Cyberbezpieczeństwo kluczowe dla elektromobilności. NIS2 obejmie cały łańcuch dostaw

Nowoczesne samochody elektryczne coraz bardziej przypominają komputery na kołach. Według ekspertów rynkowych, wraz z rosnącą cyfryzacją transportu cyberbezpieczeństwo staje się jednym z kluczowych wyzwań branży. Dodatkową presję przyniosą przepisy NIS2, które obejmą nie tylko producentów pojazdów i infrastruktury ładowania, ale także dostawców technologii, oprogramowania i usług chmurowych.

Współczesny samochód elektryczny to złożony system cyfrowy wyposażony w ponad 150 jednostek sterujących (ECU), nawet 200 czujników, około 100 mln linii kodu źródłowego oraz stałą łączność z siecią. Według prognoz, do 2030 roku po europejskich drogach będzie poruszać się 70 mln pojazdów elektrycznych, a 95% nowych samochodów będzie stale połączonych z internetem. Jednocześnie wartość rynku oprogramowania i elektroniki dla sektora motoryzacyjnego może wzrosnąć do 462 mld dolarów.

Skala cyfryzacji szybko rośnie. W ciągu ostatnich ośmiu lat w Europie zarejestrowano ponad 8,65 mln samochodów elektrycznych, a tylko w pierwszych czterech miesiącach bieżącego roku ich liczba zwiększyła się o 747 tys. pojazdów, co oznacza wzrost o 80,9% rok do roku.

Eksperci zwracają uwagę, że pojazdy, stacje ładowania i magazyny energii tworzą dziś jeden połączony ekosystem wymieniający dane w czasie rzeczywistym. W UE działa już ponad milion publicznych punktów ładowania, a globalne wykorzystanie baterii w elektromobilności osiągnęło 1,2 TWh. W 2025 roku na świecie zainstalowano również 108 GW nowych magazynów energii.

NIS2 obejmie cały łańcuch dostaw

Nowe obowiązki wynikające z dyrektywy NIS2 obejmą ponad 20 podsektorów nowej mobilności – od producentów pojazdów, baterii i półprzewodników, przez operatorów stacji ładowania i sieci energetycznych, po dostawców oprogramowania, usług chmurowych oraz inteligentnych systemów transportowych.

„Firmy, które potraktują NIS2 wyłącznie jako obowiązek formalny, a nie jako szansę na budowanie realnej odporności operacyjnej, narażają się nie tylko na sankcje, ale również na utratę pozycji konkurencyjnej” – podkreśla Marian Giersz, Counsel w kancelarii DWF.

W Polsce przepisy wdrażające NIS2 obowiązują od 3 kwietnia 2026 roku. Do 3 października 2026 roku podmioty kluczowe i ważne muszą zarejestrować się w odpowiednim rejestrze, a do 3 kwietnia 2027 roku wdrożyć pełne wymagania ustawy. Pierwsze obowiązkowe audyty zaplanowano na 2028 rok.

Nowe regulacje przewidują również rygorystyczne terminy zgłaszania incydentów – 24 godziny na zgłoszenie wstępne i 72 godziny na zgłoszenie incydentu poważnego. Dodatkowo dostawcy sprzętu lub oprogramowania mogą zostać uznani za podmioty wysokiego ryzyka, co w skrajnych przypadkach może oznaczać konieczność wycofania ich produktów z systemów ICT w ciągu maksymalnie siedmiu lat.

Transport coraz częściej celem cyberataków

Skala zagrożeń rośnie bardzo szybko. Liczba incydentów obsłużonych przez CERT Polska wzrosła z około 10 tys. w 2020 roku do ponad 260 tys. w 2025 roku, czyli blisko 25-krotnie w ciągu pięciu lat. Transport znajduje się obecnie wśród sektorów najczęściej dotykanych cyberatakami. Dodatkowo liczba sesji ładowania pojazdów elektrycznych w Polsce ma wzrosnąć z 17,8 mln w 2026 roku do ponad 200 mln w 2030 roku. Każda z nich oznacza wymianę danych pomiędzy pojazdem, ładowarką, operatorem, systemem płatności i siecią energetyczną.

„Współczesny pojazd elektryczny to de facto system cyfrowy. NIS2 i UKSC trzeba więc traktować nie jako biurokratyczny obowiązek, a jako inwestycję w odporność operacyjną – tym bardziej, że nowe przepisy po raz pierwszy stawiają zarząd, a nie dział IT, w centrum odpowiedzialności za cyberbezpieczeństwo, a sankcje za jego brak mogą sięgać nawet 300% wynagrodzenia osób zarządzających. Firmy, które już teraz zadbają o procedury, zarządzanie ryzykiem i bezpieczeństwo systemów, zyskają przewagę konkurencyjną i zaufanie partnerów na lata” – wskazuje Aleksander Rajch, członek zarządu Polskiego Stowarzyszenie Nowej Mobilności.

Autonomiczne auta zwiększą znaczenie ochrony danych

Nowoczesne samochody wykorzystują już nawet 200 czujników i kamer, które nieustannie gromadzą informacje o pojeździe, jego otoczeniu i użytkownikach. Wraz z rozwojem autonomizacji znaczenie tych danych będzie rosło. Przedstawiciele branży przypominają, że nawet 90% wypadków drogowych wynika z błędu człowieka, dlatego rozwój systemów autonomicznych ma potencjał poprawy bezpieczeństwa. Jednocześnie oznacza on jeszcze większą zależność od oprogramowania, czujników i stałej łączności z siecią.

Paulina Uznańska z Ośrodka Studiów Wschodnich wskazuje, że w przyszłości warto rozważyć możliwość czasowego ograniczenia zbierania danych przez pojazd – na wzór trybu samolotowego znanego ze smartfonów. „Taka funkcja mogłaby być szczególnie użyteczna w momencie przyjeżdżania przez samochód w okolicach wrażliwej infrastruktury, w pobliżu której ograniczamy już poruszanie się innych urządzeń zbierających dane, np. dronów. Propozycje takich rozwiązań pojawiają się m.in. w chińskich dokumentach standaryzacyjnych” – stwierdziła.

Zdaniem ekspertów, wraz ze wzrostem liczby pojazdów elektrycznych i autonomicznych kwestia wspólnych standardów cyberbezpieczeństwa oraz ochrony danych stanie się jednym z najważniejszych wyzwań dla całego sektora mobilności.