„A NIS360 az EU Kiberbiztonsági Ügynökségének, az ENISA új terméke, amely felméri a NIS2 szektorok érettségét és kritikusságát, összehasonlító és mélyebb elemzést is biztosítva.
A NIS360 célja, hogy segítse a NIS2 végrehajtásával megbízott tagállamok nemzeti hatóságait és kiberbiztonsági ügynökségeit, (1) az összkép megértésében, (2) segítse őket a prioritások meghatározásában, (3) kiemelje a fejlesztendő területeket, és (4) megkönnyítse az ágazatok előrehaladásának nyomon követését. A NIS360 célja továbbá, hogy támogassa a döntéshozókat nemzeti és EU-szinten, hozzájáruljon a politika- és stratégiafejlesztéshez, valamint a kiberellenállóképesség kiépítésére irányuló kezdeményezésekhez.A jelentés három fő prioritást határoz meg.
Először is azt javasolja, hogy erősítsék meg az ágazatokon belüli és az ágazatok közötti együttműködést közösségépítő rendezvények és ágazati, nemzeti és uniós szintű együttműködés révén.
Másodszor, ezen a NIS2 átültetési időszakon belül egyre inkább prioritássá válik az ágazatspecifikus útmutatás kidolgozása a kulcsfontosságú NIS2-követelmények megvalósításához az egyes szektorokban. A jelentés megjegyzi, hogy a nemzeti ágazati hatóságok fokozzák a NIS2 végrehajtását. Miközben a beruházások az ágazatok között növekszenek, további készségfejlesztésre van szükség.
Harmadszor, a NIS360 hangsúlyozza a követelmények határokon átnyúló összehangolásának szükségességét az egyes NIS-szektorokban, valamint a határokon átnyúló együttműködést.n.
Az EU Kiberbiztonsági Ügynöksége ügyvezető igazgatója, Juhan Lepassaar kiemelte: „Az ENISA szorosan együttműködik az EU-tagállamokkal a NIS2 irányelv végrehajtása érdekében, szakértelem és útmutatás nyújtásával. Az ENISA NIS360 értékes betekintést nyújt a NIS-szektorok általános érettségébe és az egyes szektorok kihívásaiba. Megmagyarázza, hol tartunk, és hogyan haladjunk tovább.
A főbb megállapítások a következők:
- az elektromos energiaszektor, a távközlés és a bankszektor a három legkritikusabb és legérettebb ágazat, amely kiemelkedik a többi közül. Ezek az ágazatok profitáltak a jelentős szabályozási felügyeletből, finanszírozásból és befektetésekből, a politikai fókuszból, és összességében a szilárd köz-magán partnerségből.
- digitális infrastruktúrák, amelyek olyan kritikus szolgáltatásokat foglalnak magukban, mint az internetes kicserélő központok, a legfelső szintű domainek, az adatközpontok és a felhőszolgáltatások, az érettség szempontjából egy lépéssel lejjebb vannak. Ez a NIS-szektor nagyon heterogén az entitások érettségét tekintve, és erősen határokon átnyúló jellegű, ami megnehezíti a felügyeletet, az információmegosztást és az együttműködést.
- Hat NIS-szektor esik a NIS360 kockázati zónájába, ami arra utal, hogy kritikusságukhoz képest van még mit javítani érettségükön.
- IKT szolgáltatásmenedzsment: Az ágazatnak a határokon átnyúló jellege és a sokszínű szervezeti egységei miatt kulcsfontosságú kihívásokkal kell szembenéznie. Ellenállóságának erősítéséhez szoros együttműködésre van szükség a hatóságok között, csökkenteni kell a NIS2 és más jogszabályok hatálya alá tartozó jogalanyok szabályozási terheit, valamint szoros együttműködést kell folytatni a határokon átnyúló felügyelet terén.
- Űrügyek: Az érdekelt felek korlátozott kiberbiztonsági ismeretei és az, hogy nagymértékben a kereskedelmi forgalomban kapható alkatrészekre támaszkodnak, kihívást jelentenek az ágazat számára. Ellenállóságának fokozásához jobb kiberbiztonsági tudatosságra, világos irányelvekre van szükség, az összetevők integráció előtti tesztelésére, valamint erősebb együttműködésre más ágazatokkal.
- Közigazgatás: Mivel nagyon sokszínű, az ágazat számára kihívást jelent a magasabb szintű érettségi szint elérése. Az ágazatból hiányzik az érettebb ágazatokban tapasztalt támogatás és tapasztalat. Mivel a hacktivizmus és az állami indíttatású kiberműveletek elsődleges célpontja, az ágazatnak arra kell törekednie, hogy megerősítse kiberbiztonsági képességeit, kihasználva az EU kiberszolidaritási törvényét, és feltárja az ágazati entitások közötti megosztott szolgáltatási modelleket a közös területeken, például a digitális pénztárcákat.
- Tengeri közlekedés: Az ágazat továbbra is kihívásokkal néz szembe a működtető technológia (Operational Technology, OT)val (OT) területén, és profitálhat az ágazatspecifikus kiberbiztonsági kockázatkezelési útmutatásból, amely az ágazatspecifikus kockázatok minimalizálására összpontosít, valamint egy EU-szintű kiberbiztonsági gyakorlatból, amely fokozza a koordinációt és a felkészültséget mind az ágazati, mind a multimodális válságkezelésben.
- Egészségügy: Az egészségügyi ágazat, a NIS2 keretében kibővített lefedettséggel, továbbra is olyan kihívásokkal néz szembe, mint például az összetett ellátási láncokra, a régi rendszerekre és a rosszul védett orvosi eszközökre való támaszkodás. Rugalmasságának erősítéséhez gyakorlati beszerzési iránymutatások kidolgozására van szükség, amelyek segítik a szervezeteket a biztonságos szolgáltatások és termékek megszerzésében, szektorspecifikus útmutatásra a gyakori problémák leküzdésére, valamint személyzeti figyelemfelkeltő kampányokra.
- Gázipar: Az ágazatnak folytatnia kell az incidensekre való felkészültség és reagálási képességek fejlesztését, nemzeti és uniós szintű incidensreagálási tervek kidolgozásával és tesztelésével, valamint a villamosenergia- és gyártási szektorral való fokozott együttműködés révén.
A jelentés a horizontális vagy ágazati felhatalmazással rendelkező nemzeti hatóságoktól származó adatokon, a NIS2-ágazatok vállalatainak önértékelésén, valamint uniós adatforrásokon, például az Eurostaton alapul. Az ENISA NIS360-ban azonosítják az erősségeket, az ágazati kihívásokat, a hiányosságokat, és ajánlásokat fogalmaznak meg az ágazati érettség és rugalmasság úniós szintű javítására.
További információ
- ENISA NIS360 2024 | ENISA
- Navigating cybersecurity investments in the time of NIS 2 | ENISA
- NIS Investments 2024 | ENISA
- Cybersecurity of Critical Sectors | ENISA
- NIS Directive 2 | ENISA
”
Forrás:
ENISA NIS360 2024 report: A comprehensive look at cybersecurity maturity and criticality of NIS2 sectors; ENISA (European Union Agency for Cybersecurity); 2025. március 5.
