Směrnice CER

Tento právní předpis reaguje na zranitelnost moderní společnosti závislé na složitých technologických a infrastrukturních systémech a potřebu koordinovaného přístupu k jejich ochraně na úrovni celé Evropské unie. 

Vznik směrnice CER 

Směrnice CER je přímou reakcí na zkušenosti z uplynulých let, které odhalily zásadní nedostatky v odolnosti kritické infrastruktury evropských států. Události jako pandemie onemocnění COVID-19, konflikt na Ukrajině, klimatické změny a rostoucí množství závažných kybernetických útoků výrazně ovlivnily fungování klíčových služeb a jasně ukázaly nutnost komplexního přístupu k ochraně systémů kriticky důležitých pro chod států a fungování společnosti. Nová směrnice proto navazuje na předchozí evropskou legislativu týkající se kritické infrastruktury a výrazně rozšiřuje její rozsah a požadavky. 

Směrnice CER vstoupila v platnost 16. ledna 2023, kdy nahradila předchozí směrnici o evropské kritické infrastruktuře z roku 2008 (2008/114/ES). Ta se původně zaměřovala pouze na vybraná odvětví a obsahovala ustanovení týkající se výhradně určitých částí odolnosti. Nová právní úprava představuje zásadní skok vpřed ve způsobu, jakým Evropská unie přistupuje k ochraně kritických systémů, protože klade důraz na komplexní přístup zahrnující širokou škálu potenciálních hrozeb. 

Směrnice vznikla na základě důkladné analýzy nedostatků předchozí legislativy a zkušeností členských států s ochranou kritické infrastruktury. Jejím smyslem je harmonizovat různé národní přístupy a vytvořit jednotný rámec, který má zajistit konzistentní úroveň ochrany napříč celou unií. 

Komise bude pravidelně přezkoumávat fungování směrnice a do 17. června 2029 předloží první zprávu, která posoudí přidanou hodnotu směrnice a její dopad na zajištění odolnosti kritických subjektů. Mechanismus pravidelného přezkumu umožní přizpůsobovat směrnici měnícím se hrozbám a technologickému vývoji. 

Předmět a rozsah působnosti směrnice 

Směrnice CER pokrývá jedenáct klíčových sektorů: energetiku, dopravu, bankovnictví, infrastrukturu finančních trhů, zdravotnictví, dodávky pitné vody, hospodaření s odpadními vodami, digitální infrastrukturu, veřejnou správu, vesmírný sektor a potravinářství. Toto rozšíření oproti předchozí legislativě odráží rostoucí složitost moderních ekonomik a jejich vzájemnou provázanost. 

Směrnice definuje kritické subjekty jako veřejné nebo soukromé entity poskytující základní služby, které jsou nezbytné pro udržení životně důležitých společenských funkcí nebo ekonomických činností. Jde přitom o koncepční změnu od identifikace fyzických prvků infrastruktury k určení subjektů poskytujících základní služby. 

Klíčovým principem směrnice je přístup k identifikaci kritických subjektů na základě potenciálního rizika. Členské státy unie musí provést komplexní posouzení rizik, které zohlední nejen národní specifika, ale také přeshraniční závislosti a potenciální kaskádové efekty výpadků služeb. Tento přístup umožňuje flexibilnější a přesnější identifikaci opravdu kritických subjektů v jednotlivých členských státech. 

Směrnice CER se částečně překrývá s dalšími důležitými předpisy. Nejdůležitější je vztah ke směrnici NIS2, která se zaměřuje specificky na kybernetickou bezpečnost. Subjekty, které spadají pod obě regulace, proto musí zohlednit požadavky na kybernetickou bezpečnost společně s opatřeními pro řízení rizik podle směrnice CER. 

Důležitý je také vztah k nařízení DORA, které se týká digitální provozní odolnosti finančního sektoru. Finanční instituce musí koordinovat implementaci požadavků všech tří předpisů – CER, NIS2 a DORA. 

Hlavní cíle a principy směrnice CER 

Směrnice CER sleduje tři základní cíle. Prvním je posílit kybernetickou odolnost kriticky důležitých subjektů pomocí komplexního rámce pro hodnocení odolnosti a pomocí strategie zmírnění rizik. Druhým cílem je zlepšit schopnost posuzovat rizika prostřednictvím pravidelného hodnocení relevantních rizik a jejich vývoje. Třetím pilířem je řešit přeshraniční dopad hrozeb a útoků zlepšením spolupráce a komunikací mezi kriticky významnými subjekty s ohledem na rostoucí mezisektorové a přeshraniční závislosti. 

