Η εργαλειοθήκη της ΕΕ για την ασφάλεια της αλυσίδας εφοδιασμού ΤΠΕ παρέχει μια οριζόντια, κοινή και μη δεσμευτική προσέγγιση σχετικά με τον τρόπο εντοπισμού, αξιολόγησης και μετριασμού των κινδύνων κυβερνοασφάλειας των αλυσίδων εφοδιασμού ΤΠΕ. Σε συνέχεια των συμπερασμάτων του Συμβουλίου της ΕΕ σχετικά με την ασφάλεια της αλυσίδας εφοδιασμού ΤΠΕ από το 2022, η εργαλειοθήκη αναπτύχθηκε στο πλαίσιο της ομάδας συνεργασίας NIS. Βασίζεται σε μια προσέγγιση για όλους τους κινδύνους και καθορίζει βασικές έννοιες που σχετίζονται με την ασφάλεια της αλυσίδας εφοδιασμού ΤΠΕ. Ως αυστηρά αγνωστικιστικός παράγοντας, περιγράφει σενάρια κινδύνου που επηρεάζουν το ψηφιακό οικοσύστημα της Ένωσης και συνιστά μέτρα μετριασμού, συμπεριλαμβανομένης της θέσπισης πλαισίου για την αξιολόγηση των κρίσιμων προμηθευτών, της προώθησης στρατηγικών πολλαπλών προμηθευτών και της υπέρβασης των εξαρτήσεων από προμηθευτές υψηλού κινδύνου.
Σύμφωνα με την οδηγία NIS2, η εργαλειοθήκη για την ασφάλεια της αλυσίδας εφοδιασμού ΤΠΕ συμβάλλει σημαντικά στο πλαίσιο για συντονισμένες σε επίπεδο Ένωσης εκτιμήσεις κινδύνου για την ασφάλεια κρίσιμων αλυσίδων εφοδιασμού ΤΠΕ σύμφωνα με το άρθρο 22 της οδηγίας NIS2. Έχει σχεδιαστεί όχι μόνο για να βοηθήσει τα κράτη μέλη, αλλά και για να στηρίξει τους δημόσιους και ιδιωτικούς φορείς στην αξιολόγηση και τη διαχείριση των κινδύνων που σχετίζονται με τις υπηρεσίες ΤΠΕ, τα συστήματα ΤΠΕ και τις αλυσίδες εφοδιασμού προϊόντων ΤΠΕ.
Τα κράτη μέλη έχουν πλέον στη διάθεσή τους ένα διαρθρωμένο σύνολο εθελοντικών μέτρων που μπορούν να προσαρμοστούν στα εθνικά τους πλαίσια και προτεραιότητες. Στο πλαίσιο των επόμενων βημάτων, η ομάδα συνεργασίας NIS θα διενεργήσει, μετά από ένα έτος, επανεξέταση της εφαρμογής της εργαλειοθήκης. Αυτό θα χρησιμεύσει για την αξιολόγηση της προόδου, την ανταλλαγή βέλτιστων πρακτικών, τον εντοπισμό προκλήσεων και την εισήγηση προσαρμογών, ανάλογα με τις ανάγκες.
Επιπλέον, η ομάδα συνεργασίας NIS ενέκρινε τα αποτελέσματα δύο συντονισμένων σε επίπεδο Ένωσης εκτιμήσεων κινδύνου για την ασφάλεια, οι οποίες εκπονήθηκαν από τα κράτη μέλη με την υποστήριξη της Επιτροπής και του ENISA. Η πρώτη αξιολόγηση επικεντρώνεται στα συνδεδεμένα και αυτοματοποιημένα οχήματα (CAV) και στις αλυσίδες εφοδιασμού τους, ενώ η δεύτερη εξετάζει τους κινδύνους κυβερνοασφάλειας που σχετίζονται με τον εξοπλισμό ανίχνευσης που χρησιμοποιούν οι φορείς επιβολής του νόμου και ασφάλειας της ΕΕ στα σημεία διέλευσης των συνόρων της ΕΕ.
