Kritická infrastruktura naostro: prováděcí předpisy, manažer KI a řízení rizik

Prováděcí předpisy jsou ve Sbírce: kritická infrastruktura naostro! Předpisy č. 122/2026 Sb. a 123/2026 Sb. uzavírají legislativní provizorium. Koho se zákon týká, co znamená role manažera kritické infrastruktury a jak na posouzení rizik metodikou PRINCE2.

Kritická infrastruktura naostro: prováděcí předpisy jsou ve Sbírce

Předpisy č. 122/2026 Sb. a 123/2026 Sb. uzavírají největší slabinu zákona č. 266/2025 Sb.: chybějící kritéria významnosti. Firmy se konečně mohou změřit. Role manažera kritické infrastruktury dostává tvrdé obrysy včetně bezpečnostní prověrky a posouzení rizik přestává být teorií. Kdo umí PRINCE2®, hraje na domácím hřišti.

Aleš Pilný · CEO, TAYLLORCOX s.r.o. · 24. 6. 2026 · aktualizováno 3. 7. 2026 · čtení 11 min

[Redakční poznámka (před publikací smazat): oficiální texty č. 122/2026 Sb. a 123/2026 Sb. se nepodařilo automaticky načíst z e-Sbírky (stránka se vykresluje přes JavaScript). Doplňte prosím přesné názvy a data účinnosti obou předpisů na místa označená ⟨…⟩ a tuto poznámku odstraňte.]

HLAVNÍ ZPRÁVA · SBÍRKA ZÁKONŮ

Konec legislativního provizoria. Do Sbírky zákonů byly vyhlášeny prováděcí předpisy k zákonu o kritické infrastruktuře: č. 122/2026 Sb. a č. 123/2026 Sb. Dosud chyběl klíčový díl skládačky: nařízení o základních službách a kritériích významnosti. Bez něj se firmy připravovaly „naslepo": nešlo spolehlivě určit, kdo do režimu spadá. To teď padá a odhad „možná se nás to týká" lze nahradit měřením. A to jen týdny před prvním zařazením na seznam k 17. 7. 2026.

Zdroj: e-Sbírka · 122/2026 Sb. (https://e-sbirka.gov.cz/sb/2026/122?zalozka=text) · 123/2026 Sb. (https://e-sbirka.gov.cz/sb/2026/123?zalozka=text)

ZÁZNAM PŘEDPISU — Stav: účinný

Předpis: Zákon č. 266/2025 Sb.
  o odolnosti subjektů kritické infrastruktury (zákon o kritické infrastruktuře)
Účinnost: 19. 8. 2025
  vyhlášeno 4. 8. 2025
Transpozice: Směrnice CER (EU) 2022/2557
Provázaný předpis: Zákon č. 264/2025 Sb., o kybernetické bezpečnosti
  transpozice NIS2 · účinnost 1. 11. 2025
Prováděcí předpis: č. 122/2026 Sb. ⟨ověřit přesný název + účinnost⟩
  prováděcí předpis k zákonu č. 266/2025 Sb.
Prováděcí předpis: č. 123/2026 Sb. ⟨ověřit přesný název + účinnost⟩
Klíčové datum: 17. 7. 2026
  první zařazení na (neveřejný) seznam subjektů KI

---

Dvě normy mění bezpečnostní pravidla pro českou ekonomiku víc než cokoli od roku 2014. Zákon č. 266/2025 Sb. o kritické infrastruktuře a zákon č. 264/2025 Sb. o kybernetické bezpečnosti spolu vytvářejí jeden propojený systém. A otázka, kdo do něj patří, přestává být akademická: s vyhlášením prováděcích předpisů se z odhadů stávají měřitelná kritéria.

Tento článek odpovídá na pět věcí: co přinášejí nové prováděcí předpisy, co znamenají pro roli manažera kritické infrastruktury, jak se dotknou řízení rizik, koho se zákon týká a které konkrétní firmy do jeho působnosti pravděpodobně spadnou, včetně dodavatelů. Hned na úvod je ale nutné říct jedno: oficiální seznam subjektů kritické infrastruktury je neveřejný. Vše, co následuje u konkrétních jmen, je proto kvalifikovaný odhad na základě veřejných kritérií a sektorového vymezení, nikoli opis úředního seznamu.

