropského významu,

3. strategii, informace o druzích zjištěných rizik a výsledcích posouzení rizik České republiky do 3 měsíců ode dne jejich schválení nebo poslední významné aktualizace,

2. každé 2 roky souhrnnou zprávu o incidentech,

1. bez zbytečného odkladu po poslední významné aktualizaci nebo nejpozději každé 4 roky informace o seznamu základních služeb, včetně jejich kritérií, a počtu subjektů kritické infrastruktury podle odvětví, pododvětví a každé základní služby,

d) na základě požadavku Evropské komise vyrozumí subjekt kritické infrastruktury o tom, že byl Evropskou komisí označen za kritický subjekt zvláštního evropského významu,

e) zřizuje a provozuje portál kritické infrastruktury,

f) poskytuje subjektu kritické infrastruktury části posouzení rizik České republiky pro účely zpracování posouzení rizik subjektu kritické infrastruktury,

g) koordinuje cvičení k ověření odolnosti subjektů kritické infrastruktury v působnosti více ministerstev nebo jiných ústředních správních úřadů; za tímto účelem zpracovává plán cvičení,

h) plní funkci jednotného kontaktního místa České republiky,

i) zabezpečuje mezinárodní výměnu informací,

o) spolupracuje s příslušnými orgány členských států Evropské unie.

n) poskytuje na vyžádání

m) vydává varování a rozhoduje o stanovení podmínek nebo uložení zákazu využití plnění dodavatele subjektu kritické infrastruktury,

l) schvaluje žádost Evropské komise o provedení poradní mise u subjektu evropské kritické infrastruktury,

k) navrhuje Evropské komisi provedení poradní mise u subjektu evropské kritické infrastruktury,

(2) Působnost Ministerstva vnitra podle odstavce 1 plní generální ředitelství Hasičského záchranného sboru České republiky, s výjimkou působnosti podle odstavce 1 písm. m).

(3) Působnost Ministerstva vnitra předkládat Evropské komisi informace podle odstavce 1 písm. j) se nevztahuje na odvětví bezpečnost.

(1) Česká národní banka vytváří podmínky pro zvyšování odolnosti subjektů kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů a za tímto účelem bez zbytečného odkladu poskytuje Ministerstvu vnitra informace o incidentech, které obdrží na základě přímo použitelného předpisu Evropské unie³) od subjektu kritické infrastruktury v odvětví bankovnictví nebo infrastruktura finančních trhů.

(2) Pro Českou národní banku se § 5 písm. a) body 1 a 2 a § 5 písm. b), c) a f) použijí obdobně.

(1) Poskytovatel základní služby je povinen ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra za účelem rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury poskytnout informace o

a) poskytované základní službě a naplnění alespoň 1 kritéria významnosti,

c) základní službě poskytované na území jiného členského státu Evropské unie.

b) jeho kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie a

(2) Informace podle odstavce 1 poskytovatel základní služby poskytne prostřednictvím portálu kritické infrastruktury nejpozději do

a) 3 měsíců ode dne zahájení poskytování základní služby,

b) 1 měsíce ode dne, kdy k tomu byl ministerstvem, jiným ústředním správním úřadem, Českou národní bankou nebo Ministerstvem vnitra vyzván.

(1) Kritérium významnosti v souladu s posouzením rizik České republiky určuje význam narušení poskytování základní služby na základě

b) rozsahu, v němž poskytování základní služby v jiném odvětví nebo pododvětví závisí na základní službě,

c) možného dopadu incidentů, pokud jde o jejich intenzitu a délku trvání, na hospodářské a společenské činnosti, životní prostředí, bezpečnost nebo na veřejné zdraví,

a) počtu uživatelů, kteří jsou závislí na základní službě poskytované poskytovatelem základní služby,

e) území, které by mohlo být incidentem ovlivněno, včetně případných přeshraničních dopadů, s přihlédnutím ke zranitelnosti spojené se stupněm odloučení určitých typů území, nebo

d) tržního podílu poskytovatele základní služby na trhu se základní službou nebo službami v České republice,

f) důležitosti poskytovatele základní služby, pokud jde o udržování dostatečné úrovně základní služby, s přihlédnutím k dostupnosti alternativních způsobů poskytování této základní služby.

(2) Základní služby v jednotlivých odvětvích nebo pododvětvích a kritéria významnosti podle odstavce 1 pro jednotlivé základní služby stanoví prováděcí právní předpis.

