V Česku se výrazně rozšíří okruh institucí a soukromých firem, které patří na seznam kritické infrastruktury. „Jde o poskytování služeb, které jsou zásadní pro zachování nejdůležitějších společenských funkcí, hospodářských činností, veřejného zdraví, bezpečnosti nebo životního prostředí. A to je v principu základní důvod existence státu,“ shrnuje Kamil Blažek, advokát a partner právní kanceláře Kinstellar.

Součástí chystaného nového zákona o kritické infrastruktuře má být i pravomoc ministerstva vnitra zakázat z bezpečnostních důvodů spolupráci tuzemské firmy s jejími dodavateli. „Tohle je obecně velké téma, říkám to i řadě našich klientů, že pokud je a bude něco pro firmy v příštích letech, možná desetiletích, zásadní, je to právě dodavatelský řetězec. A u dodavatelů pro kritickou infrastrukturu je tomu nutné věnovat ještě větší péči,“ říká Kamil Blažek.

Rozhovor je písemnou verzí podcastu Bruselská setba, v němž představujeme témata a opatření přijatá na úrovni EU, o nichž by se mělo vědět, protože dříve či později budou mít dopad i na Česko.

Potřeba chránit kritickou infrastrukturu, to není žádný objev „Bruselu“. Už dlouho je tu třeba český zákon o krizovém řízení; o tom, že se krize musí nějakým způsobem řídit a řešit, nás přesvědčily povodně, tornádo na Moravě nebo covid. V čem má tedy být tenhle zákon, který vychází z unijní směrnice, jiný?

Zákon o krizovém řízení, neboli krizový zákon, se touto problematikou zabýval už dříve (je účinný od roku 2001), ale nová pravidla jsou tak rozsáhlá a specifická, že se správně zvolila varianta nového zákona jen pro oblast kritické infrastruktury. Zákon vychází z unijní směrnice CER, neboli Critical Entities Resilience. A ta je do jisté míry převratná – v tom, že má široký záběr a zasahuje do velké části toho, co se dotýká našich dnešních životů a do toho, čemu říkáme kritická infrastruktura. Jde o základní věci a služby, které stát i soukromé firmy poskytují a které společnost k životu potřebuje a je nutné, aby fungovaly. Poukázal jste na covid, tornádo či povodně, přidal bych válku na Ukrajině a obecně rostoucí riziko válečných konfliktů i teroristických útoků v Evropě, i ve střední Evropě. I to se oproti tomu, co zde bylo třeba před třiceti lety, posunulo do jiných rozměrů. A motivem krizového řízení, této nové směrnice i českého zákona o kritické infrastruktuře je, že nestačí pouze hasit požár, až když vypukne, ale je potřeba dopředu preventivně instalovat sprinklery. Jde hlavně o prevenci. O to, aby problémy ideálně nevznikaly, aby v oblastech, které jsou kritické pro fungování společnosti, byly pokud možno eliminovány, a pokud vzniknou, aby byl jasný mechanismus, jak postupovat a co dělat.

Co přesně se tedy tou kritickou infrastrukturou myslí? Aspoň typově nebo oborově.

Ty oblasti se významně rozšiřují a týkat se to má násobně většího množství firem než dnes. Historicky byla jako důležitá kritická infrastruktura vnímána v podstatě jen oblast energetiky a dopravy. Jenže v moderní civilizaci všechno souvisí se vším. Pokud budete mít dobře fungující dopravní infrastrukturu a budete mít schopnost v případě krize dopravit dostatečné množství potravin tam, kam bude potřeba, jenže nebudete mít tu výrobu potravin, tak máte problém. Na začátku proto stála analýza toho, co je pro pokrytí požadavků na fungování společnosti nutné. Záběr sektorů se pak o dost rozšířil. Některé sektory jako je kybernetická bezpečnost, banky či finančnictví řeší zvláštní zákon, tento nový jde i do oblastí, které se týkají zdravotnictví, vodárenství, odpadů, výroby, distribuce, a zpracování potravin a obchodů s potravinami. A s tím rapidně narůstá počet subjektů, jichž se to týká.

Firmy budou muset posoudit, kteří z jejich subdodavatelů jsou opravdu ti kritičtí, kteří jsou potenciálně závadní, protože jsou třeba vlastněni cizí, ne příliš přátelskou vládou.

Ministerstvo vnitra má subjekty kritické infrastruktury určovat, dávat je na seznam a ten má jednou za čtyři roky aktualizovat. Takže tam budou jmenovitě konkrétní firmy a úřady, jichž se to bude týkat?