HLAVNÍ ZPRÁVA

Konec „provizoria" a proč na tom záleží

Až do jara 2026 platil paradox: zákon byl účinný, ale chybělo nařízení vlády o základních službách a kritériích významnosti: přesně ta část, která stanovuje prahové hodnoty a rozhoduje, kdo je „dost velký", aby spadl do režimu. Ministerstvo vnitra proto veřejně uvedlo, že březnový termín pro ohlášení nebude považovat za rozhodný pro sankce, a dotčené firmy se připravovaly bez jistoty, jaké údaje vlastně mají doložit.

Vyhlášením prováděcích předpisů č. 122/2026 Sb. a č. 123/2026 Sb. ve Sbírce zákonů se tato mezera uzavírá. Pro firmy to znamená jednu konkrétní věc: odhad „možná se nás to týká" lze nahradit měřením. Kritéria významnosti jsou dohledatelná a sebeposouzení podle nich je proveditelné, a to jen pár týdnů před prvním zařazením na seznam k 17. červenci 2026. Dva dopady přitom vyčnívají a rozebíráme je hned níže: personální (kdo bude manažerem kritické infrastruktury) a metodický (jak uchopit posouzení rizik).

Proč je to hlavní zpráva. Kdo čekal na „papír", už nemá na co čekat. Okno mezi vyhlášením kritérií a prvním zařazením je krátké a posouzení rizik i plán odolnosti navazují bezprostředně poté. Náskok získají ti, kdo sebeposouzení udělají teď.

01 · DOPAD NA LIDI

Manažer kritické infrastruktury: z paragrafu je personální rozhodnutí

První bezprostřední dopad je personální. Zákon zavádí povinnou roli manažera kritické infrastruktury, který v organizaci zajišťuje plnění povinností a součinnost s Ministerstvem vnitra. S vyhlášením prováděcích předpisů přestává být tato funkce kolonkou v organigramu: subjekty ji musí obsadit řádově do 10 měsíců od rozhodnutí o zařazení na seznam, v první vlně tedy zhruba do jara 2027.

Nejpodceňovanější detail celé úpravy: výkon funkce je citlivou činností podle zákona č. 412/2005 Sb. Kandidát potřebuje doklad o bezpečnostní způsobilosti. Stávající manažeři mají přechodné období tři roky od účinnosti zákona, tedy do srpna 2028. Nově jmenovaní by však měli řízení zahájit okamžitě, protože prověrka trvá měsíce, ne týdny.

Profil role je navíc širší, než napovídá reflex delegovat bezpečnost na IT. Manažer KI propojuje fyzickou ochranu, personální bezpečnost, kybernetickou odolnost a řízení kritických dodavatelů. Kvalifikačně jde o průnik řízení rizik, kontinuity činností (BCM) a compliance. A protože odpovědnost za podceněnou přípravu dopadá na statutární orgán, potřebuje tato role od vedení mandát a rozpočet, ne jen jmenovací dekret.

Důsledek pro trh práce je předvídatelný: stovky subjektů budou roli obsazovat ve stejném okně. Rychlejší cestou než externí nábor bude často interní kandidát s cíleným dovzděláním.

02 · DOPAD NA METODIKU

Posouzení rizik: kde zákon mluví jazykem PRINCE2

Druhý dopad je metodický. Do zhruba 9 měsíců od zařazení musí subjekt zpracovat posouzení rizik a do 10 měsíců plán odolnosti. Zákon přitom vědomě staví na mezinárodně uznávaných principech řízení rizik a kontinuity činností. Přeloženo: regulátor nechce jednorázový dokument do šuplíku, ale prokazatelný a opakovatelný proces.

Přesně tuto disciplínu řada českých firem léta provozuje v projektovém prostředí podle PRINCE2®. Postup identifikace, posouzení, plánování reakce, implementace a komunikace rizik. Registr rizik s vlastníky (risk owner) a vykonavateli (risk actionee). Tolerance a apetit k riziku schválené vedením. Eskalace při jejich překročení. Tato architektura se do požadavků zákona překlápí přirozeně.