(1) Ministerstvo, jiný ústřední správní úřad nebo Česká národní banka bez zbytečného odkladu posoudí informace o poskytovateli základní služby podle § 9 odst. 1 a podá Ministerstvu vnitra podnět k rozhodnutí o zařazení tohoto poskytovatele základní služby na seznam subjektů kritické infrastruktury.

(2) Ministerstvo vnitra na základě podnětu podle odstavce 1 bez zbytečného odkladu rozhodne o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.

(3) Rozhodnutí o zařazení na seznam subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o zařazení na seznam subjektů kritické infrastruktury nemá odkladný účinek.

a) identifikační údaje subjektu kritické infrastruktury,

b) informace o základní službě, kterou subjekt kritické infrastruktury poskytuje,

(4) Seznam subjektů kritické infrastruktury je neveřejný a obsahuje tyto údaje:

c) odvětví a pododvětví, ve kterém subjekt kritické infrastruktury poskytuje základní službu, a

d) členské státy Evropské unie, ve kterých subjekt kritické infrastruktury poskytuje základní službu.

(5) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o zařazení subjektu na seznam subjektů kritické infrastruktury do 1 měsíce ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury subjektu kritické infrastruktury.

(6) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, není-li stanoveno dále jinak, až do dne doručení rozhodnutí o jeho vyřazení ze seznamu subjektů kritické infrastruktury podle § 13.

(1) Pokud subjekt kritické infrastruktury začne poskytovat základní službu v jiném rozsahu, začne poskytovat novou základní službu nebo ukončí poskytování základní služby, informuje o této skutečnosti ministerstvo, jiný ústřední správní úřad nebo Českou národní banku v rozsahu podle § 9 odst. 1 do 1 měsíce ode dne, kdy nastala tato skutečnost.

(2) Pokud subjekt kritické infrastruktury poskytuje novou základní službu, nebo došlo ke změně rozsahu u již poskytované základní služby, Ministerstvo vnitra na základě informace od ministerstva, jiného ústředního správního úřadu nebo České národní banky doplní do seznamu subjektů kritické infrastruktury informace o nově poskytované základní službě nebo o změně rozsahu již poskytované základní služby. O této skutečnosti následně Ministerstvo vnitra do 1 měsíce ode dne doplnění nových poskytnutých informací vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.

(3) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem k nově zapsané základní službě ode dne doručení vyrozumění podle odstavce 2, není-li stanoveno dále jinak.

(1) V případě, že subjekt kritické infrastruktury nadále neposkytuje některou ze základních služeb zapsaných na seznamu subjektů kritické infrastruktury, Ministerstvo vnitra tuto základní službu vymaže ze seznamu subjektů kritické infrastruktury a o této skutečnosti bez zbytečného odkladu vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.

(2) V případě, že subjekt kritické infrastruktury nadále neposkytuje žádnou základní službu, Ministerstvo vnitra rozhodne o jeho vyřazení ze seznamu subjektů kritické infrastruktury.

(3) Rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury nemá odkladný účinek.

(4) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury bez zbytečného odkladu ode dne doručení rozhodnutí o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury subjektu kritické infrastruktury.

c) bez zbytečného odkladu informovat Ministerstvo vnitra a ministerstvo nebo jiný ústřední správní úřad, že je součástí koncernu podle zákona upravujícího obchodní korporace, včetně informace, zda se jedná o řízenou nebo řídící osobu,

d) do 9 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury a následně provádět jeho aktualizaci nejméně jednou za 4 roky,

e) bez zbytečného odkladu poskytnout na žádost ministerstva nebo jiného ústředního správního úřadu podklady pro zpracování posouzení rizik České republiky,

f) do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat plán odolnosti, ve kterém jsou stanovena technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury, a následně provádět jeho aktualizaci nejméně jednou za 4 roky,

g) určit manažera kritické infrastruktury do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, a bez zbytečného odkladu poté, co dosavadní manažer kritické infrastruktury skončí výkon této funkce,

h) bez zbytečného odkladu oznámit určení manažera kritické infrastruktury Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu,

i) vytvářet manažeru kritické infrastruktury podmínky nezbytné k plnění jeho povinností,

j) označit kritické dodavatele a sdělit Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance

k) přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury podle § 15,

l) bez zbytečného odkladu hlásit Ministerstvu vnitra incidenty podle § 18 a 19,

m) zajistit podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací,

n) účastnit se cvičení k ověření odolnosti subjektů kritické infrastruktury,

o) využívat portál kritické infrastruktury pro plnění povinností podle tohoto zákona,

