Is-Sett ta’ Għodod tal-UE għas-Sigurtà tal-Katina tal-Provvista tal-ICT jipprovdi approċċ orizzontali, komuni u mhux vinkolanti dwar kif jiġu identifikati, ivvalutati u mmitigati r-riskji taċ-ċibersigurtà tal-ktajjen tal-provvista tal-ICT. Wara l-Konklużjonijiet tal-Kunsill tal-UE dwar is-sigurtà tal-katina tal-provvista tal-ICT mill-2022, is-sett ta’ għodod ġie żviluppat fi ħdan il-Grupp ta’ Kooperazzjoni tal-NIS. Huwa bbażat fuq approċċ li jkopri l-perikli kollha u jiddefinixxi kunċetti ewlenin relatati mas-sigurtà tal-katina tal-provvista tal-ICT. Peress li huwa strettament anjostiku għall-atturi, jiddeskrivi xenarji ta’ riskju li jħallu impatt fuq l-ekosistema diġitali tal-Unjoni u jirrakkomanda miżuri ta’ mitigazzjoni, inkluż l-istabbiliment ta’ qafas għall-valutazzjoni tal-fornituri kritiċi, il-promozzjoni ta’ strateġiji b’diversi bejjiegħa u t-tegħlib tad-dipendenzi fuq fornituri b’riskju għoli.
F’konformità mad-Direttiva NIS2, is-Sett ta’ Għodod tas-Sigurtà tal-Katina tal-Provvista tal-ICT jikkontribwixxi b’mod importanti għall-qafas għal valutazzjonijiet tar-riskju tas-sigurtà kkoordinati fil-livell tal-Unjoni tal-ktajjen tal-provvista kritiċi tal-ICT skont l-Artikolu 22 tad-Direttiva NIS2. Hija mfassla mhux biss biex tgħin lill-Istati Membri, iżda wkoll biex tappoġġa lill-atturi pubbliċi u privati fl-evalwazzjoni u l-ġestjoni tar-riskji relatati mas-servizzi tal-ICT, is-sistemi tal-ICT, u l-ktajjen tal-provvista tal-prodotti tal-ICT.
L-Istati Membri issa għandhom għad-dispożizzjoni tagħhom sett strutturat ta’ miżuri volontarji li jistgħu jiġu adattati għall-kuntesti u l-prijoritajiet nazzjonali tagħhom. Bħala parti mill-passi li jmiss, il-Grupp ta’ Kooperazzjoni tal-NIS se jwettaq, wara sena, rieżami tal-applikazzjoni tas-Sett ta’ Għodod. Dan se jservi biex jiġi vvalutat il-progress, jiġu kondiviżi l-aħjar prattiki, jiġu identifikati l-isfidi, u jiġu rrakkomandati aġġustamenti kif meħtieġ.
Barra minn hekk, il-Grupp ta’ Kooperazzjoni tal-NIS adotta r-riżultati ta’ żewġ valutazzjonijiet tar-riskju għas-sigurtà kkoordinati fil-livell tal-Unjoni, żviluppati mill-Istati Membri bl-appoġġ tal-Kummissjoni u tal-ENISA. L-ewwel valutazzjoni tiffoka fuq vetturi konnessi u awtomatizzati (CAVs) u l-ktajjen tal-provvista tagħhom, filwaqt li t-tieni waħda teżamina r-riskji taċ-ċibersigurtà relatati mat-tagħmir ta’ detezzjoni użat mill-operaturi tal-infurzar tal-liġi u tas-sigurtà tal-UE fil-punti ta’ qsim tal-fruntieri tal-UE.
L-objettiv primarju taż-żewġ rapporti huwa li jipprovdu ħarsa ġenerali komprensiva lejn ir-riskji taċ-ċibersigurtà identifikati, il-konsegwenzi potenzjali tagħhom, u l-miżuri ta’ mitigazzjoni meqjusa meħtieġa biex jiġu indirizzati. Il-valutazzjoni dwar il-vetturi konnessi u awtomatizzati turi li s-CAVs, filwaqt li jġibu ħafna benefiċċji potenzjali għas-sikurezza u l-effiċjenza enerġetika, jintroduċu riskji ġodda u sinifikanti għaċ-ċibersigurtà. Is-CAVs jipproċessaw troves ta’ data personali u sensittiva u jistgħu, f’xi każijiet, jintużaw bħala arma.
Biex jiġu indirizzati dawn ir-riskji, il-Grupp ta’ Kooperazzjoni tal-NIS jirrakkomanda, fost miżuri oħra li jsaħħu ċ-ċibersigurtà, li l-Kummissjoni, flimkien mal-Istati Membri, tidentifika miżuri proporzjonati biex tneħħi r-riskju tal-ktajjen tal-provvista tal-UE minn fornituri b’riskju għoli, speċjalment fejn jidħlu s-sistemi tal-ipproċessar u tat-teħid tad-deċiżjonijiet, is-sistemi ta’ komunikazzjoni u konnettività u s-sistemi ta’ kontroll tal-vetturi li jistgħu jirċievu aġġornamenti mill-bogħod. Ir-rapport jissuġġerixxi wkoll riċerka ta’ segwitu biex jiġi vvalutat l-impatt tal-attakki ċibernetiċi fuq l-infrastruttura tal-iċċarġjar fuq il-grilja tal-enerġija usa’.
It-tieni valutazzjoni tar-riskju kkoordinata tiffoka fuq it-tagħmir ta’ detezzjoni. L-objettiv tiegħu huwa li jipprovdi ħarsa ġenerali komprensiva lejn ir-riskji taċ-ċibersigurtà assoċjati mat-tagħmir ta’ detezzjoni, meqjusa b’mod wiesa’ bħala parti mill-infrastruttura kritika tal-UE, u l-konsegwenzi tagħhom, kif ukoll il-miżuri ta’ mitigazzjoni meħtieġa biex jiġu indirizzati, jekk it-tagħmir ta’ detezzjoni jintużax f’kuntest awtonomu jew f’ambjenti interkonnessi u interoperabbli.
It-tagħmir ta’ detezzjoni kompromess jista’ jiġi kkontrollat mill-bogħod, sfruttat bħala vettur ta’ attakk jew newtralizzat biex jappoġġa atti malizzjużi. Inċidenti jistgħu jirriżultaw ukoll minn żball uman, fallimenti tas-sistema jew fenomeni naturali. Barra minn hekk, is-suq tat-tagħmir ta’ detezzjoni nnifsu, iddominat minn għadd limitat ta’ manifatturi ta’ oriġini mhux mill-UE, wera nuqqasijiet serji u sfidi addizzjonali għas-sigurtà tal-UE, b’mod partikolari fir-rigward tad-diversifikazzjoni tas-suq, id-disponibbiltà tat-tagħmir u tal-partijiet tat-tagħmir u l-iżgurar ta’ infrastrutturi kritiċi, eċċ.
Għall-ġestjoni effettiva ta’ dawk ir-riskji, ġew identifikati għadd ta’ miżuri ta’ mitigazzjoni f’din il-valutazzjoni, bħall-applikazzjoni effettiva ta’ miżuri fil-livell tal-UE għal fornituri b’riskju għoli u t-tisħiħ tal-prattiki tal-akkwist billi jiġu imposti rekwiżiti ta’ sigurtà għall-finanzjament tal-UE. Rakkomandazzjonijiet oħra huma relatati ma’ prattiki ta’ manutenzjoni u protokolli ta’ sigurtà għall-użu u l-aċċess għat-tagħmir.