Współczesny samochód elektryczny to znacznie więcej niż tradycyjny pojazd mechaniczny – to zaawansowany system cyfrowy wyposażony w ponad 150 jednostek sterujących, do 200 czujników i około 100 milionów linii kodu. Taka złożoność sprawia, że staje się on podatny na ataki cybernetyczne, których liczba gwałtownie rośnie. CERT Polska odnotował w 2025 roku ponad 260 tysięcy incydentów cyberbezpieczeństwa, czyli około 25 razy więcej niż pięć lat wcześniej.
Skala zależności cyfrowych w sektorze elektromobilności będzie tylko rosła. Według Polskiego Stowarzyszenia Nowej Mobilności (PSNM), do 2030 roku po europejskich drogach ma jeździć 70 milionów aut elektrycznych, a 95 procent nowych pojazdów będzie stale połączonych z internetem. Pojazdy te funkcjonują jako platformy danych, komunikując się z producentami, infrastrukturą ładowania, systemami płatności i oprogramowaniem w chmurze, co czyni cyberbezpieczeństwo kluczowym warunkiem ich działania.
Złożoność systemów i ryzyko ataków
Nowoczesne samochody elektryczne opierają się na wielu warstwach oprogramowania, półprzewodników, czujników i systemów komunikacji. Elektroniczne jednostki sterujące (ECU) odpowiadają za kluczowe funkcje, takie jak napęd, hamowanie czy systemy bezpieczeństwa. Im więcej takich elementów, tym większa „powierzchnia ataku”, czyli liczba miejsc, przez które cyberprzestępcy mogą próbować zakłócić działanie systemu. Ryzyko dotyczy nie tylko samego pojazdu, ale także ładowarek, aplikacji, serwerów operatorskich, systemów płatności i sieci energetycznych.
Stacje ładowania, przesyłające dane telemetryczne co 1-5 sekund, wymieniają codziennie setki tysięcy komunikatów w standardzie OCPP. W UE funkcjonuje już ponad milion publicznych punktów ładowania, a w Polsce liczba sesji ładowania ma wzrosnąć z 17,8 miliona w 2026 roku do ponad 200 milionów w 2030 roku. Każda taka sesja to wymiana danych, co podkreśla, że cyberbezpieczeństwo w elektromobilności to kwestia obejmująca cały ekosystem, włączając w to magazyny energii i baterie.
Dyrektywa NIS2 i polskie regulacje
Unijna dyrektywa NIS2, dotycząca cyberbezpieczeństwa, nakłada nowe obowiązki na ponad 20 podsektorów nowej mobilności, w tym producentów pojazdów, baterii, półprzewodników, operatorów stacji ładowania oraz dostawców oprogramowania i usług chmurowych. Wymogi te, dotyczące audytów bezpieczeństwa, zarządzania incydentami i raportowania, będą przenoszone na cały łańcuch dostaw.
Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC), wdrażająca NIS2, obowiązuje od 3 kwietnia 2026 roku. Kluczowe podmioty muszą zarejestrować się do 3 października 2026 roku, a pełne wymogi mają być wdrożone do 3 kwietnia 2027 roku. Firmy będą miały 24 godziny na zgłoszenie wstępnego incydentu i 72 godziny na zgłoszenie poważnego. Regulacje wprowadzają też mechanizm uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, co może skutkować wycofaniem jego produktów z użytku.
Najważniejsze fakty
| Aspekt | Opis |
|---|---|
| Incydenty cybernetyczne | Ponad 260 tys. w 2025 roku (CERT Polska), 25-krotny wzrost od 2020 roku. |
| Auta elektryczne 2030 | 70 mln w Europie, 95% nowych pojazdów stale połączonych z internetem (PSNM). |
| Dyrektywa NIS2 | Nowe obowiązki dla ponad 20 podsektorów mobilności, audyty i raportowanie incydentów. |
| Polska UKSC | Obowiązuje od 3 kwietnia 2026, pełne wdrożenie do 3 kwietnia 2027, audyt w 2028. |
Odpowiedzialność zarządu i odporność operacyjna
Nowe przepisy przesuwają odpowiedzialność za cyberbezpieczeństwo z działu IT na zarząd firmy. Kierownictwo musi rozumieć ryzyka, zatwierdzać procedury i odpowiadać za organizację systemu bezpieczeństwa. Aleksander Rajch z PSNM podkreśla, że sankcje za brak cyberbezpieczeństwa mogą sięgać nawet 300 procent wynagrodzenia osób zarządzających. Firmy, które potraktują NIS2 jako inwestycję w odporność operacyjną, zyskają przewagę konkurencyjną. Odporność operacyjna to zdolność firmy do działania mimo awarii czy ataków, co w sektorze mobilności oznacza ciągłość usług ładowania, płatności i transportu.
Wyzwania autonomii i prywatności
Rozwój autonomicznego sterowania pojazdami jeszcze bardziej zwiększy znaczenie cyberbezpieczeństwa. Autonomia oznacza większą zależność od oprogramowania i stałej łączności. Błąd lub atak na system sterujący pojazdem może mieć znacznie poważniejsze konsekwencje niż awaria systemu multimedialnego. Dodatkowo, zbieranie danych o otoczeniu, stanie pojazdu, stylu jazdy, a nawet o kierowcy i pasażerach, rodzi pytania o prywatność. Dyskusje obejmują możliwość wprowadzenia „trybu samolotowego” w samochodach, co pozwoliłoby czasowo ograniczyć zbieranie danych, szczególnie w pobliżu wrażliwej infrastruktury.
Standardy techniczne jako podstawa
Obok NIS2 i UKSC, branża musi stosować się do istniejących standardów technicznych, takich jak Regulamin ONZ nr 155 dotyczący zarządzania cyberbezpieczeństwem pojazdów, norma ISO/SAE 21434 obejmująca cały cykl życia produktu oraz ISO 15118-20, zabezpieczająca komunikację między pojazdem a ładowarką. Cyberbezpieczeństwo musi być uwzględniane już na etapie projektowania, produkcji, aktualizacji oprogramowania i obsługi, aby zapewnić bezpieczeństwo całego ekosystemu elektromobilności.
Źródło: 300Gospodarka, https://300gospodarka.pl/news/cyberbezpieczenstwo-w-elektromobilnosci
Źródła i weryfikacja
Materiał przygotowano jako praktyczną notatkę redakcyjną. Przed decyzjami prawnymi, finansowymi lub urzędowymi sprawdzaj dane w źródle pierwotnym.
- Oficjalne źródła i weryfikacja redakcyjna