p) umožnit ministerstvu nebo jinému ústřednímu správnímu úřadu provedení kontroly plnění povinností stanovených tímto zákonem a přijímat nápravná opatření podle § 23,

q) informovat ministerstvo nebo jiný ústřední správní úřad o potřebě zabezpečení nezbytnými věcnými prostředky k zajištění poskytování základní služby, které není schopen zajistit jiným způsobem,

a) poskytovat bez zbytečného odkladu Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance informace o poskytované základní službě, kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie, kritických pracovnících a kritických dodavatelích,

r) požádat u manažera kritické infrastruktury o ověření spolehlivosti, zda splňuje podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací.

b) bez zbytečného odkladu informovat Ministerstvo vnitra, ve kterých členských státech Evropské unie poskytuje základní službu,

1. v případě právnické nebo podnikající fyzické osoby identifikační údaje v rozsahu název, sídlo a identifikační číslo osoby,

2. v případě fyzické osoby identifikační údaje v rozsahu jméno a příjmení, datum narození a adresa místa pobytu,

3. důvody, pro které byl označen jako kritický dodavatel,

(1) Subjekt kritické infrastruktury je při poskytování základní služby a při zajišťování své odolnosti povinen

a) ověřuje spolehlivost podle § 17 v souladu s posouzením rizik České republiky,

b) pro plnění povinností podle tohoto zákona zpracovává v nezbytném rozsahu osobní údaje

1. kritických pracovníků,

2. osob ucházejících se u něj o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu a

3. osob, které jsou pověřené přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů.

(2) Za účelem zajištění své odolnosti a poskytování základní služby subjekt kritické infrastruktury

a) při přípravě na krizové situace požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky,

b) během mimořádné události nebo za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele, pokud je to nezbytné pro poskytování základní služby,

c) za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury, pokud je to nezbytné pro poskytování základní služby.

(3) Za účelem zajištění své odolnosti a poskytování základní služby je subjekt kritické infrastruktury v nezbytném rozsahu dále oprávněn

2. seznam opatření přijatých k zajišťování své odolnosti,

(4) Subjekt evropské kritické infrastruktury je dále povinen ode dne doručení vyrozumění o označení kritickým subjektem zvláštního evropského významu

a) poskytnout Evropské komisi, pokud o to požádá, prostřednictvím Ministerstva vnitra

b) umožnit poradní misi Evropské komise přístup k nezbytným informacím souvisejícím s poskytováním jeho základní služby a ke kritické infrastruktuře a poskytnout jí nezbytnou součinnost a

c) přijmout nápravné opatření ke zjištěným nedostatkům a doporučením poradní mise a informovat o jeho přijetí Evropskou komisi prostřednictvím Ministerstva vnitra.

1. posouzení rizik subjektu kritické infrastruktury a

(5) Na subjekt kritické infrastruktury v odvětví bezpečnost se nevztahují povinnosti podle odstavce 1 písm. b) a odstavce 4.

(6) Náležitosti a způsob zpracování plánu odolnosti a posouzení rizik subjektu kritické infrastruktury stanoví prováděcí právní předpis.

(1) Subjekt kritické infrastruktury na základně posouzení rizik subjektu kritické infrastruktury přijímá technická, bezpečnostní a organizační opatření, a to v rozsahu opatření

f) k řízení bezpečnosti dodavatelského řetězce.

e) k řízení bezpečnosti pracovníků a

d) fyzické bezpečnosti,

c) odezvy na incidenty,

b) pro zajištění kontinuity činností,

a) k řízení rizik,

(2) Obsah opatření k zajištění odolnosti subjektu kritické infrastruktury podle odstavce 1 stanoví prováděcí právní předpis.

(1) Manažer kritické infrastruktury poskytuje součinnost Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu při plnění povinností podle tohoto zákona a součinnost Evropské komisi při provádění poradní mise.

(2) Manažerem kritické infrastruktury může být určena pouze osoba splňující podmínky pro výkon citlivé činnosti a požadavky odborné způsobilosti. Odborně způsobilou osobou se rozumí ten, kdo prokáže praxi v oblasti zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činností po dobu nejméně 3 let, nebo po dobu 1 roku v případě, že dosáhl vysokoškolského vzdělání.