Přesně tak. Ta směrnice, potažmo český zákon, budou také ukládat konkrétní povinnosti a je přirozeně potřeba, aby každý věděl, zda se to vztahuje i na něj. Pro všechny to nebude zcela nové, třeba pro některé firmy z oblasti energetiky, které jsou subjektem kritické infrastruktury už dlouho. Teď se navíc přístup centralizuje, to je velká změna: bude existovat jedna entita, v tomto případě ministerstvo vnitra, respektive Hasičský záchranný sbor, který je zodpovědný za krizové řízení a bude podle jednotných kritérií určovat, kdo splňuje ty charakteristiky zákona, a kdo je tedy součást kritické infrastruktury.

Ten seznam ovšem asi nebude úplně veřejný. Těžko vyložíme na stůl třeba ruským zpravodajským službám, které konkrétní firmy považujeme za součást své kritické infrastruktury. Má k tomu sice vzniknout Portál kritické infrastruktury, ale ani ten asi nebude veřejný.

Ten určitě nebude veřejný. Zatím je zákon jen na papíře, osobně předpokládám, že to bude součást současného systému krizového řízení, který bude shrnovat data týkající se jednotlivých subjektů kritické infrastruktury. Jistě tam bude výrazně vyšší míra detailů než jenom jméno firmy a sídlo. Bude muset obsahovat celou řadu věcí, které se týkají kritického plánování, reakcí na krize a podobně. Tam budou mít přístup pouze ze zákona kvalifikované subjekty státní správy, ústřední orgány, zpravodajské služby, ministerstva, služby záchranného systému a podobně, které to budou potřebovat, aby mohli správně reagovat, když vznikne nějaká krize, nějaký incident. Na druhou stranu, když se vrátím k těm zahraničním ne zcela přátelským zpravodajským službám, možná by nám ony samy poskytly velmi dobrý vhled do toho, co je naše kritická infrastruktura; mám za to, že už si to za polední léta dobře zmapovaly.

Když budu citovat ze záměrů zákona o kritické infrastruktuře, je to: předcházet incidentům, chránit se před nimi, reagovat na ně, odolávat jim, zmírňovat, absorbovat je, přizpůsobovat se jim, zotavit se z nich. To se všechno docela srozumitelně čte, nicméně za tím je určitě spoustu práce a povinností. A ty padnou zhusta na soukromé firmy, pro něž to asi nebude jednoduché…

Vždycky je potřeba se dívat na to, kam regulace jde a jestli nezasahuje moc daleko, ale na druhou stranu se tu bavíme o poskytování služeb, které jsou zásadní pro zachování nejdůležitějších společenských funkcí, hospodářských činností, veřejného zdraví, bezpečnosti nebo životního prostředí. A to je v principu základní důvod existence státu. Všichni chceme zachovávat svou bezpečnost ať už v oblasti energií, výroby a dodávek potraviny, zdraví… Takže stát tímto plní svou základní funkci. Způsob poskytování a zajišťování základních služeb může být různý, ale je potřeba, aby stát zajistil to, aby existovaly. A může to přenášet i na soukromé firmy, protože pokud mají tak významnou službu, že patří do kritické infrastruktury, tak mají punc toho, že se bez nich v zásadě neobejdeme a jde tedy o v mnohém velmi jistý druh byznysu. Což s sebou zase nese povinnosti, které musí plnit. Není to ale nic tak převratného. Podobně musí třeba výrobci potravin plnit hygienické normy. Není na tom nic neférového. Jen je potřeba hlídat, aby ty povinnosti byly přiměřené – a aby pro soukromý sektor fungoval jeho základní princip, tedy že podnikání se musí vyplácet, musí generovat přiměřený zisk. Pak může soukromý sektor velmi efektivně podporovat stát v jeho základních funkcích.

Tohle je obecně velké téma, říkám to i řadě našich klientů, že pokud je a bude něco pro firmy v příštích letech, možná desetiletích, zásadní, je to právě dodavatelský řetězec.

V připomínkovém řízení k zákonu se sešlo i dost poznámek právě z byznysu. Třeba k tomu, že ve firmách, jichž se to bude týkat, bude muset být pozice manažera kritické infrastruktury, i kvůli tomu, že bude moct přicházet do styku s utajovanými informacemi. Předpokládá se, že to snad bude nově 300 až 500 lidí. Je to opravdu nutné, že v každé firmě, které se to týká, bude muset být takto vyškolený a prověřený jedinec?

