De EU-toolbox voor de beveiliging van de ICT-toeleveringsketen biedt een horizontale, gemeenschappelijke en niet-bindende aanpak voor het identificeren, beoordelen en beperken van cyberbeveiligingsrisico’s van ICT-toeleveringsketens. Naar aanleiding van de conclusies van de Raad van de EU over de beveiliging van de ICT-toeleveringsketen uit 2022 is de toolbox ontwikkeld binnen de NIS-samenwerkingsgroep. Het is gebaseerd op een benadering van alle risico's en definieert belangrijke concepten met betrekking tot de beveiliging van de ICT-toeleveringsketen. Het is strikt actor-agnostisch en schetst risicoscenario’s die van invloed zijn op het digitale ecosysteem van de Unie en beveelt risicobeperkende maatregelen aan, waaronder de vaststelling van een kader voor de beoordeling van kritieke leveranciers, de bevordering van multivendorstrategieën en het overwinnen van de afhankelijkheid van leveranciers met een hoog risico.
Overeenkomstig de NIS2-richtlijn draagt de toolbox voor de beveiliging van de ICT-toeleveringsketen in belangrijke mate bij tot het kader voor gecoördineerde veiligheidsrisicobeoordelingen van kritieke ICT-toeleveringsketens op Unieniveau uit hoofde van artikel 22 van de NIS2-richtlijn. Het is niet alleen bedoeld om de lidstaten te helpen, maar ook om publieke en private actoren te ondersteunen bij het evalueren en beheren van risico’s in verband met ICT-diensten, ICT-systemen en toeleveringsketens voor ICT-producten.
De lidstaten beschikken nu over een gestructureerde reeks vrijwillige maatregelen die kunnen worden aangepast aan hun nationale context en prioriteiten. Als onderdeel van de volgende stappen zal de NIS-samenwerkingsgroep na een jaar de toepassing van de toolbox evalueren. Dit zal dienen om de vooruitgang te beoordelen, beste praktijken uit te wisselen, uitdagingen in kaart te brengen en zo nodig aanpassingen aan te bevelen.
Voorts heeft de NIS-samenwerkingsgroep de resultaten van twee gecoördineerde veiligheidsrisicobeoordelingen op Unieniveau vastgesteld, die door de lidstaten met de steun van de Commissie en Enisa zijn ontwikkeld. De eerste beoordeling is gericht op geconnecteerde en geautomatiseerde voertuigen (CAV’s) en hun toeleveringsketens, terwijl in de tweede beoordeling de cyberbeveiligingsrisico’s worden onderzocht in verband met detectieapparatuur die door rechtshandhavings- en beveiligingsexploitanten van de EU aan EU-grensdoorlaatposten wordt gebruikt.
Het hoofddoel van beide verslagen is een alomvattend overzicht te geven van de vastgestelde cyberbeveiligingsrisico’s, de mogelijke gevolgen ervan en de risicobeperkende maatregelen die nodig worden geacht om deze risico’s aan te pakken. Uit de beoordeling van geconnecteerde en geautomatiseerde voertuigen blijkt dat CAV’s weliswaar veel potentiële voordelen opleveren voor de veiligheid en energie-efficiëntie, maar ook nieuwe en aanzienlijke cyberbeveiligingsrisico’s met zich meebrengen. CAV's verwerken veel persoonlijke en gevoelige gegevens en kunnen in sommige gevallen als wapen worden ingezet.
Om deze risico’s aan te pakken, beveelt de NIS-samenwerkingsgroep de Commissie aan om, naast andere maatregelen ter verbetering van de cyberbeveiliging, samen met de lidstaten evenredige maatregelen vast te stellen om de risico’s van EU-toeleveringsketens van leveranciers met een hoog risico te verminderen, met name wanneer het gaat om verwerkings- en besluitvormingssystemen, communicatie- en connectiviteitssystemen en voertuigcontrolesystemen die updates op afstand kunnen ontvangen. Het rapport stelt ook vervolgonderzoek voor om de impact van cyberaanvallen op laadinfrastructuur op het bredere energienet te beoordelen.
De tweede gecoördineerde risicobeoordeling is gericht op detectieapparatuur. Het heeft tot doel een alomvattend overzicht te bieden van de cyberbeveiligingsrisico’s die verbonden zijn aan detectieapparatuur, die algemeen wordt beschouwd als onderdeel van de kritieke infrastructuur van de EU, en de gevolgen daarvan, alsook van de risicobeperkende maatregelen die nodig zijn om deze risico’s aan te pakken, ongeacht of de detectieapparatuur wordt gebruikt in een op zichzelf staande context of in onderling verbonden en interoperabele omgevingen.
Gecompromitteerde detectieapparatuur kan op afstand worden bestuurd, worden gebruikt als aanvalsvector of worden geneutraliseerd om kwaadwillige handelingen te ondersteunen. Incidenten kunnen ook het gevolg zijn van menselijke fouten, systeemstoringen of natuurverschijnselen. Bovendien heeft de markt voor detectieapparatuur zelf, die wordt gedomineerd door een beperkt aantal fabrikanten van niet-EU-oorsprong, ernstige tekortkomingen en extra uitdagingen voor de veiligheid van de EU aan het licht gebracht, met name met betrekking tot de diversificatie van de markt, de beschikbaarheid van de apparatuur en onderdelen ervan en de beveiliging van kritieke infrastructuur, enz.
Met het oog op een doeltreffend beheer van die risico’s wordt in deze beoordeling een aantal risicobeperkende maatregelen vastgesteld, zoals de doeltreffende toepassing van maatregelen op EU-niveau voor leveranciers met een hoog risico en de verbetering van aanbestedingspraktijken door beveiligingsvereisten voor EU-financiering op te leggen. Andere aanbevelingen hebben betrekking op onderhoudspraktijken en beveiligingsprotocollen voor het gebruik van en de toegang tot de apparatuur.