(3) Do doby určení manažera kritické infrastruktury plní jeho povinnosti vedoucí organizační složky státu, guvernér České národní banky, statutární orgán právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřený člen, anebo subjektem kritické infrastruktury určený pracovník.

(4) Manažer kritické infrastruktury je přímo podřízen vedoucímu organizační složky státu, guvernérovi České národní banky, statutárnímu orgánu právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřenému členovi.

(5) U subjektu kritické infrastruktury, který je osobou podrobenou jednotnému řízení podle zákona upravujícího obchodní korporace, může funkci manažera kritické infrastruktury vykonávat manažer kritické infrastruktury řídící osoby podle zákona upravujícího obchodní korporace, je-li řídící osoba zároveň subjektem kritické infrastruktury.

(1) Za účelem zajištění bezpečného poskytování základní služby, řízení bezpečnosti pracovníků a řízení bezpečnosti dodavatelského řetězce subjekt kritické infrastruktury ověřuje spolehlivost pracovníků, včetně osob ucházejících se o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu.

(2) Za účelem ověřování spolehlivosti podle odstavce 1 subjekt kritické infrastruktury

b) požaduje prokázání splnění podmínek pro výkon citlivé činnosti podle zákona o ochraně utajovaných informací od manažera kritické infrastruktury.

a) vyžaduje od pracovníka podílejícího se na poskytování základní služby a osoby, která je pověřena přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů, prokázání totožnosti a bezúhonnosti výpisem z rejstříku trestů a dále dokladem obdobným výpisu z rejstříku trestů vydaným státem, jehož je pracovník nebo pověřená osoba státním občanem, nejde-li o státního občana České republiky, nebo ve kterém se pracovník nebo pověřená osoba v posledních 3 letech zdržoval nepřetržitě déle než 3 měsíce, anebo výpisem z rejstříku trestů s přílohou obsahující informace, které jsou zapsané v evidenci trestů takového státu, a

(3) Výkon funkce manažera kritické infrastruktury je citlivou činností podle zákona o ochraně utajovaných informací.

(1) Subjekt kritické infrastruktury hlásí incident Ministerstvu vnitra prostřednictvím portálu kritické infrastruktury. Nelze-li k hlášení incidentu využít portál kritické infrastruktury, zašle subjekt kritické infrastruktury hlášení Národnímu operačnímu a informačnímu středisku⁴).

(2) Hlášením incidentu podle odstavce 1 není dotčena informační nebo ohlašovací povinnost podle jiného právního předpisu⁵) nebo přímo použitelného předpisu Evropské unie³) a toto hlášení nenahrazuje tísňovou komunikaci.

(3) Povinnost hlásit incidenty podle odstavce 1 začíná pro subjekt kritické infrastruktury platit 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury.

(4) Ministerstvo vnitra předá bez zbytečného odkladu hlášení o incidentu ministerstvu nebo jinému ústřednímu správnímu úřadu. Ministerstvo nebo jiný ústřední správní úřad neprodleně po obdržení této informace poskytne subjektu kritické infrastruktury nezbytnou součinnost.

a) jednotná kontaktní místa ostatních dotčených členských států, pokud incident má nebo by mohl mít významný dopad na subjekt kritické infrastruktury a poskytování základní služby v těchto státech, a

b) Evropskou komisi, pokud incident má nebo by mohl mít významný dopad na poskytování základní služby nejméně v 6 členských státech Evropské unie.

(5) Ministerstvo vnitra bez zbytečného odkladu vyrozumí

(6) Je-li to ve veřejném zájmu, Ministerstvo vnitra v součinnosti s ministerstvem nebo jiným ústředním správním úřadem a subjektem kritické infrastruktury informuje o incidentu veřejnost. Informace zveřejněné podle tohoto odstavce nesmí obsahovat žádné skutečnosti, jejichž zveřejnění by ohrozilo bezpečnost subjektu kritické infrastruktury a činnosti související s řešením incidentu.

(7) Ministerstvo vnitra v odůvodněných případech vyrozumí o incidentu hejtmana kraje, ve kterém k narušení poskytování základní služby došlo.

(1) Subjekt kritické infrastruktury ohlásí incident bez zbytečného odkladu po jeho zjištění. V hlášení incidentu uvede

c) území zasažené narušením a

b) dobu trvání narušení,

a) počet a podíl uživatelů zasažených narušením poskytované základní služby,

d) povahu, příčinu a možné důsledky incidentu, včetně informací nezbytných ke stanovení případného přeshraničního dopadu incidentu.

