就在幾天前，歐盟委員會剛發布了一項旨在加強歐盟應對日益升級的網路安全威脅能力的新網路安全方案。隨後，歐盟委員會又推出了資訊通信技術供應鏈安全工具箱，旨在為歐盟提供一個協調一致的框架，用於識別、評估和緩解資訊通信技術供應鏈中的風險。該工具箱定義了關鍵風險情景，並提出了緩解措施建議，包括對關鍵供應商進行審查、採用多供應商策略以及採取措施減少對高風險供應商的依賴。其目標是為成員國提供一個切實可行的框架，以加強供應鏈安全。

由歐盟成員國、歐盟委員會和歐盟網路安全局 (ENISA) 組成的 NIS2 合作小組開發了這套工具包，並將於一年後對其實施進行評估。該工具包旨在與修訂後的《網路安全法》保持一致，還包括兩項互補的風險評估，分別針對連網自動駕駛車輛和偵測設備。這些評估概述了已識別的網路安全風險、潛在後果以及為應對這些領域新出現的漏洞而建議的緩解措施。

資訊通信技術供應鏈安全工具箱的關鍵概念包括資訊通信技術供應鍊及其相關實體，涵蓋所有參與資訊通信技術產品和服務生產、交付和維護的組織、供應商和參與者。它還涵蓋資訊通信技術服務、系統或產品的生命週期各個階段，從設計和開發到部署、運行、維護以及最終退役。

該工具包呼籲建立和實施資訊通信技術供應鏈風險評估，並強調需要採用結構化、一致的方法來管理供應鏈風險。它也鼓勵成員國推廣多供應商策略及相關政策，以降低策略依賴風險。必要時，建議各國主管機關對高風險供應商進行管理、限製或排除。此外，該工具包強調了透過促進資訊共享、提高意識和加強培訓來增強態勢感知和行動協作的重要性。最後，它建議開發和支援一個可互通的安全供應鏈生態系統，並透過制定和採用適當的標準和認證框架來推進互通性。

原文連結：https://industrialcyber.co/supply-chain-security/eu-debuts-ict-supply-chain-security-toolbox-to-standardize-supply-chain-risk-assessment-bolster-security/