„A NIS 2 irányelv 18. cikkével összhangban az ENISA-t azzal bízták meg, hogy kétévente készítsen jelentést a kiberbiztonság helyzetéről az Unióban.
A jelentés bizonyítékokon alapuló áttekintést nyújt a kiberbiztonsági érettségi szintről, valamint értékeli a kiberbiztonsági képességeket Európa-szerte. A jelentés szakpolitikai ajánlásokat is tartalmaz a feltárt hiányosságok orvoslására és az EU kiberbiztonsági szintjének növelésére.
Az elvégzett elemzés különböző forrásokon alapul, többek között az EU Cybersecurity Index-en, a NIS Investment jelentéssorozaton, a Foresight 2030-on és az ENISA Threat Landscape jelentésen. A munka mind a 27 uniós tagállammal és az Európai Bizottsággal folytatott széles körű konzultáció eredménye.
A főbb megállapítások
Az uniós szintű kockázatértékelés szerint jelentős az EU-t érintő kiberfenyegetettség szintje, kiemelendők a felfedezett sebezhetőségek, amelyeket az uniós jogalanyokat célzó fenyegető szereplők kihasználnak.
Ami az uniós szintű kiberbiztonsági képességeket illeti, az uniós tagállamok olyan kiberbiztonsági stratégiákat dolgoztak ki, amelyek céljai összességében összhangban vannak egymással. A kritikus ágazatok méretük és kritikusságuk tekintetében heterogénebbnek tűnnek, ami megnehezíti a kiberbiztonsági intézkedések felügyeletét és egységes végrehajtását. A polgárok szintjén azt feltételezi a jelentés, hogy az uniós polgárok körében valószínűleg nőtt a kiberbiztonsági tudatosság. A fiatalabb generációk digitális készségeinek szintje magasabbnak tűnik, annak ellenére, hogy az oktatási programok elérhetősége és az oktatás érettsége tagállamonként eltérő.
Szakpolitikai ajánlások
A jelentés négy kiemelt területet határoz meg, amelyekkel a szakpolitikai ajánlások foglalkozniuk kell: 1) szakpolitika végrehajtása, 2) kiberválságkezelés, 3) ellátási lánc és 4) készségek.
A jelentés legfontosabb eredménye hat szakpolitikai ajánlás, amelyek a fenti négy kiemelt területre, valamint a kritikus szektor szereplőinek képességeire, a kiberbiztonsági tudatosságra és a kiberhigiéniára terjednek ki.
- Az Európai Unió intézményei, szervei és ügynökségei (EUIBA-k), az illetékes nemzeti hatóságok és a NIS2 irányelv hatálya alá tartozó szervezetek számára nyújtott technikai és pénzügyi támogatás megerősítése a kialakuló uniós kiberbiztonsági szakpolitikai keret összehangolt, átfogó, időben történő és koherens végrehajtásának biztosítása érdekében, a már meglévő uniós szintű struktúrák, például a NIS együttműködési csoport, a CSIRT-hálózat és az uniós ügynökségek felhasználásával.
- A Tanács felkérésének megfelelően a nagyszabású kiberincidensekre való összehangolt reagálásra vonatkozó uniós terv felülvizsgálata, figyelembe véve az EU legújabb kiberbiztonsági szakpolitikai fejleményeit. A felülvizsgált uniós tervnek továbbá elő kell mozdítania az uniós kiberbiztonsági harmonizációt és optimalizálást, valamint meg kell erősítenie mind a nemzeti, mind az uniós kiberbiztonsági képességeket a nemzeti és európai szintű kiberbiztonsági ellenálló képesség fokozása érdekében.
- Az uniós kiberbiztonsági munkaerő megerősítése a Cybersecurity Skills Academy létesítésével, különösen a kiberbiztonsági képzésre vonatkozó közös uniós megközelítés kialakításával, a jövőbeli készségigények meghatározásával, a készséghiány kezelése érdekében az érdekelt felek bevonásával kapcsolatos összehangolt uniós megközelítés kidolgozásával és a kiberbiztonsági készségek európai tanúsítási rendszerének létrehozásával.
- Az ellátási lánc biztonságának kezelése az EU-ban az egész EU-ra kiterjedő összehangolt kockázatértékelések fokozásával és az ellátási lánc biztonságára vonatkozó uniós horizontális politikai keret kidolgozásával, amelynek célja az állami és a magánszektor előtt álló kiberbiztonsági kihívások kezelése. Az ágazati és a magánszektorok biztonságának fokozottabb megértése.
- Az ágazati sajátosságok és szükségletek jobb megértése, a NIS2-irányelv hatálya alá tartozó ágazatok kiberbiztonsági érettségi szintjének javítása. A kiberbiztonsági szolidaritásról szóló törvény (Cyber Solidarity Act) alapján létrehozandó jövőbeli kiberbiztonsági vészhelyzeti mechanizmus (Cybersecurity Emergency Mechanism) felhasználása az ágazati felkészültség és ellenálló képesség érdekében, különös tekintettel a gyenge vagy érzékeny ágazatokra és az uniós szintű kockázatértékelések révén azonosított kockázatokra.
- Az egységes megközelítés előmozdítása a meglévő szakpolitikai kezdeményezésekre építve és a nemzeti erőfeszítések összehangolásával annak érdekében, hogy a szakemberek és a polgárok körében – demográfiai jellemzőktől függetlenül – közös, magas szintű kiberbiztonsági tudatosságot és kiberhigiéniát érjenek el.
A jövőbe tekintve
Számos kulcsfontosságú téma várhatóan nagyobb politikai figyelmet igényel majd az előrehaladás során. Az EU-ban a kiberbiztonsági politika legutóbbi fejleményei erős alapot teremtettek, amely lehetővé teszi a kiberbiztonsági képességek kiépítését, mindazonáltal mind uniós, mind nemzeti szinten a hatóságoknak kihívásokkal kell szembenézniük az új szerepükhöz való alkalmazkodás során, miközben eligazodnak a változó fenyegetettségi környezetben. Az elkövetkező években különösen a mesterséges intelligencia (MI) és a posztkvantumkriptográfia fog nagyobb figyelmet kapni, miközben az EU-nak a kutatás, fejlesztés és innováció révén fokoznia kell versenyképességét ezen a területen. A jövő kihívásaira való felkészüléshez alapvető fontosságú a közös helyzetfelismerés és a jól bevált operatív együttműködés.
- 2024 Report on the State of the Cybersecurity in the Union
- State of cybersecurity in the EU | ENISA
- Cybersecurity policies | ENISA
”
Forrás:
EU’s first ever report on the state of cybersecurity in the Union; European Union Agency for Cybersecurity (ENISA); 2024. december 3.