(2) Pokud není subjekt kritické infrastruktury schopen zaslat hlášení podle odstavce 1 z důvodu řešení incidentu, ohlásí incident tak, že

b) nejpozději do 1 měsíce ode dne předložení prvotního hlášení zašle závěrečnou zprávu obsahující veškeré informace podle odstavce 1.

a) nejpozději do 24 hodin od vzniku incidentu zašle prvotní hlášení, které obsahuje informace nezbytné k řešení incidentu v rozsahu přiměřeném odstavci 1, a

(3) V případě, že v době uvedené v odstavci 2 písm. b) incident stále trvá, předloží subjekt kritické infrastruktury v uvedené době zprávu o pokroku a poté předloží závěrečnou zprávu nejpozději do 1 měsíce po skončení incidentu.

(4) Hlášení incidentu nesmí narušit činnost subjektu kritické infrastruktury vedoucí k odvrácení incidentu nebo jeho řešení.

(5) Parametry incidentu, podrobnosti rozsahu hlášených informací podle odstavce 1 a způsob předávání informací o incidentu stanoví prováděcí právní předpis.

(1) Portál kritické infrastruktury je součástí informačního systému krizového řízení podle krizového zákona a slouží k plnění povinností poskytovatelů základní služby a subjektů kritické infrastruktury a vedení nezbytných informací, dat, údajů a evidencí podle tohoto zákona.

(2) Pro účely tohoto zákona se pro získávání informací z agendových informačních systémů použije § 25 odst. 3 až 9 krizového zákona obdobně.

(3) Informace obsažené v portálu kritické infrastruktury užívají ministerstva, jiné ústřední správní úřady nebo Česká národní banka v rozsahu nezbytném pro výkon jejich působnosti podle tohoto zákona.

b) Ministerstvo průmyslu a obchodu za účelem výkonu jeho působnosti podle zákona upravujícího oblast prověřování zahraničních investic a

(4) Informace obsažené v portálu kritické infrastruktury dále užívají

a) zpravodajské služby České republiky za účelem výkonu jejich působnosti podle jiných právních předpisů⁶),

c) hejtman kraje a krajský úřad v rozsahu nezbytném pro výkon jejich působnosti podle krizového zákona.

(5) Nelze-li využít portál kritické infrastruktury, předávají se informace za účelem plnění povinností podle tohoto zákona prostřednictvím datové schránky, pokud tento zákon nestanoví jinak.

(6) Pokud nelze využít náhradní způsob podle odstavce 5, předávají se informace prostřednictvím poskytovatele poštovních služeb.

(7) Správce portálu kritické infrastruktury zabezpečí informace před neoprávněným přístupem, změnou, zničením nebo ztrátou anebo odcizením, zneužitím nebo jiným neoprávněným zpracováním.

(8) Vložení informací, dat, údajů nebo evidencí podle § 5 písm. d), § 7, 9, 12, 13, § 14 odst. 1 písm. a) až c), h), j), l) a q), § 18 a 21 do portálu kritické infrastruktury je vždy považováno za splnění informační nebo ohlašovací povinnosti podle tohoto zákona.

(9) Formu a způsob zpracování informací, dat, údajů a evidencí vkládaných do portálu kritické infrastruktury a technické a organizační podmínky používání portálu kritické infrastruktury stanoví prováděcí právní předpis.

(1) Zajištění odolnosti subjektu kritické infrastruktury se ověřuje cvičením.

(2) Subjekt kritické infrastruktury provádí vlastní cvičení nebo cvičení podle plánu cvičení, bylo-li mu ohlášeno alespoň 3 měsíce před jeho konáním.

(3) Plán cvičení zpracovává ministerstvo, jiný ústřední správní úřad nebo Ministerstvo vnitra na kalendářní rok. Subjekt kritické infrastruktury může být do tohoto plánu cvičení zařazen nejvýše jednou za 3 roky.

b) námět cvičení,

(4) Subjekt kritické infrastruktury předává ministerstvu nebo jinému ústřednímu správnímu úřadu a Ministerstvu vnitra informace o vlastním cvičení. Informace o cvičeních podle plánu cvičení předává ten, kdo subjekt kritické infrastruktury do plánu cvičení zařadil, Ministerstvu vnitra. Informace o cvičeních jsou předávány prostřednictvím portálu kritické infrastruktury nejméně v rozsahu

a) termín a místo cvičení,

c) zjištěné zásadní poznatky ze cvičení.

