La numérisation a transformé les chemins de fer en un écosystème interconnecté où les trains, les équipements de signalisation, les centres de contrôle et les données opérationnelles communiquent entre eux. Cette connectivité améliore l'efficacité et la sécurité des opérations, mais ouvre en même temps de nouvelles voies aux cyberattaques. Un seul point d'accès compromis peut perturber les opérations, provoquer des fuites de données, voire mettre en péril la sécurité des passagers. Afin de prévenir de telles situations au niveau national, la nouvelle loi sur la cybersécurité n° 264/2025 Coll. (nZKB), qui entrera en vigueur le 1er novembre 2025, introduit dans la législation tchèque les exigences de la directive européenne NIS2. Avec la nZKB, la cybersécurité devient une obligation plutôt qu'une recommandation.
Výzkumný Ústav Železniční, a.s. (VUZ)aide les organisations à se préparer aux nouvelles exigences en tant que partenaire spécialisé dans la cybersécurité des systèmes ferroviaires, des opérations industrielles et des infrastructures urbaines. VUZ combine une expertise en matière de technologie ferroviaire, d'informatique et de tests, ce qui lui permet de comprendre les exigences spécifiques des infrastructures critiques ainsi que les réalités opérationnelles souvent négligées par les sociétés de conseil en informatique standard. Elle teste la résilience des systèmes conformément aux normes internationales ISO 27000, IEC 62443 et CENELEC 50701, effectue des tests de pénétration, évalue les architectures de sécurité et délivre des certificats de conformité. L'objectif n'est pas seulement de répondre aux exigences législatives, mais surtout de protéger les opérations, les données et la confiance des passagers et des clients.
La loi nZKB, basée sur le NIS2, répond au nombre croissant de cyberattaques et étend l'obligation de garantir la cybersécurité à plus de vingt secteurs, dont les transports, l'industrie, l'énergie, les soins de santé et les services numériques. La nouvelle loi concernera environ neuf mille organisations en République tchèque, principalement des moyennes et grandes entreprises comptant plus de 50 employés ou un chiffre d'affaires supérieur à 10 millions d'euros. Elle s'applique aux entreprises ferroviaires, aux gestionnaires d'infrastructures, aux entreprises de fabrication, aux fournisseurs de technologies et aux prestataires de services. Chaque entité devra démontrer qu'elle gère activement les risques, qu'elle évalue les vulnérabilités, qu'elle protège les informations et qu'elle peut réagir efficacement en cas d'incident.
Les entreprises relevant du régime des obligations supérieures devront effectuer des tests de pénétration au moins une fois tous les deux ans et analyser la vulnérabilité de leurs systèmes au moins une fois par an, afin de découvrir les faiblesses avant qu'un pirate ne puisse les exploiter. L'enregistrement des entités réglementées a débuté le 1er novembre 2025 et les organisations doivent déclarer leurs services réglementés sur le portail du NÚKIB avant la fin de l'année. À partir du moment où la décision d'enregistrement est rendue, une période d'un an commence pendant laquelle les organisations doivent progressivement commencer à mettre en œuvre les mesures de sécurité prescrites.
Cependant, la nouvelle loi sur la cybersécurité n'est pas seulement une obligation légale, c'est aussi un test de fiabilité. Les organisations qui se préparent à temps bénéficieront d'un avantage concurrentiel important. Elles apparaîtront plus professionnelles, passeront les audits plus facilement, répondront aux exigences des clients, attireront les investisseurs et éviteront les amendes et les situations de crise. Celles qui tardent à se préparer risquent non seulement des sanctions, mais aussi une atteinte à leur réputation et la perte d'opportunités commerciales. La cybersécurité devient donc une partie intégrante de la stratégie des entreprises et un élément nécessaire à la stabilité à long terme avec un retour sur investissement clair.
De nombreuses organisations pensent que la certification ISO/IEC 27001 suffit pour répondre aux exigences. La nZKB introduit des exigences spécifiques et contraignantes - par exemple, la méthode de gestion des risques et des actifs, les règles de gestion des mots de passe, des identités et des accès, les procédures de signalement des incidents, ainsi que des exigences détaillées en matière de documentation et de contrôle. Pour se mettre en conformité, il faut donc compléter le système de sécurité existant par des éléments correspondant à la législation tchèque et aux normes sectorielles. Seule leur intégration garantira une protection opérationnelle réelle et une préparation aux audits et aux risques pratiques.
