Nowe regulacje zmieniają funkcjonowanie kolei. Kto nie zdąży, może wypaść z toru.

W ostatnich latach bezpieczeństwo danych w transporcie kolejowym przeszło z kategorii administracyjnej do strategicznej. Wraz z rozwojem cyfrowych narzędzi planowania i automatyzacji pracy drużyn trakcyjnych, pojawiły się nowe wyzwania – związane nie tylko z efektywnością, ale również z odpornością systemów, ochroną informacji i zgodnością z regulacjami takimi jak RODO i NIS2.

Rosnące wymagania regulacyjne dotyczą już nie tylko zarządców infrastruktury i przewoźników, ale także firm wspierających procesy operacyjne – np. w zakresie transportu drużyn. Jednym z operatorów, który dostosował się do tych realiów, jest Cargo Speed International (CSI), realizujący przewozy drużyn trakcyjnych m.in. dla ORLEN Kolej, PKP Cargo i Laude Smart Intermodal.

Kolej w cieniu danych – dlaczego bezpieczeństwo IT staje się kluczowe

W przeszłości transport kolejowy kojarzył się głównie z ruchem pociągów, maszynistami i taborem. Dziś równie ważne są dane: informacje o lokalizacji drużyn, harmonogramy pracy, zlecenia przewozowe, dane osobowe kierowców, pasażerów, a także dostęp do wrażliwej infrastruktury kolejowej. Ich przetwarzanie, przesyłanie i przechowywanie musi odbywać się zgodnie z obowiązującymi przepisami.

Przyjęta w 2023 roku unijna dyrektywa NIS2 wprowadziła obowiązek zapewnienia odporności cyfrowej u operatorów infrastruktury krytycznej oraz ich kluczowych podwykonawców. Transport kolejowy – jako sektor wrażliwy – znalazł się wprost w zasięgu regulacji. Firmy muszą wdrożyć procedury ciągłości działania (BCP), zarządzania incydentami, kontroli dostępu, a także regularnie raportować wszelkie naruszenia.

Dodatkowo obowiązujące od 2018 r. RODO wciąż stanowi ramy prawne dla przetwarzania danych osobowych – w tym danych drużyn trakcyjnych, ich lokalizacji, tras przejazdu czy danych kontaktowych.

Przewóz drużyn trakcyjnych: prosta usługa, złożone wyzwania

Transport drużyn trakcyjnych to z pozoru nieskomplikowany proces logistyczny. W rzeczywistości obejmuje on jednak wiele zmiennych:

• Realizowany jest 24/7, często w warunkach zmiennej dostępności drogowej i pogodowej.

• Dotyczy lokalizacji objętych infrastrukturą kolejową – bocznic, stacji rozładunkowych, terminali.

• Opiera się na danych wrażliwych – m.in. grafikach pracy, danych osobowych kierowców i pasażerów, punktach przekazania lokomotywy.

• Wymaga integracji z systemami planowania pracy maszynistów i lokalizacji zasobów.

  
  

W przypadku awarii, opóźnienia lub naruszenia zasad bezpieczeństwa – zagrożone są nie tylko dane, ale też ciągłość ruchu kolejowego.

Cargo Speed International: jak działa system zgodny z RODO i NIS2

Cargo Speed International, we współpracy z SP Tech Solutions, wdrożyło

rozwiązanie klasy enterprise – system RAILY Taxi oraz aplikację mobilną RAILY Driver. Całość działa w infrastrukturze Google Cloud Platform i została zaprojektowana zgodnie z najlepszymi praktykami branżowymi.

Warstwa techniczna

RAILY Taxi spełnia standardy ISO/IEC 27001 i obejmuje:

• pełne szyfrowanie danych w transmisji i spoczynku (TLS, AES-256),

• segmentację środowisk (produkcyjne, testowe, awaryjne),

• zarządzanie tożsamością i dostępem (MFA, RBAC),

• brak zdalnego dostępu z poziomu terminala (np. SSH),

• rejestrowanie aktywności w systemie (logi, monitoring, audyt).

  
  

Dane są przechowywane wyłącznie w europejskich centrach danych, a backup wykonywany jest cyklicznie. Zmiany w systemie podlegają procedurze testowania i zatwierdzania, a każdy nowy release jest opatrzony dokumentacją techniczną i funkcjonalną.

Warstwa operacyjna

System wspierany jest przez zespół ludzi – kierowców, dyspozytorów i operatorów, działających zgodnie z wewnętrznymi procedurami bezpieczeństwa. Każdy kurs:

• jest przypisywany na podstawie lokalizacji i dostępności pojazdu,

• posiada rejestr statusów (przydział, odbiór pasażera, trasa, zakończenie),

• może zostać zmodyfikowany lub przejęty w trybie awaryjnym (rezerwowy pojazd, nowy kierowca),

• posiada raporty dostępne dla klienta i rozliczenia dla księgowości.