(1) Ministerstvo nebo jiný ústřední správní úřad vykonává v rámci své působnosti kontrolu v oblasti kritické infrastruktury. Při výkonu kontroly ministerstvo nebo jiný ústřední správní úřad zjišťuje, jak subjekty kritické infrastruktury plní povinnosti stanovené tímto zákonem a právními předpisy vydanými k jeho provedení, a ukládá opatření k nápravě.

(2) Ministerstvo nebo jiný ústřední správní úřad informuje bez zbytečného odkladu Ministerstvo vnitra a Národní úřad pro kybernetickou a informační bezpečnost o kontrole subjektu kritické infrastruktury prostřednictvím portálu kritické infrastruktury.

(3) Ministerstvo vnitra může na základě informace podle odstavce 2 požádat Národní úřad pro kybernetickou a informační bezpečnost o vykonání kontroly subjektu kritické infrastruktury v oblasti kybernetické bezpečnosti podle zákona o kybernetické bezpečnosti. Národní úřad pro kybernetickou a informační bezpečnost může požadavek na vykonání kontroly podle věty první odmítnout, byla-li by s ohledem na jeho kapacity zjevně nepřiměřená.

(4) Ministerstvo nebo jiný ústřední správní úřad vykonává v rámci své působnosti kontrolu u subjektu evropské kritické infrastruktury za účelem ověření přijetí opatření uvedených ve zprávě z poradní mise provedené Evropskou komisí u tohoto subjektu evropské kritické infrastruktury.

(1) Zjistí-li ministerstvo nebo jiný ústřední správní úřad při kontrole nedostatky, může uložit subjektu kritické infrastruktury, aby je ve stanovené lhůtě odstranil, popřípadě určit jakým způsobem. Ministerstvo nebo jiný ústřední správní úřad spolu s nápravným opatřením uloží povinnost oznámit provedení nápravného opatření a jeho výsledek ve stanovené lhůtě. Tyto skutečnosti uvede do protokolu o kontrole.

(2) V případě důvodné pochybnosti o plnění nápravných opatření na základě provedené kontroly podle § 22 nebo o zajišťování odolnosti subjektu kritické infrastruktury může ministerstvo nebo jiný ústřední správní úřad požádat Ministerstvo vnitra o provedení kontroly subjektu kritické infrastruktury.

(3) Kontrola podle odstavce 2 je kontrolou vykonanou Ministerstvem vnitra v součinnosti s ministerstvem nebo jiným ústředním správním úřadem. Při výkonu kontroly Ministerstvo vnitra zjišťuje, jak subjekty kritické infrastruktury plní povinnosti stanovené tímto zákonem a nápravná opatření uložená podle odstavce 1, a ukládá opatření k nápravě obdobně podle odstavce 1.

(1) Fyzická osoba se dopustí přestupku tím, že úmyslně použije portál kritické infrastruktury k jinému účelu než k plnění povinností stanovených tímto zákonem.

(2) Poskytovatel základní služby se dopustí přestupku tím, že v rozporu s § 9 odst. 1 neposkytne informaci nezbytnou k rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury.

k) § 14 odst. 1 písm. p) neumožní provedení kontroly,

(3) Subjekt kritické infrastruktury se dopustí přestupku tím, že v rozporu s

a) § 12 odst. 1 nesplní povinnost informovat o změně v poskytování základní služby, o nově poskytované základní službě nebo o ukončení poskytování základní služby,

b) § 14 odst. 1 písm. a) nesplní povinnost informovat o poskytované základní službě, kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie, kritických pracovnících a kritických dodavatelích,

c) § 14 odst. 1 písm. b) nesplní povinnost informovat, ve kterých členských státech Evropské unie poskytuje základní službu,

d) § 14 odst. 1 písm. d) nebo f) nezpracuje nebo neaktualizuje posouzení rizik subjektu kritické infrastruktury nebo plán odolnosti,

e) § 14 odst. 1 písm. e) neposkytne podklady pro zpracování posouzení rizik České republiky,

f) § 14 odst. 1 písm. g) nebo h) neurčí manažera kritické infrastruktury nebo neoznámí jeho určení,

g) § 14 odst. 1 písm. j) nesdělí údaje o kritickém dodavateli,

h) § 14 odst. 1 písm. k) nepřijme opatření k zajištění odolnosti,

i) § 14 odst. 1 písm. l) nenahlásí incident,

j) § 14 odst. 1 písm. o) nevyužívá portál kritické infrastruktury,

l) § 14 odst. 4 písm. a) neposkytne posouzení rizik nebo seznam opatření k zajišťování své odolnosti,

