Prověřování zahraničních investic a kybernetická regulace: řízená služba jako nová transakční proměnná
Po novele zákona o prověřování zahraničních investic se povinnost získat předchozí povolení u vybraných transakcí rozšiřuje i mimo tradičně citlivé sektory. V některých případech může být rozhodující i to, zda cílová společnost spadá pod regulaci kybernetické bezpečnosti jako poskytovatel regulované služby ve vyšším režimu. U řízených služeb přitom může jít jak o externí dodavatele, tak o skupinové IT společnosti, které poskytují služby ostatním entitám v rámci koncernu. Smyslem tohoto článku je upozornit na situace, kdy se tato vazba může uplatnit, a stručně popsat základní hranice posouzení.
Článek se věnuje analýze dopadu novely zákona o prověřování zahraničních investic účinné od 1. listopadu 2025, která rozšiřuje okruh povinně prověřovaných investic o cílové subjekty regulované novým zákonem o kybernetické bezpečnosti, konkrétně o poskytovatele regulovaných služeb v režimu vyšších povinností. Zvláštní pozornost je věnována regulované službě označované jako řízená služba, tedy průběžné správě a provoz... více
Novela zákona o prověřování zahraničních investic
Zákon o prověřování zahraničních investic účinný od 1. května 2021 zavedl rámec pro posuzování vybraných zahraničních investic z hlediska bezpečnosti státu a veřejného pořádku, a to v návaznosti na unijní pravidla. Ačkoliv samotný zákon není žádnou novinkou, novela účinná od 1. listopadu 2025 jeho praktický dosah rozšiřuje i směrem ke kybernetické regulaci.
Novela navázala část režimu povinného povolení na nový rámec kybernetické regulace, který přinesla do českého právního řádu transpozice směrnice NIS2.[1] Mezi relevantní cílové subjekty se nově řadí také poskytovatel regulované služby v režimu vyšších povinností ve smyslu nového zákona o kybernetické bezpečnosti.[2]
Z praktického hlediska to může ovlivnit zejména strukturování a časování transakcí, protože v případech spadajících pod § 7 zákona se bez předchozího povolení investice zásadně nesmí uskutečnit.
Poskytovatelé služeb v režimu vyšších povinností
Režim vyšších povinností stanovuje konkrétně pro jednotlivé sektory a blíže i služby prováděcí vyhláška o regulovaných službách[3], která rozlišuje, u kterých regulovaných služeb a za jakých podmínek se poskytovatel zařadí do režimu vyšších (nebo nižších) povinností. Vyšší režim přitom znamená, že se na poskytovatele vztahuje přísnější soubor povinností podle předpisů kybernetické bezpečnosti.
Vyhláška pokrývá široké spektrum sektorů. Patří sem například veřejná správa, energetika (elektřina, plyn, teplárenství, vodík, ropa a ropné produkty), dále výrobní průmysl, potravinářský průmysl, chemický průmysl, vybrané oblasti dopravy, finanční trh a zdravotnictví.
Rozlišení mezi vyšším a nižším režimem se ve vyhlášce liší podle konkrétní regulované služby. U některých služeb vyplývá zejména z postavení a povahy poskytovatele, jinde z kombinace více kritérií vymezených pro danou službu. Pro účely tohoto článku je důležité, že mezi sektory, kde může být poskytovatel zařazen do režimu vyšších povinností, patří také sektor digitální infrastruktura a služby.[4]
Pro návaznost na zákon o prověřování zahraničních investic je pak v praxi rozhodující, zda cílová společnost skutečně vychází jako poskytovatel regulované služby v režimu vyšších povinností. Vyhláška přitom u řady regulovaných služeb používá jako jedno z hlavních rozlišovacích kritérií velikost podniku a vyšší režim typicky váže na poskytovatele, kteří jsou velkým podnikem, zatímco poskytovatelé, kteří status velkého podniku nesplňují, jsou u těchto služeb zpravidla zařazeni do režimu nižších povinností.
Velikost podniku se posuzuje ve smyslu doporučení Komise 2003/361/ES[5], které obsahuje i pravidla pro situace, kdy existují vazby na partnerské a propojené podniky. V rámci skupinových struktur tak posouzení často nevychází pouze z jedné entity izolovaně, ale zohledňuje skupinové vztahy.
Zákon o kybernetické bezpečnosti zároveň stanoví pro účely tohoto posouzení zvláštní pravidla. Při určování velikosti podniku je tedy třeba zohlednit § 7 tohoto zákona. Ten mimo jiné stanoví, že za partnerský nebo propojený podnik se nepovažují osoby, jejichž technická aktiva jsou zcela oddělena od technických aktiv používaných posuzovanou osobou pro poskytování regulované služby.[6]
Řízená služba
Jednou z často přehlížených regulovaných služeb ve vyhlášce o regulovaných službách je poskytování řízené služby.
Přičemž u této služby stanovuje vyhláška o regulovaných službách podmínku poskytování zákazníkům, kteří nejsou spotřebiteli. O regulovanou službu se tedy bude jednat v případě B2B vztah.[7]
Řízená služba je v zákoně o kybernetické bezpečnosti definována jako služba související s instalací, správou, provozem nebo údržbou technických aktiv, poskytovaná formou asistence nebo aktivní správy, a to buď v prostorách zákazníka, nebo na dálku.[8] V praxi tím bude typicky míněna provozní IT služba, tedy průběžná správa a provoz IT infrastruktury a systémů.
