AdobeStock © WS Studio 1985
O conjunto de instrumentos da UE para a segurança da cadeia de abastecimento das TIC proporciona uma abordagem horizontal, comum e não vinculativa sobre a forma de identificar, avaliar e atenuar os riscos de cibersegurança das cadeias de abastecimento das TIC. Na sequência das conclusões do Conselho da UE sobre a segurança da cadeia de abastecimento das TIC de 2022, o conjunto de instrumentos foi desenvolvido no âmbito do grupo de cooperação SRI. Baseia-se numa abordagem «todos os riscos» e define conceitos-chave relacionados com a segurança da cadeia de abastecimento das TIC. Sendo estritamente agnóstico dos intervenientes, descreve cenários de risco com impacto no ecossistema digital da União e recomenda medidas de atenuação, incluindo a criação de um quadro para a avaliação dos fornecedores críticos, a promoção de estratégias com múltiplos fornecedores e a superação das dependências em relação aos fornecedores de alto risco.
Em conformidade com a Diretiva SRI 2, o conjunto de instrumentos para a segurança da cadeia de abastecimento das TIC contribui de forma importante para o quadro de avaliação coordenada dos riscos de segurança das cadeias de abastecimento críticas de TIC a nível da União, nos termos do artigo 22.o da Diretiva SRI 2. Destina-se não só a ajudar os Estados-Membros, mas também a apoiar os intervenientes públicos e privados na avaliação e gestão dos riscos relacionados com os serviços de TIC, os sistemas de TIC e as cadeias de abastecimento de produtos de TIC.
Os Estados-Membros dispõem agora de um conjunto estruturado de medidas voluntárias que podem ser adaptadas aos seus contextos e prioridades nacionais. No âmbito das próximas etapas, o grupo de cooperação SRI procederá, após um ano, a uma revisão da aplicação do conjunto de instrumentos. Tal servirá para avaliar os progressos, partilhar boas práticas, identificar desafios e recomendar ajustamentos, conforme necessário.
Além disso, o grupo de cooperação SRI adotou os resultados de duas avaliações coordenadas dos riscos de segurança a nível da União, desenvolvidas pelos Estados-Membros com o apoio da Comissão e da ENISA. A primeira avaliação centra-se nos veículos conectados e automatizados (CAV) e nas suas cadeias de abastecimento, enquanto a segunda examina os riscos de cibersegurança relacionados com o equipamento de deteção utilizado pelos operadores das autoridades policiais e de segurança da UE nos pontos de passagem de fronteira da UE.
O principal objetivo de ambos os relatórios é fornecer uma panorâmica abrangente dos riscos de cibersegurança identificados, das suas potenciais consequências e das medidas de atenuação consideradas necessárias para lhes fazer face. A avaliação dos veículos conectados e automatizados demonstra que os VCA, embora tragam muitos benefícios potenciais para a segurança e a eficiência energética, introduzem riscos de cibersegurança novos e significativos. Os VCA tratam dados pessoais e sensíveis e podem, em alguns casos, ser utilizados como arma.
Para fazer face a estes riscos, o grupo de cooperação SRI recomenda, entre outras medidas de reforço da cibersegurança, que a Comissão, juntamente com os Estados-Membros, identifique medidas proporcionadas para reduzir os riscos das cadeias de abastecimento da UE em relação aos fornecedores de alto risco, especialmente no que diz respeito aos sistemas de tratamento e tomada de decisões, aos sistemas de comunicação e conectividade e aos sistemas de controlo dos veículos que podem receber atualizações à distância. O relatório sugere igualmente uma investigação de acompanhamento para avaliar o impacto dos ciberataques nas infraestruturas de carregamento na rede energética em geral.
A segunda avaliação coordenada dos riscos centra-se no equipamento de deteção. O seu objetivo é fornecer uma panorâmica abrangente dos riscos de cibersegurança associados aos equipamentos de deteção, amplamente considerados como parte da infraestrutura crítica da UE, e das suas consequências, bem como das medidas de atenuação necessárias para lhes fazer face, independentemente de o equipamento de deteção ser utilizado num contexto autónomo ou em ambientes interligados e interoperáveis.
O equipamento de deteção comprometido pode ser controlado remotamente, explorado como vetor de ataque ou neutralizado para apoiar atos maliciosos. Incidentes também podem resultar de erros humanos, falhas do sistema ou fenômenos naturais. Além disso, o próprio mercado de equipamentos de deteção, dominado por um número limitado de fabricantes de países terceiros, revelou graves deficiências e desafios adicionais para a segurança da UE, em especial no que diz respeito à diversificação do mercado, à disponibilidade dos equipamentos e das peças dos equipamentos e à segurança das infraestruturas críticas, etc.
Para uma gestão eficaz desses riscos, a presente avaliação identifica uma série de medidas de atenuação, como a aplicação efetiva de medidas a nível da UE aos fornecedores de alto risco e o reforço das práticas de contratação pública através da imposição de requisitos de segurança para o financiamento da UE. Outras recomendações dizem respeito às práticas de manutenção e aos protocolos de segurança para a utilização e o acesso ao equipamento.