„„Az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) legújabb jelentése célja, hogy segítse a döntéshozókat az EU jelenlegi kiberbiztonsági keretrendszerének, különösen a NIS 2 irányelv hatásainak értékelésében. A kiberbiztonsági beruházásokról és az érintett szervezetek általános érettségéről szolgáltat alapvető információkat. Leírja és elemzi, hogy a NIS 2 irányelv hatálya alá tartozó szervezetek hogyan osztják el kiberbiztonsági költségvetésüket, hogyan építik ki képességeiket, és hogyan fejlődnek az irányelv előírásainak megfelelően. Emellett a jelentés feltárja a globális kiberbiztonsági trendeket, munkaerőpiaci kihívásokat és a mesterséges intelligencia hatását is.
A jelentés továbbá áttekintést ad arról, hogy az érintett entitások mennyire felkészültek az új, kulcsfontosságú horizontális (pl. CRA) és ágazati (pl. DORA, NCCS) jogszabályok által bevezetett követelmények teljesítésére, miközben rávilágít az általuk tapasztalt kihívásokra is.
A NIS Investments jelentés ötödik iterációja kulcsfontosságú betekintést nyújt a következőkről: a kiberbiztonsági költségvetések elosztása a NIS 2 irányelv hatálya alá tartozó szervezeteknél, valamint, hogy hogyan építik ki képességeiket, és hogyan fejlődnek az irányelv előírásainak megfelelően. Emellett a jelentés feltárja a globális kiberbiztonsági trendeket, a munkaerőpiaci kihívásokat és a mesterséges intelligencia hatását is.
A jelentés továbbá áttekintést ad arról, hogy az érintett entitások mennyire felkészültek az új, kulcsfontosságú horizontális (pl. CRA) és ágazati (pl. DORA, NCCS) jogszabályok által bevezetett követelmények teljesítésére, miközben rávilágít az általuk tapasztalt kihívásokra is.
„Az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) ügyvezető igazgatója, Juhan Lepassaar, kiemelte: „A NIS 2 irányelv fordulópontot jelent Európa kiberbiztonsághoz való hozzáállásában. Egy gyorsan változó és összetett fenyegetési környezetben a NIS 2 megfelelő végrehajtása megfelelő beruházásokat igényel, különösen az új, a frissített irányelv hatálya alá tartozó ágazatok esetében. Az ENISA NIS Investments jelentése bizonyítékokon alapuló visszajelzést nyújt a döntéshozóknak és az érintetteknek a NIS által vezérelt beruházásokról. Ezek az ismeretek elengedhetetlenek a megalapozott döntéshozatalhoz és a kiberbiztonsági szakpolitika végrehajtása során felmerülő akadályok és hiányosságok kezeléséhez.”
A 2024-es kiadás jelentős fejlődést jelent az előző verziókhoz képest, mivel a felmérés mintáját kiterjeszti a NIS 2 hatálya alá tartozó ágazatokra és szervezetekre is. Ezzel a megközelítéssel a jelentés egy előzetes képet nyújt az új ágazatokra és szervezetekre vonatkozó releváns mutatókról a NIS 2 végrehajtása előtt, így alapot teremt a jövőbeni hatásértékelésekhez. Ezen túlmenően részletes ágazati elemzést is tartalmaz a digitális infrastruktúra és az űrágazat területéről.
Az adatgyűjtés során az összes EU-tagállamból 1350 szervezet vett részt, amelyek a NIS2 irányelv által meghatározott, kiemelten kritikus ágazatokból, valamint a feldolgozóipar területéről kerültek ki.
Főbb megállapítások:
- Az információbiztonság az EU IT-beruházásainak immár 9%-át teszi ki, ami jelentős, 1,9 százalékpontos növekedést jelent 2022-höz képest, és a kiberbiztonsági beruházások második egymást követő növekedési évét jelzi a pandémia után.
- 2023-ban a szervezetek átlagos IT-kiadásai elérték a 15 millió eurót, miközben az információbiztonsági költségek megduplázódtak, 0,7 millió euróról 1,4 millió euróra emelkedve.