Řízenou službu je ale třeba odlišit zejména od poskytování jednorázových služeb či projektů, byť mohou být rozsáhlé (např. implementace systému, migrace, redesign infrastruktury, audit nebo konzultační podpora). V takových případech dodavatel obvykle dodá konkrétní výstup, ale nepřebírá následnou průběžnou odpovědnost za provoz a správu technických aktiv.
Dále je potřeba ji odlišit od outsourcování jednotlivé IT činnosti, i když má dlouhodobý charakter (např. samotný helpdesk, samotná správa jedné aplikace nebo dílčí administrace vymezené oblasti). U řízené služby je typické, že poskytovatel průběžně a aktivně spravuje provoz zákazníkova IT jako celek, tedy nejde jen o dílčí dodávku kapacity, ale o průběžné řízení a správu technických aktiv s provozní odpovědností (monitoring, zásahy, údržba, změny).
Naopak je ale důležité upozornit, že nic nebrání tomu, aby poskytovatelem řízené služby byla i společnost ze skupiny nebo koncernu, která ostatním společnostem zajišťuje provoz IT a související služby. NÚKIB v podpůrném materiálu výslovně uvádí, že pokud je služba poskytována jiné entitě s právní subjektivitou, jde o poskytování regulované služby, a to i tehdy, probíhá-li poskytování v rámci holdingu.[9]
V důsledku se tato kvalifikace může dotknout i koncernů, které navenek žádné regulované služby neposkytují, ale mají centralizovaný IT provoz zajišťovaný samostatnou skupinovou společností pro ostatní právnické osoby ve skupině.
Speciální úprava v odvětví digitální infrastruktury a služeb
Přestože u regulovaných služeb se obecně vychází z národní úpravy v zákoně o kybernetické bezpečnosti a z prováděcích vyhlášek, u řízené služby je ale potřeba počítat ještě se speciální regulací. Nový zákon o kybernetické bezpečnosti v § 18 výslovně odkazuje na prováděcí předpis Evropské komise právě pro služby z oblasti digitální infrastruktury a služeb, mezi nimiž je i řízená služba.[10]
Tímto předpisem je prováděcí nařízení Komise (EU) 2024/2690.[11] Pro poskytovatele řízené služby je důležitý hlavně proto, že konkretizuje požadavky na řízení kybernetických rizik a zároveň nastavuje kritéria, podle nichž se posuzuje významný incident pro účely oznamování. Z praktického hlediska to znamená, že u poskytovatelů řízených služeb se při posuzování compliance (a často i v due diligence) neřeší jen obecné zásady, ale i to, zda jsou jednotlivé oblasti požadavků pokryty a doložitelné, typicky v tématech řízení rizik, incident management, kontinuita a řízení dodavatelského řetězce.
Závěr
Řada podnikových skupin zajišťuje IT provoz centralizovaně prostřednictvím samostatné servisní společnosti. V kombinaci s B2B povahou poskytování a s posouzením velkého podniku se tak mohou objevit situace, kdy společnost zajišťující IT provoz naplní znaky řízené služby a bude tedy poskytovatelem regulované služby v režimu vyšších povinností. Tento aspekt přitom není podstatný jen z hlediska kybernetické regulace, ale zejména z pohledu zákona o prověřování zahraničních investic, protože v případné opomenutí může být sankcionováno pokutou až 1 % čistého obratu, případně částkou až 50 000 000 Kč.[12]
Závěrem lze doporučit, aby si skupiny a transakční týmy u relevantních případů odpověděly na otázky, zda jsou IT služby poskytovány jiné právnické osobě, v jakém rozsahu, zda mají provozní charakter a zda poskytovatel je velkým podnikem. Jen tak je možné ověřit, zda investice nevyžaduje povolení podle zákona o prověřování zahraničních investic před dokončením transakce.
Mgr. Jan Jílek
Betlémský palác
Husova 5
110 00 Praha 1
Tel.: +420 224 401 440
Fax: +420 224 248 701
e-mail: office@glatzova.com
[1] Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS2)
[2] § 7 písm. c) zákona č. 34/2021 Sb., o prověřování zahraničních investic, ve znění zákona č. 265/2025 Sb.
[4] Vyhláška č. 408/2025 Sb., o regulovaných službách, příloha, část 16 Digitální infrastruktura a služby
[5] Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikro, malých a středních podniků
[9] NÚKIB, Definice regulovaných služeb v odvětví Digitální infrastruktura a služby, verze 1.1. k dispozici >>> zde.
[10] § 18 zákona č. 264/2025 Sb., o kybernetické bezpečnosti
[11] Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024, kterým se stanoví pravidla pro uplatňování směrnice (EU) 2022/2555, pokud jde o technické a metodické požadavky na opatření k řízení kybernetických rizik a další specifikace případů, kdy se incident považuje za významný pokud jde o provozovatele DNS, registry domén nejvyšší úrovně, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatele služeb vytvářejících důvěru.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
