Tato stránka je určena pro řídící pracovníky bezpečnosti, IT ředitele a provozní vedoucí v dopravních podnicích, kterým nařizuje zákon č. 181/2014 Sb. a nařízení NIS2 splnit závazné bezpečnostní požadavky do roku 2026. Dozvíte se, jaké konkrétní povinnosti vás čekají a jak řešit typické mezery v souladu.
Povinnosti se týkají všech leteckých společností provozujících pravidelné linky v EU, operátorů železniční infrastruktury a dopravců, dopravních autorit na silnicích, lodních přepravců a operátorů v přístavech, bez ohledu na počet zaměstnanců. Kritériem je poskytování služby závislé na digitálních systémech a údajích důležitých pro bezpečnost cestujících a mezinárodní dopravu.
Musíte zajistit ochranu a monitorování všech IT/OT systémů kritických pro provoz – řídící systémy letadel, dispečinková centra, systémy správy vozového parku a rezervačních systémy. To zahrnuje segmentaci sítě mezi IT a OT, detekci anomálií v reálném čase a pravidelné bezpečnostní audity. Provozovatelé musí mít vypracované plány obnovy provozu s definovanými časy zotavení (RTO) pro každý klíčový systém.
Při любyм kybernetickém incidentu, který vede k přerušení provozu nebo ohrožuje bezpečnost cestujících, jste povinni hlásit NÚKIB bez zbytečného odkladu, nejpozději do 24 hodin. Hlášení musí obsahovat popis incidentu, počet postižených osob či linek, čas detekce a přijaté nouzové opatření. V souladu se zákonem č. 181/2014 Sb. musíte také informovat právní oddělení o povinnostech vůči regulačním orgánům.
Máte povinnost provádět kontroly bezpečnosti všech dodavatelů a výrobců, kteří dodávají software nebo hardware kritický pro bezpečnost – včetně výrobců avioniky, systémů řízení vozů nebo lodí. To znamená smluvní požadavky na bezpečnostní standardy ISO 27001, pravidelné audity a formálnímu procesem schválení nových verzí kritických komponent. Dokumentujte veškeré změny v závislých systémech třetích stran.
Rezervační systémy (ticketing, online prodej lístků, správa rezervací) musí splňovat vysokou úroveň bezpečnosti, protože obsahují osobní údaje cestujících a jsou cílem podvržení a DDoS útoků. Vyžaduje se vícefaktorová autentizace pro zaměstnance, šifrování údajů v přenosu (TLS 1.2+), zálohy a pravidelné penetrační testy. Systémy starší pěti let bez certifikace bezpečnosti musí být modernizovány nebo nahrazeny.
Všichni zaměstnanci pracující na operačních systémech a se zpracováním citlivých údajů cestujících musí absolvovat povinné školení z kybernetické bezpečnosti minimálně jednou ročně. Školení musí být zaměřeno na rozpoznávání phishingu, sociálního inženýrství a správu hesel v kontextu leteckého, železničního a lodního provozu. Musíte mít zaznamenaný průkaz absolvování a testování vědomostí.
Musíte hlásit bez zbytečného odkladu, nejpozději do 24 hodin poté, co jste incident detekovali. Pokud incident ovlivňuje bezpečnost cestujících (např. selhání ATC komunikace) nebo přeshraniční dopravu, hlášení je povinné. Kontaktujte NÚKIB prostřednictvím formuláře na https://www.nukib.cz/cs/nap-hlaseni nebo e-mailem [email protected].
Rezervační systémy starší pěti let bez moderních bezpečnostních certifikací (ISO 27001, SOC 2) musí být do roku 2026 modernizovány. Minimálně musíte zavést šifrování v přenosu (TLS 1.2+), vícefaktorovou autentifikaci a pravidelné penetrační testy. Pokud modernizace není technicky proveditelná, musíte mít schválený plán migrace se stanovený termínem.
Porušení NIS2 povinností může být považováno za porušení zákona č. 181/2014 Sb. a vést k pokutám až do výše 10 milionů korun, případně k pokutě až do 2 % celosvětového obratu organizace. Kromě finančních sankcí hrozí omezení provozu nebo zákaz provozování dopravní služby. Deadline pro úplný soulad je 19. říjen 2026.