EU sanksjonerer kinesiske og iranske aktører for cyberangrep mot kritisk infrastruktur
EU-rådet har innført nye cyber-sanksjoner mot tre selskaper og to personer knyttet til angrep mot medlemslandenes digitale infrastruktur. Tiltaket omfatter kinesiske Integrity Technology Group og Anxun Information Technology (i-Soon), samt iranske Emennet Pasargad.
Ifølge rådets begrunnelse skal aktørene ha bidratt med teknisk støtte, gjennomført målrettede operasjoner mot kritiske funksjoner i EU-land og deltatt i påvirkningskampanjer. Sanksjonene innebærer blant annet frys av verdier, forbud mot økonomiske transaksjoner fra EU-aktører og reiseforbud for navngitte personer.
Hvorfor dette er viktig nå
Dette er en tydelig eskalering fra enkelthendelser til geopolitisk respons: EU bruker sanksjonsregimet aktivt mot navngitte leverandører og operatører i cyberøkosystemet. For virksomheter betyr det høyere krav til tredjepartskontroll, leverandørvurdering og etterlevelse av sanksjonsregler i sikkerhetsarbeidet.
Saken viser også at skillelinjen mellom tradisjonell cybersikkerhet og utenrikspolitikk blir stadig svakere. Når trusselaktører kobles til statsnære miljøer, får hendelser raskt konsekvenser langt utover IT-drift.
Praktisk effekt for norske virksomheter
For norske selskaper med internasjonale leverandørkjeder er hovedpoenget å dobbeltsjekke eksponering mot sanksjonerte enheter og oppdatere due diligence-rutiner. Spesielt virksomheter med kritiske systemer bør vurdere om eksisterende leverandørkartlegging fanger opp indirekte risiko i underleverandørledd.