歐盟公布「資通訊供應鏈安全工具箱」

歐盟於2026年2月13日公布「資通訊供應鏈安全工具箱(ICT Supply Chain Security Toolbox)」，提供一套歐盟層級之方法，用以辨識、評估及緩解資通訊供應鏈之網路安全風險。

前揭資通訊供應鏈安全工具箱，重點如下：

一、背景：該工具箱係2026年1月20日所提出「網路安全法(Cybersecurity Act)」 修訂架構之一環，係由歐盟執委會、會員國及歐盟網路安全局(ENISA)所組成之NIS2合作小組(NIS2 Cooperation Group)所制訂。

二、目標：建立對ICT供應安全風險的共同理解，辨別潛在威脅、漏洞與風險，並提供具體建議，以確保ICT供應鏈安全。

三、適用對象及範圍：主要提供會員國針對ICT服務、系統或產品供應鏈，尤其是硬體、軟體(包括開源軟體FOSS)及管理(安全)服務，並採取全危害方式(all-hazards approach)，將技術與非技術因素均納入考量。

四、風險情境(Risk Scenarios)：
(一)蓄意威脅：針對管理服務供應商之勒索軟體攻擊、地緣政治僅長局勢影響第三國供應商、針對雲端計算供應商攻擊、透過信賴供應商之供應商在產品中惡意植入偽造零件等4種風險情境。
(二)非蓄意威脅：政府機構負責網路服務之系統故障、醫院ICT零組件故障、因人為錯誤導致資料中心停擺、錯誤軟體更新引起廣泛之系統障礙等3種風險情境。
(三)外部事件或自然現象：供應商鎖定(supplier lock-in)、自然災害或疫情造成供應鏈斷鏈、ICT產品與服務成本波動及供應鏈中斷等3種情境。

五、分為4大領域之7項建議：
(一)完善ICT供應鏈風險管理架構：
1.建立並執行ICT供應鏈風險評估：會員國應界定國家風險評估範圍，定期評估關鍵產業之供應鏈風險。
2.確保ICT供應鏈風險管理之結構化方法：建立流程已持續監控供應商行為與合規性。
(二)彈性、多元及韌性之ICT供應鏈：
1.推動多元供應商策略(Multi-vendor strategies)與政策以因應策略性依賴風險：鼓勵分散來源，減少對單一供應商之過度依賴。
2.在會員國層級管理、限制或排除高風險供應商：訂定評估準則，針對關鍵供應鏈會員國應有權限制或排除高風險供應商。
(三)情勢認知與營運合作：
1.促進資訊交換、認知與訓練：在歐盟及會員國層級加強分享風險評估結果與事件資訊，加強網路安全技能培訓。
(四)韌性、信賴且透明之工業基礎：
1.開發並支持確保供應鏈之互通生態系(interoperable ecosystem)：支持歐盟境內供應商發展，減少對外部之戰略依賴。
2.透過適當標準與認證之採用與發展促進互通性：會員國應促進開發與採用適當之技術標準與認證，以強化產品安全性。(資料來源：經濟部國際貿易署)