Poskytovatel základní služby a subjekt kritické infrastruktury
Změny v poskytování základní služby

(1) Poskytovatel základní služby je povinen ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance a Ministerstvu vnitra za účelem rozhodnutí o jeho zařazení na seznam subjektů kritické infrastruktury poskytnout informace o

a) poskytované základní službě a naplnění alespoň 1 kritéria významnosti,

b) jeho kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie a

c) základní službě poskytované na území jiného členského státu Evropské unie.

(2) Informace podle odstavce 1 poskytovatel základní služby poskytne prostřednictvím portálu kritické infrastruktury nejpozději do

b) 1 měsíce ode dne, kdy k tomu byl ministerstvem, jiným ústředním správním úřadem, Českou národní bankou nebo Ministerstvem vnitra vyzván.

a) 3 měsíců ode dne zahájení poskytování základní služby,

(1) Kritérium významnosti v souladu s posouzením rizik České republiky určuje význam narušení poskytování základní služby na základě

c) možného dopadu incidentů, pokud jde o jejich intenzitu a délku trvání, na hospodářské a společenské činnosti, životní prostředí, bezpečnost nebo na veřejné zdraví,

b) rozsahu, v němž poskytování základní služby v jiném odvětví nebo pododvětví závisí na základní službě,

a) počtu uživatelů, kteří jsou závislí na základní službě poskytované poskytovatelem základní služby,

f) důležitosti poskytovatele základní služby, pokud jde o udržování dostatečné úrovně základní služby, s přihlédnutím k dostupnosti alternativních způsobů poskytování této základní služby.

d) tržního podílu poskytovatele základní služby na trhu se základní službou nebo službami v České republice,

e) území, které by mohlo být incidentem ovlivněno, včetně případných přeshraničních dopadů, s přihlédnutím ke zranitelnosti spojené se stupněm odloučení určitých typů území, nebo

(2) Základní služby v jednotlivých odvětvích nebo pododvětvích a kritéria významnosti podle odstavce 1 pro jednotlivé základní služby stanoví prováděcí právní předpis.

(1) Ministerstvo, jiný ústřední správní úřad nebo Česká národní banka bez zbytečného odkladu posoudí informace o poskytovateli základní služby podle § 9 odst. 1 a podá Ministerstvu vnitra podnět k rozhodnutí o zařazení tohoto poskytovatele základní služby na seznam subjektů kritické infrastruktury.

(2) Ministerstvo vnitra na základě podnětu podle odstavce 1 bez zbytečného odkladu rozhodne o zařazení poskytovatele základní služby na seznam subjektů kritické infrastruktury.

(3) Rozhodnutí o zařazení na seznam subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o zařazení na seznam subjektů kritické infrastruktury nemá odkladný účinek.

(4) Seznam subjektů kritické infrastruktury je neveřejný a obsahuje tyto údaje:

b) informace o základní službě, kterou subjekt kritické infrastruktury poskytuje,

d) členské státy Evropské unie, ve kterých subjekt kritické infrastruktury poskytuje základní službu.

c) odvětví a pododvětví, ve kterém subjekt kritické infrastruktury poskytuje základní službu, a

a) identifikační údaje subjektu kritické infrastruktury,

(5) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o zařazení subjektu na seznam subjektů kritické infrastruktury do 1 měsíce ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury subjektu kritické infrastruktury.

(6) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, není-li stanoveno dále jinak, až do dne doručení rozhodnutí o jeho vyřazení ze seznamu subjektů kritické infrastruktury podle § 13.

(1) Pokud subjekt kritické infrastruktury začne poskytovat základní službu v jiném rozsahu, začne poskytovat novou základní službu nebo ukončí poskytování základní služby, informuje o této skutečnosti ministerstvo, jiný ústřední správní úřad nebo Českou národní banku v rozsahu podle § 9 odst. 1 do 1 měsíce ode dne, kdy nastala tato skutečnost.

(2) Pokud subjekt kritické infrastruktury poskytuje novou základní službu, nebo došlo ke změně rozsahu u již poskytované základní služby, Ministerstvo vnitra na základě informace od ministerstva, jiného ústředního správního úřadu nebo České národní banky doplní do seznamu subjektů kritické infrastruktury informace o nově poskytované základní službě nebo o změně rozsahu již poskytované základní služby. O této skutečnosti následně Ministerstvo vnitra do 1 měsíce ode dne doplnění nových poskytnutých informací vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.

(3) Subjekt kritické infrastruktury je povinen plnit povinnosti stanovené tímto zákonem k nově zapsané základní službě ode dne doručení vyrozumění podle odstavce 2, není-li stanoveno dále jinak.

