2026年1月30日,欧盟网络与信息安全(NIS)合作小组、欧盟委员会及欧盟网络安全局(ENISA)联合发布针对联网自动驾驶汽车(CAV)、检测设备及信息通信技术(ICT)供应链的安全风险评估报告。这些报告基于《NIS2指令》第22条,旨在识别影响欧盟关键基础设施与经济安全的战略性风险,并提供非约束性的应对措施。
在联网自动驾驶汽车领域,评估共识别出107项风险,其中14项被判定为首要风险。报告指出,车辆控制系统、处理与决策系统是核心受保护资产,其受损将直接威胁道路安全及公民人身安全。攻击媒介主要集中在具有公众接口的通信系统与云端后台。评估特别强调,高风险供应商可能受到非欧盟国家的政府或军事压力,通过植入恶意更新或配置来规避现有的车辆型式认证监管。当前的认证制度主要侧重于物理交通安全,难以有效抵御复杂的网络渗透风险。
针对执法部门与边境控制使用的探测设备,报告将其界定为欧盟关键基础设施。随着此类设备从独立运行转向互联互通,特别是在港口和机场等物流枢纽的应用,其面临的风险显著增加。评估确定了13类通用风险,其中对单一供应商的过度依赖、维护过程中的未经授权访问以及恶意软件注入被列为高影响风险。专家分析显示,设备的安装与长期维护阶段是蓄意破坏的高风险窗口期。
为统一管理上述挑战,欧盟同步发布了ICT供应链安全工具包。该工具包定义了判定高风险供应商的具体标准,包括受第三国干扰的程度、企业所有权透明度以及其安全实践水平。工具包列举了多种实战化风险场景,例如针对托管安全服务提供商的勒索攻击、云服务中断、软件更新中的漏洞以及全球半导体供应链中断对关键组件供应的影响。
基于评估结论,NIS合作小组提出了一系列政策建议。成员国应建立国家级评估框架,对关键供应商实施基于风险的限制或排除措施。在CAV领域,建议在车辆处理和通信系统等核心环节逐步降低对高风险供应商的依赖。在探测设备领域,应制定统一的欧盟安全协议,并将网络安全要求强制纳入公共采购招标程序。此外,工具包鼓励成员国采取多供应商策略,建立冗余供应机制,以增强欧盟在关键技术领域的自主性与韧性。
相关链接
关于我们
浙公网安备33020302001055号