Cyberbezpieczeństwo aut elektrycznych: nowe przepisy NIS2 a zagrożenia
Samochody elektryczne mają 100 mln linii kodu. Dyrektywa NIS2 wymaga od producentów i operatorów ładowarek nowych standardów bezpieczeństwa.
Nowoczesny samochód elektryczny to de facto system cyfrowy zawierający 100 milionów linii kodu, a nie tylko środek transportu – ta fundamentalna transformacja z maszyny mechanicznej w złożoną platformę danych stawia przed całą branżą i regulatorami nowe wyzwania związane z cyberbezpieczeństwem.
Pojazd elektryczny jako system cyfrowy – skala zagrożenia
Współczesne auto elektryczne zawiera ponad 150 jednostek sterujących, tysiące półprzewodników i układów scalonych, a jego oprogramowanie jest aktualizowane zdalnie (OTA). Każdy pojazd wyposażony jest w nawet 200 czujników i kamer, które nieustannie zbierają dane o otoczeniu, stanie pojazdu, stylu jazdy, a często także o kierowcy i pasażerach. Ta sama logika dotyczy całej infrastruktury: stacje ładowania przesyłają dane telemetryczne do backendów co 1–5 sekund, codziennie wymieniając setki tysięcy komunikatów w strukturze Open Charge Point Protocol (OCPP).
Skala połączeń rośnie lawinowo. W Europie na przestrzeni 8 lat zarejestrowano 8 650 488 samochodów elektrycznych, a tylko w ciągu czterech miesięcy 2025 r. przybyło ich 747 159 sztuk (wzrost rok do roku o 80,9%). W UE działa już ponad milion publicznych punktów ładowania połączonych z siecią energetyczną. W Polsce liczba sesji ładowania pojazdów elektrycznych ma wzrosnąć z 17,8 mln w 2026 r. do ponad 200 mln w 2030 r. – każda z nich to wymiana danych między pojazdem, ładowarką, backendem operatora, systemem płatności i siecią energetyczną.
Liczba cyberataków na transport rośnie 25-krotnie
Incydenty bezpieczeństwa cybernetycznego obsłużone przez CERT Polska wzrosły z około 10 tys. w 2020 r. do ponad 260 tys. w 2025 r., czyli około 25-krotnie w ciągu pięciu lat. Według danych ENISA (Europejskiej Agencji Bezpieczeństwa Sieci i Informacji) transport należy do sektorów o jednym z najwyższych udziałów odnotowywanych incydentów, obok administracji publicznej i sektora finansowego, a jego udział w ogólnej liczbie ataków systematycznie rośnie.
Problem pogłębia się wraz z postępującą autonomizacją pojazdów. Choć 9 na 10 wypadków komunikacyjnych jest spowodowanych błędem człowieka, a autonomizacja ma ten problem rozwiązać, oznacza ona jeszcze głębszą zależność od oprogramowania i przetwarzania danych – a tym samym jeszcze wyższe wymagania wobec cyberbezpieczeństwa. Przeciętny kierowca często nie zdaje sobie sprawy, w jakim stopniu jego nowoczesny samochód jest podatny na cyfrowe ataki z zewnątrz, a coraz częściej sam decyduje o tym, że ktoś będzie go śledzić lub kontrolować jego dane.
Dyrektywa NIS2 i ustawa UKSC – nowe standardy prawne
Wdrożenie dyrektywy NIS2 (zastępującej dyrektywę NIS1 z 2016 r.) niesie ze sobą konsekwencje prawne wykraczające daleko poza podmioty bezpośrednio objęte regulacją. Wymagania dotyczące audytów, zarządzania incydentami, standardów bezpieczeństwa i ciągłości działania będą przenoszone na partnerów, dostawców i podwykonawców poprzez klauzule kontraktowe.
W Polsce dyrektywa NIS2 wdrażana jest poprzez ustawę o Krajowym Systemie Cyberbezpieczeństwa (UKSC), która obowiązuje od 3 kwietnia 2026 r. Do tego dnia podmioty kluczowe i ważne – w tym operatorzy punktów ładowania, producenci baterii i pojazdów oraz dostawcy usług IT i chmury obliczeniowej – muszą się przygotować na znaczące zmiany:
| Etap wdrożenia | Data | Obowiązek |
|---|---|---|
| Wejście w życie UKSC | 3 kwietnia 2026 r. | Początek obowiązywania ustawy |
| Rejestracja podmiotów | do 3 października 2026 r. | Podmioty kluczowe i ważne muszą zarejestrować się w rejestrze |
| Wdrożenie wymogów | do 3 kwietnia 2027 r. | Pełne wdrożenie standardów bezpieczeństwa |
| Pierwszy audyt | 2028 r. | Obowiązkowy audyt bezpieczeństwa |
Rygorystyczny reżim zgłaszania incydentów
Nowe przepisy wprowadzają rygorystyczny reżim zgłaszania incydentów cybernetycznych. Firmy mają 24 godziny na zgłoszenie wstępne i 72 godziny na zgłoszenie poważnego incydentu, z możliwością równoległego zgłoszenia do organu ochrony danych osobowych. Ustawa przewiduje również mechanizm uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka – konsekwencją wydania takiej decyzji może być obowiązek wycofania produktów dostawcy z systemów ICT w terminie do 7 lat.
