Il NIS Cooperation Group di ENISA ha pubblicato il "EU ICT Supply Chain Security Toolbox": https://digital-strategy.ec.europa.eu/en/library/toolbox-improve-ict-supply-chain-security.

Ringrazio Franco Vincenzo Ferrari per avermelo segnalato. 

Si tratta di un documento di presentazione generale e 2 documenti esemplificativi (sui veicoli automatizzati e sui dispositivi di rilevazione) che illustrano alcune modalità per controllare la catena di approvvigionamento ICT.

L'ho trovato molto confuso:

- il documento presenta 11 scenari di rischio in parte molto specifici (da aggiungere, forse, a quelli per i veicoli automatizzati e i dispositivi di rilevazione) in parte generici; essi sembrano essere casi reali di minacce, che forse sono quelle presentate in Appendice 1;

- gli scenari sono seguiti da 7 misure decisamente generiche, senza che aiutino a capire come selezionare e monitorare i fornitori;

- gli altri due documenti sembrano slegati dal primo; tra l'altro, non ho capito neanche tanto bene cosa sono i "detection equipment", visto che non c'è una definizione; essi seguono tassonomie diverse dal documento generale. 

La lettura, se non si cerca uno schema specifico, è comunque interessante. Segnalo poi, nel documento generale, il paragrafo 1.4 (Legal framework and policy measures) che mette in fila le diverse normative europee relative alla sicurezza informatica.