Železničná doprava: kritická infraštruktúra na pomedzí kybernetiky a fyziky

11. mája 2026

V auguste 2023 sa na poľskej železnici udialo niečo, čo dovtedy patrilo do oblasti scenárov, nie reality. Neznámi aktéri zneužili rádiový systém núdzového zastavenia (radio-stop) a vyslali signál, ktorý zastavil viac ako 20 vlakov v rôznych regiónoch krajiny. Útok nepotreboval prístup do digitálnych systémov ani sofistikovaný malvér. Stačil rádiový vysielač a znalosť verejne dostupných tónov. Bola to ukážka, prečo železničná doprava patrí medzi najkomplexnejšie kategórie kritickej infraštruktúry. Spája sa v nej staršia analógová a rádiová technika so súčasnými IT a OT systémami a každá z týchto vrstiev má vlastné zraniteľnosti.

Slovenský železničný systém



Slovenský železničný systém má tri hlavných aktérov. Železnice Slovenskej republiky (ŽSR) ako manažér infraštruktúry spravujú približne 3 580 kilometrov tratí, signalizačné a zabezpečovacie systémy, dispečerské pracoviská a komunikačné siete. Železničná spoločnosť Slovensko (ZSSK) prevádzkuje osobnú dopravu. Železničná spoločnosť Cargo Slovakia (ZSSK Cargo) prevádzkuje nákladnú dopravu, ktorá je strategicky dôležitá pre prepravu tranzitu medzi Ukrajinou, EÚ a krajinami západnej Európy.


Práve nákladná železničná doprava nadobudla od februára 2022 nový strategický rozmer. Slovenská železnica sa stala jednou z hlavných trás pre prepravu humanitárnej a vojenskej pomoci na Ukrajinu, pre vývoz ukrajinského obilia a pre logistické zabezpečenie obrannej spolupráce v rámci NATO. Tento posun zmenil železničnú infraštruktúru z domácej dopravnej služby na cezhraničný strategický koridor.


Vrstvy zraniteľnosti


Železničná doprava má štyri vrstvy, na ktorých sa môže stretnúť s útokom. Prvou je signalizačná a zabezpečovacia vrstva, ktorá zahŕňa rušňové vlakové zabezpečovače, pevné návestidlá, automatické vedenie vlaku a rádiové komunikačné systémy GSM-R. Európsky systém riadenia dopravy ERTMS, ktorý sa postupne nasadzuje na slovenských tratiach, prináša modernizáciu, ale aj nové digitálne závislosti.


Druhou je dispečerská a riadiaca vrstva, ktorá zahŕňa dispečerské pracoviská, systémy riadenia jazdy vlakov a integráciu so susednými prevádzkovateľmi. Tretia je komerčná a administratívna vrstva, vrátane rezervačných systémov, predaja cestovných lístkov, logistických systémov nákladnej dopravy a integrácie s colnými a hraničnými systémami. Štvrtou je fyzická infraštruktúra trás, mostov, tunelov a uzlových staníc, ktorých narušenie môže mať priamy fyzický dopad na bezpečnosť prevádzky.


Útoky na železnice v posledných rokoch zasiahli každú z týchto vrstiev. Kybernetický útok na britského Network Rail v septembri 2024 cez Wi-Fi siete v staniciach. Ransomvérový útok na talianskeho prevádzkovateľa Trenitalia v marci 2022, ktorý vyradil predaj lístkov v staniciach. Fyzické sabotáže optických káblov DB Netz v Nemecku v októbri 2022, ktoré paralyzovali severné Nemecko na niekoľko hodín. Ukrajinská železnica Ukrzaliznycia čelí od roku 2022 prakticky kontinuálnym kybernetickým aj fyzickým útokom, ktoré odolávajú vďaka výnimočnej improvizačnej schopnosti tamojšieho personálu.


Regulačný rámec


Železničná doprava je v zákone 367/2024 Z. z. o kritickej infraštruktúre zaradená do sektora dopravy ako jednej z 11 sektorov kritickej infraštruktúry. Zákon 366/2024 Z. z. (transpozícia NIS2) zaraďuje manažérov železničnej infraštruktúry a dopravcov medzi subjekty kriticky dôležitých služieb. K tomu pristupujú špecifické železničné regulácie, najmä nariadenie EÚ 2016/796 o Železničnej agentúre EÚ (ERA) a nariadenie 2023/1230 o spoločnej bezpečnostnej metóde pre kybernetickú bezpečnosť v železničnom sektore.