Jedno upozornění ale musí zaznít: PRINCE2® řídí rizika projektů, zákon chce rizika provozu základní služby. Záběr se rozšiřuje na celopodnikový pohled zahrnující fyzická, personální, kybernetická i dodavatelská rizika a metodiku je třeba doplnit o řízení kontinuity, typicky podle ISO 22301. Organizace s vyzrálou praxí PRINCE2® nebo M_o_R® proto nezačínají od nuly: přenášejí registr, hodnoticí škály, role a eskalační mechanismy, mění se pouze předmět řízení.

Bonus pro ty, kdo už plní zákon o kybernetické bezpečnosti: dokumentaci připravenou podle něj lze využít i pro účely zákona o kritické infrastruktuře, pokud splňuje předepsané náležitosti. Dvojí práci zákon výslovně nechce.

03 · KONTEXT

Co se vlastně změnilo

Dosavadní ochrana kritické infrastruktury stála na prvcích vyčleněných z krizového zákona (240/2000 Sb.): chránily se konkrétní objekty a zařízení. Nová úprava tento přístup opouští. Místo prvků reguluje poskytovatele základní služby a ptá se na jednu věc: dokáže organizace udržet svou klíčovou službu v provozu i během krize, sabotáže nebo kybernetického útoku?

Tři důsledky stojí za zapamatování:

- Subjektem KI se nestáváte samočinně. Stáváte se jím až rozhodnutím Ministerstva vnitra o zařazení na neveřejný seznam, a to na základě vašeho ohlášení a posouzení gestora.
- Okruh odvětví se rozšířil. Přibyla pododvětví a základní služby, které dřívější úprava neřešila: od digitální infrastruktury po výrobu a distribuci potravin.
- Řízení rizik se rozlévá do dodavatelského řetězce. Česká úprava zavádí evropsky ojedinělé instituty kritického dodavatele a kritického pracovníka a počítá s meziodvětvovými vazbami mezi subjekty navzájem.

Posledně jmenované je zároveň nejpodceňovanější. Právě tam vzniká nová vrstva dotčených firem.

04 · ROZSAH

Koho se zákon týká: regulovaná odvětví

Zákon dopadá na poskytovatele základních služeb v širokém spektru odvětví. Konkrétní vymezení základních služeb a kritéria významnosti stanoví prováděcí nařízení vlády (nově vyhlášené ve Sbírce, viz aktualita výše); rámcově jde o tato odvětví:

E1  Energetika — elektřina, plyn, ropa, dálkové teplo, vodík
E2  Doprava — letecká, železniční, silniční, vodní, veřejná
E3  Bankovnictví — úvěrové instituce
E4  Infrastruktura finančních trhů — burzy, vypořádání, depozitáře
E5  Zdravotnictví — poskytovatelé péče, výroba a distribuce léčiv a zdravotnických prostředků
E6  Pitná voda — dodávky a úprava
E7  Odpadní voda — odvádění a čištění
E8  Digitální infrastruktura — sítě elektronických komunikací, DNS, IXP, datová centra, cloud
E9  Veřejná správa — vybrané orgány a jejich systémy
E10 Vesmír — pozemní infrastruktura
E11 Výroba, zpracování a distribuce potravin — klíčové potravinové řetězce
+   Národní rozšíření — mj. bezpečnostní oblast a poštovní služby

Samotné zařazení do odvětví ještě nestačí: rozhoduje až naplnění kritérií významnosti (velikost, podíl na poskytování služby, dopad výpadku). Pro řadu středních a velkých firem v těchto odvětvích je ale výsledek předvídatelný.

05 · DODAVATELSKÝ ŘETĚZEC

Nejtišší změna má největší dosah: dodavatelský řetězec

Zatímco pozornost se upírá na „velké" subjekty, skutečné rozšíření okruhu dotčených firem se odehrává jinde. Institut kritického dodavatele znamená, že povinnosti se přes smlouvy a požadavky na řízení rizik promítají i na firmy, které samy základní službu neposkytují, ale jsou pro její provoz nepostradatelné.

