Die Digitalisierung hat die Eisenbahn in ein vernetztes Ökosystem verwandelt, in dem Züge, Signalanlagen, Leitstellen und Betriebsdaten miteinander kommunizieren. Diese Konnektivität verbessert die betriebliche Effizienz und Sicherheit, eröffnet aber gleichzeitig neue Wege für Cyberangriffe. Ein einziger kompromittierter Zugangspunkt kann den Betrieb stören, Datenlecks verursachen oder sogar die Sicherheit der Fahrgäste gefährden. Um solche Situationen auf nationaler Ebene zu verhindern, führt das neue Gesetz Nr. 264/2025 Slg. über Cybersicherheit (nZKB), das am 1. November 2025 in Kraft tritt, die Anforderungen der europäischen NIS2-Richtlinie in die tschechische Gesetzgebung ein. Mit dem nZKB wird die Cybersicherheit von einer Empfehlung zu einer Verpflichtung.
Výzkumný Ústav Železniční, a.s. (VUZ)unterstützt Organisationen bei der Vorbereitung auf die neuen Anforderungen als spezialisierter Partner für Cybersicherheit für Eisenbahnsysteme, Industriebetriebe und städtische Infrastruktur. VUZ kombiniert Fachwissen in den Bereichen Bahntechnik, IT und Testverfahren und ist dadurch in der Lage, die spezifischen Anforderungen kritischer Infrastrukturen sowie die betrieblichen Realitäten zu verstehen, die von herkömmlichen IT-Beratungsunternehmen oft übersehen werden. VUZ prüft die Ausfallsicherheit von Systemen nach den internationalen Normen ISO 27000, IEC 62443 und CENELEC 50701, führt Penetrationstests durch, bewertet Sicherheitsarchitekturen und stellt Konformitätszertifikate aus. Dabei geht es nicht nur um die Erfüllung gesetzlicher Anforderungen, sondern vor allem um den Schutz des Betriebs, der Daten und des Vertrauens von Passagieren und Kunden.
nZKB, das auf NIS2 basiert, reagiert auf die steigende Zahl von Cyberangriffen und erweitert die Verpflichtung zur Gewährleistung der Cybersicherheit auf mehr als zwanzig Sektoren, darunter Verkehr, Industrie, Energie, Gesundheitswesen und digitale Dienste. Das neue Gesetz wird rund neuntausend Organisationen in der Tschechischen Republik betreffen, vor allem mittlere und große Unternehmen mit mehr als 50 Beschäftigten oder einem Umsatz von über 10 Millionen Euro. Es gilt für Eisenbahnunternehmen, Infrastrukturbetreiber, Produktionsunternehmen, Technologielieferanten und Dienstleistungsanbieter. Jedes Unternehmen wird nachweisen müssen, dass es aktiv mit Risiken umgeht, Schwachstellen bewertet, Informationen schützt und wirksam auf Vorfälle reagieren kann.
Unternehmen, die unter die sogenannten höheren Verpflichtungen fallen, müssen mindestens alle zwei Jahre Penetrationstests und mindestens einmal jährlich Schwachstellenscans ihrer Systeme durchführen. Ziel ist es, Schwachstellen aufzudecken, bevor ein Angreifer sie ausnutzen kann. Die Registrierung der beaufsichtigten Unternehmen begann am 1. November 2025, und die Organisationen müssen ihre beaufsichtigten Dienste bis Ende des Jahres an das NÚKIB-Portal melden. Ab dem Zeitpunkt der Registrierungsentscheidung beginnt eine einjährige Frist, in der die Organisationen schrittweise mit der Umsetzung der vorgeschriebenen Sicherheitsmaßnahmen beginnen müssen.
Das neue Cybersicherheitsgesetz ist jedoch nicht nur eine rechtliche Verpflichtung, sondern auch ein Test für die Vertrauenswürdigkeit. Unternehmen, die sich rechtzeitig vorbereiten, werden einen starken Wettbewerbsvorteil erlangen. Sie erscheinen professioneller, bestehen Prüfungen reibungsloser, erfüllen die Anforderungen ihrer Kunden, ziehen Investoren an und vermeiden Geldstrafen und Krisensituationen. Diejenigen, die die Vorbereitung verzögern, riskieren nicht nur Sanktionen, sondern auch Rufschädigung und verlorene Geschäftsmöglichkeiten. Die Cybersicherheit wird daher zu einem Teil der Unternehmensstrategie und zu einem notwendigen Element der langfristigen Stabilität mit einer klaren Investitionsrendite.
Viele Organisationen gehen davon aus, dass die Zertifizierung nach ISO/IEC 27001 allein ausreicht, um die Anforderungen zu erfüllen. Diese Norm bietet eine wichtige Grundlage für das Informationssicherheitsmanagement, reicht aber allein nicht aus. Die nZKB führt spezifische und verbindliche Anforderungen ein - zum Beispiel die Methode des Risiko- und Asset-Managements, Regeln für das Passwort-, Identitäts- und Zugriffsmanagement, Verfahren zur Meldung von Vorfällen sowie detaillierte Anforderungen an die Dokumentation und Überwachung. Um die Anforderungen zu erfüllen, muss daher das bestehende Sicherheitssystem um Elemente erweitert werden, die der tschechischen Gesetzgebung und den branchenspezifischen Standards entsprechen. Nur durch ihre Integration kann ein echter operativer Schutz und die Bereitschaft sowohl für Audits als auch für praktische Risiken gewährleistet werden.
