La digitalización ha transformado el ferrocarril en un ecosistema interconectado en el que trenes, equipos de señalización, centros de control y datos operativos se comunican entre sí. Esta conectividad mejora la eficiencia operativa y la seguridad, pero al mismo tiempo abre nuevas vías para los ciberataques. Un solo punto de acceso comprometido puede interrumpir las operaciones, provocar fugas de datos o incluso poner en peligro la seguridad de los pasajeros. Para prevenir estas situaciones a escala nacional, la nueva Ley de Ciberseguridad nº 264/2025 Coll. (nZKB), en vigor desde el 1 de noviembre de 2025, introduce en la legislación checa los requisitos de la Directiva europea NIS2. Con la nZKB, la ciberseguridad pasa a ser una obligación en lugar de una recomendación.
Výzkumný Ústav Železniční, a.s. (VUZ)ayuda a las organizaciones a prepararse para los nuevos requisitos como socio especializado en ciberseguridad para sistemas ferroviarios, operaciones industriales e infraestructuras urbanas. VUZ combina experiencia en tecnología ferroviaria, TI y pruebas, lo que le permite comprender las demandas específicas de las infraestructuras críticas, así como las realidades operativas que a menudo pasan por alto las empresas de consultoría de TI estándar. Realiza pruebas de resistencia de sistemas con arreglo a las normas internacionales ISO 27000, IEC 62443 y CENELEC 50701, lleva a cabo pruebas de penetración, evalúa arquitecturas de seguridad y expide certificados de conformidad. El objetivo no es simplemente cumplir los requisitos legislativos, sino sobre todo proteger las operaciones, los datos y la confianza de pasajeros y clientes.
nZKB, basada en la NIS2, responde al creciente número de ciberataques y amplía la obligación de garantizar la ciberseguridad a más de veinte sectores, entre ellos el transporte, la industria, la energía, la sanidad y los servicios digitales. La nueva ley afectará a unas nueve mil organizaciones de la República Checa, principalmente medianas y grandes empresas con más de 50 empleados o una facturación superior a 10 millones de euros. Se aplica a empresas ferroviarias, administradores de infraestructuras, empresas manufactureras, proveedores de tecnología y prestadores de servicios. Todas las entidades deberán demostrar que gestionan activamente los riesgos, evalúan las vulnerabilidades, protegen la información y pueden responder eficazmente a los incidentes.
Las empresas incluidas en el denominado régimen de mayor obligación tendrán que realizar pruebas de penetración al menos una vez cada dos años y escanear las vulnerabilidades de sus sistemas al menos una vez al año. El objetivo es descubrir los puntos débiles antes de que un atacante pueda explotarlos. El registro de las entidades reguladas comenzó el 1 de noviembre de 2025, y las organizaciones deben informar de sus servicios regulados en el portal NÚKIB antes de finales de año. A partir del momento en que se dicta la decisión de registro, comienza un periodo de un año durante el cual las organizaciones deben empezar a aplicar gradualmente las medidas de seguridad prescritas.
Sin embargo, la nueva ley de ciberseguridad no es sólo una obligación legal, sino también una prueba de fiabilidad. Las organizaciones que se preparen a tiempo obtendrán una gran ventaja competitiva. Parecerán más profesionales, pasarán las auditorías sin problemas, cumplirán los requisitos de los clientes, atraerán inversores y evitarán multas y situaciones de crisis. Las que retrasan la preparación se arriesgan no sólo a sanciones, sino también a daños a su reputación y a perder oportunidades de negocio. Por tanto, la ciberseguridad se está convirtiendo en parte de la estrategia empresarial y en un elemento necesario de estabilidad a largo plazo con un claro retorno de la inversión.
Muchas organizaciones asumen que la certificación ISO/IEC 27001 basta por sí sola para cumplir los requisitos. Esta norma proporciona una base importante para la gestión de la seguridad de la información, pero por sí sola no es suficiente. nZKB introduce requisitos específicos y vinculantes: por ejemplo, el método de gestión de riesgos y activos, normas para la gestión de contraseñas, identidades y accesos, procedimientos de notificación de incidentes y requisitos detallados de documentación y supervisión. Lograr el cumplimiento exige, por tanto, ampliar el sistema de seguridad existente con elementos que se correspondan con la legislación checa y las normas específicas del sector. Sólo su integración garantizará una protección operativa real y la preparación tanto para las auditorías como para los riesgos prácticos.
