• Współczesny samochód elektryczny to złożony system cyfrowy – ponad 150 jednostek sterujących (ECU), nawet 200 czujników, 100 milionów linii kodu źródłowego i stała łączność z siecią. Do 2030 r. po europejskich drogach będzie jeździć 70 mln pojazdów elektrycznych, a 95% nowych aut będzie na stałe połączonych z Internetem. Rynek software’u i elektroniki dla sektora automotive może osiągnąć wartość 462 mld USD. Skala cyfrowych zależności sprawia, że cyberbezpieczeństwo staje się warunkiem funkcjonowania całego ekosystemu mobilności.

• Dyrektywa NIS2 obejmuje ponad 20 podsektorów nowej mobilności – od producentów pojazdów, baterii i półprzewodników, przez operatorów stacji ładowania i sieci energetyczne, po dostawców oprogramowania, usług chmurowych i inteligentnych systemów transportowych. Wymagania dotyczące zarządzania ryzykiem, audytów bezpieczeństwa i raportowania incydentów będą przenoszone w głąb łańcucha dostaw – na dostawców Tier 1 i Tier 2, integratorów i partnerów technologicznych.

• Rośnie też udział nowych, mocno ucyfrowionych aut na europejskim rynku – w Europie na przestrzeni 8 lat zarejestrowano 8 650 488 samochodów elektrycznych, a tylko na przestrzeni czterech miesięcy bieżącego roku przybyło ich 747 159 sztuk (80,9% wzrost rok do roku). Ta skala cały czas się rośnie, a nowoczesne pojazdy stają się coraz bardziej oczujnikowanymi platformami danych, co stawia przed całą branżą i regulatorami pytania o wspólne standardy bezpieczeństwa danych i systemów.

NIS2 w łańcuchu dostaw: nowe wymagania prawne

Pojazd elektryczny przeszedł fundamentalną transformację – z maszyny mechanicznej w złożony system cyfrowy. Nowoczesne auto opiera się na tysiącach półprzewodników i układach scalonych, a jego oprogramowanie jest aktualizowane zdalnie (OTA). Stacje ładowania przesyłają dane telemetryczne do backendów co 1–5 sekund, codziennie wymieniając setki tysięcy komunikatów w strukturze Open Charge Point Protocol (OCPP). W 2025 r. globalne wykorzystanie baterii w pojazdach elektrycznych sięgnęło 1,2 TWh, a na świecie zainstalowano 108 GW nowych magazynów energii. W UE działa już ponad milion publicznych punktów ładowania połączonych z siecią energetyczną. Skala połączeń rośnie – a wraz z nią powierzchnia potencjalnego ataku.

Wdrożenie dyrektywy NIS2 – zastępującej dyrektywę NIS1 przyjętej w 2016 roku – niesie ze sobą konsekwencje prawne wykraczające daleko poza podmioty bezpośrednio objęte regulacją. Wymagania dotyczące audytów, zarządzania incydentami, standardów bezpieczeństwa i ciągłości działania będą przenoszone na partnerów, dostawców i podwykonawców poprzez klauzule kontraktowe. Warto przy tym pamiętać: 9 na 10 wypadków komunikacyjnych jest spowodowanych błędem człowieka. Autonomizacja pojazdów, która ma ten problem rozwiązać, oznacza jeszcze głębszą zależność od oprogramowania i przetwarzania danych – a tym samym jeszcze wyższe wymagania wobec cyberbezpieczeństwa.

