Kritická infrastruktura v ČR – nový zákon a povinnosti od roku 2025
27. 2. 2026 | 6 minut čtení
Kritická infrastruktura je páteří fungování státu. Zahrnuje energetiku, dopravu, zdravotnictví, vodní hospodářství, digitální sítě, veřejnou správu, bankovnictví, potravinářství a další odvětví, jejichž narušení by mělo vážné dopady na bezpečnost, ekonomiku nebo život občanů.
V roce 2025 vstoupil v platnost zcela nový právní rámec – zákon č. 266/2025 Sb. o odolnosti subjektů kritické infrastruktury. Ten transponuje evropskou směrnici CER (2022/2557) a přináší výrazné změny oproti původní úpravě v krizovém zákoně. Vysvětlíme vám, co kritická infrastruktura znamená, kdo spadá pod novou povinnost a proč je důležité se připravit včas.
Nový zákon o kritické infrastruktuře
Zákon č. 266/2025 Sb. (účinný od 19. srpna 2025) přešel od ochrany jednotlivých prvků k ochraně celých subjektů, které poskytují základní služby. Místo „prvků kritické infrastruktury“ se nyní hovoří o subjektech kritické infrastruktury – tedy o organizacích, firmách nebo institucích, jejichž narušení by ohrozilo fungování státu nebo společnosti.
Zákon definuje základní služby ve 12 odvětvích:
- Energetika
- Doprava
- Bankovnictví
- Zdravotnictví
- Vodní hospodářství
- Digitální infrastruktura
- Infrastruktura finančního trhu
- Veřejná správa
- Vesmír
- Potravinářství
- Odpadové hospodářství
- Bezpečnost
Subjekt se stává kritickým, pokud splňuje alespoň jedno kritérium významnosti – například počet ovlivněných uživatelů, ekonomický dopad, závislost jiných odvětví nebo geografický rozsah.
Ministerstvo vnitra rozhoduje o zařazení na seznam subjektů kritické infrastruktury.
Hlavní povinnosti subjektů kritické infrastruktury
Zařazení na seznam přináší několik povinností, které musí subjekt splnit do devíti měsíců od rozhodnutí:
- Vypracovat posouzení rizik a plán odolnosti – strategický dokument popisující kritickou infrastrukturu, vazby, nepřijatelná rizika, klíčové pracovníky, zdroje a dodavatele
- Zavést a udržovat opatření k zajištění odolnosti – technická, organizační i personální
- Hlásit incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a dalším orgánům
- Provádět prověřování zaměstnanců a dodavatelů (zejména u vysoce rizikových pozic a klíčových dodavatelů)
- Pravidelně aktualizovat plán odolnosti a reportovat stav
Zákon zavádí také možnost kontrol ze strany státu, ukládání nápravných opatření a sankcí – pokuty mohou dosáhnout až stovek milionů korun za závažné porušení.
Proč je příprava na kritickou infrastrukturu nutná už nyní
Subjekty kritické infrastruktury čelí rostoucím hrozbám – kybernetickým útokům, sabotážím, extrémnímu počasí i dodavatelským výpadkům. Nový zákon posouvá důraz z reaktivní ochrany (krizové řízení) na proaktivní odolnost (resilience).
To znamená nejen technická opatření, ale i systematické řízení rizik, prověřování lidí a dodavatelů a pravidelné testování.
⚡ Pro firmy to představuje nejen povinnost, ale i příležitost.
Kvalitní systém odolnosti zvyšuje důvěru zákazníků, partnerů i investorů. Pomáhá předcházet výpadkům a minimalizovat škody. Naopak nesoulad s novými požadavky může vést k vysokým pokutám, reputační újmě nebo dokonce omezení činnosti.
Odolnost kritické infrastruktury je priorita
Zákon č. 266/2025 Sb. přinesl do České republiky moderní rámec pro ochranu a odolnost kritické infrastruktury. Subjekty, které spadají do režimu, mají omezený čas na splnění povinností – posouzení rizik, plán odolnosti, prověřování personálu a dodavatelů nebo hlášení incidentů.
Příprava vyžaduje kombinaci technických, organizačních a personálních opatření.
Pokud provozujete firmu nebo instituci v jednom z klíčových odvětví nebo očekáváte zařazení na seznam subjektů kritické infrastruktury, je nejvyšší čas jednat. Systém odolnosti není jen o splnění papírových požadavků – je o skutečné ochraně fungování vaší organizace i celé společnosti v době rostoucích hrozeb.