Samochód elektryczny to komputer – jak cyberbezpieczeństwo chroni EV
Nowoczesne auto elektryczne ma 150+ jednostek sterujących i 100 mln linii kodu. Poznaj zagrożenia cyberataków, dyrektywę NIS2 i nowe obowiązki dla producentów…
Nowoczesny samochód elektryczny to nie maszyna mechaniczna, ale zaawansowany system cyfrowy podatny na cyberataki, który wymaga kompleksowego podejścia do bezpieczeństwa informatycznego. Pojazd EV może mieć ponad 150 jednostek sterujących (ECU), nawet 200 czujników i około 100 milionów linii kodu, co czyni go podatnym na cyfrowe zagrożenia rosnące w tempie eksponencjalnym.
Skala zagrożenia rośnie szybciej niż liczba aut elektrycznych
CERT Polska obsłużył w 2025 roku ponad 260 tysięcy incydentów cyberbezpieczeństwa — to około 25 razy więcej niż w 2020 roku, gdy liczba incydentów wyniosła około 10,4 tysiąca. Ta dynamika wzrostu odzwierciedla rosnącą cyfryzację transportu i energetyki. Według Polskiego Stowarzyszenia Nowej Mobilności (PSNM) do 2030 roku po europejskich drogach ma jeździć 70 milionów aut elektrycznych, a 95 procent nowych samochodów będzie stale połączonych z internetem.
Takie pojazdy nie są już wyłącznie transportem — to platformy danych, które komunikują się z producentem, infrastrukturą ładowania, systemami płatności i oprogramowaniem działającym w chmurze. Każda stacja ładowania przesyła dane telemetryczne do systemów backendowych nawet co 1–5 sekund, wymiennie setki tysięcy komunikatów w standardzie OCPP (Open Charge Point Protocol).
Ekosystem cyfrowy elektromobilności — więcej połączeń, więcej ryzyka
W Unii Europejskiej działa już ponad milion publicznych punktów ładowania połączonych z siecią energetyczną. Polska ma doświadczyć szczególnie dynamicznego wzrostu: liczba sesji ładowania pojazdów elektrycznych wzrośnie z 17,8 miliona w 2026 roku do ponad 200 milionów w 2030 roku. Każda sesja oznacza wymianę danych między pojazdem, ładowarką, systemem operatora, systemem płatności i siecią energetyczną.
To pokazuje, dlaczego cyberbezpieczeństwo w elektromobilności nie dotyczy tylko samego samochodu. Zagrożenie obejmuje:
- Pojazdy elektryczne — systemy napędu, hamowania, bezpieczeństwa
- Stacje ładowania — protokoły komunikacji, systemy płatności
- Infrastruktura energetyczna — magazyny energii, sieci dystrybucji
- Oprogramowanie i usługi chmurowe — platformy zarządzania flotą, aplikacje mobilne
- Dostawcy półprzewodników i baterii — komponenty krytyczne dla działania
W 2025 roku globalne wykorzystanie baterii w pojazdach elektrycznych sięgnęło 1,2 TWh, a na świecie zainstalowano 108 GW nowych magazynów energii. Te elementy również stają się częścią cyfrowego ekosystemu energetyki i transportu.
Dyrektywa NIS2 — od obowiązku technicznego do odpowiedzialności zarządu
Dyrektywa NIS2 (Network and Information Security Directive) to unijna regulacja dotycząca cyberbezpieczeństwa, która fundamentalnie zmienia podejście do bezpieczeństwa w sektorze mobilności. Obejmuje ona ponad 20 podsektorów nowej mobilności, od producentów pojazdów po operatorów infrastruktury ładowania.
| Wymóg | Termin | Obowiązek |
|---|---|---|
| Wejście w życie UKSC | 3 kwietnia 2026 | Polska ustawa wdrażająca NIS2 |
| Rejestracja podmiotów kluczowych | 3 października 2026 | Zgłoszenie się do odpowiedniego rejestru |
| Pełne wdrożenie wymogów | 3 kwietnia 2027 | Implementacja procedur bezpieczeństwa |
| Pierwszy obowiązkowy audyt | 2028 | Weryfikacja zgodności z wymogami |
| Zgłoszenie wstępne incydentu | 24 godziny | Od momentu wykrycia |
| Zgłoszenie incydentu poważnego | 72 godziny | Raportowanie do organów nadzoru |
Co to oznacza dla branży: Wymogi NIS2 nie będą przenoszone wyłącznie na bezpośrednich wykonawców, ale będą kaskadować w dół łańcucha dostaw — poprzez umowy, klauzule bezpieczeństwa i obowiązki raportowania incydentów. Firmy będą musiały dokonać rewizji relacji kontraktowych z dostawcami, wdrożyć procedury zarządzania incydentami i dostosować architekturę bezpieczeństwa do nowych standardów.