Jde typicky o dodavatele řídicích a zabezpečovacích systémů (OT/SCADA), IT integrátory a tvůrce kritického softwaru, provozovatele datových center a konektivity, dodavatele medicinálních plynů pro nemocnice nebo poskytovatele fyzické ostrahy objektů. Mnozí z nich jsou pod hranicí velikosti, od které by jim vznikla přímá povinnost, a přesto budou muset doložit bezpečnostní opatření, protože to po nich budou požadovat jejich klienti z řad subjektů KI.

Pro tyto firmy je to nová obchodní realita: doložená bezpečnost se stává podmínkou účasti v zakázkách. Kdo ji neprokáže, vypadne z dodavatelského řetězce.

06 · ODHAD

Které firmy pravděpodobně spadnou pod zákon o kritické infrastruktuře

Následující přehled je analytické vytipování: pomáhá zorientovat se, kdo by měl řešit vlastní posouzení. Uvádíme rozpoznatelné zástupce každého odvětví; v naší interní analýze jsme namapovali přes 180 subjektů a dodavatelů.

⚠ Odhad: nikoli oficiální seznam
Subjektem kritické infrastruktury se organizace stává až rozhodnutím Ministerstva vnitra o zařazení na neveřejný seznam. Níže uvedené firmy nejsou potvrzenými subjekty KI: jde o odhad pravděpodobné působnosti podle veřejných kritérií a sektorového vymezení. Nejde o finální verzi ani o právní posouzení konkrétní organizace.
S vyhlášením prováděcích předpisů (122/2026 Sb. a 123/2026 Sb.) lze tento odhad u konkrétní firmy nahradit přesným sebeposouzením podle kritérií významnosti.

Reprezentativní zástupci podle odvětví (odhad)

Odvětví | Příklady subjektů (odhad) | Pravděpodobný režim
Energetika | ČEZ, ČEPS, GasNet, EG.D, PRE, MERO ČR, ČEPRO, Orlen Unipetrol, Veolia Energie | Plné povinnosti
Doprava | Správa železnic, České dráhy, Letiště Praha, Řízení letového provozu, ŘSD, Dopravní podnik hl. m. Prahy | Plné povinnosti
Pitná a odpadní voda | Pražské vodovody a kanalizace, Severočeské VaK, Brněnské vodárny a kanalizace, SmVaK Ostrava | Plné povinnosti
Zdravotnictví | Fakultní nemocnice (Motol, VFN, Brno, Ostrava…), IKEM, PHOENIX, Alliance Healthcare, Zentiva | Plné povinnosti
Digitální infrastruktura | CETIN, O2, T-Mobile, Vodafone, CZ.NIC, NIX.CZ | Hlavně přes ZKB
Bankovnictví a fin. trhy | ČSOB, Česká spořitelna, Komerční banka, Burza CP Praha, Centrální depozitář | Informační povinnosti / DORA
Výroba a distribuce potravin | Agrofert (Penam), Madeta, Kaufland, Lidl, Penny Market | Dle kritérií významnosti
Veřejná správa | NAKIT, Správa základních registrů, ČSSZ, statutární města a kraje | Dle vymezení
Poštovní služby | Česká pošta a další balíkoví dopravci | Dle kritérií významnosti

Pozn.: U bankovnictví, infrastruktury finančních trhů a digitální infrastruktury plní subjekty podle zákona o kritické infrastruktuře zpravidla jen vybrané (informační) povinnosti; jádro regulace u nich řeší zákon o kybernetické bezpečnosti, resp. nařízení DORA pod dohledem ČNB.

