Setul de instrumente al UE pentru securitatea lanțului de aprovizionare TIC oferă o abordare orizontală, comună și neobligatorie cu privire la modul de identificare, evaluare și atenuare a riscurilor de securitate cibernetică ale lanțurilor de aprovizionare TIC. În urma Concluziilor Consiliului UE privind securitatea lanțului de aprovizionare TIC din 2022, setul de instrumente a fost elaborat în cadrul Grupului de cooperare NIS. Aceasta se bazează pe o abordare care ține seama de toate riscurile și definește concepte-cheie legate de securitatea lanțului de aprovizionare TIC. Fiind strict agnostic pentru actori, acesta prezintă scenarii de risc care au un impact asupra ecosistemului digital al Uniunii și recomandă măsuri de atenuare, inclusiv stabilirea unui cadru de evaluare a furnizorilor critici, promovarea strategiilor care implică mai mulți furnizori și depășirea dependențelor de furnizorii cu grad ridicat de risc.
În conformitate cu Directiva NIS2, setul de instrumente pentru securitatea lanțului de aprovizionare TIC contribuie în mod semnificativ la cadrul pentru evaluările coordonate la nivelul Uniunii ale riscurilor în materie de securitate ale lanțurilor de aprovizionare TIC critice în temeiul articolului 22 din Directiva NIS2. Acesta este conceput nu numai pentru a ajuta statele membre, ci și pentru a sprijini actorii publici și privați în evaluarea și gestionarea riscurilor legate de serviciile TIC, sistemele TIC și lanțurile de aprovizionare cu produse TIC.
În prezent, statele membre au la dispoziție un set structurat de măsuri voluntare care pot fi adaptate la contextele și prioritățile lor naționale. Ca parte a etapelor următoare, Grupul de cooperare NIS va efectua, după un an, o revizuire a aplicării setului de instrumente. Acest lucru va servi la evaluarea progreselor, la schimbul de bune practici, la identificarea provocărilor și la recomandarea de ajustări, după caz.
În plus, Grupul de cooperare NIS a adoptat rezultatele a două evaluări coordonate la nivelul Uniunii ale riscurilor în materie de securitate, elaborate de statele membre cu sprijinul Comisiei și al ENISA. Prima evaluare se axează pe vehiculele conectate și automatizate (VCA) și pe lanțurile lor de aprovizionare, în timp ce a doua examinează riscurile în materie de securitate cibernetică legate de echipamentele de detectare utilizate de operatorii de asigurare a respectării legii și de operatorii de securitate din UE la punctele de trecere a frontierei UE.
Obiectivul principal al ambelor rapoarte este de a oferi o imagine de ansamblu cuprinzătoare a riscurilor de securitate cibernetică identificate, a consecințelor potențiale ale acestora și a măsurilor de atenuare considerate necesare pentru a le aborda. Evaluarea vehiculelor conectate și automatizate demonstrează că vehiculele aeriene fără pilot, deși aduc multe beneficii potențiale siguranței și eficienței energetice, introduc riscuri noi și semnificative în materie de securitate cibernetică. CAV prelucrează o mulțime de date cu caracter personal și sensibile și, în unele cazuri, pot fi utilizate ca arme.
Pentru a aborda aceste riscuri, Grupul de cooperare NIS recomandă, printre alte măsuri de consolidare a securității cibernetice, ca Comisia, împreună cu statele membre, să identifice măsuri proporționale de reducere a riscurilor lanțurilor de aprovizionare ale UE de la furnizorii cu grad ridicat de risc, în special în cazul în care se referă la sistemele de prelucrare și de luare a deciziilor, la sistemele de comunicații și de conectivitate și la sistemele de control al vehiculelor care pot primi actualizări de la distanță. Raportul sugerează, de asemenea, cercetări ulterioare pentru a evalua impactul atacurilor cibernetice asupra infrastructurii de încărcare asupra rețelei energetice mai largi.
A doua evaluare coordonată a riscurilor se axează pe echipamentele de detectare. Obiectivul său este de a oferi o imagine de ansamblu cuprinzătoare a riscurilor în materie de securitate cibernetică asociate echipamentelor de detectare, considerate, în linii mari, ca făcând parte din infrastructura critică a UE, și a consecințelor acestora, precum și a măsurilor de atenuare necesare pentru a le aborda, indiferent dacă echipamentele de detectare sunt utilizate într-un context de sine stătător sau în medii interconectate și interoperabile.
Echipamentele de detectare compromise pot fi controlate de la distanță, exploatate ca vector de atac sau neutralizate pentru a sprijini acte rău intenționate. Incidentele pot rezulta, de asemenea, din erori umane, eșecuri de sistem sau fenomene naturale. În plus, piața echipamentelor de detectare în sine, dominată de un număr limitat de producători din afara UE, a prezentat deficiențe grave și provocări suplimentare pentru securitatea UE, în special în ceea ce privește diversificarea pieței, disponibilitatea echipamentelor și a pieselor de echipament și securizarea infrastructurilor critice etc.
Pentru gestionarea eficace a acestor riscuri, în prezenta evaluare sunt identificate o serie de măsuri de atenuare, cum ar fi aplicarea eficace a măsurilor la nivelul UE pentru furnizorii cu grad ridicat de risc și consolidarea practicilor de achiziții publice prin impunerea unor cerințe de securitate pentru finanțarea din partea UE. Alte recomandări se referă la practicile de întreținere și la protocoalele de securitate pentru utilizarea și accesul la echipament.