„NIS2 to regulacja, która wymaga od firm sektora mobilności, całościowego podejścia do bezpieczeństwa cyfrowego. Wymagania będą przenoszone w głąb łańcucha dostaw – poprzez umowy, klauzule bezpieczeństwa i obowiązki raportowania incydentów. To oznacza konieczność rewizji relacji kontraktowych z dostawcami, wdrożenia procedur zarządzania incydentami i dostosowania architektury bezpieczeństwa do nowych standardów. Firmy, które potraktują NIS2 wyłącznie jako obowiązek formalny, a nie jako szansę na budowanie realnej odporności operacyjnej, narażają się nie tylko na sankcje, ale również na utratę pozycji konkurencyjnej. Należy również pamiętać, że dyrektywa znacząco zmienia odpowiedzialność wewnątrz firm, wskazując zarząd jako jednostkę odpowiedzialną za wszystkie działania dotyczące zabezpieczenia przed potencjalnymi atakami – wskazuje Marian Giersz, Councel w Kancelarii DWF.

Cyberbezpieczeństwo jako fundament ekosystemu mobilności

Skala zagrożeń rośnie lawinowo – liczba incydentów obsłużonych przez CERT Polska wzrosła z około 10 tys. w 2020 r. do ponad 260 tys. w 2025 r., czyli około 25-krotnie w ciągu pięciu lat. Według danych ENISA transport należy do sektorów o jednym z najwyższych udziałów odnotowywanych incydentów, obok administracji publicznej i sektora finansowego, a jego udział w ogólnej liczbie ataków systematycznie rośnie. Rośnie też skala cyfrowych połączeń, które trzeba zabezpieczyć: liczba sesji ładowania pojazdów elektrycznych w Polsce ma wzrosnąć z 17,8 mln w 2026 r. do ponad 200 mln w 2030 r., a każda z nich to wymiana danych między pojazdem, ładowarką, backendem operatora, systemem płatności i siecią energetyczną.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC), wdrażająca w Polsce dyrektywę NIS2, obowiązuje od 3 kwietnia 2026 r. Do 3 października 2026 r. podmioty kluczowe i ważne – w tym operatorzy punktów ładowania, producenci baterii i pojazdów oraz dostawcy usług IT i chmury obliczeniowej – muszą zarejestrować się w rejestrze podmiotów kluczowych i ważnych, a do 3 kwietnia 2027 r. wdrożyć pełne wymogi ustawy, z obowiązkowym pierwszym audytem w 2028 r. Nowe przepisy wprowadzają rygorystyczny reżim zgłaszania incydentów – 24 godziny na zgłoszenie wstępne i 72 godziny na zgłoszenie incydentu poważnego, z możliwym równoległym zgłoszeniem do organu ochrony danych osobowych. Ustawa przewiduje również mechanizm uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Konsekwencją wydania takiej decyzji może być obowiązek wycofania produktów dostawcy z systemów ICT w terminie do 7 lat. Branża musi się też odnieść do już istniejących standardów technicznych: m.in. Regulaminu ONZ nr 155 dotyczącego zarządzania cyberbezpieczeństwem pojazdów, normy ISO/SAE 21434 obejmującej cały cykl życia produktu oraz ISO 15118-20 zabezpieczającej komunikację między pojazdem i ładowarką.

„Współczesny pojazd elektryczny to de facto system cyfrowy – ponad 150 jednostek sterujących, sto milionów linii kodu i stała komunikacja z siecią. Ta sama logika dotyczy stacji ładowania, magazynów energii czy infrastruktury energetycznej, które dziś nieprzerwanie wymieniają dane w czasie rzeczywistym. NIS2 i UKSC trzeba więc traktować nie jako biurokratyczny obowiązek, a jako inwestycję w odporność operacyjną – tym bardziej, że nowe przepisy po raz pierwszy stawiają zarząd, a nie dział IT, w centrum odpowiedzialności za cyberbezpieczeństwo, a sankcje za jego brak mogą sięgać nawet 300% wynagrodzenia osób zarządzających. Firmy, które już teraz zadbają o procedury, zarządzanie ryzykiem i bezpieczeństwo systemów, zyskają przewagę konkurencyjną i zaufanie partnerów na lata” – mówi Aleksander Rajch, Członek Zarządu, Polskie Stowarzyszenie Nowej Mobilności (PSNM).

