Nový zákon o kybernetické bezpečnosti byl ve čtvrtek 26. června 2025 podepsán prezidentem republiky. Jak jsme Vás informovali už dříve v naší předchozí aktualitě, v případě vyhlášení zákona o kybernetické bezpečnosti ve Sbírce zákonů v průběhu července, nabude tento zákon účinnosti dne 1. října 2025, nicméně dle informací zveřejněných na webových stránkách Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se očekává publikace zákona ve Sbírce až v průběhu srpna a v takovém případě nabude nový zákon účinnosti až k 1. listopadu 2025.
Kromě nového zákona o kybernetické bezpečnosti, jemuž jsme se podrobně věnovali na našem nedávném webináři, došlo v mezidobí také k výraznému posunu ve schvalování návrhu nového zákona o kritické infrastruktuře. Návrh zákona o kritické infrastruktuře byl po svém zrychleném projednání schválen již v průběhu prvního čtení v Poslanecké sněmovně a poté byl podobně hladce definitivně schválen ve čtvrtek 3. července i v Senátu. Po podpisu zákona ze strany prezidenta republiky nabude nový zákon o kritické infrastruktuře účinnosti patnáctý den po svém vyhlášení ve Sbírce.
Nový zákon o kritické infrastruktuře transponuje do českého práva směrnici Evropského parlamentu a Rady (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů a o zrušení směrnice Rady 2008/114/ES (dále jen „směrnice CER“). Tímto zákonem dochází k vyjmutí problematiky kritické infrastruktury ze stávajícího krizového zákona a vytvoření nového samostatného zákona o odolnosti subjektů kritické infrastruktury, ve kterém jsou zapracovány jak požadavky směrnice CER, tak i zkušenosti z dosavadní aplikační praxe krizového zákona v oblasti ochrany kritické infrastruktury.
Tento zákon má za cíl především vymezit subjekty spadající do takzvané kritické infrastruktury státu, které jsou povinny přijmout technická, bezpečnostní a organizační opatření pro zajištění své odolnosti. Díky přechodným ustanovením tohoto zákona je pro subjekty kritické infrastruktury klíčové datum 17. července 2026, kdy ministerstvo vnitra může poprvé rozhodnout dle tohoto zákona o zařazení konkrétního poskytovatele základní služby na seznam subjektů kritické infrastruktury. Do této doby by měla každá organizace, která je poskytovatelem základní služby, provést proces sebehodnocení a na základě toho splnit svou informační povinnost. Věcné vymezení základních služeb, jakož i kritérií významnosti dle zákona o kritické infrastruktuře stanoví prováděcí nařízení vlády o základních službách a kritériích významnosti, které je aktuálně předmětem mezirezortního připomínkového řízení.
V této souvislosti si dovolujeme upozornit na jednu důležitou souvislost obou výše uvedených nových zákonů. Podle §5 nového zákona o kybernetické bezpečnosti splňují podmínky pro registraci dle zákona o kybernetické bezpečnosti mimo jiné i služby poskytované subjekty kritické infrastruktury podle právního předpisu upravujícího krizové řízení a kritickou infrastrukturu. Zjednodušeně řečeno, pro závěr o tom, zda se na Vaši organizaci bude či nebude vztahovat nový zákon o kybernetické bezpečnosti je třeba primárně vyhodnotit kritéria stanovená novým zákonem o kybernetické bezpečnosti a připravovanou prováděcí vyhláškou o regulovaných službách a současně posoudit i to, zda Vaše organizace nenaplňuje kritéria dle zákona o kritické infrastruktuře a jeho prováděcího nařízení vlády o základních službách a kritériích významnosti. Relevantní kritéria obou zákonů jsou stanovena odlišně, což lze uvést na následujícím příkladu farmaceutických společností.
Regulace kybernetické bezpečnosti by se měla vztahovat na registrované výrobce léčivých přípravků pro humánní použití, kteří jsou středním nebo velkým podnikem (s výjimkou výrobních operací v rozsahu certifikace šarží léčivých přípravků, jejich sekundárního balení, dovozu a chemické nebo fyzikální kontroly jejich jakosti).
Regulace kritické infrastruktury by se měla vztahovat na registrované výrobce léčivých přípravků, kteří jsou velkým podnikem a uvádí na trh v České republice kriticky důležitý léčivý přípravek dle zvláštního předpisu, který na tomto území vyrábí v rozsahu výroby jeho účinné látky nebo konečné lékové formy (vyjma výroby pro výzkumné účely) a zároveň se takového kriticky důležitého léčivého přípravku na trhu v České republice spotřebovává:
a) nejméně 3 000 denních dávek, jde-li o kriticky důležitý léčivý přípravek k jednorázovému nebo jednodennímu podání,
b) nejméně 33 000 denních dávek, jde-li o kriticky důležitý léčivý přípravek určený k akutní léčbě po dobu delší než 1 den ale zároveň ne delší než 1 měsíc, nebo
c) nejméně 55 000 denních dávek, jde-li o kriticky důležitý léčivý přípravek určený k léčbě chronického onemocnění po dobu delší než 1 měsíc.
Regulovanými subjekty dle zákona o kritické infrastruktuře a návrhu prováděcího nařízení vlády ovšem mají být také všichni držitelé povolení k distribuci léčivých přípravků vydaného Státním ústavem pro kontrolu léčiv, kteří jsou velkým podnikem, a to bez jakéhokoli dalšího rozlišení v jakém rozsahu či jakým způsobem je takové distribuční oprávnění realizováno. Takto obecné a nerozlišující vymezení základní služby a kritérií významnosti se vcelku oprávněně stalo předmětem připomínek vznesených v rámci mezirezortního připomínkového řízení ze strany Hospodářské komory a Svazu průmyslu a dopravy ČR, které bude ministerstvo vnitra muset ještě vypořádat.