(1) V případě, že subjekt kritické infrastruktury nadále neposkytuje některou ze základních služeb zapsaných na seznamu subjektů kritické infrastruktury, Ministerstvo vnitra tuto základní službu vymaže ze seznamu subjektů kritické infrastruktury a o této skutečnosti bez zbytečného odkladu vyrozumí subjekt kritické infrastruktury, Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku.

(2) V případě, že subjekt kritické infrastruktury nadále neposkytuje žádnou základní službu, Ministerstvo vnitra rozhodne o jeho vyřazení ze seznamu subjektů kritické infrastruktury.

(3) Rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury může být prvním úkonem v řízení. Rozklad podaný proti rozhodnutí o vyřazení ze seznamu subjektů kritické infrastruktury nemá odkladný účinek.

(4) Ministerstvo vnitra informuje Národní úřad pro kybernetickou a informační bezpečnost a ministerstvo, jiný ústřední správní úřad nebo Českou národní banku o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury bez zbytečného odkladu ode dne doručení rozhodnutí o vyřazení subjektu kritické infrastruktury ze seznamu subjektů kritické infrastruktury subjektu kritické infrastruktury.

j) označit kritické dodavatele a sdělit Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance

(1) Subjekt kritické infrastruktury je při poskytování základní služby a při zajišťování své odolnosti povinen

a) poskytovat bez zbytečného odkladu Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance informace o poskytované základní službě, kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie, kritických pracovnících a kritických dodavatelích,

b) bez zbytečného odkladu informovat Ministerstvo vnitra, ve kterých členských státech Evropské unie poskytuje základní službu,

c) bez zbytečného odkladu informovat Ministerstvo vnitra a ministerstvo nebo jiný ústřední správní úřad, že je součástí koncernu podle zákona upravujícího obchodní korporace, včetně informace, zda se jedná o řízenou nebo řídící osobu,

d) do 9 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury a následně provádět jeho aktualizaci nejméně jednou za 4 roky,

e) bez zbytečného odkladu poskytnout na žádost ministerstva nebo jiného ústředního správního úřadu podklady pro zpracování posouzení rizik České republiky,

f) do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat plán odolnosti, ve kterém jsou stanovena technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury, a následně provádět jeho aktualizaci nejméně jednou za 4 roky,

g) určit manažera kritické infrastruktury do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, a bez zbytečného odkladu poté, co dosavadní manažer kritické infrastruktury skončí výkon této funkce,

h) bez zbytečného odkladu oznámit určení manažera kritické infrastruktury Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu,

i) vytvářet manažeru kritické infrastruktury podmínky nezbytné k plnění jeho povinností,

k) přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury podle § 15,

l) bez zbytečného odkladu hlásit Ministerstvu vnitra incidenty podle § 18 a 19,

m) zajistit podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací,

n) účastnit se cvičení k ověření odolnosti subjektů kritické infrastruktury,

o) využívat portál kritické infrastruktury pro plnění povinností podle tohoto zákona,

p) umožnit ministerstvu nebo jinému ústřednímu správnímu úřadu provedení kontroly plnění povinností stanovených tímto zákonem a přijímat nápravná opatření podle § 23,

q) informovat ministerstvo nebo jiný ústřední správní úřad o potřebě zabezpečení nezbytnými věcnými prostředky k zajištění poskytování základní služby, které není schopen zajistit jiným způsobem,

r) požádat u manažera kritické infrastruktury o ověření spolehlivosti, zda splňuje podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací.

1. v případě právnické nebo podnikající fyzické osoby identifikační údaje v rozsahu název, sídlo a identifikační číslo osoby,

2. v případě fyzické osoby identifikační údaje v rozsahu jméno a příjmení, datum narození a adresa místa pobytu,

3. důvody, pro které byl označen jako kritický dodavatel,

2. osob ucházejících se u něj o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu a

a) ověřuje spolehlivost podle § 17 v souladu s posouzením rizik České republiky,

b) pro plnění povinností podle tohoto zákona zpracovává v nezbytném rozsahu osobní údaje

3. osob, které jsou pověřené přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů.

1. kritických pracovníků,

(2) Za účelem zajištění své odolnosti a poskytování základní služby subjekt kritické infrastruktury

a) při přípravě na krizové situace požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky,

c) za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury, pokud je to nezbytné pro poskytování základní služby.