07 · ODHAD

Dodavatelé pod tlakem

Druhá vlna dotčených firem nestojí na seznamu subjektů KI: stojí v jejich dodavatelských řetězcích. I zde jde o ilustrativní odhad, koho se nově promítnuté požadavky pravděpodobně dotknou:

Kategorie dodavatele | Příklady (odhad)
OT, automatizace, zabezpečovací technika | AŽD Praha, ZAT, Siemens, ABB, Schneider Electric
IT integrátoři a kritický software | Aricoma, ICZ, GORDIC, Asseco
Datová centra a konektivita | CE Colo, České Radiokomunikace
Medicinální plyny pro nemocnice | Linde Gas
Fyzická ostraha objektů | Securitas, Mark2 Corporation

Společné mají to, že výpadek nebo kompromitace jejich dodávky ohrožuje základní službu odběratele. Proto se u nich stává standardem doložení systému řízení, typicky ISO/IEC 27001 a připravenost na požadavky podle zákona o kybernetické bezpečnosti.

08 · POSTUP

Jak poznat, zda se zákon týká právě vás

Test má dvě roviny. Za prvé: poskytujete některou ze základních služeb v regulovaném odvětví? Za druhé: naplňujete alespoň jedno kritérium významnosti (velikost, podíl na trhu, dopad výpadku)? Pokud ano u obou, máte vůči gestorovi oznamovací povinnost. Počítejte s následující časovou osou:

19. 8. 2025 — Účinnost zákona č. 266/2025 Sb.
do 1. 3. 2026 — Původní termín poskytnutí informací gestorovi (fakticky odsunut do vydání nařízení)
2026 ⟨datum⟩ — Vyhlášení prováděcích předpisů č. 122/2026 Sb. a 123/2026 Sb. ve Sbírce zákonů: kritéria významnosti jsou určena
do 17. 7. 2026 — První rozhodnutí Ministerstva vnitra o zařazení na seznam subjektů KI
≈ duben 2027 — Zpracování posouzení rizik (řádově do 9 měsíců od zařazení)
≈ květen 2027 — Plán odolnosti, určení manažera kritické infrastruktury, hlášení incidentů

Souběžně běží povinnosti podle zákona o kybernetické bezpečnosti, který dělí povinné osoby na režim vyšších a nižších povinností. U mnoha subjektů platí oba předpisy zároveň, a je efektivnější řešit je společně než odděleně.

CTA

Připravit se s předstihem se vyplatí

Přechodná období vypadají dlouhá, dokud nezačnete. Posouzení rizik, plán odolnosti a sladění s kybernetickou bezpečností je práce na měsíce: začíná správným pochopením rozsahu povinností. V TAYLLORCOX jako akreditovaná akademie a certifikační orgán (ACO) pomáháme subjektům i jejich dodavatelům projít touto cestou strukturovaně.

CER Intro™ — Manažerský úvod do odolnosti kritických subjektů podle směrnice CER a zákona 266/2025 Sb.
ZKI Readiness™ — Příprava na zařazení: sebeposouzení, gap analýza, posouzení rizik a plán odolnosti.
ZKI⁴ Board — Workshop pro vedení: dopady CER i NIS2 a odpovědnost vrcholového managementu.
Manažer KI — Kvalifikační příprava na výkon role podle zákona č. 266/2025 Sb.: povinnosti, posouzení rizik, plán odolnosti, hlášení incidentů.
PRINCE2® — Řízení rizik s auditní stopou: registr, vlastníci, tolerance a eskalace, které obstojí před gestorem.

[Tlačítko] Probrat dopady na vaši organizaci — https://www.tx.cz/kontakt

FAQ

Časté otázky

Co přinášejí prováděcí předpisy č. 122/2026 Sb. a 123/2026 Sb.?
Doplňují dosud chybějící část úpravy: zejména konkrétní vymezení základních služeb a kritérií významnosti, podle nichž se určuje, kdo spadá do režimu zákona. Do jejich vyhlášení nebylo možné spolehlivě provést sebeposouzení; nově je proveditelné, krátce před prvním zařazením na seznam k 17. 7. 2026. Přesné názvy a účinnost ověřte v e-Sbírce.

Kdo je manažer kritické infrastruktury a co musí splňovat?
Povinná role podle zákona č. 266/2025 Sb.: zajišťuje plnění povinností subjektu a součinnost s Ministerstvem vnitra. Výkon funkce je citlivou činností podle zákona č. 412/2005 Sb., vyžaduje tedy doklad o bezpečnostní způsobilosti. Subjekt roli určí řádově do 10 měsíců od rozhodnutí o zařazení; stávající manažeři mají na doložení způsobilosti čas do srpna 2028.

