Cyberbezpieczeństwo samochodów elektrycznych: nowe zagrożenia i regulacje
Samochód elektryczny to system z 100 mln linii kodu. Poznaj skalę cyberataków na pojazdy, wymogi dyrektywy NIS2 i jak chroni się nowoczesne auta przed…
Nowoczesny samochód elektryczny to nie tylko środek transportu, lecz złożony system cyfrowy zawierający około 100 milionów linii kodu źródłowego i ponad 150 jednostek sterujących, co czyni go potencjalnym celem cyberataków z zewnątrz. Ta transformacja z maszyny mechanicznej w platformę danych stawia przed branżą mobilności i regulatorami nowe wyzwania związane z bezpieczeństwem cyfrowym.
Skala zagrożenia rośnie lawinowo
Zagrożenie cyberprzestępstwami w sektorze transportu przybiera na sile. Liczba incydentów obsłużonych przez CERT Polska wzrosła dramatycznie — z około 10 tys. w 2020 r. do ponad 260 tys. w 2025 r., czyli wzrost 25-krotny w ciągu zaledwie pięciu lat. Transport należy do sektorów o jednym z najwyższych udziałów odnotowywanych incydentów, obok administracji publicznej i sektora finansowego.
Równocześnie europejski rynek samochodów elektrycznych przeżywa eksplozję wzrostu. Na przestrzeni 8 lat zarejestrowano 8,65 miliona pojazdów elektrycznych w Europie, a tylko w czterech pierwszych miesiącach 2025 r. przybyło ich 747 tys. sztuk (wzrost 80,9% rok do roku). Ta skala wzrostu oznacza, że liczba potencjalnych punktów ataku w infrastrukturze ładowania i systemach zarządzania energią rośnie wykładniczo.
Pojazd elektryczny jako platforma danych
Nowoczesny samochód elektryczny to de facto system pomiarowy. Wyposażony w nawet 200 czujników i kamer nieustannie zbiera dane o otoczeniu, stanie pojazdu, stylu jazdy kierowcy, a także — w coraz większym stopniu — o samym kierowcy i pasażerach. Oprogramowanie pojazdu jest aktualizowane zdalnie (OTA), a stacje ładowania przesyłają dane telemetryczne do backendów co 1–5 sekund.
Skala wymiany danych jest ogromna. W 2025 r. globalne wykorzystanie baterii w pojazdach elektrycznych sięgnęło 1,2 TWh, a na świecie zainstalowano 108 GW nowych magazynów energii. W Unii Europejskiej działa już ponad milion publicznych punktów ładowania połączonych z siecią energetyczną. Liczba sesji ładowania pojazdów elektrycznych w Polsce ma wzrosnąć z 17,8 miliona w 2026 r. do ponad 200 milionów w 2030 r., a każda z nich to wymiana danych między pojazdem, ładowarką, backendem operatora, systemem płatności i siecią energetyczną.
NIS2 i UKSC: nowe standardy cyberbezpieczeństwa
W odpowiedzi na rosnące zagrożenia Unia Europejska wdrożyła dyrektywę NIS2 (Network and Information Security Directive 2), zastępującą wcześniejszą dyrektywę NIS1 z 2016 roku. W Polsce dyrektywa ta została wdrożona poprzez Ustawę o Krajowym Systemie Cyberbezpieczeństwa (UKSC), która obowiązuje od 3 kwietnia 2026 r.
| Element | Termin | Wymogi |
|---|---|---|
| Rejestracja podmiotów | Do 3 października 2026 r. | Operatorzy ładowarek, producenci baterii i pojazdów, dostawcy IT |
| Wdrożenie wymogów | Do 3 kwietnia 2027 r. | Audyty, zarządzanie incydentami, standardy bezpieczeństwa |
| Pierwszy audyt | 2028 r. | Obowiązkowa weryfikacja zgodności |
| Zgłaszanie incydentów | 24-72 godziny | Zgłoszenie wstępne w 24 h, poważne w 72 h |
| Sankcje | Zmienne | Do 300% wynagrodzeń osób zarządzających |
NIS2 to nie tylko regulacja formalna — to fundamentalna zmiana w podejściu do cyberbezpieczeństwa. Po raz pierwszy zarząd firmy, a nie dział IT, odpowiada za wszystkie działania dotyczące zabezpieczenia przed potencjalnymi atakami. Wymogi dotyczące audytów, zarządzania incydentami i standardów bezpieczeństwa są przenoszone na partnerów, dostawców i podwykonawców poprzez klauzule kontraktowe.