- Már negyedik egymást követő évben csökken az információbiztonságnak szentelt teljes munkaidős IT-állások aránya, 11,9%-ról 11,1%-ra. Ez a csökkenés valószínűleg a toborzási nehézségeket tükrözi: a szervezetek 32%-a – és a kis- és középvállalkozások (KKV-k) 59%-a – küzd a kiberbiztonsági állások betöltésével, különösen a technikai szakértelmet igénylő szerepek esetében. Ez a tendencia különösen figyelemre méltó annak fényében, hogy a szervezetek 89%-a további kiberbiztonsági szakemberek alkalmazására számít a NIS2 irányelvnek való megfelelés érdekében.
- Az új NIS2 ágazatok kiberbiztonsági költései összehasonlíthatók a meglévő NIS irányelv alá tartozó entitásokéval, beruházásaik túlnyomórészt az alapvető kiberbiztonsági képességek fejlesztésére és fenntartására összpontosulnak. Az újonnan megjelenő területek, például a posztkvantum kriptográfia, kevés figyelmet kapnak: a megkérdezett entitások mindössze 4%-a fektetett be ezen a területen, és 14%-uk tervez a jövőben beruházásokat.
- A szervezetek többsége egyszeri vagy tartós növekedést vár a kiberbiztonsági költségvetésében a NIS2-nek való megfelelés érdekében. Különösen aggasztó, hogy jelentős számú entitás nem lesz képes kérni a szükséges többletköltségvetést, ami a KKV-k körében különösen magas (34%).
- A szervezetek 90%-a számít a kibertámadások növekedésére a következő évben, akár a mennyiség, akár a költségek, akár mindkettő tekintetében. Ennek ellenére 74%-uk a kiberbiztonsági felkészültségi erőfeszítéseit belsőleg összpontosítja, és sokkal kevesebben vesznek részt nemzeti vagy uniós szintű kezdeményezésekben. Ez a különbség fejlesztendő kritikus fontosságú területre mutat rá, mivel a nagyszabású incidensek kezelésében a határokon átnyúló hatékony együttműködés csak ezeken a magasabb szinteken valósítható meg.
- Az irányelvek hatálya alá tartozó szervezetek általános tájékozottsága biztató: 92%-uk ismeri a NIS 2 irányelv általános hatályát vagy konkrét rendelkezéseit. Egyes új NIS 2 ágazatokban azonban a szervezetek jelentős hányada továbbra sem ismeri az irányelvet, ami arra utal, hogy az illetékes nemzeti hatóságoknak fokozott figyelemfelkeltő kampányokra lenne szükségük.
- A NIS által már lefedett ágazatokban működő vállalkozások a különböző kiberbiztonsági irányítási, kockázati és megfelelési mutatók tekintetében jobban teljesítenek, mint a NIS 2 alá újonnan bevontak. Hasonlóképpen, a NIS 2 új ágazataiban működő szervezetek alacsonyabb elkötelezettséget mutatnak és nagyobb arányban nem vesznek részt a kiberbiztonsági felkészültségi tevékenységekben. Ez rávilágít a NIS-irányelvnek a már hatályban lévő ágazatokra gyakorolt pozitív hatására, és előrevetíti, hogy a NIS 2 milyen hatással lesz az új szektorokra.
- Az évek során megjelentetett jelentések sorozata a NIS-beruházásokról gazdag történelmi adatkészletet nyújt, amely az idei évre építve lehetővé teszi, hogy betekintést nyerjünk, hogy a NIS 2 a hatálya alá tartozó új szervezetekre milyen hatást gyakorol.
További információk
- NIS Investments Report 2024
- NIS Investments Report 2023 — ENISA
- NIS Investments 2022 — ENISA
- Cybersecurity Investment: Spotlight on Vulnerability Management — ENISA
”
Forrás:
Navigating cybersecurity investments in the time of NIS 2; ENISA; 2024. november 21.
