Cyberbezpieczeństwo aut elektrycznych: nowe przepisy i zagrożenia
Samochody elektryczne stały się celami cyberataków. Poznaj wymogi dyrektywy NIS2, skalę zagrożeń i co muszą zrobić producenci i operatorzy ładowarek do 2027…
Nowoczesny samochód elektryczny to nie zwykły pojazd, lecz złożony system cyfrowy zawierający 100 milionów linii kodu źródłowego, ponad 150 jednostek sterujących i stałą komunikację z siecią – co czyni go podatnym na cyberataki z zewnątrz.
Jeszcze kilka lat temu cyfrowe zagrożenia dla pojazdów wydawały się scenariuszem science-fiction. Dziś to rzeczywistość. Średni kierowca nie zdaje sobie sprawy, w jakim stopniu jego nowoczesne auto zbiera dane o nim, jego lokalizacji, stylu jazdy, a nawet rozmowach w samochodzie. Pojazd elektryczny przeszedł fundamentalną transformację – z maszyny mechanicznej w złożoną platformę danych, która wymieniać może setki tysięcy komunikatów dziennie.
Skala problemu: 25-krotny wzrost incydentów w pięć lat
Zagrożenia cybernetyczne rosną lawinowo. Liczba incydentów obsłużonych przez CERT Polska wzrosła z około 10 000 w 2020 roku do ponad 260 000 w 2025 roku – to wzrost 25-krotny w ciągu zaledwie pięciu lat. Transport należy do sektorów o jednym z najwyższych udziałów odnotowywanych ataków cybernetycznych, obok administracji publicznej i sektora finansowego.
Skala połączeń, które trzeba zabezpieczyć, jest ogromna. W Polsce liczba sesji ładowania pojazdów elektrycznych ma wzrosnąć z 17,8 miliona w 2026 roku do ponad 200 milionów w 2030 roku. Każda sesja to wymiana danych między pojazdem, ładowarką, backendem operatora, systemem płatności i siecią energetyczną. W Europie zainstalowano już ponad milion publicznych punktów ładowania połączonych z siecią energetyczną, a wraz z rozwojem infrastruktury rośnie powierzchnia potencjalnego ataku.
Dyrektywa NIS2 i ustawa UKSC: nowe standardy bezpieczeństwa
W odpowiedzi na rosnące zagrożenia wdrażana jest dyrektywa NIS2 (zastępująca starszą NIS1 z 2016 roku), a w Polsce jej implementacja to Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC).
| Element | Termin | Obowiązani podmioty |
|---|---|---|
| Wejście w życie UKSC | 3 kwietnia 2026 r. | Wszystkie podmioty kluczowe i ważne |
| Rejestracja w rejestrze | 3 października 2026 r. | Operatorzy ładowarek, producenci baterii, producenci pojazdów, dostawcy IT |
| Wdrożenie pełnych wymogów | 3 kwietnia 2027 r. | Podmioty kluczowe i ważne |
| Pierwszy obowiązkowy audyt | 2028 r. | Wszystkie zarejestrowane podmioty |
| Zgłoszenie incydentu wstępne | 24 godziny | Od momentu stwierdzenia incydentu |
| Zgłoszenie incydentu poważnego | 72 godziny | Od momentu stwierdzenia incydentu |
Dyrektywa NIS2 wymaga od firm sektora mobilności całościowego podejścia do bezpieczeństwa cyfrowego. Wymogi będą przenoszone w głąb łańcucha dostaw – poprzez umowy, klauzule bezpieczeństwa i obowiązki raportowania incydentów. Firmy muszą dokonać rewizji relacji kontraktowych z dostawcami, wdrożyć procedury zarządzania incydentami i dostosować architekturę bezpieczeństwa do nowych standardów.
Co to oznacza dla producentów i operatorów?
Nowe przepisy wprowadzają fundamentalną zmianę w strukturze odpowiedzialności. Po raz pierwszy zarząd firmy, a nie dział IT, jest jednostką odpowiedzialną za wszystkie działania dotyczące zabezpieczenia przed potencjalnymi atakami. Sankcje za niezastosowanie się do przepisów mogą sięgać nawet 300% wynagrodzenia osób zarządzających.
