„Az ENISA NIS360 jelentésének idei kiadása javulást mutat az EU kritikus ágazatainak kiberbiztonsági érettségében, miközben az ágazatok kritikus jellegének szintje viszonylag stabilabb maradt.
Az ENISA NIS360 célja, hogy éves értékelési eszközként támogassa a nemzeti hatóságokat, a szakpolitikai döntéshozókat és más érintett szereplőket a NIS2 irányelv hatálya alá tartozó, kiemelten kritikus ágazatok kiberbiztonsági érettségének és kritikus jellegének értékelésében.
Juhan Lepassaar, az ENISA ügyvezető igazgatója így fogalmazott: „A NIS360 jelentés megállapításai okot adnak az optimizmusra. Az EU átfogó kiberbiztonsági szabályozási keretének, különösen a NIS2-nek a végrehajtása jelentős előrelépést hozott. Az ENISA a kiberbiztonság prioritásként kezelését és az uniós szakpolitikák végrehajtásának előmozdítását képviseli; ezek ma fontosabbak, mint valaha, kritikus infrastruktúráink és társadalmaink kiberrezilienciájának erősítése érdekében.”
A jelentés átfogó megközelítést alkalmaz: minden ágazatot úgy értelmez, hogy az magában foglalja az érintett szereplőket — például a nemzeti hatóságokat, szervezeteket és uniós szerveket —, valamint az alkalmazandó szabályokat, vagyis az uniós jogszabályokat. Ennek megfelelően egy ágazat NIS360 szerinti érettségét a következők határozzák meg: a jogszabályok és azok hatékonysága, a vállalatok felkészültsége, a hatóságok intézményi kapacitása, valamint az ágazati ökoszisztéma-struktúrák és azok hatékonysága.
Az értékelés az ENISA által kidolgozott és folyamatosan finomított strukturált módszertanra épül, amely figyelembe veszi az ágazati kiberbiztonsági érettség és kritikus jelleg strukturális, fokozatosan változó természetét. Emellett az érintett ágazatokban működő szervezetektől, az ezeket felügyelő nemzeti hatóságoktól, valamint uniós szintű adatokból idővel összegyűjtött bizonyítékokra is támaszkodik, hogy tükrözze az egyes ágazatok helyzetéről rendelkezésre álló legfrissebb, tényeken alapuló képet.
Ennek eredményeként a NIS360 egyszerre nyújt összehasonlító áttekintést az ágazatokról és részletesebb ágazatonkénti elemzést, segítve a hiányosságok azonosítását és az erőforrások priorizálását.
A kockázati zóna meghatározása
A kritikus jelleg és az érettség dimenzióinak együttes értelmezése segít azonosítani azokat a területeket, ahol eltérés van a két dimenzió között, és meghatározni a kockázati zónát.
A kockázati zóna azokat az ágazatokat foglalja magában, amelyek érettsége az átlag alatt van, miközben kritikus jellegük meghaladja érettségi szintjüket. Az idei kockázati zónába az egészségügy, a vasúti közlekedés, a tengeri közlekedés, az IKT-menedzsmentszolgáltatások, az űrágazat, a közigazgatás, valamint az ivóvíz- és szennyvízszolgáltatás tartozik.
A kockázati zóna összetétele idővel változik, ahogy az ágazatok általános érettsége javul. Ez magyarázza, hogy három ágazat — a vasúti közlekedés, az ivóvíz és a szennyvíz —, amelyek korábban a kockázati zóna határán helyezkedtek el, most már a kockázati zónán belül vannak. Pozitív fejlemény, hogy a gázágazat elkezdett kikerülni a kockázati zónából.
Ezt az elmozdulást a jobb információmegosztás, az erősebb együttműködés és a kockázatkezelési intézkedések hatékonyabb végrehajtása hajtja, ami magasabb érettségi szinthez vezet.
Részletesebb elemzés a kritikus jellegről
Bár az ágazatok kritikus jellegét a NIS2 határozza meg, a NIS360 értékelés több tényező — például a rendszerszintű relevancia, a kitettség és a zavarok hatása — figyelembevételével rangsorolja az ágazatokat. Mivel ezek a tényezők jellemzően fokozatosan változnak, a kritikus jelleg pontszámai évről évre viszonylag stabilak maradnak.
Az idei kiadásban továbbra is a legkritikusabb ágazatok közé tartozik a banki szektor, a villamosenergia-ágazat, a légi közlekedés, az űrágazat, valamint az eleve digitális szolgáltatások, beleértve a távközlést, a felhőszolgáltatásokat és az adatközpontokat.
Az űrágazat idén csatlakozott ehhez a csoporthoz, ami azt tükrözi, hogy egyre növekvő szerepet játszik a társadalomban és más ágazatokban; ez növeli a függőségeket, a lehetséges hatásokat és az időkritikusságot. A vasúti ágazat kritikus jellege a katonai logisztikában betöltött növekvő szerepe, valamint a fokozott kiberfenyegetettségi kitettség miatt emelkedett.
Fókuszban az érettség
Az érettséget az alapján mérik, hogy az adott ágazat időben mennyire hatékonyan és következetesen kezeli a kiberbiztonsági kockázatokat és képességeket, vagyis milyen az ágazat általános felkészültsége. A jelentés előző kiadása óta az EU kritikus ágazatainak kiberbiztonsági érettsége láthatóan folyamatosan javul, ahogy a szervezetek reagálnak a változó szakpolitikai követelményekre és az őket érő kiberfenyegetésekre.
Három ágazat — a bizalmi szolgáltatások, a légi közlekedés és a pénzügyi piaci infrastruktúrák (FMI-k) — a magas érettségi sávba került. Emellett négy ágazat erősítette érettségét a közepes sávon belül: a gázágazat, a közúti közlekedés, a tengeri közlekedés és az egészségügy.
Ezt a javulást gyakran több, egymást erősítő tényező hajtja, köztük a kiberbiztonsági jogszabályok fejlődése, a fokozott politikai figyelem, valamint az értékelésben szereplő egyes érettségi dimenziókban elért előrelépés. Különösen a kiberbiztonsági szabályozás tekintetében a 2025-ös ENISA NIS Investments tanulmány megállapításai is arra utalnak, hogy a szabályozás kulcsfontosságú ösztönzője volt a kiberbiztonsági beruházásoknak, és arra késztette a szervezeteket, hogy erősítsék kiberbiztonsági helyzetüket.
Bár a kritikus ágazatok érettsége folyamatosan javul, az előrehaladás továbbra is egyenetlen mind az ágazatok között, mind azokon belül. A különbségekhez több tényező is hozzájárul, például a készséghiány, az ágazatspecifikus sajátosságok, sőt a szervezeti méret is.
Előretekintés
A jövőben várható, hogy a kiberbiztonsági szabályozás és a szervezetek kiberbiztonsági érettségük erősítésére irányuló erőfeszítései továbbra is ösztönözni fogják a kiberbiztonsági beruházásokat és javítani fogják a felkészültséget, aminek eredményeként egyre több ágazat kerülhet ki a kockázati zónából.”
Forrás:
NIS360: The bigger picture on maturity and criticality of NIS critical sectors; European Union Agency for Cybersecurity (ENISA); 2026. május 28.