Πρωταρχικός στόχος και των δύο εκθέσεων είναι η παροχή ολοκληρωμένης επισκόπησης των κινδύνων κυβερνοασφάλειας που εντοπίστηκαν, των δυνητικών συνεπειών τους και των μέτρων μετριασμού που κρίνονται αναγκαία για την αντιμετώπισή τους. Η αξιολόγηση των συνδεδεμένων και αυτοματοποιημένων οχημάτων καταδεικνύει ότι τα CAV, ενώ αποφέρουν πολλά δυνητικά οφέλη για την ασφάλεια και την ενεργειακή απόδοση, εισάγουν νέους και σημαντικούς κινδύνους για την κυβερνοασφάλεια. Τα CAV επεξεργάζονται δεδομένα προσωπικού χαρακτήρα και ευαίσθητα δεδομένα και μπορούν, σε ορισμένες περιπτώσεις, να χρησιμοποιηθούν ως όπλα.
Για την αντιμετώπιση αυτών των κινδύνων, η ομάδα συνεργασίας NIS συνιστά, μεταξύ άλλων μέτρων ενίσχυσης της κυβερνοασφάλειας, στην Επιτροπή, από κοινού με τα κράτη μέλη, να προσδιορίσει αναλογικά μέτρα για την ελαχιστοποίηση των κινδύνων για τις αλυσίδες εφοδιασμού της ΕΕ από προμηθευτές υψηλού κινδύνου, ιδίως όσον αφορά τα συστήματα επεξεργασίας και λήψης αποφάσεων, τα συστήματα επικοινωνίας και συνδεσιμότητας και τα συστήματα ελέγχου οχημάτων που μπορούν να λαμβάνουν εξ αποστάσεως επικαιροποιήσεις. Η έκθεση προτείνει επίσης έρευνα παρακολούθησης για την αξιολόγηση των επιπτώσεων των κυβερνοεπιθέσεων στις υποδομές φόρτισης στο ευρύτερο ενεργειακό δίκτυο.
Η δεύτερη συντονισμένη εκτίμηση κινδύνου επικεντρώνεται στον εξοπλισμό ανίχνευσης. Στόχος του είναι να παράσχει ολοκληρωμένη επισκόπηση των κινδύνων κυβερνοασφάλειας που συνδέονται με τον εξοπλισμό ανίχνευσης, οι οποίοι θεωρούνται ευρέως μέρος των υποδομών ζωτικής σημασίας της ΕΕ, και των συνεπειών τους, καθώς και των μέτρων μετριασμού που απαιτούνται για την αντιμετώπισή τους, είτε ο εξοπλισμός ανίχνευσης χρησιμοποιείται σε αυτόνομο πλαίσιο είτε εντός διασυνδεδεμένων και διαλειτουργικών περιβαλλόντων.
Ο παραβιασμένος εξοπλισμός ανίχνευσης μπορεί να ελέγχεται εξ αποστάσεως, να αξιοποιείται ως φορέας επίθεσης ή να εξουδετερώνεται για την υποστήριξη κακόβουλων πράξεων. Περιστατικά μπορεί επίσης να προκύψουν από ανθρώπινο λάθος, αποτυχίες του συστήματος ή φυσικά φαινόμενα. Επιπλέον, η ίδια η αγορά εξοπλισμού ανίχνευσης, στην οποία κυριαρχεί περιορισμένος αριθμός κατασκευαστών προέλευσης εκτός ΕΕ, έχει παρουσιάσει σοβαρές ελλείψεις και πρόσθετες προκλήσεις για την ασφάλεια της ΕΕ, ιδίως όσον αφορά τη διαφοροποίηση της αγοράς, τη διαθεσιμότητα του εξοπλισμού και των εξαρτημάτων εξοπλισμού και την ασφάλεια των υποδομών ζωτικής σημασίας κ.λπ.
Για την αποτελεσματική διαχείριση των εν λόγω κινδύνων, στην παρούσα αξιολόγηση προσδιορίζονται ορισμένα μέτρα μετριασμού, όπως η αποτελεσματική εφαρμογή μέτρων σε επίπεδο ΕΕ για τους προμηθευτές υψηλού κινδύνου και η ενίσχυση των πρακτικών σύναψης συμβάσεων με την επιβολή απαιτήσεων ασφάλειας για τη χρηματοδότηση της ΕΕ. Άλλες συστάσεις αφορούν τις πρακτικές συντήρησης και τα πρωτόκολλα ασφαλείας για τη χρήση και την πρόσβαση στον εξοπλισμό.