2 godzin temu
Unia Europejska przyjęła wspólne narzędzie ograniczania ryzyk w łańcuchach dostaw ICT. NIS Cooperation Group zatwierdziła tzw. ICT Supply Chain Security Toolbox oraz dwie skoordynowane oceny ryzyka, dotyczące pojazdów połączonych i zautomatyzowanych oraz detektorów wykorzystywanych m.in. na granicach UE. To kolejny element wdrażania dyrektywy NIS2 i budowy odporności cyfrowej Wspólnoty.
Nowy zestaw środków został opracowany przez państwa członkowskie przy wsparciu Komisji Europejskiej oraz ENISA, czyli Agencji UE ds. Cyberbezpieczeństwa. Dokument ma charakter horyzontalny i niewiążący, ale definiuje wspólne podejście do identyfikowania, oceny i ograniczania zagrożeń w łańcuchach dostaw usług, systemów i produktów ICT.
Wspólne ramy oceny dostawców wysokiego ryzyka
Toolbox opiera się na podejściu „all hazards”, obejmującym szerokie spektrum zagrożeń, od ataków cybernetycznych po ryzyka geopolityczne. Wskazuje scenariusze zagrożeń dla unijnego ekosystemu cyfrowego oraz rekomenduje konkretne działania zaradcze. Wśród nich znalazły się m.in. stworzenie ram oceny dostawców krytycznych, promowanie strategii multi vendor oraz ograniczanie zależności od dostawców uznanych za wysokiego ryzyka.
Narzędzie ma wspierać realizację art. 22 dyrektywy NIS2, który przewiduje skoordynowane na poziomie UE oceny ryzyka w kluczowych łańcuchach dostaw ICT. Państwa członkowskie otrzymują zestaw dobrowolnych środków, które mogą dostosować do własnych priorytetów. Po roku planowany jest przegląd wdrożenia i identyfikacja ewentualnych luk.
Nowe ryzyka w pojazdach połączonych i infrastrukturze granicznej
Równolegle przyjęto dwie unijne oceny ryzyka. Pierwsza dotyczy pojazdów połączonych i zautomatyzowanych, tzw. CAV. Analiza wskazuje, iż choć technologie te poprawiają bezpieczeństwo i efektywność energetyczną, generują też nowe zagrożenia. CAV przetwarzają ogromne ilości danych osobowych i wrażliwych, a w skrajnych scenariuszach mogą zostać wykorzystane jako narzędzie ataku.
W rekomendacjach znalazło się m.in. ograniczanie ryzyk w systemach przetwarzania danych i podejmowania decyzji, w systemach łączności oraz w modułach sterowania pojazdem, które mogą być aktualizowane zdalnie. Zasugerowano także dalsze badania nad wpływem potencjalnych cyberataków na infrastrukturę ładowania i sieci energetyczne.
Druga ocena koncentruje się na urządzeniach detekcyjnych używanych przez służby i operatorów infrastruktury krytycznej, zwłaszcza na przejściach granicznych. Rynek tych rozwiązań jest zdominowany przez ograniczoną liczbę producentów spoza UE, co rodzi dodatkowe wyzwania związane z dywersyfikacją dostaw i dostępnością części. Przejęcie kontroli nad takim sprzętem może umożliwić sabotaż lub obejście zabezpieczeń.