Ustawa przewiduje również mechanizm uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Konsekwencją takiej decyzji może być obowiązek wycofania produktów dostawcy z systemów ICT w terminie do 7 lat – co stanowi poważne zagrożenie dla pozycji konkurencyjnej.
Firmy, które potraktują NIS2 wyłącznie jako obowiązek formalny, a nie jako szansę na budowanie realnej odporności operacyjnej, narażają się nie tylko na sankcje, ale również na utratę pozycji konkurencyjnej i zaufania partnerów biznesowych.
Standardy techniczne: ISO i regulacje ONZ
Branża musi również odnieść się do już istniejących standardów technicznych:
- Regulamin ONZ nr 155 – dotyczący zarządzania cyberbezpieczeństwem pojazdów
- Norma ISO/SAE 21434 – obejmująca cały cykl życia produktu
- ISO 15118-20 – zabezpieczająca komunikację między pojazdem i ładowarką
Te standardy definiują minimalne wymogi techniczne dla bezpieczeństwa systemów w pojazdach elektrycznych i infrastrukturze ładowania.
Dlaczego to takie ważne?
Nowoczesny samochód elektryczny zawiera nawet 200 czujników i kamer, które nieustannie zbierają dane o otoczeniu, stanie pojazdu, stylu jazdy, a często także o samym kierowcu i pasażerach. Wraz z postępującą automatyzacją funkcji jazdy – od adaptacyjnego tempomatu i systemów wspomagania pasa ruchu, po coraz bardziej rozwinięte funkcje autonomiczne – liczba i znaczenie tych danych będą rosły.
Autonomizacja pojazdów, mająca rozwiązać problem wypadków spowodowanych błędem człowieka (9 na 10 wypadków komunikacyjnych), oznacza jeszcze głębszą zależność od oprogramowania i przetwarzania danych – a tym samym jeszcze wyższe wymagania wobec cyberbezpieczeństwa.
Firmy, które już teraz zadbają o procedury, zarządzanie ryzykiem i bezpieczeństwo systemów, zyskają przewagę konkurencyjną i zaufanie partnerów na lata. Dla branży elektromobilności to nie jest biurokratyczny obowiązek, lecz inwestycja w długoterminową odporność operacyjną i bezpieczeństwo użytkowników.
Najczęstsze pytania
Jakie są wymogi dyrektywy NIS2 dla producentów samochodów elektrycznych?
Dyrektywa NIS2 wymaga całościowego podejścia do bezpieczeństwa cyfrowego, audytów, zarządzania incydentami i standardów bezpieczeństwa. Wymogi będą przenoszone na dostawców i podwykonawców poprzez klauzule kontraktowe, a firmy muszą wdrożyć procedury zarządzania incydentami i dostosować architekturę bezpieczeństwa do nowych standardów.
Kiedy obowiązuje UKSC i jakie są terminy dla operatorów ładowarek?
UKSC obowiązuje od 3 kwietnia 2026 r. Operatorzy punktów ładowania muszą zarejestrować się w rejestrze podmiotów kluczowych do 3 października 2026 r. i wdrożyć pełne wymogi do 3 kwietnia 2027 r., z obowiązkowym pierwszym audytem w 2028 r.
Jak szybko trzeba zgłosić incydent cyberbezpieczeństwa?
Nowe przepisy wprowadzają 24 godziny na zgłoszenie wstępne incydentu i 72 godziny na zgłoszenie incydentu poważnego, z możliwością równoległego zgłoszenia do organu ochrony danych osobowych.
Ile danych przesyłają stacje ładowania i jak często?
Stacje ładowania przesyłają dane telemetryczne do backendów co 1–5 sekund, codziennie wymieniając setki tysięcy komunikatów w strukturze Open Charge Point Protocol (OCPP).
Jaka jest skala wzrostu liczby aut elektrycznych w Europie?
W Europie na przestrzeni 8 lat zarejestrowano 8 650 488 samochodów elektrycznych, a w ciągu czterech miesięcy 2025 r. przybyło ich 747 159 sztuk (wzrost rok do roku o 80,9%).
Na podstawie: Motofakty. Tekst opracowany redakcyjnie.