ES IRT tiekimo grandinės saugumo priemonių rinkinyje pateikiamas horizontalus, bendras ir neprivalomas požiūris į tai, kaip nustatyti, įvertinti ir sumažinti IRT tiekimo grandinių kibernetinio saugumo riziką. Po 2022 m. ES Tarybos išvadų dėl IRT tiekimo grandinės saugumo TIS bendradarbiavimo grupėje buvo parengtas priemonių rinkinys. Jis grindžiamas visus pavojus apimančiu požiūriu ir jame apibrėžiamos pagrindinės sąvokos, susijusios su IRT tiekimo grandinės saugumu. Kadangi jis yra griežtai subjekto agnostinis, jame aprašomi rizikos scenarijai, darantys poveikį Sąjungos skaitmeninei ekosistemai, ir rekomenduojamos rizikos mažinimo priemonės, įskaitant ypatingos svarbos tiekėjų vertinimo sistemos sukūrimą, kelių pardavėjų strategijų skatinimą ir priklausomybės nuo didelės rizikos tiekėjų panaikinimą.
Pagal TIS 2 direktyvą IRT tiekimo grandinės saugumo priemonių rinkiniu svariai prisidedama prie ypatingos svarbos IRT tiekimo grandinių Sąjungos lygmens koordinuotų saugumo rizikos vertinimų sistemos pagal TIS 2 direktyvos 22 straipsnį. Jis skirtas ne tik padėti valstybėms narėms, bet ir remti viešuosius ir privačiuosius subjektus vertinant ir valdant riziką, susijusią su IRT paslaugomis, IRT sistemomis ir IRT produktų tiekimo grandinėmis.
Valstybės narės dabar turi struktūruotą savanoriškų priemonių rinkinį, kurį galima pritaikyti prie jų nacionalinių aplinkybių ir prioritetų. TIS bendradarbiavimo grupė po vienų metų atliks priemonių rinkinio taikymo peržiūrą. Tai padės įvertinti pažangą, dalytis geriausia patirtimi, nustatyti problemas ir prireikus rekomenduoti pakeitimus.
Be to, TIS bendradarbiavimo grupė patvirtino dviejų Sąjungos lygmens koordinuotų saugumo rizikos vertinimų, kuriuos, padedant Komisijai ir ENISA, parengė valstybės narės, rezultatus. Pirmajame vertinime daugiausia dėmesio skiriama susietosioms ir automatizuotoms transporto priemonėms ir jų tiekimo grandinėms, o antrajame nagrinėjama kibernetinio saugumo rizika, susijusi su aptikimo įranga, kurią ES sienos perėjimo punktuose naudoja ES teisėsaugos ir saugumo veiklos vykdytojai.
Pagrindinis abiejų ataskaitų tikslas – pateikti išsamią nustatytos kibernetinio saugumo rizikos, jos galimų pasekmių ir rizikos mažinimo priemonių, laikomų būtinomis šiai rizikai pašalinti, apžvalgą. Iš susietųjų ir automatizuotų transporto priemonių vertinimo matyti, kad CAV, nors ir teikia daug potencialios naudos saugai ir energijos vartojimo efektyvumui, kelia naują ir didelę kibernetinio saugumo riziką. KAV tvarko asmens ir neskelbtinus duomenis ir kai kuriais atvejais gali būti naudojami kaip ginklas.
Siekdama pašalinti šią riziką, TIS bendradarbiavimo grupė, be kitų kibernetinio saugumo didinimo priemonių, rekomenduoja Komisijai kartu su valstybėmis narėmis nustatyti proporcingas priemones, kuriomis būtų mažinama didelės rizikos tiekėjų keliama rizika ES tiekimo grandinėms, ypač kai tai susiję su duomenų tvarkymo ir sprendimų priėmimo sistemomis, ryšių ir junglumo sistemomis ir transporto priemonių valdymo sistemomis, kurios gali gauti nuotolinius naujinius. Ataskaitoje taip pat siūlomi tolesni tyrimai siekiant įvertinti kibernetinių išpuolių poveikį įkrovimo infrastruktūrai platesniame energijos tinkle.
Antrajame koordinuotame rizikos vertinime daugiausia dėmesio skiriama aptikimo įrangai. Jos tikslas – pateikti išsamią kibernetinio saugumo rizikos, susijusios su aptikimo įranga, kuri iš esmės laikoma ES ypatingos svarbos infrastruktūros dalimi, ir jos padarinių, taip pat rizikos mažinimo priemonių, būtinų jiems pašalinti, apžvalgą, neatsižvelgiant į tai, ar aptikimo įranga naudojama atskirame kontekste, ar tarpusavyje susietoje ir sąveikioje aplinkoje.
Kompromisinė aptikimo įranga gali būti valdoma nuotoliniu būdu, naudojama kaip atakos vektorius arba neutralizuojama siekiant palaikyti piktavališkus veiksmus. Incidentai taip pat gali atsirasti dėl žmogaus klaidų, sistemos gedimų ar gamtos reiškinių. Be to, pati aptikimo įrangos rinka, kurioje dominuoja ribotas ne ES kilmės gamintojų skaičius, atskleidė didelių trūkumų ir papildomų iššūkių ES saugumui, visų pirma susijusių su rinkos įvairinimu, įrangos ir įrangos dalių prieinamumu, ypatingos svarbos infrastruktūros objektų apsauga ir kt.
Siekiant veiksmingai valdyti tą riziką, šiame vertinime nustatytos kelios rizikos mažinimo priemonės, pavyzdžiui, veiksmingas ES lygmens priemonių taikymas didelės rizikos tiekėjams ir viešųjų pirkimų praktikos gerinimas nustatant ES finansavimo saugumo reikalavimus. Kitos rekomendacijos yra susijusios su techninės priežiūros praktika ir įrangos naudojimo bei prieigos prie jos saugumo protokolais.