Evropská unie v posledních letech systematicky reaguje na rostoucí kybernetické hrozby, které stále častěji míří na kritické prvky digitální infrastruktury. Jedním z nejzranitelnějších míst se přitom ukazují být dodavatelské řetězce informačních a komunikačních technologií, jejichž narušení může mít domino efekt napříč ekonomikou i veřejnou správou. Právě v této souvislosti byl přijat nový evropský soubor nástrojů pro bezpečnost dodavatelského řetězce ICT (ICT Supply Chain Security Toolbox), jehož cílem je vytvořit koordinovaný rámec pro identifikaci, posuzování a zmírňování rizik na úrovni celé Unie.
Účel regulace
Soubor nástrojů vznikl v rámci skupiny pro spolupráci v oblasti bezpečnosti sítí a informací, která sdružuje členské státy, Evropskou komisi a Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA). Je koncipován jako horizontální a technologicky neutrální nástroj, který poskytuje společný metodický základ pro řízení rizik dodavatelských řetězců napříč sektory. Zároveň jde o nástroj nezávazné povahy, jenž má členským státům umožnit flexibilní přizpůsobení národním podmínkám a prioritám, aniž by narušoval jednotný přístup k bezpečnosti v rámci vnitřního trhu.
Zásadním přínosem nového rámce je skutečnost, že dodavatelský řetězec ICT je pojímán komplexně jako celek zahrnující všechny subjekty a procesy podílející se na návrhu, vývoji, výrobě, distribuci, implementaci, provozu i vyřazení digitálních produktů a služeb. Tento životní cyklus zahrnuje fázi návrhu a architektury řešení, následnou výrobu a testování, logistiku a distribuci, akvizici a instalaci, provoz a údržbu včetně aktualizací a podpory, až po konečné vyřazení či archivaci. Takto široké pojetí umožňuje identifikovat rizika nejen na technologické úrovni, ale i v organizačních a procesních souvislostech.
Klíčové prvky
Metodologicky je soubor nástrojů založen na přístupu „all-hazards“, tedy zohlednění všech typů hrozeb, a na rizikově orientovaném modelu. Analýza proto nepracuje pouze s technickými zranitelnostmi, ale také s motivacemi a schopnostmi jednotlivých aktérů hrozeb. Za nejvýznamnější rizikové aktéry jsou považovány zejména skupiny napojené na státní struktury, organizovaný zločin, profesionální hackeři poskytující služby na objednávku, ideologicky motivovaní hacktivisté a v neposlední řadě i interní osoby s oprávněným přístupem. Charakteristickým rysem současného prostředí je přitom rostoucí prolínání těchto skupin a využívání společných nástrojů či metod útoku.
Útoky na dodavatelské řetězce mají specifickou nebezpečnost v tom, že kompromitace jediného dodavatele může současně ohrozit velké množství organizací. Dopady mohou zahrnovat narušení provozu kritické infrastruktury, únik citlivých dat, finanční ztráty či reputační poškození. Soubor nástrojů proto klade důraz na systematickou identifikaci rizikových scénářů a následné definování odpovídajících zmírňujících opatření. Ta zahrnují zejména hodnocení kritických dodavatelů, podporu strategií využívajících více dodavatelů s cílem snížit závislost na vysoce rizikových subjektech, posilování schopností řízení rizik na národní úrovni a případná regulatorní opatření umožňující omezení nebo vyloučení rizikových dodavatelů.
Nový evropský rámec současně navazuje na existující legislativní nástroje, zejména směrnici NIS2, prováděcí předpisy v oblasti kybernetické bezpečnosti a také na nařízení o kybernetické odolnosti (Cyber Resilience Act). Tyto předpisy již stanovují technická, organizační a provozní opatření pro zvýšení bezpečnosti digitálních produktů a služeb, avšak soubor nástrojů přináší širší strategickou koordinaci napříč sektory. Členské státy jsou vyzývány k integraci tohoto rámce do svých národních politik, k rozvoji schopností testování a certifikace, k posilování dohledu nad trhem a k podpoře interoperabilního ekosystému bezpečných dodavatelských řetězců.
Součástí iniciativy jsou rovněž dvě koordinovaná posouzení rizik na úrovni EU zaměřená na propojená a automatizovaná vozidla a na detekční zařízení využívaná zejména v oblasti ochrany hranic a bezpečnosti. Analýza vozidel upozorňuje na významné přínosy těchto technologií pro bezpečnost a energetickou účinnost, avšak současně identifikuje nová kybernetická rizika spojená se zpracováním citlivých dat a možností vzdáleného zásahu do systémů vozidla. Doporučení proto zahrnují mimo jiné opatření ke snížení závislosti na vysoce rizikových dodavatelích u klíčových komponent, jako jsou komunikační systémy, rozhodovací algoritmy nebo systémy řízení vozidla.
Posouzení rizik detekčních zařízení poukazuje na specifické problémy trhu, který je do značné míry závislý na omezeném počtu výrobců mimo EU. Kompromitace těchto zařízení může vést nejen k jejich zneužití jako vektoru útoku, ale i k narušení funkčnosti bezpečnostních systémů. Doporučená opatření proto zahrnují posílení bezpečnostních požadavků ve veřejných zakázkách, zlepšení postupů údržby a provozu zařízení a efektivnější uplatňování opatření vůči vysoce rizikovým dodavatelům.
Význam nové iniciativy podtrhuje skutečnost, že Evropská komise současně představila návrh revize aktu o kybernetické bezpečnosti (tou jsme se blíže zabývali zde), který počítá s vytvořením důvěryhodného rámce pro dodavatelské řetězce IKT, včetně řešení netechnických rizik, například zahraničního vměšování. Nový soubor nástrojů tak představuje důležitý mezikrok směrem k harmonizovanému evropskému přístupu k bezpečnosti kritických digitálních technologií.
Závěr
Celkově lze konstatovat, že evropský soubor nástrojů pro bezpečnost dodavatelského řetězce ICT představuje významné posílení evropské kybernetické politiky. Jeho přidaná hodnota spočívá zejména ve společném porozumění rizikům, koordinaci opatření a posílení odolnosti digitální infrastruktury. V prostředí, kde se kybernetické hrozby stávají stále sofistikovanějšími a geopoliticky motivovanějšími, jde o krok, který může zásadně přispět k technologické suverenitě a bezpečnosti Evropské unie.
