Digitalizarea a transformat transportul feroviar într-un ecosistem interconectat în care trenurile, echipamentele de semnalizare, centrele de control și datele operaționale comunică între ele. Această conectivitate îmbunătățește eficiența operațională și siguranța, dar în același timp deschide noi căi pentru atacurile cibernetice. Un singur punct de acces compromis poate perturba operațiunile, cauza scurgeri de date sau chiar pune în pericol siguranța pasagerilor. Pentru a preveni astfel de situații la nivel național, noua lege privind securitatea cibernetică nr. 264/2025 Coll. (nZKB), în vigoare de la 1 noiembrie 2025, introduce în legislația cehă cerințele Directivei europene NIS2. Cu nZKB, securitatea cibernetică devine mai degrabă o obligație decât o recomandare.
Výzkumný Ústav Železniční, a.s. (VUZ)sprijină organizațiile în pregătirea pentru noile cerințe în calitate de partener specializat în securitatea cibernetică pentru sistemele feroviare, operațiunile industriale și infrastructura urbană. VUZ combină expertiza în tehnologie feroviară, IT și testare, ceea ce îi permite să înțeleagă cerințele specifice ale infrastructurii critice, precum și realitățile operaționale adesea trecute cu vederea de firmele standard de consultanță IT. VUZ efectuează teste de reziliență a sistemelor în conformitate cu standardele internaționale ISO 27000, IEC 62443 și CENELEC 50701, efectuează teste de penetrare, evaluează arhitecturile de securitate și emite certificate de conformitate. Scopul nu este doar de a îndeplini cerințele legislative, ci mai ales de a proteja operațiunile, datele și încrederea pasagerilor și a clienților.
nZKB, bazată pe NIS2, răspunde numărului tot mai mare de atacuri cibernetice și extinde obligația de a asigura securitatea cibernetică în mai mult de douăzeci de sectoare, inclusiv transport, industrie, energie, asistență medicală și servicii digitale. Noua lege va afecta aproximativ nouă mii de organizații din Republica Cehă, în principal întreprinderi mijlocii și mari cu mai mult de 50 de angajați sau cu o cifră de afaceri de peste 10 milioane de euro. Aceasta se aplică întreprinderilor feroviare, administratorilor de infrastructură, întreprinderilor de producție, furnizorilor de tehnologie și prestatorilor de servicii. Fiecare entitate va trebui să demonstreze că gestionează în mod activ riscurile, evaluează vulnerabilitățile, protejează informațiile și poate răspunde eficient la incidente.
Companiile care intră sub incidența așa-numitului regim de obligații mai mari vor trebui să efectueze teste de penetrare cel puțin o dată la doi ani și să efectueze scanarea vulnerabilităților sistemelor lor cel puțin o dată pe an. Scopul este de a descoperi punctele slabe înainte ca un atacator să le poată exploata. Înregistrarea entităților reglementate a început la 1 noiembrie 2025, iar organizațiile trebuie să își raporteze serviciile reglementate pe portalul NÚKIB până la sfârșitul anului. Din momentul în care se emite decizia de înregistrare, începe o perioadă de un an în care organizațiile trebuie să înceapă treptat punerea în aplicare a măsurilor de securitate prevăzute.
Cu toate acestea, noua lege privind securitatea cibernetică nu este doar o obligație legală - este, de asemenea, un test de încredere. Organizațiile care se pregătesc la timp vor obține un avantaj competitiv puternic. Acestea vor părea mai profesioniste, vor trece auditurile mai ușor, vor îndeplini cerințele clienților, vor atrage investitori și vor evita amenzile și situațiile de criză. Cele care întârzie pregătirea riscă nu numai sancțiuni, ci și prejudicii de reputație și oportunități de afaceri pierdute. Prin urmare, securitatea cibernetică devine parte a strategiei de afaceri și un element necesar al stabilității pe termen lung, cu un randament clar al investițiilor.
Multe organizații presupun că doar certificarea ISO/IEC 27001 este suficientă pentru a îndeplini cerințele. Acest standard oferă o bază importantă pentru gestionarea securității informațiilor, dar nu este suficient în sine. nZKB introduce cerințe specifice și obligatorii - de exemplu, metoda de gestionare a riscurilor și a activelor, reguli pentru gestionarea parolelor, a identității și a accesului, proceduri de raportare a incidentelor și cerințe detaliate pentru documentare și supraveghere. Atingerea conformității necesită, prin urmare, extinderea sistemului de securitate existent cu elemente corespunzătoare legislației cehe și standardelor specifice sectorului. Numai integrarea acestora va asigura o protecție operațională reală și pregătirea atât pentru audituri, cât și pentru riscuri practice.