m) § 14 odst. 4 písm. b) nebo c) neumožní provedení poradní mise, nepřijme nápravné opatření ke zjištěným nedostatkům nebo doporučením, nebo neinformuje o jeho přijetí,

n) § 16 odst. 2 umožní výkon funkce manažera kritické infrastruktury osobě, která nesplňuje podmínky pro výkon této funkce,

o) § 23 odst. 1 nebo 3 nepřijme nápravné opatření, nebo

p) § 23 odst. 1 nebo 3 neoznámí provedení nápravného opatření nebo jeho výsledek ve stanovené lhůtě.

a) 50 000 Kč, jde-li o přestupek podle odstavce 1,

(4) Za přestupek lze uložit pokutu do

e) 25 000 000 Kč nebo do výše 0,3 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 2 nebo odstavce 3 písm. a) až c), h), k), n) nebo o).

d) 15 000 000 Kč nebo do výše 0,2 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 3 písm. d), e), i), l) nebo m), nebo

c) 10 000 000 Kč nebo do výše 0,1 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší, jde-li o přestupek podle odstavce 3 písm. g),

b) 3 000 000 Kč, jde-li o přestupek podle odstavce 3 písm. f), j) nebo p),

(5) Je-li přestupek podle odstavce 1 spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 100 000 Kč. Přestupek je spáchán opakovaně, jestliže od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 6 měsíců.

(6) Je-li přestupek podle odstavce 3 písm. f), j) nebo p) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 6 000 000 Kč nebo do výše 0,25 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 12 měsíců.

(7) Je-li přestupek podle odstavce 3 písm. g) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 20 000 000 Kč nebo do výše 0,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.

(8) Je-li přestupek podle odstavce 3 písm. d), e), i), l) nebo m) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 30 000 000 Kč nebo do výše 1 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže ode dne nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.

(9) Je-li přestupek podle odstavce 2 nebo odstavce 3 písm. a) až c), h), k), n) nebo o) spáchán opakovaně po nabytí právní moci rozhodnutí o přestupku, uloží se pokuta do 50 000 000 Kč nebo do výše 1,5 % čistého ročního obratu dosaženého právnickou osobou za bezprostředně předcházející účetní období, podle toho, která z daných částek je vyšší. Přestupek je spáchán opakovaně, jestliže od nabytí právní moci rozhodnutí o stejném přestupku, z něhož byl obviněný uznán vinným, do jeho spáchání neuplynulo 24 měsíců.

(1) K řízení o přestupku je příslušné ministerstvo, jiný ústřední správní úřad nebo Česká národní banka, do jejichž působnosti patří základní služba, v souvislosti s kterou byla porušena povinnost stanovená tímto zákonem.

b) § 24 odst. 1 a § 24 odst. 3 písm. c), i), l) až m).

(2) Ministerstvo vnitra je dále příslušné k projednání přestupku podle

a) § 24 odst. 3 písm. b), d) až f) a j), porušil-li povinnost subjekt kritické infrastruktury, který má zapsanou základní službu ve více odvětvích nebo pododvětvích patřících do působnosti více ministerstev nebo jiných ústředních správních úřadů,

(3) K řízení o přestupku podle § 24 odst. 3 písm. k), o) a p) je příslušný správní orgán, který prováděl kontrolu nebo uložil nápravné opatření.

(4) Pravomocné rozhodnutí o přestupku podle tohoto zákona se zapisuje do evidence přestupků vedené Ministerstvem spravedlnosti.

(1) Splňuje-li jiná dokumentace, kterou subjekt kritické infrastruktury zpracoval, náležitosti posouzení rizik subjektu kritické infrastruktury nebo plánu odolnosti, považuje se povinnost subjektu kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury nebo plán odolnosti podle tohoto zákona za splněnou.

(2) Přijme-li subjekt kritické infrastruktury opatření, které svou povahou odpovídá opatření k zajištění odolnosti subjektu kritické infrastruktury, považuje se toto opatření za opatření pro zajištění odolnosti subjektu kritické infrastruktury podle § 15.

