Само дни след представянето на нов пакет от мерки за киберсигурност, насочен към повишаване на устойчивостта на Европейския съюз срещу ескалиращи заплахи, Европейската комисия обяви въвеждането на ICT Supply Chain Security Toolbox – общоевропейска рамка за идентифициране, оценка и ограничаване на рисковете по веригите за доставки на информационни и комуникационни технологии.

Инструментариумът дефинира ключови рискови сценарии и препоръчва конкретни мерки, включително по-строг контрол върху критични доставчици, прилагане на многодоставни стратегии и политики за намаляване на зависимостта от високорискови производители и услуги.

Разработен от NIS2 Cooperation Group

ICT Supply Chain Security Toolbox е разработен от NIS2 Cooperation Group, в който участват държавите членки, Европейската комисия и ENISA. Прилагането му ще бъде оценено след една година, за да се прецени ефективността и необходимостта от допълнителни мерки.

Инструментът е съобразен с ревизирания Cybersecurity Act и е допълнен от две целеви оценки на риска, фокусирани върху свързани и автоматизирани превозни средства и оборудване за откриване. Тези оценки анализират конкретни уязвимости, потенциални последици и мерки за тяхното ограничаване.

Политическият контекст и мотивацията

„Кибератаките срещу ИКТ веригите за доставки стават все по-сложни и могат да засегнат както сигурността, така и икономиката ни“, заяви Хена Виркунен, изпълнителен заместник-председател по технологичния суверенитет, сигурността и демокрацията. По думите ѝ, новият инструментариум засилва общото разбиране за рисковете и начините за тяхното смекчаване на ниво ЕС.

Какво обхваща ИКТ веригата за доставки

Инструментариумът разглежда ИКТ веригата за доставки като цялостна екосистема от организации, доставчици и участници, ангажирани в създаването, доставката и поддръжката на ИКТ продукти и услуги. Обхванати са всички фази от жизнения цикъл:

• Проектиране – изисквания и архитектура

• Разработка и производство – суровини, тестване, контрол на качеството

• Дистрибуция – логистика и транспорт

• Придобиване – търговия и продажби

• Внедряване – инсталация и конфигурация

• Поддръжка – експлоатация, актуализации и поддръжка

• Извеждане от употреба – унищожаване, архивиране или деактивация

Заплахи, извършители и рискови сценарии

Инструментариумът поставя акцент върху висококвалифицирани и мотивирани заплахи, които представляват най-сериозния риск за ИКТ веригите за доставки. Те включват:

• държавно подкрепяни групи (APT),

• организирани престъпни мрежи,

• наемни хакери,

• хактивисти,

• вътрешни лица в доверени организации.

Отчита се и нарастващото припокриване между тези групи, включително използването на ransomware не само за финансова изгода, но и за саботаж или прикриване на шпионска дейност.

Мерки и съгласуване с действащото законодателство

Препоръките в ICT Supply Chain Security Toolbox са насочени основно към държавите членки и допълват съществуващи рамки като NIS 2 Directive, Commission Implementing Regulation (EU) 2024/2690 и Cyber Resilience Act. Те подчертават необходимостта от:

• структурирани оценки на риска,

• насърчаване на многодоставни модели,

• управление или ограничаване на високорискови доставчици,

• засилено споделяне на информация и обучение,

• развитие на стандарти и сертификационни схеми за сигурни вериги за доставки.

Практическа подкрепа и упражнения по киберсигурност

Паралелно с това ENISA публикува и своята методология за киберучения, която предоставя цялостна рамка за планиране, провеждане и оценка на упражнения по киберсигурност. Тя е предназначена да подпомогне организациите в повишаването на оперативната готовност и координацията между ключови участници.