  
  

Dodatkowo każda dyspozytura działa w trybie ciągłym (24/7), a dane kursów są archiwizowane i dostępne w interfejsie webowym

Co zapewnia zgodność z RODO?

Cargo Speed International przetwarza dane wyłącznie w celach związanych z realizacją umowy, zgodnie z art. 6 ust. 1 lit. b RODO. Każdy pasażer i kierowca posiada pełną informację o zakresie, celu i czasie przechowywania danych. System umożliwia:

• ograniczenie przetwarzania danych do minimum operacyjnego (privacy by design),

• pełną kontrolę nad dostępami (kto i kiedy miał dostęp do danych),

• eksport danych do celów kontroli lub zgłoszeń klientów.

  
  

System i procesy są zgodne z wymaganiami UODO oraz gotowe na kontrolę.

NIS2: od wymogu do praktyki

Wdrażając NIS2, CSI opracowało:

• politykę zarządzania ryzykiem IT i operacyjnym,

• wewnętrzne procedury zgłaszania i analizy incydentów,

• testy odporności systemu (w tym procedury disaster recovery),

• plany ciągłości działania (BCP) dla systemu, ludzi i procesów.

  
  

W 2024 roku CSI odnotowało zero incydentów związanych z naruszeniem ochrony danych, mimo ponad 107 000 zrealizowanych zleceń. Firma prowadzi własny rejestr ryzyk, obejmujący reakcję na zmiany planów operacyjnych przewoźników.

Rola klienta – wspólna odpowiedzialność

Klienci CSI – m.in. ORLEN Kolej – otrzymują:

• raporty zgodności i zdarzeń.

• interfejs z dostępem do historii kursów, danych operacyjnych i wskaźników KPI,

• wsparcie techniczne i operacyjne w przypadku zmian rozkładów czy tras,

• przygotowanie do audytów (np. UTK, audyty wewnętrzne, kontrole UODO).

  
  

To pozwala im spełnić własne wymogi wynikające z NIS2 i RODO – bez konieczności rozbudowy własnych zasobów IT.

Przyszłość bezpieczeństwa w kolejach: automatyzacja, AI i spójny ekosystem RAILY

Cargo Speed International pracuje obecnie nad dalszym rozwojem usług w ramach zintegrowanego ekosystemu RAILY, który łączy nie tylko transport drużyn trakcyjnych (RAILY Taxi), ale również cyfrowe zarządzanie przewozami towarowymi (RAILY Cargo) oraz planowanie i współdzielenie zasobów taborowych w ramach platformy wymiany informacji pomiędzy przewoźnikami (RAILY Marketplace).

Dzięki temu możliwe staje się objęcie jedną platformą:

• automatycznego planowania przejazdów drużyn i pojazdów,

• optymalizacji dostępności zasobów (kierowców, lokomotyw, wagonów),

• synchronizacji z harmonogramami przewozów kolejowych,

• zarządzania zdarzeniami operacyjnymi i komunikacją z klientem,

• monitoringu tras w czasie rzeczywistym oraz analizy wskaźników KPI.

  
  

Rozwiązania AI rozwijane w ramach RAILY obejmują:

• wdrożenie systemów predykcyjnych do analizy ryzyka i przewidywania zakłóceń,

• analizę danych historycznych pod kątem zgodności, wzorców zagrożeń i sezonowości,

• integrację z systemami klienta, m.in. SRP, TMS, ERP,

• inteligentne łączenie przejazdów drużyn z logistyką kolejową, co pozwala ograniczać puste przebiegi i poprawiać efektywność operacyjną.

  
  

W efekcie CSI nie tylko reaguje na zdarzenia, ale buduje zdolność do ich przewidywania – co w warunkach transportu kolejowego, obejmującego setki lokalizacji i zmiennych pogodowych, może stanowić przewagę decydującą o jakości całego procesu.

Wnioski: bezpieczeństwo nie kończy się na firewallu

Kolej coraz bardziej opiera się na danych – i nie chodzi tylko o informacje pasażerskie czy towarowe. Każdy element procesu – od planowania składu po przewóz maszynisty – może być punktem krytycznym. RODO i NIS2 nie są już domeną administratorów IT. To kwestia strategii operacyjnej, reputacji, a w skrajnych przypadkach – nawet odpowiedzialności karnej.

Cargo Speed International pokazuje, że można połączyć odporność systemową z operacyjną skutecznością. Zamiast traktować regulacje jako barierę, firma wbudowała je w swoje procesy – i dziś wykorzystuje jako element wartości dla klienta.