(1) Subjekt kritické infrastruktury je při poskytování základní služby a při zajišťování své odolnosti povinen

d) do 9 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat posouzení rizik subjektu kritické infrastruktury a následně provádět jeho aktualizaci nejméně jednou za 4 roky,

c) bez zbytečného odkladu informovat Ministerstvo vnitra a ministerstvo nebo jiný ústřední správní úřad, že je součástí koncernu podle zákona upravujícího obchodní korporace, včetně informace, zda se jedná o řízenou nebo řídící osobu,

e) bez zbytečného odkladu poskytnout na žádost ministerstva nebo jiného ústředního správního úřadu podklady pro zpracování posouzení rizik České republiky,

f) do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury zpracovat plán odolnosti, ve kterém jsou stanovena technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury, a následně provádět jeho aktualizaci nejméně jednou za 4 roky,

g) určit manažera kritické infrastruktury do 10 měsíců ode dne doručení rozhodnutí o zařazení na seznam subjektů kritické infrastruktury, a bez zbytečného odkladu poté, co dosavadní manažer kritické infrastruktury skončí výkon této funkce,

h) bez zbytečného odkladu oznámit určení manažera kritické infrastruktury Ministerstvu vnitra a ministerstvu nebo jinému ústřednímu správnímu úřadu,

i) vytvářet manažeru kritické infrastruktury podmínky nezbytné k plnění jeho povinností,

j) označit kritické dodavatele a sdělit Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance

k) přijímat opatření k zajištění odolnosti subjektu kritické infrastruktury podle § 15,

l) bez zbytečného odkladu hlásit Ministerstvu vnitra incidenty podle § 18 a 19,

m) zajistit podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací,

n) účastnit se cvičení k ověření odolnosti subjektů kritické infrastruktury,

o) využívat portál kritické infrastruktury pro plnění povinností podle tohoto zákona,

p) umožnit ministerstvu nebo jinému ústřednímu správnímu úřadu provedení kontroly plnění povinností stanovených tímto zákonem a přijímat nápravná opatření podle § 23,

q) informovat ministerstvo nebo jiný ústřední správní úřad o potřebě zabezpečení nezbytnými věcnými prostředky k zajištění poskytování základní služby, které není schopen zajistit jiným způsobem,

r) požádat u manažera kritické infrastruktury o ověření spolehlivosti, zda splňuje podmínky pro výkon citlivé činnosti podle zákona upravujícího ochranu utajovaných informací.

1. v případě právnické nebo podnikající fyzické osoby identifikační údaje v rozsahu název, sídlo a identifikační číslo osoby,

2. v případě fyzické osoby identifikační údaje v rozsahu jméno a příjmení, datum narození a adresa místa pobytu,

3. důvody, pro které byl označen jako kritický dodavatel,

a) poskytovat bez zbytečného odkladu Ministerstvu vnitra a ministerstvu, jinému ústřednímu správnímu úřadu nebo České národní bance informace o poskytované základní službě, kritické infrastruktuře na území České republiky nebo jiného členského státu Evropské unie, kritických pracovnících a kritických dodavatelích,

b) bez zbytečného odkladu informovat Ministerstvo vnitra, ve kterých členských státech Evropské unie poskytuje základní službu,

3. osob, které jsou pověřené přímým nebo vzdáleným přístupem do jeho prostor, k jeho informacím nebo do jeho kontrolních systémů.

1. kritických pracovníků,

(2) Za účelem zajištění své odolnosti a poskytování základní služby subjekt kritické infrastruktury

2. osob ucházejících se u něj o uzavření pracovněprávního vztahu, přijetí do služebního poměru nebo o uzavření obdobného vztahu a

a) ověřuje spolehlivost podle § 17 v souladu s posouzením rizik České republiky,

b) pro plnění povinností podle tohoto zákona zpracovává v nezbytném rozsahu osobní údaje

c) za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního přístupu k základní službě poskytované jiným subjektem kritické infrastruktury, pokud je to nezbytné pro poskytování základní služby.

(3) Za účelem zajištění své odolnosti a poskytování základní služby je subjekt kritické infrastruktury v nezbytném rozsahu dále oprávněn

a) při přípravě na krizové situace požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o poskytnutí přednostního připojení k veřejné komunikační síti a přístup k veřejně dostupné službě elektronických komunikací pro kritické pracovníky,

b) během mimořádné události nebo za krizového stavu požádat u ministerstva, jiného ústředního správního úřadu nebo České národní banky o zprostředkování vstupu do vymezených míst nebo území, kam byl vstup zakázán v souvislosti s touto událostí nebo krizovým stavem, pokud je to nezbytné pro zajištění poskytování základní služby; subjekt kritické infrastruktury je oprávněn požádat o zprostředkování tohoto vstupu i pro svého kritického dodavatele, pokud je to nezbytné pro poskytování základní služby,

b) umožnit poradní misi Evropské komise přístup k nezbytným informacím souvisejícím s poskytováním jeho základní služby a ke kritické infrastruktuře a poskytnout jí nezbytnou součinnost a

1. posouzení rizik subjektu kritické infrastruktury a

2. seznam opatření přijatých k zajišťování své odolnosti,

(4) Subjekt evropské kritické infrastruktury je dále povinen ode dne doručení vyrozumění o označení kritickým subjektem zvláštního evropského významu

c) přijmout nápravné opatření ke zjištěným nedostatkům a doporučením poradní mise a informovat o jeho přijetí Evropskou komisi prostřednictvím Ministerstva vnitra.

a) poskytnout Evropské komisi, pokud o to požádá, prostřednictvím Ministerstva vnitra

(5) Na subjekt kritické infrastruktury v odvětví bezpečnost se nevztahují povinnosti podle odstavce 1 písm. b) a odstavce 4.

(6) Náležitosti a způsob zpracování plánu odolnosti a posouzení rizik subjektu kritické infrastruktury stanoví prováděcí právní předpis.