V júli 2024 zverejnila ENISA spoločne s ERA usmernenia pre kybernetickú bezpečnosť ERTMS, ktoré stanovujú minimálne požiadavky na ochranu signalizačných systémov, riadenie identít, segmentáciu sietí a riadenie zraniteľností v komponentoch dodávateľského reťazca. Vyhláška NBÚ číslo 227 z roku 2025 dopĺňa tieto požiadavky o slovenský regulačný kontext.


Tri praktické priority


Pre prevádzkovateľov v železničnom sektore vyplývajú tri praktické priority. Prvou je segmentácia medzi prevádzkovými systémami (signalizácia, dispečing, GSM-R) a korporátnym IT, vrátane riadenia vzdialeného prístupu dodávateľov k OT prostrediam. Druhou je riadenie zraniteľností špecifických pre železničné komponenty s dlhým životným cyklom, kde sa firmware a operačné systémy aktualizujú v rádoch rokov, nie mesiacov. Treťou je cezhraničná koordinácia s prevádzkovateľmi v susedných krajinách, najmä v kontexte tranzitu medzi EÚ a Ukrajinou, kde výpadok jednej strany má okamžitý dopad na druhú.


Železničná doprava ukazuje, prečo zákon o kritickej infraštruktúre nie je možné napĺňať len z perspektívy IT bezpečnosti. Bezpečnostné riziká pre vlak môžu mať podobu phishingu na dispečera, kompromitácie dodávateľa softvéru, rušenia rádiového signálu alebo fyzickej sabotáže koľaje. Funkčná odolnosť znamená vidieť všetky tieto vrstvy súčasne a mať pre každú z nich prevádzkovo nacvičenú reakciu," uvádza Ing. Tibor Straka, prezident AKI SR.


Železnica je technológia 19. storočia, ktorá sa v 21. storočí stala digitálnou. Práve táto vrstvenosť ju robí jedným z najfascinujúcejších a najnáročnejších sektorov kritickej infraštruktúry, ktorému by sa mala venovať systematická odborná pozornosť.

Rail Transport: Critical Infrastructure on the Boundary Between Cyber and Physical

11. mája 2026
In August 2023, something happened on the Polish railways that until then had belonged to the realm of scenarios, not reality. Unknown actors abused the radio system for emergency stopping (radio-stop) and transmitted a signal that brought more than 20 trains to a halt in various regions of the country. The attack required no access to digital systems and no sophisticated malware. A radio transmitter and knowledge of publicly available tones were enough. It was a demonstration of why rail transport ranks among the most complex categories of critical infrastructure. It brings together older analogue and radio technology with contemporary IT and OT systems, and each of these layers has its own vulnerabilities. 

Submarine cables: the Achilles heel of European digital sovereignty

6. mája 2026
Roughly 99 % of the world's intercontinental digital communication does not travel through satellites. It travels through a network of approximately 600 submarine fibre-optic cables with a combined length of 1.4 million kilometres, lying on the floor of the world's oceans. Through these cables flow more than 10 trillion US dollars in financial transactions every day, the bulk of email and cloud traffic, and almost all international internet traffic. They are the physical rope on which the digital economy hangs.

Podmorské káble: Achillova päta európskej digitálnej suverenity

6. mája 2026
Asi 99 % medzikontinentálnej digitálnej komunikácie sveta neprebieha cez satelity. Prebieha cez sieť približne 600 podmorských optických káblov s celkovou dĺžkou 1,4 milióna kilometrov, ktoré ležia na dne svetových oceánov. Cez tieto káble každý deň pretečú finančné transakcie v hodnote viac ako 10 biliónov amerických dolárov, väčšina e-mailovej a cloudovej komunikácie a takmer celá medzinárodná internetová prevádzka. Sú to fyzické laná, na ktorých drží digitálna ekonomika.

Stanovisko Asociácie kritickej infraštruktúry SR Reakcia na článok Denníka E z 30. apríla 2026

1. mája 2026
Asociácia kritickej infraštruktúry SR (ďalej len „asociácia") považuje za potrebné reagovať na článok publikovaný v Denníku E, ktorý vo viacerých bodoch nepresne interpretuje činnosť asociácie, jej členskú základňu, ako aj povahu projektov realizovaných niektorými členskými subjektmi. Nižšie uvádzame vecné stanovisko k jednotlivým tvrdeniam.

