Kierowca przygotowuje się przez regularne aktualizowanie oprogramowania, wybór certyfikowanego warsztatu SERMI, kontrolę dostępu do portu OBD oraz zabezpieczenie urządzeń i kont powiązanych z autem.

Jakie regulacje wchodzą w życie

Data Act (12.09.2025), dyrektywa Right to Repair (lipiec 2026), regulamin ONZ R155, AI Act (sierpień 2026) i NIS2 (wdrożenie 2026) tworzą ujednolicony pakiet zmian, który wpływa bezpośrednio na prawa właścicieli pojazdów i obowiązki producentów.
Data Act potwierdza, że właścicielem danych generowanych przez pojazd jest kierowca i wymusza udostępnianie danych w formacie maszynowym dla niezależnych warsztatów. Dyrektywa Right to Repair otwiera rynek napraw poza ASO bez utraty gwarancji oraz nakazuje dostęp do danych RMI w czasie rzeczywistym. Regulamin ONZ R155 wymaga od producentów przeprowadzenia oceny ryzyka cybernetycznego, wdrożenia mechanizmów aktualizacji oraz zabezpieczeń takich jak szyfrowanie i systemy detekcji intruzów – zabezpieczenia te muszą obowiązywać przez cały okres eksploatacji pojazdu. AI Act wprowadza obowiązek przejrzystości algorytmów diagnostycznych, a NIS2 zaostrza wymogi ochrony sieci i informacji w sektorze motoryzacyjnym, traktowanym jako krytyczny.

Co zmienia się dla kierowcy

Kierowca zyskuje prawo do dostępu do swoich danych oraz prawo do niezależnej naprawy bez utraty gwarancji, a producenci muszą zapewnić mechanizmy bezpieczeństwa zamiast blokować dostęp. W praktyce oznacza to:
– udostępnienie parametrów RMI w czasie rzeczywistym, takich jak zużycie klocków hamulcowych lub ciśnienie w oponach,
– otwarty, ale kontrolowany dostęp do portu OBD dla niezależnych diagnostów przy jednoczesnym zastosowaniu mechanizmów ochronnych (np. Cyber Security Gateway),
– obowiązkowe aktualizacje bezpieczeństwa także dla starszych modeli pojazdów, zgodnie z okresem eksploatacji i oceną ryzyka,
– dostęp do dokumentacji technicznej i API w formatach CSV/JSON/XML dla warsztatów i serwisów.

70 scenariuszy zagrożeń – co to znaczy

Regulacje R155 uwzględniają 70 potencjalnych scenariuszy zagrożeń obejmujących m.in. ransomware w systemie multimedialnym, manipulacje parametrami napędu, zdalne przejęcie zamków lub funkcji ADAS oraz wyciek telemetrii. Producent musi wykazać, jak każde z tych ryzyk zostało przeanalizowane i zminimalizowane w procesie projektowania i utrzymania pojazdu.

10 kroków, które warto wdrożyć od zaraz

1. sprawdzaj aktualizacje oprogramowania co 30 dni i instaluj OTA tylko z oficjalnych kanałów,
2. notuj numer wersji oprogramowania i zapisuj datę aktualizacji jako dowód serwisowy,
3. wybieraj warsztaty z certyfikatem SERMI; pytaj o numer certyfikatu i zakres uprawnień,
4. kontroluj dostęp do portu OBD; pytaj czy warsztat korzysta z Cyber Security Gateway oraz w jakim trybie,
5. zabezpiecz konto producenta i aplikacje — ustaw silne hasło i włącz dwuetapowe uwierzytelnianie,
6. usuwaj sparowane urządzenia z systemu infotainment; paruj tylko telefony i urządzenia zaufane,
7. wyłącz funkcje udostępniania danych, jeśli nie są niezbędne; na przykład lokalizacja przy parkowaniu,
8. przechowuj kopie protokołów serwisowych; na przykład faktura, raport diagnostyczny, numer aktualizacji,
9. monitoruj komunikaty producenta i serwisu raz w tygodniu; subskrybuj powiadomienia o bezpieczeństwie,
10. zgłaszaj podejrzane zachowania auta producentowi i lokalnemu CERT; dokumentuj czasy i objawy jako dowód.