Odpowiedzialność zarządu — zmiana paradygmatu
Jedna z kluczowych zmian wprowadzonych przez NIS2 to przesunięcie odpowiedzialności za cyberbezpieczeństwo z poziomu technicznego na poziom zarządczy. Kierownictwo firmy będzie musiało rozumieć ryzyka, zatwierdzać procedury i odpowiadać za organizację systemu bezpieczeństwa. To oznacza, że zarząd, a nie dział IT, będzie pełnić rolę jednostki odpowiedzialnej za wszystkie działania dotyczące zabezpieczenia przed potencjalnymi atakami.
Sankcje za niezastosowanie się do wymogów mogą sięgać nawet 300 procent wynagrodenia osób zarządzających. Dodatkowo, dostawca sprzętu lub oprogramowania może zostać uznany za dostawcę wysokiego ryzyka, co skutkuje obowiązkiem wycofania jego produktów z systemów informatyczno-komunikacyjnych (ICT) w terminie do 7 lat.
Autonomiczne sterowanie — nowy wymiar zagrożenia
Cyberbezpieczeństwo staje się jeszcze bardziej krytyczne wraz z rozwojem autonomicznego sterowania pojazdami. Według danych branżowych nawet 9 na 10 wypadków komunikacyjnych wynika z błędu człowieka. Automatyzacja jazdy ma w długim terminie ograniczać to ryzyko. Jednak większa autonomia oznacza większą zależność od oprogramowania, czujników i stałej łączności.
Błąd albo atak na system odpowiedzialny za sterowanie pojazdem ma inną wagę niż awaria systemu multimedialnego. Dlatego producenci i regulatorzy muszą ustalać priorytety zabezpieczeń dla różnych warstw pojazdu, traktując systemy bezpieczeństwa jako krytyczne infrastruktury wymagające najwyższego poziomu ochrony.
Odporność operacyjna jako przewaga konkurencyjna
Odporność operacyjna — zdolność firmy do działania mimo awarii, ataku, zakłócenia dostaw albo innego kryzysu — staje się nie tylko obowiązkiem regulacyjnym, ale także strategicznym atutem konkurencyjnym. W sektorze mobilności chodzi o to, aby usługi ładowania, systemy płatności, pojazdy i infrastruktura działały również wtedy, gdy pojawi się incydent bezpieczeństwa.
Firmy, które już teraz zadbają o procedury, zarządzanie ryzykiem i bezpieczeństwo systemów, zyskają przewagę konkurencyjną i zaufanie partnerów na lata. Traktowanie NIS2 wyłącznie jako obowiązku formalnego narażać będzie na sankcje i utratę pozycji konkurencyjnej. Inwestycja w cyberbezpieczeństwo to inwestycja w odporność operacyjną i długoterminową rentowność biznesu w erze elektromobilności.
Najczęstsze pytania
Ile jednostek sterujących ma nowoczesny samochód elektryczny?
Współczesny pojazd elektryczny może mieć ponad 150 jednostek sterujących (ECU) oraz nawet 200 czujników. Każda z tych jednostek odpowiada za konkretne funkcje, takie jak napęd, hamowanie, klimatyzacja czy systemy bezpieczeństwa, co zwiększa potencjalną powierzchnię ataku.
Co to jest dyrektywa NIS2 i kogo obejmuje?
Dyrektywa NIS2 to unijna regulacja dotycząca cyberbezpieczeństwa, która obejmuje podmioty kluczowe i ważne dla gospodarki. W sektorze mobilności dotyczy producentów pojazdów i baterii, operatorów stacji ładowania, sieci energetycznych, dostawców oprogramowania i usług chmurowych.
Jakie terminy obowiązują dla firm w Polsce w związku z UKSC?
Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) obowiązuje od 3 kwietnia 2026 roku. Podmioty kluczowe muszą się zarejestrować do 3 października 2026 roku, wdrożyć pełne wymogi do 3 kwietnia 2027 roku, a pierwszy obowiązkowy audyt przewidziano na 2028 rok.
Jak szybko trzeba zgłosić incydent bezpieczeństwa?
Firma ma 24 godziny na zgłoszenie wstępne incydentu i 72 godziny na zgłoszenie incydentu poważnego. W niektórych sytuacjach zgłoszenie trafia równolegle także do organu ochrony danych osobowych.
Jakie sankcje grożą firmom za niezastosowanie się do NIS2?
Sankcje mogą sięgać nawet 300 procent wynagrodzenia osób zarządzających. Dodatkowo, dostawca sprzętu lub oprogramowania może zostać uznany za dostawcę wysokiego ryzyka, co skutkuje obowiązkiem wycofania jego produktów z systemów ICT w terminie do 7 lat.
Na podstawie: 300Gospodarka.pl. Tekst opracowany redakcyjnie.