Dnes byl představen ICT Supply Chain Security Toolbox, společný nezávazný rámec EU pro posuzování a snižování kybernetických bezpečnostních rizik v ICT dodavatelských řetězcích. Toolbox identifikuje možné rizikové scénáře ovlivňující ICT dodavatelské řetězce a na jejich podkladě nabízí koordinovaná doporučení k hodnocení a mitigaci rizik. Doporučení se dotýkají mj. podpory multi-vendor strategií a snižování závislostí na vysoce rizikových dodavatelích. Dokument zároveň doplňuje implementaci článku 22 směrnice NIS2 a usnadní členským státům sjednocování postupů v oblasti řízení bezpečnosti dodavatelských řetězců.
Toolbox a jeho doporučení jsou primárně stavěné pro veřejné instituce, použitelné budou však i šířeji soukromým sektorem. Členské státy EU a širší veřejnost tak získávají praktický rámec ke strukturovanému řešení dlouhodobého bezpečnostního problému. Toolbox přijala Skupina pro spolupráci v oblasti bezpečnosti sítí a informací, která se skládá ze zástupců členských států EU, Evropské komise a Agentury EU pro kybernetickou bezpečnost (ENISA).
„Bezpečné ICT dodavatelské řetězce jsou jednou z klíčových podmínek pro zajištění naší odolnosti nejen v kyberprostoru, na což Národní úřad pro kybernetickou a informační bezpečnost dlouhodobě upozorňuje. Na potřebě přijetí společného přístupu k této problematice se také shodly státy napříč EU již během českého předsednictví v Radě EU v roce 2022. Toolbox je tak konkrétním výsledkem, navazujícím právě na průkopnické snahy ČR a expertů NÚKIB. Z velké části na něm také tři roky pracoval tým zástupců z celé EU, pod vedením Česka a Švédska,“ řekl ředitel NÚKIB Lukáš Kintr.
Spolu s Toolboxem Skupina pro spolupráci rovněž přijala dvě koordinovaná posouzení rizik, která již staví na přístupu využívajícím rámec Toolboxu, a to u dvou skupin produktů:
- Připojená a autonomní vozidla (CAV) – jakkoli mají připojená a autonomní vozidla výhody bezpečnostní a energetické, představují zároveň riziko z hlediska kybernetické bezpečnosti; zpráva proto upozorňuje na rizika spojená s konektivitou, softwarovými aktualizacemi a shromažďováním velkého množství dat (nejen o posádce) v cloudových systémech. Tato vozidla a získaná data pak mohou být zneužita nepřátelskými aktéry.
- Detekční zařízení používaná na hranicích a letištích – analýza zdůrazňuje mj. stávající dominanci dodavatelů mimo EU a absenci konkurenceschopných evropských.
Nezávazný Toolbox je výsledkem dlouhodobé práce v rámci EU, na jehož implementaci budou nyní členské státy pracovat. Zhodnocení pokroku v implementaci, včetně získaných zkušeností a identifikovaných výzev, pak proběhne v příštím roce.