Jak wybierać warsztat — kryteria oceny

Wybierając warsztat, sprawdź formalne uprawnienia i praktyczne procedury. Pytaj o:
– certyfikat SERMI i zakres audytu, który potwierdza uprawnienia do systemów bezpieczeństwa takich jak immobilizer czy ADAS,
– dostęp do RMI i format danych, które warsztat otrzymuje (czy jest to dane w czasie rzeczywistym, czy tylko raporty),
– stosowane kanały komunikacji i czy transmisje mają szyfrowanie oraz czy przechowywane są kopie zapasowe z zasadami retencji.
Poproś o pokazanie dokumentu potwierdzającego uprawnienia i zapytaj o procedury bezpieczeństwa podczas pracy z elektroniką pojazdu.

Bezpieczeństwo danych i prywatność — konkretne fakty

Data Act z 12.09.2025 potwierdza, że właściciel pojazdu jest właścicielem danych generowanych przez auto. Dane obejmują trasy przejazdów, prędkość, stan układów, parametry silnika i telemetrię. Producent ma obowiązek udostępnić te dane w formacie maszynowym – najczęściej poprzez API lub eksport CSV/JSON – aby niezależne serwisy mogły wykonywać diagnostykę bez utrudnień. Prawo wymaga też przejrzystości w zakresie tego, jakie dane są gromadzone, jak długo są przechowywane i kto ma do nich dostęp.

Aktualizacje oprogramowania — co sprawdzać

Aktualizacje OTA powinny zawierać podpis cyfrowy, numer wersji i changelog. Przed instalacją sprawdź:
– czy aktualizacja ma podpis cyfrowy producenta,
– czy w changelogu wymienione są poprawki bezpieczeństwa i kompatybilność z Twoim modelem,
– datę wydania i zalecany termin instalacji.
Jeśli aktualizacja naprawia lukę krytyczną, zainstaluj ją w ciągu 7 dni od publikacji. R155 wymaga, by producent posiadał mechanizmy bezpiecznego wdrażania aktualizacji i rejestrowania ich przebiegu, co ułatwia późniejsze audyty i reklamacje.

AI w diagnostyce — co kierowca otrzyma

AI Act wymaga przejrzystości algorytmów diagnostycznych. W praktyce mechanik i właściciel pojazdu otrzymają:
– opis logiki decyzji algorytmu w zakresie istotnych cech,
– informacje o ograniczeniach i poziomie pewności wyników predykcji,
– dane treningowe w zakresie cech istotnych dla decyzji (tam, gdzie to możliwe bez naruszania praw autorskich i prywatności).
Przykładowe zastosowania obejmują przewidywanie awarii układu napędowego lub analizę zużycia hamulców w oparciu o wzorce eksploatacji.

Co robić po incydencie cyberbezpieczeństwa

W przypadku podejrzenia ataku postępuj szybko i metodycznie:
– odłącz źródła łączności pojazdu (Wi‑Fi, Bluetooth, hotspoty),
– wyłącz funkcje zdalnego dostępu i zapisz ekranowe komunikaty,
– wykonaj zdjęcia i zapisz czasy zdarzeń,
– zgłoś incydent producentowi i lokalnemu CERT oraz poproś o numer zgłoszenia,
– jeśli wystąpiła kradzież danych lub mienia, złóż zawiadomienie na policję i żądaj dostępu do logów telematycznych.
Poproś serwis o kopię logów i raportu z analizy incydentu oraz o rekomendacje dalszych działań.

Trzy realistyczne scenariusze i działania

Ransomware w systemie infotainment

Objawy: brak dostępu do multimediów, komunikaty szyfrowania plików, niemożność uruchomienia niektórych usług. Działanie: natychmiast odłączyć zasilanie łączności, zgłosić producentowi, przywrócić oprogramowanie z zaufanego obrazu i przeprowadzić pełną weryfikację integracji systemów z warsztatem SERMI.

