歐盟公布「資通訊供應鏈安全工具箱」
發布日期:2026-02-24
- 依據歐盟執委會新聞稿,歐盟於本年2月13日公布「資通訊供應鏈安全工具箱(ICT Supply Chain Security Toolbox)」,提供一套歐盟層級之方法,用以辨識、評估及緩解資通訊供應鏈之網路安全風險。
- 前揭資通訊供應鏈安全工具箱,重點如下:
-
- 背景:該工具箱係本年1月20日所提出「網路安全法(Cybersecurity Act)」 修訂架構之一環,係由歐盟執委會、會員國及歐盟網路安全局(ENISA)所組成之NIS2合作小組(NIS2 Cooperation Group)所制訂。
- 目標:建立對ICT供應安全風險的共同理解,辨別潛在威脅、漏洞與風險,並提供具體建議,以確保ICT供應鏈安全。
- 適用對象及範圍:主要提供會員國針對ICT服務、系統或產品供應鏈,尤其是硬體、軟體(包括開源軟體FOSS)及管理(安全)服務,並採取全危害方式(all-hazards approach),將技術與非技術因素均納入考量。
- 風險情境(Risk Scenarios):
-
- 蓄意威脅:針對管理服務供應商之勒索軟體攻擊、地緣政治僅長局勢影響第三國供應商、針對雲端計算供應商攻擊、透過信賴供應商之供應商在產品中惡意植入偽造零件等4種風險情境。
- 非蓄意威脅:政府機構負責網路服務之系統故障、醫院ICT零組件故障、因人為錯誤導致資料中心停擺、錯誤軟體更新引起廣泛之系統障礙等3種風險情境。
- 外部事件或自然現象:供應商鎖定(supplier lock-in)、自然災害或疫情造成供應鏈斷鏈、ICT產品與服務成本波動及供應鏈中斷等3種情境。
- 分為4大領域之7項建議:
-
- 完善ICT供應鏈風險管理架構:
-
- 建立並執行ICT供應鏈風險評估:會員國應界定國家風險評估範圍,定期評估關鍵產業之供應鏈風險。
- 確保ICT供應鏈風險管理之結構化方法:建立流程已持續監控供應商行為與合規性。
- 彈性、多元及韌性之ICT供應鏈:
-
- 推動多元供應商策略(Multi-vendor strategies)與政策以因應策略性依賴風險:鼓勵分散來源,減少對單一供應商之過度依賴。
- 在會員國層級管理、限制或排除高風險供應商:訂定評估準則,針對關鍵供應鏈會員國應有權限制或排除高風險供應商。
- 情勢認知與營運合作:
-
- 促進資訊交換、認知與訓練:在歐盟及會員國層級加強分享風險評估結果與事件資訊,加強網路安全技能培訓。
- 韌性、信賴且透明之工業基礎:
-
- 開發並支持確保供應鏈之互通生態系(interoperable ecosystem):支持歐盟境內供應商發展,減少對外部之戰略依賴。
- 透過適當標準與認證之採用與發展促進互通性:會員國應促進開發與採用適當之技術標準與認證,以強化產品安全性。
- 檢送歐盟執委會新聞資料及本組摘譯「歐盟資通訊供應鏈安全工具箱」對歐盟會員國之建議簡介如附件,相關資訊可參閱歐盟資通訊網絡暨科技總署(DG CNECT)網頁https://digital-strategy.ec.europa.eu/en/library/toolbox-improve-ict-supply-chain-security,併請卓參。
出處: 駐歐盟兼駐比利時代表處經濟組
相關連結: https://digital-strategy.ec.europa.eu/en/library/toolbox-improve-ict-supply-chain-security