Introducing the sectors of critical infrastructure: Finance

30. apríla 2026
The area of critical infrastructure in the Slovak Republic is regulated by Act No. 367/2024 Coll. on Critical Infrastructure and on the Amendment and Supplementation of Certain Acts, which defines the individual sectors, sub-sectors and essential services necessary for the functioning of the state. The Critical Infrastructure Association of the Slovak Republic gradually presents the individual sectors with the aim of bringing closer their importance, their functioning and their impacts on the everyday life of society. This time we focus on the finance sector.

Predstavujeme sektory kritickej infraštruktúry: Financie

30. apríla 2026
Oblasť kritickej infraštruktúry v Slovenskej republike upravuje zákon č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov, ktorý definuje jednotlivé sektory, podsektory a základné služby nevyhnutné pre fungovanie štátu. Asociácia kritickej infraštruktúry Slovenskej republiky postupne predstavuje jednotlivé sektory s cieľom priblížiť ich význam, fungovanie a dopady na každodenný život spoločnosti. Tentokrát sa zameriame na sektor financií .

From a Vilnius Warehouse to the Leipzig DHL Ramp: A Trial That Is Changing the View on the Protection of European Logistics Infrastructure

29. apríla 2026
On 17 April 2026, a trial began at the District Court in Vilnius that is shifting the European debate on the protection of critical infrastructure from the technical level to a very concrete one. Five men are charged with sending, in July 2024, in cooperation with the Special Tasks Department of the Russian military intelligence service GRU, incendiary parcels via DHL and DPD from Vilnius to the air hub in Leipzig, to Poland and to the United Kingdom. The head of the German counter-intelligence service BfV stated that only a flight delay prevented an in-flight detonation that could have destroyed a cargo aircraft. 

Z vilniuského skladu na rampu lipského DHL: proces, ktorý mení pohľad na ochranu európskej logistickej infraštruktúry

29. apríla 2026
Na Okresnom súde vo Vilniuse sa 17. apríla 2026 začal proces, ktorý posúva európsku diskusiu o ochrane kritickej infraštruktúry z roviny technickej do roviny veľmi konkrétnej. Päť mužov je obvinených z toho, že v júli 2024 v spolupráci s Oddelením špeciálnych úloh ruskej vojenskej spravodajskej služby GRU posielali zápalné zásielky cez DHL a DPD z Vilniusu do leteckého uzla v Lipsku, do Poľska a do Veľkej Británie. Šéf nemeckej kontrarozviedky BfV uviedol, že len omeškanie letu zabránilo detonácii vo vzduchu, ktorá mohla zničiť dopravné lietadlo.

Cyber Resilience Act enters the operational phase: what was said at KYBER2026 and what Slovakia must complete before 11 September 2026

28. apríla 2026
The KYBER2026 conference of the National Security Authority and SK-CERT, held on 27 and 28 April 2026 at Hotel Sitno Vyhne, confirmed what operators of essential services and critical entities had already suspected since the beginning of the year. 2026 is not a year of preparation — it is a year of demonstrable functionality. At the centre stands Regulation (EU) 2024/2847 of the European Parliament and of the Council on cyber resilience, which reaches its first hard milestone on 11 September 2026: mandatory reporting of actively exploited vulnerabilities and significant incidents through ENISA's Single Reporting Platform.

Cyber Resilience Act vstupuje do prevádzkovej fázy: čo zaznelo na KYBER2026 a čo musí Slovensko stihnúť do 11. septembra 2026

28. apríla 2026
Konferencia KYBER2026 Národného bezpečnostného úradu a SK-CERT, ktorá sa konala 27. a 28. apríla 2026 v hoteli Sitno Vyhne, potvrdila to, čo prevádzkovatelia základných služieb a kritických subjektov tušili už od začiatku roka. Rok 2026 nie je rokom prípravy, ale rokom preukázateľnej funkčnosti. V centre stojí nariadenie Európskeho parlamentu a Rady číslo 2024/2847 o kybernetickej odolnosti, ktoré dosiahne 11. septembra 2026 prvý ostrý míľnik, povinné hlásenie aktívne zneužívaných zraniteľností a závažných incidentov cez Single Reporting Platform agentúry ENISA.