Jak souvisí posouzení rizik podle zákona s PRINCE2?
Zákon staví na mezinárodně uznávaných principech řízení rizik a kontinuity. PRINCE2® nabízí přesně takový opakovatelný proces: identifikaci, posouzení, plánování reakce, implementaci a komunikaci rizik, registr s vlastníky, tolerance a eskalace. Pro účely zákona rozšíříte záběr z projektů na provoz základní služby a doplníte kontinuitu, typicky podle ISO 22301.

Co je zákon o kritické infrastruktuře (266/2025 Sb.)?
Nová samostatná úprava účinná od 19. srpna 2025, která transponuje směrnici CER (EU) 2022/2557. Vyčleňuje kritickou infrastrukturu z krizového zákona a místo ochrany jednotlivých prvků se zaměřuje na poskytovatele základních služeb a jejich odolnost vůči všem typům hrozeb.

Od kdy zákon platí?
Vyhlášen 4. srpna 2025, účinný od 19. srpna 2025. Navazující zákon č. 264/2025 Sb. o kybernetické bezpečnosti (transpozice NIS2) je účinný od 1. listopadu 2025.

Koho se týká?
Poskytovatelů základních služeb v energetice, dopravě, bankovnictví, infrastruktuře finančních trhů, zdravotnictví, pitné a odpadní vodě, digitální infrastruktuře, veřejné správě, vesmíru a ve výrobě, zpracování a distribuci potravin. Česká úprava navíc reguluje kritické dodavatele a kritické pracovníky.

Je seznam subjektů kritické infrastruktury veřejný?
Ne. Seznam je neveřejný a vede jej Ministerstvo vnitra. Subjektem KI se organizace stává až rozhodnutím o zařazení. Jakýkoli veřejný přehled firem je proto odhadem podle veřejných kritérií.

Týká se zákon i dodavatelů?
Ano. Institut kritického dodavatele znamená, že požadavky na řízení rizik se přes smlouvy promítají i na dodavatele: OT a automatizaci, IT integrátory, datová centra, medicinální plyny či fyzickou ostrahu, a to často i pod hranicí velikosti, od které vzniká přímá povinnost.

Jaký je rozdíl mezi tímto zákonem a NIS2?
Zákon o kritické infrastruktuře (266/2025, CER) cílí na celkovou odolnost základních služeb včetně fyzických hrozeb. Zákon o kybernetické bezpečnosti (264/2025, NIS2) upravuje kybernetickou bezpečnost a dělí povinné osoby na vyšší a nižší režim. Předpisy jsou provázané a u řady subjektů platí současně.

Do kdy se musím ohlásit a co mě čeká?
Poskytovatel základní služby má oznamovací povinnost vůči gestorovi. Při poskytnutí informací do 1. března 2026 mělo Ministerstvo vnitra o zařazení rozhodnout poprvé do 17. července 2026. Následuje posouzení rizik, plán odolnosti, určení manažera kritické infrastruktury a hlášení incidentů.

Metodická poznámka. Tento článek slouží k orientaci a nepředstavuje právní radu. Jména konkrétních firem jsou odhadem pravděpodobné působnosti na základě veřejně dostupných kritérií a sektorového vymezení: nejde o oficiální ani finální seznam subjektů kritické infrastruktury, který je ze zákona neveřejný a vzniká rozhodnutím Ministerstva vnitra o zařazení. Prováděcí předpisy upřesňující základní služby a kritéria významnosti byly vyhlášeny ve Sbírce zákonů (č. 122/2026 Sb. a 123/2026 Sb.); jejich přesné názvy a účinnost ověřte v e-Sbírce. Konkrétní povinnosti je vždy třeba posoudit pro danou organizaci.

Aleš Pilný

CEO, TAYLLORCOX

, akreditovaná akademie a certifikační orgán (ATO · ACO · RCB). Komentuje regulaci, odolnost a kybernetickou bezpečnost pro firmy v ČR, SR a regionu DACH.

Chcete získat dárek k narozeninám?