Digitalizace proměnila železnici v propojený ekosystém, v němž spolu komunikují vlaky, zabezpečovací zařízení, řídicí centra a provozní data. Toto propojení zvyšuje provozní efektivitu a bezpečnost, ale zároveň otevírá nové cesty pro kybernetické útoky. Jediný kompromitovaný přístupový bod může narušit provoz, způsobit únik dat nebo dokonce ohrozit bezpečnost cestujících. Aby se takovým situacím předešlo na celostátní úrovni, zavádí nový zákon o kybernetické bezpečnosti č. 264/2025 Sb (nZKB), účinný od 1. listopadu 2025, do české legislativy požadavky evropské směrnice NIS2. Díky nZKB se kybernetická bezpečnost stává povinností, nikoliv doporučením.
Výzkumný Ústav Železniční, a.s. (VUZ)podporuje organizace v přípravě na nové požadavky jako specializovaný partner v oblasti kybernetické bezpečnosti pro železniční systémy, průmyslové provozy a městskou infrastrukturu. VUZ kombinuje odborné znalosti v oblasti železniční technologie, IT a testování, což mu umožňuje porozumět specifickým požadavkům kritické infrastruktury i provozní realitě, kterou standardní poradenské firmy v oblasti IT často přehlížejí. Provádí testování odolnosti systémů podle mezinárodních norem ISO 27000, IEC 62443 a CENELEC 50701, provádí penetrační testy, posuzuje bezpečnostní architektury a vydává certifikáty shody. Cílem není pouze splnit legislativní požadavky, ale především chránit provoz, data a důvěru cestujících a zákazníků.
nZKB, založený na NIS2, reaguje na rostoucí počet kybernetických útoků a rozšiřuje povinnost zajistit kybernetickou bezpečnost na více než dvacet odvětví, včetně dopravy, průmyslu, energetiky, zdravotnictví a digitálních služeb. Nový zákon se dotkne přibližně devíti tisíc organizací v České republice, především středních a velkých podniků s více než 50 zaměstnanci nebo obratem přesahujícím 10 milionů eur. Týká se železničních podniků, provozovatelů infrastruktury, výrobních podniků, dodavatelů technologií a poskytovatelů služeb. Každý subjekt bude muset prokázat, že aktivně řídí rizika, vyhodnocuje zranitelná místa, chrání informace a dokáže účinně reagovat na incidenty.
Společnosti, které spadají do režimu tzv. vyšší povinnosti, budou muset provádět penetrační testy alespoň jednou za dva roky a skenování zranitelností svých systémů alespoň jednou ročně. Cílem je odhalit slabá místa dříve, než je útočník dokáže zneužít. Registrace regulovaných subjektů začala 1. listopadu 2025 a organizace musí do konce roku nahlásit své regulované služby na portál NÚKIB. Od okamžiku doručení rozhodnutí o registraci začíná běžet roční lhůta, během níž musí organizace postupně začít zavádět předepsaná bezpečnostní opatření.
Nový zákon o kybernetické bezpečnosti však není jen zákonnou povinností - je také testem důvěryhodnosti. Organizace, které se včas připraví, získají silnou konkurenční výhodu. Budou působit profesionálněji, hladčeji projdou auditem, splní požadavky klientů, přilákají investory a vyhnou se pokutám a krizovým situacím. Ty, které s přípravou otálejí, riskují nejen sankce, ale také poškození pověsti a ztrátu obchodních příležitostí. Kybernetická bezpečnost se proto stává součástí obchodní strategie a nezbytným prvkem dlouhodobé stability s jasnou návratností investic.
Mnoho organizací předpokládá, že ke splnění požadavků stačí samotná certifikace ISO/IEC 27001. Tato norma poskytuje důležitý základ pro řízení bezpečnosti informací, ale sama o sobě nestačí. nZKB zavádí konkrétní a závazné požadavky - například způsob řízení rizik a aktiv, pravidla pro správu hesel, identit a přístupu, postupy hlášení incidentů a podrobné požadavky na dokumentaci a dohled. Dosažení shody proto vyžaduje rozšíření stávajícího bezpečnostního systému o prvky odpovídající české legislativě a odvětvovým standardům. Teprve jejich integrace zajistí skutečnou provozní ochranu a připravenost na audity i praktická rizika.