Fałszywe powiadomienie serwisowe

Objawy: nagłe alerty o krytycznych usterkach bez powiązania z realną diagnostyką. Działanie: zweryfikować numer wersji oprogramowania i changelog na stronie producenta, skonsultować się z autoryzowanym serwisem lub certyfikowanym mechanikiem SERMI oraz nie wykonywać automatycznych poleceń wymagających uprawnień administracyjnych bez potwierdzenia.

Zdalne nieautoryzowane zmiany w konfiguracji dostępu

Objawy: nieautoryzowane dodanie użytkownika, zdalne odblokowanie zamków, zmiany w ustawieniach uprawnień. Działanie: zmienić hasła kont powiązanych z autem, odłączyć podejrzane aplikacje i zbierać dowody do zgłoszenia do producenta i CERT.

Współpraca z producentem i prawo

Przepisy wymagają udostępnienia danych RMI i prowadzenia aktualizacji bezpieczeństwa przez okres eksploatacji pojazdu. Producent musi udostępnić interfejsy API do odczytu stanów krytycznych (np. hamulce) i dokumentację techniczną w formacie umożliwiającym integrację z narzędziami warsztatów. Orzecznictwo UE stoi po stronie użytkownika — producenci nie mogą blokować dostępu do danych pod pretekstem cyberbezpieczeństwa; ochrona ma być zaprojektowana od początku urządzenia zgodnie z zasadą „security by design”.

Źródła wiedzy i narzędzia praktyczne

• strony producentów — sekcje bezpieczeństwa i aktualizacji,
• oficjalne portale rządowe i CERT — raporty o incydentach i instrukcje reakcji,
• organizacje konsumenckie — porównania warsztatów i informacje o prawie do naprawy,
• narzędzia praktyczne: aplikacja producenta do powiadomień, narzędzie do eksportu danych w formacie CSV, menedżer haseł z 2FA.

Jak monitorować zmiany prawne

Subskrybuj komunikaty producenta oraz informacje od lokalnego regulatora bezpieczeństwa sieci. Śledź ogłoszenia Komisji Europejskiej, ministerstw transportu i biuletyny NIS2. Uczestnicz w webinarach i szkoleniach organizowanych przez producentów i organizacje branżowe, aby być na bieżąco z terminami wdrożeń i zmianami w procedurach serwisowych.

Checklista dla kierowcy — co mieć w portfelu cyfrowym

• kopia protokołu serwisowego z numerem wersji oprogramowania,
• dowód zakupu i warunki gwarancji,
• lista certyfikowanych warsztatów SERMI w rejonie,
• kopia polityki prywatności producenta i informacji o przetwarzaniu danych,
• kontakt do lokalnego CERT i numer zgłoszenia producenta.

Na koniec

Przygotowanie kierowcy to kombinacja technicznych działań i świadomości prawnej: regularne aktualizacje, wybór certyfikowanych serwisów, kontrola dostępu do danych oraz szybka reakcja po incydencie. Dzięki nowym przepisom właściciel zyskuje większą kontrolę nad danymi i możliwościami napraw, ale równocześnie musi aktywnie zarządzać bezpieczeństwem cyfrowym pojazdu.

Przeczytaj również:

• http://insert.waw.pl/jak-przygotowac-szklarnie-do-nowego-sezonu/
• http://insert.waw.pl/jak-sprawic-by-przyczepa-kempingowa-byla-funkcjonalna/
• https://insert.waw.pl/polaczenia-smakowe-jakie-przekaski-najlepiej-komponuja-sie-z-bialym-winem/
• https://insert.waw.pl/ekologiczne-certyfikaty-w-branzy-tekstylnej-ktore-naprawde-maja-znaczenie/
• https://insert.waw.pl/planowanie-suplementacji-przy-anemii-z-niedoboru-zelaza-jak-wspomoc-wchlanianie/