Europos Sąjunga pristatė naują IRT tiekimo grandinės saugumo priemonių rinkinį, skirtą nustatyti ir mažinti kibernetines rizikas visoje skaitmeninėje ekosistemoje. Kartu patvirtinti du koordinuoti rizikos vertinimai, susiję su sujungtomis transporto priemonėmis ir pasienio aptikimo įranga.

Daugiau šia tema: ES technologijos, inovacijos ir švietimas, DIGITAL STRATEGY

Priemonių rinkinį parengė NIS bendradarbiavimo grupė, kurioje dalyvauja ES valstybės narės, Europos Komisija ir Europos Sąjungos kibernetinio saugumo agentūra ENISA. Dokumentas grindžiamas bendru, neįpareigojančiu požiūriu į rizikų identifikavimą, vertinimą ir mažinimą IRT tiekimo grandinėse.

Bendras ES požiūris į tiekimo grandinių saugumą

IRT tiekimo grandinės saugumo priemonių rinkinys apibrėžia pagrindines sąvokas ir galimus rizikos scenarijus, galinčius paveikti Sąjungos skaitmeninę infrastruktūrą. Jame siūlomos priemonės, tokios kaip kritinių tiekėjų vertinimo sistema, daugiatiekėjų strategijų skatinimas ir priklausomybės nuo aukštos rizikos tiekėjų mažinimas.

Dokumentas parengtas atsižvelgiant į 2022 m. ES Tarybos išvadas dėl IRT tiekimo grandinės saugumo ir dera su NIS2 direktyvos 22 straipsniu, numatančiu koordinuotus saugumo rizikos vertinimus Sąjungos lygmeniu. Priemonių rinkinys skirtas padėti ne tik valstybėms narėms, bet ir viešojo bei privataus sektoriaus subjektams vertinti rizikas, susijusias su IRT paslaugomis, sistemomis ir produktais.

Valstybės narės galės taikyti savanoriškas priemones pagal nacionalinius prioritetus, o po metų numatyta atlikti jų įgyvendinimo peržiūrą, siekiant įvertinti pažangą ir prireikus pasiūlyti pakeitimus.

Rizikos vertinimai transporto ir pasienio srityse

Kartu su priemonių rinkiniu patvirtinti du koordinuoti rizikos vertinimai. Pirmasis skirtas sujungtoms ir automatizuotoms transporto priemonėms bei jų tiekimo grandinėms. Ataskaitoje pažymima, kad tokios transporto priemonės, nors ir teikia naudos saugumo bei energijos vartojimo efektyvumo srityse, taip pat kelia naujų kibernetinių rizikų, nes apdoroja didelius asmens duomenų kiekius ir gali tapti kibernetinių atakų taikiniais.

Rekomenduojama nustatyti proporcingas priemones, mažinančias rizikas, susijusias su aukštos rizikos tiekėjais, ypač tose srityse, kurios apima ryšių sistemas, nuotoliniu būdu atnaujinamus valdymo sprendimus ir transporto priemonių kontrolės sistemas. Taip pat siūloma atlikti papildomus tyrimus dėl galimo kibernetinių incidentų poveikio įkrovimo infrastruktūrai ir energetikos tinklams.

Antrasis vertinimas susijęs su aptikimo įranga, naudojama ES pasienyje ir teisėsaugos institucijose. Ataskaitoje pažymima, kad tokia įranga gali būti perimta ar neutralizuota nuotoliniu būdu, o rinka šiuo metu pasižymi ribotu tiekėjų skaičiumi ir priklausomybe nuo ne ES gamintojų. Siūlomos priemonės apima griežtesnius saugumo reikalavimus viešuosiuose pirkimuose, priežiūros praktikų stiprinimą ir ES lygmens veiksmų taikymą aukštos rizikos tiekėjų atžvilgiu.

Šis straipsnis parengtas pagal Europos Komisijos pranešimus.