Coraz bardziej oczujnikowane i połączone z siecią pojazdy stają się ważnym elementem dyskusji o cyberbezpieczeństwie i prywatności w transporcie. A samochód elektryczny stawia szczególne pytania o wspólne standardy bezpieczeństwa danych.
Współczesny „elektryk” to ponad 150 jednostek sterujących (ECU), nawet 200 czujników, 100 milionów linii kodu źródłowego i stała łączność z siecią. Do 2030 r. po europejskich drogach będzie jeździć 70 mln pojazdów elektrycznych, a 95% nowych aut będzie na stałe połączonych z Internetem. Rynek software’u i elektroniki dla sektora automotive może osiągnąć wartość 462 mld USD. Skala cyfrowych zależności sprawia, że cyberbezpieczeństwo staje się warunkiem funkcjonowania całego ekosystemu mobilności.
Dyrektywa NIS2 obejmuje ponad 20 podsektorów nowej mobilności – od producentów pojazdów, baterii i półprzewodników, przez operatorów stacji ładowania i sieci energetyczne, po dostawców oprogramowania, usług chmurowych i inteligentnych systemów transportowych. Wymagania dotyczące zarządzania ryzykiem, audytów bezpieczeństwa i raportowania incydentów będą przenoszone w głąb łańcucha dostaw – na dostawców Tier 1 i Tier 2, integratorów i partnerów technologicznych. Rośnie też udział nowych, mocno ucyfrowionych aut na europejskim rynku – w Europie na przestrzeni 8 lat zarejestrowano 8 650 488 samochodów elektrycznych, a tylko na przestrzeni czterech miesięcy bieżącego roku przybyło ich 747 159 sztuk (80,9% wzrost rok do roku). Ta skala cały czas się rośnie, a nowoczesne pojazdy stają się coraz bardziej oczujnikowanymi platformami danych, co stawia przed całą branżą i regulatorami pytania o wspólne standardy bezpieczeństwa danych i systemów.
Z maszyny mechanicznej w złożony system cyfrowy. Nowoczesne auto opiera się na tysiącach półprzewodników i układach scalonych, a jego oprogramowanie jest aktualizowane zdalnie (OTA). Stacje ładowania przesyłają dane telemetryczne do backendów co 1–5 sekund, codziennie wymieniając setki tysięcy komunikatów w strukturze Open Charge Point Protocol (OCPP). W 2025 r. globalne wykorzystanie baterii w pojazdach elektrycznych sięgnęło 1,2 TWh, a na świecie zainstalowano 108 GW nowych magazynów energii. W UE działa już ponad milion publicznych punktów ładowania połączonych z siecią energetyczną. Skala połączeń rośnie – a wraz z nią powierzchnia potencjalnego ataku.
Wdrożenie dyrektywy NIS2 – zastępującej dyrektywę NIS1 przyjętej w 2016 roku – niesie ze sobą konsekwencje prawne wykraczające daleko poza podmioty bezpośrednio objęte regulacją. Wymagania dotyczące audytów, zarządzania incydentami, standardów bezpieczeństwa i ciągłości działania będą przenoszone na partnerów, dostawców i podwykonawców poprzez klauzule kontraktowe. Warto przy tym pamiętać: 9 na 10 wypadków komunikacyjnych jest spowodowanych błędem człowieka. Autonomizacja pojazdów, która ma ten problem rozwiązać, oznacza jeszcze głębszą zależność od oprogramowania i przetwarzania danych – a tym samym jeszcze wyższe wymagania wobec cyberbezpieczeństwa.
- NIS2 to regulacja, która wymaga od firm sektora mobilności, całościowego podejścia do bezpieczeństwa cyfrowego. Wymagania będą przenoszone w głąb łańcucha dostaw – poprzez umowy, klauzule bezpieczeństwa i obowiązki raportowania incydentów. To oznacza konieczność rewizji relacji kontraktowych z dostawcami, wdrożenia procedur zarządzania incydentami i dostosowania architektury bezpieczeństwa do nowych standardów. Firmy, które potraktują NIS2 wyłącznie jako obowiązek formalny, a nie jako szansę na budowanie realnej odporności operacyjnej, narażają się nie tylko na sankcje, ale również na utratę pozycji konkurencyjnej. Należy również pamiętać, że dyrektywa znacząco zmienia odpowiedzialność wewnątrz firm, wskazując zarząd jako jednostkę odpowiedzialną za wszystkie działania dotyczące zabezpieczenia przed potencjalnymi atakami - wskazuje Marian Giersz, Councel w Kancelarii DWF.
Cyberbezpieczeństwo jako fundament ekosystemu mobilności
Skala zagrożeń rośnie lawinowo – liczba incydentów obsłużonych przez CERT Polska wzrosła z około 10 tys. w 2020 r. do ponad 260 tys. w 2025 r., czyli około 25-krotnie w ciągu pięciu lat. Według danych ENISA transport należy do sektorów o jednym z najwyższych udziałów odnotowywanych incydentów, obok administracji publicznej i sektora finansowego, a jego udział w ogólnej liczbie ataków systematycznie rośnie. Rośnie też skala cyfrowych połączeń, które trzeba zabezpieczyć: liczba sesji ładowania pojazdów elektrycznych w Polsce ma wzrosnąć z 17,8 mln w 2026 r. do ponad 200 mln w 2030 r., a każda z nich to wymiana danych między pojazdem, ładowarką, backendem operatora, systemem płatności i siecią energetyczną.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC), wdrażająca w Polsce dyrektywę NIS2, obowiązuje od 3 kwietnia 2026 r. Do 3 października 2026 r. podmioty kluczowe i ważne – w tym operatorzy punktów ładowania, producenci baterii i pojazdów oraz dostawcy usług IT i chmury obliczeniowej – muszą zarejestrować się w rejestrze podmiotów kluczowych i ważnych, a do 3 kwietnia 2027 r. wdrożyć pełne wymogi ustawy, z obowiązkowym pierwszym audytem w 2028 r. Nowe przepisy wprowadzają rygorystyczny reżim zgłaszania incydentów – 24 godziny na zgłoszenie wstępne i 72 godziny na zgłoszenie incydentu poważnego, z możliwym równoległym zgłoszeniem do organu ochrony danych osobowych. Ustawa przewiduje również mechanizm uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Konsekwencją wydania takiej decyzji może być obowiązek wycofania produktów dostawcy z systemów ICT w terminie do 7 lat. Branża musi się też odnieść do już istniejących standardów technicznych: m.in. Regulaminu ONZ nr 155 dotyczącego zarządzania cyberbezpieczeństwem pojazdów, normy ISO/SAE 21434 obejmującej cały cykl życia produktu oraz ISO 15118-20 zabezpieczającej komunikację między pojazdem i ładowarką.
Komentarze (0)