Strona główna NEWS Samochód elektryczny to już komputer na kołach. A komputer można zaatakować

Samochód elektryczny to już komputer na kołach. A komputer można zaatakować

przez Zespół 300Gospodarki
przez Zespół 300Gospodarki
Cyberbezpieczeństwo, samochody elektryczne, NIS2, elektromobilność, nowe samochody, fot. Pexels/Vladimir Srajber
fot. Pexels/Vladimir Srajber

Współczesny samochód elektryczny może mieć ponad 150 jednostek sterujących, nawet 200 czujników i ok. 100 mln linii kodu. To czyni go podatnym na cyfrowe ataki, które rosną w skali – CERT Polska obsłużył w 2025 roku ponad 260 tys. incydentów cyberbezpieczeństwa, czyli około 25 razy więcej niż w 2020 roku.

Skala zależności cyfrowych rośnie razem z liczbą pojazdów elektrycznych. Według danych przywołanych przez Polskie Stowarzyszenie Nowej Mobilności (PSNM) do 2030 roku po europejskich drogach ma jeździć 70 mln aut elektrycznych, a 95 proc. nowych samochodów będzie stale połączonych z internetem.

Takie pojazdy nie są już wyłącznie maszynami mechanicznymi. Są platformami danych, które komunikują się z producentem, infrastrukturą ładowania, systemami płatności i oprogramowaniem działającym w chmurze. A to oznacza, że cyberbezpieczeństwo staje się warunkiem działania pojazdów i infrastruktury.

Samochód elektryczny staje się systemem cyfrowym

Nowoczesny pojazd elektryczny działa dzięki wielu warstwom oprogramowania, półprzewodników, czujników i systemów komunikacji. ECU, czyli elektroniczna jednostka sterująca, odpowiada za konkretne funkcje auta, np. pracę napędu, układ hamowania, klimatyzację lub systemy bezpieczeństwa.

Im więcej takich elementów, tym większa powierzchnia potencjalnego ataku – więcej miejsc, przez które ktoś może próbować dostać się do systemu albo zakłócić jego działanie. W przypadku nowej mobilności chodzi nie tylko o samochód, lecz także o ładowarki, aplikacje, serwery operatorów, systemy płatności i sieci energetyczne.

Stacje ładowania przesyłają dane telemetryczne do systemów backendowych nawet co 1-5 sekund. Backend to zaplecze informatyczne usługi, niewidoczne dla użytkownika, ale konieczne do jej działania. Takie systemy codziennie wymieniają setki tysięcy komunikatów w standardzie OCPP, czyli protokole komunikacji między punktem ładowania a systemem operatora.

Polecamy również: Regularnie serwisujesz auto? Przy sprzedaży możesz zyskać nawet 17 proc.

W Unii Europejskiej działa już ponad milion publicznych punktów ładowania połączonych z siecią energetyczną. Według PSNM liczba sesji ładowania pojazdów elektrycznych w Polsce ma wzrosnąć z 17,8 mln w 2026 roku do ponad 200 mln w 2030 roku.

Każda taka sesja oznacza wymianę danych między pojazdem, ładowarką, systemem operatora, systemem płatności i siecią energetyczną. To pokazuje, dlaczego cyberbezpieczeństwo w elektromobilności nie dotyczy tylko samego samochodu.

W tle jest też rozwój magazynów energii i baterii. W 2025 roku globalne wykorzystanie baterii w pojazdach elektrycznych sięgnęło 1,2 TWh, a na świecie zainstalowano 108 GW nowych magazynów energii. Te elementy również stają się częścią cyfrowego ekosystemu energetyki i transportu.

NIS2 obejmie więcej niż producentów aut

Dyrektywa NIS2, czyli unijna regulacja dotycząca cyberbezpieczeństwa, nakłada nowe obowiązki na podmioty kluczowe i ważne dla gospodarki oraz państwa. Według PSNM dyrektywa obejmuje ponad 20 podsektorów nowej mobilności. Chodzi m.in. o producentów pojazdów, baterii i półprzewodników, operatorów stacji ładowania, sieci energetyczne, dostawców oprogramowania, usług chmurowych oraz inteligentnych systemów transportowych.

Znaczenie regulacji wykracza poza firmy bezpośrednio objęte przepisami. Wymogi dotyczące audytów bezpieczeństwa, zarządzania incydentami, ciągłości działania i raportowania będą przenoszone dalej w łańcuchu dostaw, np. na dostawców, integratorów i podwykonawców.