Jedním slovem ano. Když někdo za něco nenese zodpovědnost, tak to něco se většinou nestane tak, jak by mělo. Opět to není něco úplně nového. Spousta jiných zákonů stanovuje, že firmy mají mít nějakou pověřenou osobu, která má určitou kvalifikaci. Když máte firmu, která vyrábí párky, musí tam být odpovědný zástupce, který má řeznickou kvalifikaci a/nebo dlouhou praxi v oboru a odpovídá za to, že se ty párky vyrábí správně. Podobně velké firmy, které mají potenciálně ohrožující provozy, jako jsou chemičky, elektrárny a podobně, mají dedikovaného pracovníka pro oblast bezpečnosti. Jde o to, aby byl za to zodpovědný, byl vyškolený, měl trénink, nějaké bezpečnostní prověření… To zmíněné číslo 300 až 500 je také jen odhad. Stejně tak se odhaduje, že ten zákon se dotkne zhruba 1500 firem. To se bude ještě upřesňovat, protože termín pro zařazení na seznam subjektů kritické infrastruktury je do června 2026. Nepoměr plyne z toho, že když to bude třeba velká skupina o dvaceti firmách, bude moct mít jen jednoho společného manažera kritické infrastruktury. Nejde tedy o to, že by takto vzniklo nových pět set pracovních míst, protože u řady z nich to bude činnost, kterou už dnes vykonávají pod novým jménem a s rozšířenou působností. Už dnes mají větší firmy a korporace spoustu compliance systémů, vnitřních pravidel pro to, aby ty věci fungovaly. A ta bezpečnost kritické infrastruktury chce právě tohle – aby věci fungovaly a aby byla připravenost řešit problémy.

Kritizován byl i návrh, který si do zákona pro sebe vepsalo Ministerstvo vnitra: možnost zakázat firmám spolupráci s potenciálně rizikovými dodavateli. To mi přijde jako poměrně velká pravomoc.

Je to velká pravomoc, ale myslím, že z principu je správně, aby taková možnost existovala. Nikdo není ve vzduchoprázdnu, i firmy z oblasti kritické infrastruktury mají své dodavatele a subdodavatele materiálů, paliv, čipů, převodovek a všeho ostatního. A budou muset v rámci příprav plánů a identifikace rizik posoudit, kteří z jejich subdodavatelů jsou opravdu ti kritičtí, kteří jsou potenciálně závadní, protože jsou třeba vlastněni cizí, ne příliš přátelskou vládou. Někoho takového si logicky stát nechce a nemůže pustit do svého systému, protože by to mohlo narušit bezpečnost. Tohle je obecně velké téma, říkám to i řadě našich klientů, že pokud je a bude něco pro firmy v příštích letech, možná desetiletích, zásadní, je to právě dodavatelský řetězec. Systémové riziko dodavatelských řetězců tu bylo vždycky, ale znásobilo se globalizací. Ve chvíli, kdy něco dovážíte přes půl světa a ne zcela bezpečnou dopravní trasou, musíte počítat rizika a to, zda vám ho vyváží třeba jeden ušetřený dolar za jednotku. A u dodavatelů pro kritickou infrastrukturu je tomu nutné věnovat ještě větší péči.

Ale ještě zpět k těm pravomocím ministerstva vnitra…

Ta pravomoc v návrhu zákona nadále zůstává, i když původně byla formulovaná šířeji. Pořád ale může ministerstvo vnitra vydávat v případě významného ohrožení bezpečnosti České republiky varování pro subjekty kritické infrastruktury, vůči konkrétním dodavatelům a rozhodovat o podmínkách omezení nebo zákazu jejich činnosti v ČR. Čili pořád může rozhodnout o tom, že nějaký konkrétní dodavatel nemůže – kupříkladu – konkrétní vodárně dodávat tento přípravek na čištění vody. Do jaké míry to bude muset zdůvodnit, jaké doklady k tomu bude muset mít a co to způsobí z pohledu zvýšení nákladů pro firmy, to je druhá otázka.

S tím možná souvisí téma náhrady škody a i omezení vlastnických práv ve chvíli, kdy stát jedná v zájmu ochrany svojí bezpečnosti. Znamená to obecně, že stát může v krizových okamžicích dělat něco, co v těch nekrizových situacích dělat nemůže, omezit vlastnické právo, něco zabavit, něco zničit… Ale pak je tedy možné žádat náhradu škody.