Coraz więcej czujników, coraz większa odpowiedzialność – wyzwanie autonomii

Nowoczesny samochód to dziś nie tylko środek transportu, ale złożony system pomiarowy – nawet 200 czujników i kamer nieustannie zbiera dane o otoczeniu, stanie pojazdu, stylu jazdy, a często także o samym kierowcy i pasażerach. Wraz z postępującą automatyzacją funkcji jazdy – od adaptacyjnego tempomatu i systemów wspomagania pasa ruchu, po coraz bardziej rozwinięte funkcje autonomiczne – liczba i znaczenie tych danych będą rosły. Coraz bardziej oczujnikowane i połączone z siecią pojazdy stają się tym samym ważnym elementem dyskusji o cyberbezpieczeństwie i prywatności w transporcie.

Według danych branżowych nawet 9 na 10 wypadków komunikacyjnych jest spowodowanych błędem człowieka, a rozwój systemów autonomicznych ma w długim terminie pomóc ograniczyć tę liczbę. Jednak każdy krok w stronę większej autonomii oznacza też głębszą zależność pojazdu od oprogramowania, czujników i stałej łączności z siecią – a tym samym wyższe wymagania wobec cyberbezpieczeństwa. Awaria, błąd czy potencjalny atak na systemy odpowiedzialne za sterowanie pojazdem mają zupełnie inną wagę niż np. zakłócenie pracy systemu multimedialnego, co stawia przed producentami i regulatorami pytanie o priorytetyzację zabezpieczeń poszczególnych warstw pojazdu.

„Postępująca cyfryzacja, oczujnikowanie i autonomizacja pojazdów to proces, który będzie tylko przyspieszał – i to zjawisko globalne, dotyczące producentów z całego świata. W tym kontekście coraz częściej pojawia się pytanie o możliwość czasowego ograniczenia zbierania danych przez pojazd – na wzór trybu samolotowego znanego ze smartfonów. Taka funkcja mogłaby być szczególnie użyteczna w momencie przyjeżdżania przez samochód w okolicach wrażliwej infrastruktury, w pobliżu której ograniczamy już poruszanie się innych urządzeń zbierających dane, np. dronów. Propozycje takich rozwiązań pojawiają się m.in. w chińskich dokumentach standaryzacyjnych. To jeden z kierunków, który warto rozważyć w dyskusji o standardach cyberbezpieczeństwa i prywatności w nowej mobilności” – zauważa Paulina Uznańska, zastępczyni kierownika, Zespół Chiński, Ośrodek Studiów Wschodnich (OSW).

Kongres Nowej Mobilności 2026

Tematowi cyberbezpieczeństwa i odporności sektora mobilności poświęcony będzie specjalny blok programowy „New Security & Resilience” podczas Kongresu Nowej Mobilności 2026, który odbędzie się w dniach 23–25 września w Międzynarodowym Centrum Kongresowym w Katowicach. To największe w regionie Europy Środkowo-Wschodniej wydarzenie łączące zrównoważony rozwój i nową mobilność, które w edycji 2026 zgromadzi ponad 500 prelegentów na 12 równoległych scenach, a program obejmuje ponad 250 punktów merytorycznych. Częścią Kongresu będzie również strefa EXPO o powierzchni 12 000 m², z udziałem partnerów i wystawców oraz dziesiątkami rynkowych premier.

Blok „New Security & Resilience” obejmie zagadnienia cyberbezpieczeństwa, wdrażania regulacji i standardów bezpieczeństwa, systemów bezzałogowych, technologii satelitarnych, infrastruktury krytycznej, ochrony danych oraz integracji technologii dual-use. To jeden z ośmiu kluczowych kierunków tematycznych Kongresu, obok nowej mobilności i transportu, miast przyszłości, nowej gospodarki, energetyki, polityki klimatycznej, architektury i budownictwa oraz forum badawczo-rozwojowego.

Więcej informacji: Kongresnowejmobilnosci.pl