– NIS2 to regulacja, która wymaga od firm sektora mobilności, całościowego podejścia do bezpieczeństwa cyfrowego. Wymagania będą przenoszone w głąb łańcucha dostaw – poprzez umowy, klauzule bezpieczeństwa i obowiązki raportowania incydentów. To oznacza konieczność rewizji relacji kontraktowych z dostawcami, wdrożenia procedur zarządzania incydentami i dostosowania architektury bezpieczeństwa do nowych standardów – mówi Marian Giersz, Councel w Kancelarii DWF.

Jak dodaje, dla firm to szansa na budowanie odporności operacyjnej, a te, które potraktują NIS2 wyłącznie jako obowiązek formalny, narażą się na sankcje i utratę pozycji konkurencyjnej.

Firmy mają terminy na dostosowanie

Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC), wdrażająca dyrektywę NIS2, obowiązuje od 3 kwietnia 2026 roku. Do 3 października 2026 roku podmioty kluczowe i ważne muszą zarejestrować się w odpowiednim rejestrze. Pełne wymogi ustawy mają zostać wdrożone do 3 kwietnia 2027 roku, a pierwszy obowiązkowy audyt przewidziano na 2028 rok.

Nowe przepisy wprowadzają też szybkie terminy raportowania incydentów. Firma ma 24 godziny na zgłoszenie wstępne i 72 godziny na zgłoszenie incydentu poważnego. W niektórych sytuacjach zgłoszenie może trafić równolegle także do organu ochrony danych osobowych.

Regulacje przewidują również mechanizm uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Skutkiem takiej decyzji może być obowiązek wycofania jego produktów z systemów informacyjno-komunikacyjnych (ICT) w terminie do 7 lat.

Odpowiada zarząd, nie tylko dział IT

Nowe przepisy zmieniają też odpowiedzialność w firmach. Cyberbezpieczeństwo ma być nie tylko zadaniem technicznym, ale także tematem zarządczym. Oznacza to, że kierownictwo firmy powinno rozumieć ryzyka, zatwierdzać procedury i odpowiadać za organizację systemu bezpieczeństwa. Ekspert Kancelarii DWF tłumaczy, że dyrektywa wskazuje zarząd jako jednostkę odpowiedzialną za wszystkie działania dotyczące zabezpieczenia przed potencjalnymi atakami.

– Współczesny pojazd elektryczny to de facto system cyfrowy – ponad 150 jednostek sterujących, sto milionów linii kodu i stała komunikacja z siecią. Ta sama logika dotyczy stacji ładowania, magazynów energii czy infrastruktury energetycznej, które dziś nieprzerwanie wymieniają dane w czasie rzeczywistym. NIS2 i UKSC trzeba więc traktować nie jako biurokratyczny obowiązek, a jako inwestycję w odporność operacyjną – tym bardziej że nowe przepisy po raz pierwszy stawiają zarząd, a nie dział IT, w centrum odpowiedzialności za cyberbezpieczeństwo, a sankcje za jego brak mogą sięgać nawet 300 proc. wynagrodzenia osób zarządzających. Firmy, które już teraz zadbają o procedury, zarządzanie ryzykiem i bezpieczeństwo systemów, zyskają przewagę konkurencyjną i zaufanie partnerów na lata – mówi Aleksander Rajch, członek zarządu Polskiego Stowarzyszenia Nowej Mobilności.

Odporność operacyjna oznacza zdolność firmy do działania mimo awarii, ataku, zakłócenia dostaw albo innego kryzysu. W sektorze mobilności chodzi m.in. o to, aby usługi ładowania, systemy płatności, pojazdy i infrastruktura działały także wtedy, gdy pojawi się incydent.

Autonomia zwiększa stawkę

Cyberbezpieczeństwo będzie jeszcze ważniejsze wraz z rozwojem autonomicznego sterowania pojazdami. Według danych branżowych nawet 9 na 10 wypadków komunikacyjnych wynika z błędu człowieka. Automatyzacja jazdy ma w długim terminie ograniczać to ryzyko.

Jednak większa autonomia oznacza większą zależność od oprogramowania, czujników i stałej łączności. Błąd albo atak na system odpowiedzialny za sterowanie pojazdem ma inną wagę niż awaria systemu multimedialnego. Dlatego producenci i regulatorzy muszą ustalać priorytety zabezpieczeń dla różnych warstw pojazdu.

Czy auta potrzebują „trybu samolotowego”?

Nowoczesne auta zbierają dane o otoczeniu, stanie pojazdu, stylu jazdy, a często również o kierowcy i pasażerach. To rodzi pytania nie tylko o bezpieczeństwo, ale też o prywatność.