(3) Za účelem zajištění své odolnosti a poskytování základní služby je subjekt kritické infrastruktury v nezbytném rozsahu dále oprávněn

b) během mimořádné události nebo za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele, pokud je to nezbytné pro poskytování základní služby,

(4) Subjekt evropské kritické infrastruktury je dále povinen ode dne doručení vyrozumění o označení kritickým subjektem zvláštního evropského významu

1. posouzení rizik subjektu kritické infrastruktury a

2. seznam opatření přijatých k zajišťování své odolnosti,

a) poskytnout Evropské komisi, pokud o to požádá, prostřednictvím Ministerstva vnitra

b) umožnit poradní misi Evropské komise přístup k nezbytným informacím souvisejícím s poskytováním jeho základní služby a ke kritické infrastruktuře a poskytnout jí nezbytnou součinnost a

c) přijmout nápravné opatření ke zjištěným nedostatkům a doporučením poradní mise a informovat o jeho přijetí Evropskou komisi prostřednictvím Ministerstva vnitra.

(5) Na subjekt kritické infrastruktury v odvětví bezpečnost se nevztahují povinnosti podle odstavce 1 písm. b) a odstavce 4.

(6) Náležitosti a způsob zpracování plánu odolnosti a posouzení rizik subjektu kritické infrastruktury stanoví prováděcí právní předpis.

a) k řízení rizik,

b) pro zajištění kontinuity činností,

c) odezvy na incidenty,

d) fyzické bezpečnosti,

e) k řízení bezpečnosti pracovníků a

f) k řízení bezpečnosti dodavatelského řetězce.

(1) Subjekt kritické infrastruktury na základně posouzení rizik subjektu kritické infrastruktury přijímá technická, bezpečnostní a organizační opatření, a to v rozsahu opatření

(2) Obsah opatření k zajištění odolnosti subjektu kritické infrastruktury podle odstavce 1 stanoví prováděcí právní předpis.

(1) Manažer kritické infrastruktury poskytuje součinnost Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu při plnění povinností podle tohoto zákona a součinnost Evropské komisi při provádění poradní mise.

(2) Manažerem kritické infrastruktury může být určena pouze osoba splňující podmínky pro výkon citlivé činnosti a požadavky odborné způsobilosti. Odborně způsobilou osobou se rozumí ten, kdo prokáže praxi v oblasti zajišťování bezpečnosti státu, ochrany obyvatelstva, krizového řízení, podnikové bezpečnosti nebo řízení kontinuity činností po dobu nejméně 3 let, nebo po dobu 1 roku v případě, že dosáhl vysokoškolského vzdělání.

(3) Do doby určení manažera kritické infrastruktury plní jeho povinnosti vedoucí organizační složky státu, guvernér České národní banky, statutární orgán právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřený člen, anebo subjektem kritické infrastruktury určený pracovník.

(4) Manažer kritické infrastruktury je přímo podřízen vedoucímu organizační složky státu, guvernérovi České národní banky, statutárnímu orgánu právnické osoby nebo v případě kolektivního statutárního orgánu právnické osoby jeho pověřenému členovi.

(5) U subjektu kritické infrastruktury, který je osobou podrobenou jednotnému řízení podle zákona upravujícího obchodní korporace, může funkci manažera kritické infrastruktury vykonávat manažer kritické infrastruktury řídící osoby podle zákona upravujícího obchodní korporace, je-li řídící osoba zároveň subjektem kritické infrastruktury.

(1) Za účelem zajištění bezpečného poskytování základní služby, řízení bezpečnosti pracovníků a řízení bezpečnosti dodavatelského řetězce subjekt kritické infrastruktury ověřuje spolehlivost pracovníků, včetně osob ucházejících se o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu.

a) vyžaduje od pracovníka podílejícího se na poskytování základní služby a osoby, která je pověřena přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů, prokázání totožnosti a bezúhonnosti výpisem z rejstříku trestů a dále dokladem obdobným výpisu z rejstříku trestů vydaným státem, jehož je pracovník nebo pověřená osoba státním občanem, nejde-li o státního občana České republiky, nebo ve kterém se pracovník nebo pověřená osoba v posledních 3 letech zdržoval nepřetržitě déle než 3 měsíce, anebo výpisem z rejstříku trestů s přílohou obsahující informace, které jsou zapsané v evidenci trestů takového státu, a

(2) Za účelem ověřování spolehlivosti podle odstavce 1 subjekt kritické infrastruktury

b) požaduje prokázání splnění podmínek pro výkon citlivé činnosti podle zákona o ochraně utajovaných informací od manažera kritické infrastruktury.

(3) Výkon funkce manažera kritické infrastruktury je citlivou činností podle zákona o ochraně utajovaných informací.