Směrnice řeší odolnost kritických subjektů vůči všem hrozbám – přírodním nebo způsobeným člověkem – ať už náhodným, nebo úmyslným. To je zásadní změna oproti dřívějším sektorově specifickým řešením. Klade se přitom důraz na proaktivní přístup k řízení rizik, který zahrnuje nejen reaktivní opatření v případě incidentů, ale především predikci potenciálních hrozeb a jejich prevenci. Kriticky důležitým subjektům klade směrnice CER za povinnost implementovat komplexní systémy řízení rizik, které zahrnují jejich identifikaci, hodnocení, zmírnění a monitoring. 

Povinnosti členských států 

Kromě transpozice směrnice CER do své národní legislativy musí členské státy EU do 17. ledna 2026 vypracovat vlastní strategii pro posílení odolnosti kritických subjektů a do 17. července 2026 tyto kritické subjekty identifikovat.  

Národní strategie musí obsahovat cíle a priority zajištění odolnosti, stejně jako postup vedoucí k dosažení těchto cílů, popis opatření nezbytných pro posílení celkové odolnosti kritických subjektů a seznam hlavních orgánů a relevantních stran zapojených do implementace této strategie. Hodnocení rizik členskými státy musí zohlednit přírodní i člověkem způsobené hrozby, včetně přeshraničních nebo mezisektorových, potenciální nehody a přírodní katastrofy, mimořádné situace v oblasti veřejného zdraví a hybridní či jiné hrozby. 

Členské státy jsou také povinny ustanovit příslušné orgány odpovědné za správnou aplikaci a vymáhání pravidel stanovených směrnicí na národní úrovni. Tyto orgány musí mít dostatečné pravomoci a zdroje pro efektivní dohled nad kritickými subjekty a pro koordinaci aktivit spojených s posílením odolnosti. 

Požadavky na kritické subjekty 

Kritické subjekty identifikované členskými státy musí splnit řadu povinností k cílem posílení jejich odolnosti. Tyto povinnosti zahrnují především hodnocení rizik, která mohou narušit poskytování základních služeb, a přijetí relevantních opatření včetně plánů odolnosti a přísných procesů pro hlášení incidentů. 

Plány odolnosti musí obsahovat opatření předcházející vzniku incidentů a snižující rizika katastrof, zajišťující přiměřenou fyzickou ochranu prostorů a kritické infrastruktury, reagující na incidenty a zmírňující jejich důsledky, stejně jako postupy zotavení se z incidentů a zajištění přiměřeného řízení bezpečnosti zaměstnanců. Kritické subjekty jsou také povinny zvyšovat povědomí svých pracovníků o přijatých bezpečnostních opatřeních. 

Směrnice klade zvláštní důraz na řízení dodavatelského řetězce a identifikaci kriticky významných dodavatelů. Kritické subjekty musí vyhodnotit závislost na svých dodavatelích a implementovat opatření pro zmírnění rizik spojených s výpadkem klíčových dodávek nebo služeb. 

V souvislosti s dodavatelským řetězcem zohledňuje směrnice také rostoucí význam cloudových služeb a jejich dopad na odolnost kritické infrastruktury. Kritické subjekty musí pečlivě hodnotit závislost na poskytovatelích cloudu a implementovat opatření pro zajištění kontinuity služeb i v případě výpadku cloudové infrastruktury. 

Dohled a vymáhání 

Za správnou aplikaci a vymáhání požadavků směrnice CER, stejně jako za sankce kvůli nedodržování předpisů, jsou v každém členském státě odpovědné příslušné orgány. Směrnice také stanovuje minimální požadavky na pravomoci těchto orgánů, včetně možnosti provádět inspekce i audity a ukládat nápravná opatření. 

Systém dohledu je navržen jako proporcionální a zohledňuje specifika různých sektorů i velikost kontrolovaných subjektů. Příslušné orgány musí zajistit, aby jejich činnost nepřiměřeně nenarušovala běžné fungování kritických subjektů, ale současně musí být dostatečně důsledné při vymáhání požadavků směrnice CER. 

Dále směrnice zakotvuje principy spolupráce mezi příslušnými orgány různých členských států, což je klíčové pro řešení přeshraničních aspektů ochrany kritické infrastruktury. Tato spolupráce zahrnuje výměnu informací o hrozbách, sdílení ověřených postupů a koordinaci při řešení incidentů s přeshraničním dopadem. 

