Specialsatsning för förbättrad cybersäkerhet i laddstationer

Inom ramen för EUs plan för grön omställning, Fit for 55, uttrycker parlamentets transportutskott att man vill se en snabbare utbyggnad av laddinsfrastrukturen längs Europas större vägar. Målsättningen att ha tätt mellan laddstationer och snabbladdare innebär en stor affärsmöjlighet för leverantörer av laddstationer.  

Men för att ens få sälja produkterna behöver de vara testade och certifierade mot regelverk och standarder inom till exempel elsäkerhet, elektromagnetisk kompatibilitet (EMC), funktion och elmätning. De behöver också vara testade för cybersäkerhet. Detta för att undvika att hackare kan använda laddstationerna för att få tillgång till fordonet som laddas eller ännu värre; överladda fordonets batteri med stora risker för brand som följd. 

– Det finns ett antal oönskade händelser och hot som vi måste förebygga, säger Anders Nilsson, forsknings- och affärsutvecklare på RISE. 

Batterilager spännande funktion som innebär risker 

RISE kan både testa och certifiera laddkomponenter enligt regelverk och standarder inom till exempel elsäkerhet, elektromagnetisk kompatibilitet (EMC), funktion och elmätning. Och så finns en specifik tilläggstjänst för cybersäkerhet – ett område som inte bara drar till sig innovativa angripare utan även står inför en rad nya regleringar. 

Ted Strandberg, projektledare på RISE och fokuserad på cybersäkerhet, har till exempel undersökt hur anslutna elbilar skulle kunna agera batterilager mot elnätet, så kallad Vehicle to grid (V2G). I framtidsscenarion hålls tekniken ofta fram som en betydande flexbilitetstjänst. 

Konkret skulle en laddstationstillverkare eller operatör kunna erbjuda ett sådant batterilager som en effektreserv till nätet. Fordonens ägare skulle också kunna köpa respektive sälja el vid förmånliga tidpunkter. 

– Tittar du på det utifrån ett cybersäkerhetsperspektiv finns risker. Tänk att hela det här batterilagret hackas och att alla fordon skickar in effekt på nätet samtidigt. Kommer du för långt utanför frekvensen på elnätet så uppstår det skador. 

Antal standarder för cybersäkerhet 

Ted Strandberg säger att det finns ett antal standarder för cybersäkerhet som RISE är ackrediterade för och kan prova mot redan idag. 

– Vi förbereder även för att kunna hantera provningar mot EU:s nya cybersäkerhetsregelverk som kommer de närmaste åren. 

– Jag tror också att tredjepartsgranskningen ger en trygghet för både säljare och köpare. Köparna känner att ”vi sitter inte helt själva” i sitt val. Och säljaren har ett certifikat som visar att de har gjort vad de kan. 

På senare år har EU börjat reglera allt fler aspekter av dataanvändning, i form av dataskydd, AI och cybersäkerhet. Ted Strandberg nämner även revideringen av det så kallade NIS2-direktivet som ytterligare en skärpning av säkerhetskraven inom till exempel transport och energi. 

– Direktivet säger bland annat att man har skyldighet att ha en incidenthantering. Man får 24 timmar på sig att rapportera en incident (i Sverige till MSB). Jag tror att det kommer att bidra till att skapa en beredskap på företag att ta hand om angrepp. 

Risk för böter för den som bryter mot regler om riskhantering 

I det uppdaterade direktivet riskerar företag som bryter mot regler om riskhantering eller missar att inkomma med en incidentrapport dryga böter på upp till tio miljoner euro, eller två procent av den globala omsättningen. Dataskyddsförordningen och AI-förordningen har liknande mekanismer. 

Ted Strandberg nämner även radiodirektivets nya krav på cybersäkerhet som behöver uppfyllas för att få sälja produkter som innehåller radiokommunikation. I direktivet finns en deadline den 1 augusti 2024. 

– Det är få företag som har möjlighet att följa detta lika mycket som vi. Speciellt gäller det mindre bolag, säger Ted Strandberg.