(1) Pokud přímo použitelný předpis Evropské unie nebo jiný právní předpis, který zapracovává příslušný předpis Evropské unie, stanoví subjektům kritické infrastruktury povinnosti v oblasti zajišťování odolnosti subjektů kritické infrastruktury a tyto povinnosti mají alespoň srovnatelný účinek jako povinnosti, které jsou subjektům kritické infrastruktury stanoveny podle tohoto zákona, ustanovení tohoto zákona upravující povinnosti zavést a provádět opatření k posilování odolnosti a hlásit incidenty se vůči těmto osobám neuplatní.

(2) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně se považují taková ustanovení přímo použitelného předpisu Evropské unie nebo jiného právního předpisu, který zapracovává příslušný předpis Evropské unie, která

a) ve vztahu k povinnosti zavést a provádět opatření k posilování odolnosti odpovídají alespoň požadavkům stanoveným v § 15, nebo

b) ve vztahu k povinnosti hlásit incidenty odpovídají alespoň požadavkům stanoveným v § 18 a 19.

(3) Za ustanovení se srovnatelným účinkem jako povinnosti obsažené v tomto zákoně se dále považují taková ustanovení přímo použitelného předpisu Evropské unie, o nichž to přímo použitelný předpis Evropské unie stanoví.

(1) Na subjekty kritické infrastruktury v odvětvích bankovnictví a infrastruktura finančních trhů se vztahují pouze povinnosti podle § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j) a o).

(2) Na subjekty kritické infrastruktury v odvětví digitální infrastruktura se vztahují pouze povinnosti podle § 11 odst. 6, § 12 a § 14 odst. 1 písm. a), j), o) a q).

(3) Na subjekty kritické infrastruktury v odvětví veřejná správa, které poskytují základní službu přímo související se zajišťováním obrany České republiky, se ve vztahu k této základní službě nevztahují povinnosti podle § 14 odst. 1 písm. j) a l) a § 18 a 19.

(4) Správní orgány podle § 6 odst. 1 písm. n) zajistí ochranu poskytnutých informací a nesmí je dále zveřejnit.

(1) Vláda vydá nařízení k provedení § 10 odst. 2.

(2) Ministerstvo vnitra vydá vyhlášku k provedení § 14 odst. 6, § 15 odst. 2, § 19 odst. 5 a § 20 odst. 9.

(4) Ministerstvo vnitra informuje Evropskou komisi o určení jednotného kontaktního místa s uvedením jeho kontaktních údajů, úkolů a povinností do 3 měsíců ode dne nabytí účinnosti tohoto zákona.

(5) Poskytovatel základní služby, který nejpozději k 30. listopadu 2025 zahájí poskytování základní služby, poskytne ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance poprvé informace podle § 9 odst. 1 do 1. března 2026.

(1) Vláda schválí strategii do 17. ledna 2026.

(2) Ministerstvo vnitra poprvé rozhodne o zařazení poskytovatele základní služby, který poskytl informace podle § 9 odst. 1 do 1. března 2026, na seznam subjektů kritické infrastruktury do 17. července 2026.

(6) Subjekt kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, plní povinnosti podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, do 17. července 2026.

(7) Subjekt kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, u kterého bylo rozhodnuto o jeho zařazení na seznam subjektů kritické infrastruktury podle tohoto zákona, plní povinnosti subjektu kritické infrastruktury podle zákona č. 240/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, po dobu 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury podle tohoto zákona.

(8) Fyzická osoba, která ode dne nabytí účinnosti tohoto zákona vykonává citlivou činnost podle § 17 odst. 3 a nesplňuje podmínky pro výkon citlivé činnosti, je povinna nejpozději do 3 let ode dne nabytí účinnosti tohoto zákona prokázat splnění podmínek pro výkon citlivé činnosti podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Do doby splnění povinnosti podle věty první se pro účely tohoto zákona tato fyzická osoba považuje za fyzickou osobu splňující podmínky pro výkon citlivé činnosti za předpokladu, že v této době ani v době posledních 5 let přede dnem nabytí účinnosti tohoto zákona nebylo v řízení k této osobě vydáno rozhodnutí o nevydání dokladu o bezpečnostní způsobilosti fyzické osoby. Ustanovení věty druhé se nepoužije, jestliže bylo v řízení k této osobě v době posledních 5 let přede dnem nabytí účinnosti tohoto zákona vydáno rozhodnutí o zrušení platnosti dokladu o bezpečnostní způsobilosti fyzické osoby nebo rozhodnutí o zrušení platnosti osvědčení fyzické osoby.

(3) Ministerstvo vnitra předloží Evropské komisi první souhrnnou zprávu o hlášených incidentech do 17. července 2028.