Což ostatně můžeme i dnes my všichni. I v oblasti práva obecně, v civilním i trestním, existuje pojem krajní nouze, kdy třeba ve chvíli, kdy budete mít vážně zraněného jiného člověka, který musí do nemocnice, můžete někomu v uvozovkách „ukrást“ auto. A nebude to trestný čin, protože jste ho využil pro záchranu života někoho jiného. Platí to i v řadě jiných věcí. Když se hasí dům, hasiči možná zničí i ostatní podlaží, ale udělají to s dobrým úmyslem, aby ten zbytek neshořel nebo aby někomu zachránili život. Otázka je, kdo pak ponese náklady na náhradu nebo na uvedení do původního stavu. V ideálním případě je to pojišťovna, od toho ostatně existují. V případě krizových situací je toto řešeno v různých oblastech krizové legislativy (zákonu o krizovém řízení, zákonu o integrovaném záchranném systému, pozn. red.) a v souvislosti se zákonem o kritické infrastruktuře se úprava opět doplňuje.

Platí to ovšem i naopak, že stát bude oprávněn požadovat uhrazení výdajů, které on vynaložil v rámci mimořádnou události, kterou někdo konkrétní způsobil.

V principu jde o to, že máte hradit škodu, kterou jste způsobil, pokud vznikla v důsledku vašeho konání, ať již úmyslně, nebo z nedbalosti. Jsou zase nějaké výjimky, kdy je náhradová škoda v nějakých situacích vyloučena nebo omezena. Extrémním příkladem může být třeba omezená odpovědnost provozovatelů jaderných zařízení za jaderné havárie, protože na plný rozsah jaderné havárie se žádná firma nedokáže pojistit.

To je mor českého veřejného i soukromého života. Trestní právo by vždycky mělo být až ten úplně poslední bič, který by se měl použít a ještě jenom ve chvíli, kdy mám opravdu podloženo, že tam je reálný důvod.

Na druhé straně zrovna sám stát třeba po svých úřednících náhradu způsobené škody příliš často nevymáhá. Nebo z vaší právnické praxe víte o tom, že by se to běžně dělo?

Nestává se to příliš často. Dodal bych, že bohužel. Ne proto, že bych chtěl trestat nebohé úředníky, ale pokud máte systém založený na dodržování pravidel a na odpovědnosti, a pak jej necháte ležet ladem, celý systém nefunguje. A neděje se to ani u firem a jejich zaměstnanců. Pokud způsobíte úmyslnou škodu, odpovídáte v plné výši, ale pokud neúmyslně, tak jako zaměstnanec odpovídáte jen do čtyřapůlnásobku svého měsíčního výdělku. Je tam tedy strop (zase s výjimkou toho, když máte kupříkladu jako pokladní hmotnou zodpovědnost) a pak je otázka, zda má smysl vymáhat 100 tisíc při způsobené škodě za pět milionů… Budu se soudit, utratím peníze za právníky a za soudní poplatky. Vstupuje do toho toto čistě ekonomické uvažování a i proto se to často nahrazuje trestním oznámením. To je mor českého veřejného i soukromého života. Trestní právo by přitom vždycky mělo být až ten úplně poslední bič, který by se měl použít a ještě jenom ve chvíli, kdy mám opravdu podloženo, že tam je reálný důvod. Žalovat někoho o náhradu škody, znamená zpracovat fakta, být schopen to doložit – a to dost často buď schopen nejste, nebo prostě na to nemáte chuť, peníze a čas. A tak se to pošle na policii, která přitom o moc víc udělat nemůže, spíše výrazně méně.

Rozhodně to ale znepříjemní život tomu údajnému pachateli.

Což je bohužel, obávám se, důvod, proč se to tu začalo tak často používat. A zároveň je to myslím i důvod, proč se řada schopných lidí vyhýbá třeba komunální politice, neusiluje o úřad starosty či zastupitele obce: oni vědí, že mnozí z jejich předchůdců byli popotahováni po soudech a skandalizováni. A nakonec se ve většině případů nic nepodařilo prokázat, často tam žádná podstata nebyla a šlo o to, že se někomu něco nelíbilo nebo to byl prostředek politického boje. Pokud nejste schopen prokázat škodu v civilním řízení, nebudete to schopen prokázat ani v tom trestním, kde musí být ještě větší míra jistoty o skutečném viníkovi.