Współczesna motoryzacja to już nie tylko mechanika, ale przede wszystkim skomplikowany system cyfrowy. Mamy tu ponad 150 jednostek sterujących, do 200 czujników i bagatela 100 milionów linii kodu źródłowego, a to wszystko stale połączone z siecią. Do 2030 roku po europejskich drogach ma jeździć 70 milionów elektryków, a 95% nowych aut będzie online. Rynek oprogramowania i elektroniki dla motoryzacji to już 462 miliardy dolarów. Widać więc, że cyberbezpieczeństwo staje się absolutnie kluczowe dla całego ekosystemu mobilności.
NIS2 – rewolucja w łańcuchu dostaw
Dyrektywa NIS2 to prawdziwa rewolucja, obejmująca ponad 20 podsektorów nowej mobilności. Od producentów samochodów, baterii i półprzewodników, przez operatorów stacji ładowania i sieci energetycznych, aż po dostawców oprogramowania i usług chmurowych – wszyscy muszą sprostać nowym wymaganiom. Chodzi o zarządzanie ryzykiem, audyty bezpieczeństwa i raportowanie incydentów. Te obowiązki będą przenoszone na dostawców niższego szczebla, integratorów i partnerów technologicznych poprzez klauzule kontraktowe.
W Polsce Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC), wdrażająca NIS2, obowiązuje od 3 kwietnia 2026 roku. Firmy mają czas do 3 października 2026 roku na rejestrację w wykazie podmiotów kluczowych i ważnych, a do 3 kwietnia 2027 roku na wdrożenie wszystkich wymogów ustawy. Pierwszy obowiązkowy audyt czeka nas w 2028 roku.
Rosnące zagrożenia i nowe obowiązki
Liczba cyberataków rośnie w zastraszającym tempie. CERT Polska odnotował wzrost incydentów z około 10 tysięcy w 2020 roku do ponad 260 tysięcy w 2025 roku – to 25-krotny wzrost w ciągu pięciu lat! Transport, obok administracji publicznej i finansów, jest jednym z sektorów najbardziej narażonych na ataki, a jego udział w ogólnej liczbie incydentów stale rośnie.
Wzrost liczby pojazdów elektrycznych i infrastruktury ładowania oznacza też więcej punktów potencjalnego ataku. Liczba sesji ładowania w Polsce ma wzrosnąć z 17,8 miliona w 2026 roku do ponad 200 milionów w 2030 roku. Każda taka sesja to wymiana danych między autem, ładowarką, operatorem, systemem płatności i siecią energetyczną.
Nowe przepisy wprowadzają rygorystyczny reżim zgłaszania incydentów: 24 godziny na zgłoszenie wstępne i 72 godziny na zgłoszenie poważnego incydentu. Co więcej, zarządy firm ponoszą bezpośrednią odpowiedzialność za działania z zakresu cyberbezpieczeństwa. Marian Giersz z Kancelarii DWF podkreśla, że traktowanie NIS2 jako czysto formalnego obowiązku to prosta droga do sankcji i utraty pozycji konkurencyjnej.
Co to oznacza w praktyce?
Firmy muszą zrewidować swoje relacje kontraktowe z dostawcami, wdrożyć procedury zarządzania incydentami i dostosować architekturę bezpieczeństwa do nowych standardów. Ustawa przewiduje nawet mechanizm uznania dostawcy sprzętu lub oprogramowania za podmiot wysokiego ryzyka, co może skutkować koniecznością wycofania jego produktów z systemów ICT w ciągu siedmiu lat. Branża musi również spełniać istniejące standardy techniczne, takie jak Regulamin ONZ nr 155, norma ISO/SAE 21434 oraz ISO 15118-20, zabezpieczająca komunikację między pojazdem a ładowarką.
Automatyzacja pojazdów, mająca rozwiązać problem błędów ludzkich (9 na 10 wypadków to wina człowieka), jeszcze bardziej pogłębia zależność od oprogramowania i przetwarzania danych. To z kolei podnosi poprzeczkę dla cyberbezpieczeństwa. Musimy pamiętać, że nowoczesne auto to platforma danych, a to stawia przed nami pytania o wspólne standardy bezpieczeństwa danych i systemów.
Podsumowując, cyberbezpieczeństwo to już nie dodatek, a fundament, na którym budujemy przyszłość mobilności. Bez solidnych zabezpieczeń cyfrowych nie ma mowy o bezpiecznym i sprawnym ekosystemie nowej mobilności.
Informacja prasowa PSNM