Branża musi również dostosować się do już istniejących standardów technicznych: Regulaminu ONZ nr 155 dotyczącego zarządzania cyberbezpieczeństwem pojazdów, normy ISO/SAE 21434 obejmującej cały cykl życia produktu oraz ISO 15118-20 zabezpieczającej komunikację między pojazdem i ładowarką.
Co to oznacza dla branży i kierowców
Dyrektywa NIS2 i ustawa UKSC nie są wyłącznie biurokratycznym obowiązkiem – stanowią inwestycję w odporność operacyjną całej branży mobilności. Po raz pierwszy przepisy stawiają zarząd, a nie dział IT, w centrum odpowiedzialności za cyberbezpieczeństwo. Sankcje za niezastosowanie się mogą sięgać nawet 300% wynagrodzenia osób zarządzających firmą.
Firmy, które już teraz zadbają o procedury, zarządzanie ryzykiem i bezpieczeństwo systemów, zyskają przewagę konkurencyjną i zaufanie partnerów na lata. Dla kierowców oznacza to, że pojazdy będą bezpieczniejsze, a infrastruktura ładowania bardziej odporna na ataki. Jednak wymaga to kompleksowego podejścia – od producentów aut po operatorów stacji ładowania i dostawców usług chmurowych – wszyscy muszą pracować nad wspólnymi standardami bezpieczeństwa danych i systemów.
Wymagania będą przenoszone w głąb łańcucha dostaw poprzez umowy, klauzule bezpieczeństwa i obowiązki raportowania incydentów. To oznacza konieczność rewizji relacji kontraktowych z dostawcami, wdrożenia procedur zarządzania incydentami i dostosowania architektury bezpieczeństwa do nowych standardów. Firmy, które potraktują NIS2 wyłącznie jako obowiązek formalny, narażają się nie tylko na sankcje, ale również na utratę pozycji konkurencyjnej w szybko rozwijającym się sektorze mobilności elektrycznej.
Najczęstsze pytania
Co to jest dyrektywa NIS2 i jak wpływa na producentów samochodów elektrycznych?
NIS2 to europejska dyrektywa dotycząca cyberbezpieczeństwa infrastruktury krytycznej, zastępująca NIS1 z 2016 r. Wymaga od producentów aut, operatorów ładowarek i dostawców baterii wdrożenia standardów bezpieczeństwa cyfrowego, audytów oraz procedur zgłaszania incydentów. W Polsce obowiązuje od 3 kwietnia 2026 r. jako ustawa UKSC.
Jakie są terminy wdrożenia UKSC dla operatorów ładowarek i producentów?
Podmioty kluczowe i ważne muszą zarejestrować się w rejestrze do 3 października 2026 r., a wdrożyć pełne wymogi ustawy do 3 kwietnia 2027 r. Obowiązkowy pierwszy audyt zaplanowany jest na 2028 r.
Ile linii kodu ma nowoczesny samochód elektryczny i dlaczego to ważne?
Nowoczesny samochód elektryczny zawiera około 100 milionów linii kodu (w porównaniu z kilkoma milionami w smartfonie), co czyni go złożonym systemem cyfrowym podatnym na cyberataki. Zawiera ponad 150 jednostek sterujących i stale komunikuje się z siecią, infrastrukturą ładowania i backendem operatora.
Jakie są konsekwencje niezastosowania się do wymogów NIS2/UKSC?
Sankcje mogą sięgać 300% wynagrodzenia osób zarządzających firmą. Dodatkowo, dostawcy mogą być uznani za dostawców wysokiego ryzyka, co skutkuje obowiązkiem wycofania ich produktów z systemów ICT w terminie do 7 lat.
Ile czasu mam na zgłoszenie incydentu cyberbezpieczeństwa?
Nowe przepisy wymagają zgłoszenia wstępnego w ciągu 24 godzin i zgłoszenia poważnego incydentu w ciągu 72 godzin do właściwych organów, z możliwością równoległego zgłoszenia do organu ochrony danych osobowych.
Na podstawie: Motofakty. Tekst opracowany redakcyjnie.