AdobeStock © WS Studio 1985
Инструментариумът на ЕС за сигурност на веригата за доставки на ИКТ предоставя хоризонтален, общ и необвързващ подход за идентифициране, оценка и смекчаване на рисковете за киберсигурността на веригите за доставки на ИКТ. След заключенията на Съвета на ЕС относно сигурността на веригата за доставки на ИКТ от 2022 г. наборът от инструменти беше разработен в рамките на групата за сътрудничество за МИС. Тя се основава на подход, обхващащ всички опасности, и определя ключови понятия, свързани със сигурността на веригата за доставки на ИКТ. Тъй като е строго агностичен за участниците, в него се очертават сценарии на риска, които оказват въздействие върху цифровата екосистема на Съюза, и се препоръчват мерки за смекчаване, включително създаване на рамка за оценка на критичните доставчици, насърчаване на стратегии за множество доставчици и преодоляване на зависимостите от високорискови доставчици.
В съответствие с Директивата за МИС 2 наборът от инструменти за сигурност на веригата за доставки на ИКТ допринася значително за рамката за координирани на равнището на Съюза оценки на риска за сигурността на критичните вериги за доставки на ИКТ съгласно член 22 от Директивата за МИС 2. Той е предназначен не само да помага на държавите членки, но и да подпомага публичните и частните участници при оценката и управлението на рисковете, свързани с ИКТ услугите, ИКТ системите и веригите за доставка на ИКТ продукти.
Държавите членки вече разполагат със структуриран набор от доброволни мерки, които могат да бъдат адаптирани към техния национален контекст и приоритети. Като част от следващите стъпки групата за сътрудничество за МИС ще извърши след една година преглед на прилагането на инструментариума. Това ще послужи за оценка на напредъка, споделяне на най-добри практики, идентифициране на предизвикателствата и препоръчване на корекции, ако е необходимо.
Освен това групата за сътрудничество за МИС прие резултатите от две координирани оценки на риска за сигурността на равнището на Съюза, разработени от държавите членки с подкрепата на Комисията и ENISA. Първата оценка е съсредоточена върху свързаните и автоматизираните превозни средства (CAV) и техните вериги на доставки, а втората разглежда рисковете за киберсигурността, свързани с оборудването за откриване, използвано от правоприлагащите органи на ЕС и операторите в областта на сигурността на граничните контролно-пропускателни пунктове на ЕС.
Основната цел на двата доклада е да се предостави цялостен преглед на установените рискове за киберсигурността, техните потенциални последици и смекчаващите мерки, които се считат за необходими за справяне с тях. Оценката на свързаните и автоматизираните превозни средства показва, че CAV, макар и да носят много потенциални ползи за безопасността и енергийната ефективност, въвеждат нови и значителни рискове за киберсигурността. ЦАВ обработват набори от лични и чувствителни данни и в някои случаи могат да бъдат използвани като оръжие.
За да се преодолеят тези рискове, групата за сътрудничество за МИС препоръчва, наред с други мерки за повишаване на киберсигурността, Комисията, заедно с държавите членки, да определи пропорционални мерки за намаляване на риска за веригите на доставки в ЕС от високорискови доставчици, особено когато става въпрос за системи за обработка и вземане на решения, системи за комуникация и свързаност и системи за контрол на превозните средства, които могат да получават актуализации от разстояние. Докладът също така предлага последващи изследвания за оценка на въздействието на кибератаките върху инфраструктурата за зареждане върху по-широката енергийна мрежа.
Втората координирана оценка на риска е съсредоточена върху оборудването за откриване. Неговата цел е да се предостави цялостен преглед на рисковете за киберсигурността, свързани с детекторното оборудване, което като цяло се счита за част от критичната инфраструктура на ЕС, и последиците от тях, както и на мерките за смекчаване, необходими за справяне с тях, независимо дали детекторното оборудване се използва самостоятелно или във взаимосвързана и оперативно съвместима среда.
Компрометираното оборудване за откриване може да се контролира дистанционно, да се използва като вектор на атака или да се неутрализира в подкрепа на злонамерени действия. Инцидентите могат да са резултат и от човешка грешка, системни повреди или природни явления. Освен това самият пазар на оборудване за откриване, доминиран от ограничен брой производители с произход извън ЕС, показа сериозни недостатъци и допълнителни предизвикателства за сигурността на ЕС, по-специално по отношение на диверсификацията на пазара, наличието на оборудване и части за оборудване и осигуряването на критични инфраструктури и т.н.
За ефективното управление на тези рискове в настоящата оценка са определени редица смекчаващи мерки, като например ефективното прилагане на мерки на равнище ЕС за високорискови доставчици и подобряването на практиките за възлагане на обществени поръчки чрез налагане на изисквания за сигурност за финансирането от ЕС. Други препоръки се отнасят до практиките за поддръжка и протоколите за сигурност за използването и достъпа до оборудването.