AdobeStock © WS Studio 1985
Zbirka orodij EU za varnost dobavne verige IKT zagotavlja horizontalen, skupen in nezavezujoč pristop k opredeljevanju, ocenjevanju in zmanjševanju tveganj za kibernetsko varnost v dobavnih verigah IKT. Na podlagi sklepov Sveta EU o varnosti dobavne verige IKT iz leta 2022 je skupina za sodelovanje na področju varnosti omrežij in informacij razvila nabor orodij. Temelji na pristopu, ki upošteva vse nevarnosti, in opredeljuje ključne pojme, povezane z varnostjo dobavne verige IKT. Ker je strogo agnostičen do akterjev, opisuje scenarije tveganja, ki vplivajo na digitalni ekosistem Unije, in priporoča blažilne ukrepe, vključno z vzpostavitvijo okvira za ocenjevanje kritičnih dobaviteljev, spodbujanjem strategij z več ponudniki in premagovanjem odvisnosti od dobaviteljev z visokim tveganjem.
V skladu z direktivo VOIS 2 nabor orodij za varnost dobavne verige IKT pomembno prispeva k okviru za usklajene ocene varnostnih tveganj kritičnih dobavnih verig IKT na ravni Unije v skladu s členom 22 direktive VOIS 2. Namenjen ni le pomoči državam članicam, temveč tudi podpori javnim in zasebnim akterjem pri ocenjevanju in obvladovanju tveganj, povezanih s storitvami IKT, sistemi IKT in dobavnimi verigami proizvodov IKT.
Države članice imajo zdaj na voljo strukturiran sklop prostovoljnih ukrepov, ki jih je mogoče prilagoditi njihovim nacionalnim okoliščinam in prednostnim nalogam. Skupina za sodelovanje na področju varnosti omrežij in informacij bo v okviru naslednjih korakov po enem letu pregledala uporabo nabora orodij. S tem se bo ocenjeval napredek, izmenjevale dobre prakse, opredeljevali izzivi in po potrebi priporočale prilagoditve.
Poleg tega je skupina za sodelovanje na področju varnosti omrežij in informacij sprejela rezultate dveh usklajenih ocen varnostnega tveganja na ravni Unije, ki so ju pripravile države članice ob podpori Komisije in agencije ENISA. Prva ocena se osredotoča na povezana in avtomatizirana vozila ter njihove dobavne verige, druga pa proučuje tveganja za kibernetsko varnost, povezana z opremo za odkrivanje, ki jo uporabljajo izvajalci kazenskega pregona in varnostnih služb EU na mejnih prehodih EU.
Glavni cilj obeh poročil je zagotoviti celovit pregled ugotovljenih tveganj za kibernetsko varnost, njihovih morebitnih posledic in blažilnih ukrepov, ki se štejejo za potrebne za njihovo obravnavo. Ocena povezanih in avtomatiziranih vozil kaže, da CAV sicer prinašajo številne potencialne koristi za varnost in energijsko učinkovitost, vendar prinašajo nova in znatna tveganja za kibernetsko varnost. CAV-ji obdelujejo trove osebnih in občutljivih podatkov in se lahko v nekaterih primerih uporabljajo kot orožje.
Za obravnavo teh tveganj skupina za sodelovanje na področju varnosti omrežij in informacij med drugim priporoča, naj Komisija skupaj z državami članicami opredeli sorazmerne ukrepe za zmanjšanje tveganja dobavnih verig EU od dobaviteljev z visokim tveganjem, zlasti kadar se nanašajo na sisteme obdelave in odločanja, komunikacijske sisteme in sisteme povezljivosti ter sisteme za nadzor vozil, ki lahko prejemajo posodobitve na daljavo. Poročilo predlaga tudi nadaljnje raziskave za oceno učinka kibernetskih napadov na polnilno infrastrukturo na širšem energetskem omrežju.
Druga usklajena ocena tveganja se osredotoča na opremo za odkrivanje. Njegov cilj je zagotoviti celovit pregled tveganj za kibernetsko varnost, povezanih z opremo za odkrivanje, ki se na splošno šteje za del kritične infrastrukture EU, in njihovih posledic ter blažilnih ukrepov, potrebnih za njihovo obravnavo, ne glede na to, ali se oprema za odkrivanje uporablja samostojno ali v medsebojno povezanih in interoperabilnih okoljih.
Ogrožena oprema za odkrivanje se lahko upravlja na daljavo, izkorišča kot vektor napada ali nevtralizira za podporo zlonamernim dejanjem. Incidenti so lahko tudi posledica človeške napake, sistemskih napak ali naravnih pojavov. Poleg tega je sam trg opreme za odkrivanje, na katerem prevladuje omejeno število proizvajalcev s poreklom iz držav zunaj EU, pokazal resne pomanjkljivosti in dodatne izzive za varnost EU, zlasti v zvezi z diverzifikacijo trga, razpoložljivostjo opreme in delov opreme ter varovanjem kritične infrastrukture itd.
Za učinkovito obvladovanje teh tveganj so v tej oceni opredeljeni številni blažilni ukrepi, kot sta učinkovita uporaba ukrepov na ravni EU za dobavitelje z visokim tveganjem in izboljšanje praks javnega naročanja z uvedbo varnostnih zahtev za financiranje EU. Druga priporočila se nanašajo na prakse vzdrževanja in varnostne protokole za uporabo opreme in dostop do nje.