Jednym z kierunków dyskusji jest możliwość czasowego ograniczenia zbierania danych przez pojazd. To mogłoby działać podobnie do trybu samolotowego w smartfonie, ale w praktyce jego zastosowanie w samochodzie byłoby znacznie bardziej złożone.

– […] Taka funkcja mogłaby być szczególnie użyteczna w momencie przejeżdżania przez samochód w okolicach wrażliwej infrastruktury, w pobliżu której ograniczamy już poruszanie się innych urządzeń zbierających dane, np. dronów. Propozycje takich rozwiązań pojawiają się m.in. w chińskich dokumentach standaryzacyjnych. To jeden z kierunków, który warto rozważyć w dyskusji o standardach cyberbezpieczeństwa i prywatności w nowej mobilności – mówi Paulina Uznańska, zastępczyni kierownika w  Zespole Chińskim w Ośrodku Studiów Wschodnich.

Wrażliwa infrastruktura to m.in. obiekty energetyczne, wojskowe, transportowe lub telekomunikacyjne, których zakłócenie mogłoby zagrozić bezpieczeństwu państwa albo obywateli. Im więcej urządzeń zbiera dane w ich pobliżu, tym większe znaczenie ma kontrola nad tym, co dokładnie jest rejestrowane i przesyłane.

Standardy techniczne już istnieją

Branża musi dostosować się nie tylko do NIS2 i polskiej ustawy. Ważne są także istniejące standardy techniczne. Chodzi m.in. o Regulamin ONZ nr 155 dotyczący zarządzania cyberbezpieczeństwem pojazdów, normę ISO/SAE 21434 obejmującą cały cykl życia produktu oraz ISO 15118-20, która zabezpiecza komunikację między pojazdem a ładowarką.

Standardy te mają znaczenie praktyczne, ponieważ cyberbezpieczeństwo nie zaczyna się dopiero po sprzedaży auta albo uruchomieniu ładowarki. Powinno być uwzględniane już na etapie projektowania, produkcji, aktualizacji oprogramowania, obsługi i wycofywania systemów z użycia.

To szczególnie ważne w łańcuchu dostaw. Jeśli jedna firma nie spełnia wymagań, może stać się słabym punktem dla większego systemu. W sektorze nowej mobilności takim systemem jest cały ekosystem: pojazdy, ładowarki, operatorzy, dostawcy IT, energetyka i użytkownicy.

Cyberbezpieczeństwo w elektromobilności stanie się warunkiem konkurencyjności

Rosnąca liczba cyberincydentów, rozwój elektromobilności i nowe przepisy sprawiają, że bezpieczeństwo systemów staje się jednym z podstawowych warunków działania sektora. Firmy będą musiały inwestować nie tylko w technologię, ale też w procedury, audyty, zarządzanie ryzykiem i szybkie raportowanie incydentów.

Tylko od przedsiębiorców zależy, czy będzie to dla nich koszt i obowiązek regulacyjny, czy źródło przewagi konkurencyjnej. Jeśli kody, dane i połączenia sieciowe nie będą odpowiednio zabezpieczone, problemy cybernetyczne mogą szybko przełożyć się na zakłócenia w transporcie, energetyce i usługach dla kierowców.

Przeczytaj również:

Zespół 300Gospodarki

Powiązane artykuły

Fiskus rzadziej przychodzi na kontrolę. Dane podatników sprawdza zza biurka

Lokaty na krótko wygrywają. Inflacja zmieniła podejście do oszczędzania

Pieniądze są w kontraktach, a nie na koncie. Firmy budowlane znają ten problem aż za dobrze

Płatności odroczone mówią więcej o portfelach Polaków, niż się wydaje

Koszty energii i regulacje duszą europejski przemysł chemiczny. Stawką jest niezależność UE

Boom na pompy ciepła minął. Teraz wychodzą błędy, które podbijają rachunki

Co trzeci Polak wolałby świat bez social mediów. Wśród młodych ten wynik jest jeszcze wyższy

Kredyt tak, ale nie za wszelką cenę. Młodzi zmieniają reguły rynku mieszkań

Kawa tanieje na giełdach, ale nie na półkach. Konsumenci muszą poczekać

Nie inwestują, choć chcą. Największa bariera często siedzi w głowie, nie w portfelu

Subscribe
Powiadom o
0 komentarzy
Inline Feedbacks
Wyświetl wszystkie komentarze
0
Skomentuj artykułx