Transpozice do české legislativy 

Směrnice CER ukládá členským státům povinnost transpozice do národní legislativy do 17. října 2024. V České republice, stejně jako v řadě dalších členských zemí EU, tento termín dodržen nebyl. Příslušný zákon o odolnosti subjektů kritické infrastruktury a o změně souvisejících zákonů byl Parlamentem ČR schválen 3. července 2025 a již 17. července 2025 také podepsán prezidentem Petrem Pavlem. 

Nový zákon vyjímá problematiku kritické infrastruktury z krizového zákona a vytváří samostatný právní rámec, ve kterém jsou zapracovány jak požadavky směrnice CER, tak zkušenosti z dosavadní aplikační praxe. Tento český přístup k transpozici představuje inovativní řešení, které reaguje nejen na požadavky evropské legislativy, ale také na specifické potřeby českého prostředí. 

Nový český zákon o kritické infrastruktuře přináší tři koncepční změny. První je změna orientace systému na dostupnost základních služeb namísto ochrany fyzických prvků infrastruktury. Druhá změna spočívá v zavedení nových informačních systémů, včetně Portálu kritické infrastruktury pro hlášení incidentů a sdílení informací mezi státní správou a soukromým sektorem. A třetí změnou je důraz na řešení vzájemných závislostí a dodavatelského řetězce. 

Zákon také zavádí systém ověřování spolehlivosti kritických pracovníků a stanovuje sankční rámec. Při opakovaných porušeních zákona mohou pokuty dosáhnout až 50 milionů korun nebo 1,5 procenta ročního obratu firmy či instituce. Česká republika také určila hned devět odvětví kritické infrastruktury, což je více než vymezuje evropská směrnice. Nový zákon tak zahrnuje energetiku, dopravu, vodní hospodářství, potravinářství a zemědělství, zdravotnictví, komunikační a informační systémy, finanční trh a měnu, nouzové služby a veřejnou správu. 

Dopady směrnice CER na jednotlivé sektory 

Směrnice CER má dopad na každé z identifikovaných odvětví kritické infrastruktury. V energetickém sektoru se pozornost zaměřuje na zajištění bezpečnosti dodávek energie, ochranu před kybernetickými útoky na energetické systémy a implementaci opatření pro rychlou obnovu dodávek energie po výpadcích. Sektor také musí věnovat zvláštní pozornost ochraně kritických prvků energetické infrastruktury, jako jsou elektrárny, přenosová soustava a distribuční síť. 

V oblasti dopravy klade směrnice důraz na zajištění kontinuity služeb, ochranu dopravní infrastruktury před fyzickými i kybernetickými útoky a koordinaci mezi různými způsoby dopravy. Zdravotnický sektor musí implementovat opatření k zajištění kontinuity zdravotní péče i v krizových situacích, dále k ochraně zdravotnických zařízení a dat pacientů. 

Ve finančním sektoru je nutné ošetřit specifické výzvy spojené s ochranou finančních dat, zajištěním kontinuity finančních služeb a koordinací s dalšími regulacemi, jako je například nařízení DORA. Sektor digitální infrastruktury musí věnovat zvláštní pozornost ochraně před kybernetickými útoky a zajištění redundance kritických systémů. 

Mezinárodní spolupráce a koordinace 

Směrnice CER klade při ochraně kritické infrastruktury důraz na mezinárodní spolupráci. Na základě směrnice proto vznikla také expertní skupina CERG (Critical Entities Resilience Group) řízená Evropskou komisí, která slouží jako platforma pro spolupráci mezi členskými státy a Komisí. Úkolem CERG tvořené zástupci kompetentních orgánů z jednotlivých členských států je usnadnit sdílení informací, osvědčených postupů a zkušeností v oblasti ochrany kritické infrastruktury a pomáhat při koordinaci napříč sektory a státy. 

Směrnice také zavádí mechanismy pro identifikaci kritických subjektů s evropským významem. Jde o subjekty poskytující základní služby šesti nebo více členským státům, které podléhají zvláštnímu režimu dohledu a podpory na evropské úrovni. 

Mezinárodní spolupráce zahrnuje také koordinaci s třetími zeměmi a mezinárodními organizacemi, zejména s NATO a dalšími bezpečnostními aliancemi. Tato spolupráce je klíčová pro řešení hrozeb, které mají přeshraniční charakter nebo pocházejí z externích zdrojů. 

Očekává se, že směrnice CER bude v budoucnu rozšířena o další sektory nebo doplněna o specifičtější požadavky v reakci na nové hrozby. Klimatické změny, geopolitické napětí a technologický vývoj budou pravděpodobně vyžadovat další úpravy regulatorního rámce.