Ustawa wprowadza również rygorystyczny reżim zgłaszania incydentów: 24 godziny na zgłoszenie wstępne i 72 godziny na zgłoszenie incydentu poważnego, z możliwym równoległym zgłoszeniem do organu ochrony danych osobowych. Ponadto przewiduje mechanizm uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, co może skutkować obowiązkiem wycofania produktów z systemów ICT w terminie do 7 lat.
Standardy techniczne i normy międzynarodowe
Branża musi dostosować się do już istniejących standardów technicznych, które definiują wymogi bezpieczeństwa:
- Regulamin ONZ nr 155 — dotyczący zarządzania cyberbezpieczeństwem pojazdów
- Norma ISO/SAE 21434 — obejmująca cały cykl życia produktu i zarządzanie ryzykiem cyberbezpieczeństwa
- Norma ISO 15118-20 — zabezpieczająca komunikację między pojazdem a ładowarką
Te standardy definiują wymogi techniczne dla każdego etapu projektowania, produkcji i eksploatacji pojazdu elektrycznego.
Co to oznacza dla producentów i operatorów?
Dyrektywa NIS2 i UKSC nie są jedynie biurokratycznym obowiązkiem — to inwestycja w odporność operacyjną. Firmy, które już teraz zadbają o procedury, zarządzanie ryzykiem i bezpieczeństwo systemów, zyskają przewagę konkurencyjną i zaufanie partnerów na lata.
Dla producentów samochodów elektrycznych oznacza to konieczność rewizji relacji kontraktowych z dostawcami, wdrożenia procedur zarządzania incydentami i dostosowania architektury bezpieczeństwa do nowych standardów. Dla operatorów punktów ładowania — modernizację systemów zarządzania i komunikacji, aby zapewnić bezpieczną wymianę danych z pojazdem i siecią energetyczną.
Warto pamiętać, że 9 na 10 wypadków komunikacyjnych jest spowodowanych błędem człowieka. Autonomizacja pojazdów, która ma ten problem rozwiązać, oznacza jeszcze głębszą zależność od oprogramowania i przetwarzania danych — a tym samym jeszcze wyższe wymagania wobec cyberbezpieczeństwa. To nie jest kwestia wyboru, lecz konieczność adaptacji całej branży do nowej rzeczywistości cyfrowej.
Najczęstsze pytania
Ile linii kodu ma nowoczesny samochód elektryczny?
Nowoczesny pojazd elektryczny zawiera około 100 milionów linii kodu źródłowego, w porównaniu z kilkoma milionami w smartfonie. To złożony system cyfrowy z ponad 150 jednostkami sterującymi, które nieustannie wymieniają dane z siecią.
Jakie są wymogi dyrektywy NIS2 dla producentów samochodów?
NIS2 wymaga całościowego podejścia do bezpieczeństwa cyfrowego, w tym audytów, zarządzania incydentami i standardów bezpieczeństwa. Wymogi są przenoszone na dostawców i podwykonawców poprzez klauzule kontraktowe. Podmioty muszą się zarejestrować do października 2026 r. i wdrożyć pełne wymogi do kwietnia 2027 r.
Jak szybko rośnie liczba cyberataków na pojazdy?
Liczba incydentów obsłużonych przez CERT Polska wzrosła z około 10 tys. w 2020 r. do ponad 260 tys. w 2025 r., czyli około 25-krotnie. Transport należy do sektorów o jednym z najwyższych udziałów ataków, obok administracji publicznej i sektora finansowego.
Jakie dane zbiera nowoczesny samochód elektryczny?
Pojazd wyposażony w nawet 200 czujników i kamer zbiera dane o otoczeniu, stanie pojazdu, stylu jazdy, a także o kierowcy i pasażerach. Stacje ładowania przesyłają dane telemetryczne do backendów co 1–5 sekund.
Jakie są konsekwencje niedostosowania się do NIS2?
Sankcje za niezastosowanie się do wymogów cyberbezpieczeństwa mogą sięgać nawet 300% wynagrodzeń osób zarządzających. Ponadto firma może utracić pozycję konkurencyjną i zaufanie partnerów biznesowych.
Na podstawie: Motofakty. Tekst opracowany redakcyjnie.