編集者注:欧州連合(EU)サイバーセキュリティ機関(ENISA)は、欧州全体で高い共通レベルのサイバーセキュリティを実現することを目的とした欧州連合(EU)の機関です。2022年11月、ENISAはEUにおけるネットワークと情報セキュリティ(NIS)への投資に関する第3回年次報告書を発表しました。このレポートでは、NIS指令が過去1年間に事業者のサイバーセキュリティ予算にどのような影響を与えたかについての洞察が共有されています。この新しいレポートは、eDiscoveryエコシステムで活動するサイバーセキュリティ、情報ガバナンス、および法的証拠開示の専門家が、予算投資という観点からサイバーディスカバリーを検討する際に役立つ可能性があります。
プレスリリースとレポート*
EUにおけるサイバーセキュリティ投資:資金は新しいサイバーセキュリティ基準を満たすのに十分なのか?
アナウンス
欧州連合(EU)サイバーセキュリティ庁は、エネルギー・医療分野を深く掘り下げて、NIS指令が過去1年間に事業者のサイバーセキュリティ予算にどのような影響を与えたかについての洞察を提供した、EUにおけるネットワークおよび情報セキュリティ投資に関する最新レポートを公開しています。
このレポートは、欧州連合のネットワークおよび情報セキュリティシステムに関する指令(NIS指令)で特定された必須サービス事業者(OES)およびデジタルサービスプロバイダー(DSP)から収集されたデータを分析します。この分析は、これらの事業者が法律文書で定められた新しい要件を満たすために、過去1年間に異なる予算投資を行ったかどうかを明らかにすることを目的としています。
欧州サイバーセキュリティ庁のユハン・レパサール事務局長は、次のように宣言しています。「EUの重要なインフラと技術の回復力は、戦略的投資を行う能力に大きく依存します。私たちには、EUのすべての経済部門にわたってサイバーセキュリティ能力をさらに発展させるための十分なリソースを確保するという目標を達成するための能力とスキルがあると確信しています。」
分析を構成するコンテキストパラメーター
このレポートには、27のEU加盟国の1000を超える事業者を対象とした分析が含まれています。関連する結果によると、情報セキュリティ(IS)に充てられる情報技術(IT)予算の割合は、昨年の調査結果と比較して低く、7.7%から6.7%に低下しているようです。
これらの数値は、戦略的セクターのさまざまな類型にわたる情報セキュリティ支出の一般的な概要として考える必要があります。したがって、COVID-19などの特定のマクロ経済上の不測の事態が平均的な結果に影響を与えた可能性があります。
主な調査結果は何か?
NIS指令、その他の規制上の義務、脅威の状況は、情報セキュリティ予算に影響を与える主な要因です。
大規模な事業者はサイバー脅威インテリジェンス(CTI)に12万ユーロを投資しているのに対し、中小企業は5,500ユーロを投資しています。一方、SOCを内部または外部委託している事業者は、CTIに約35万ユーロを費やしています。これは、ハイブリッドSOCを導入している事業者の支出よりも 72% 多い金額です。
重大なサイバーセキュリティインシデントが発生した場合、医療および銀行セクターは重要セクターの中で最も大きな費用を負担し、これらのセクターにおけるインシデントの直接コストの中央値は30万ユーロに達します。
エッセンシャル・サービス事業者およびデジタル・サービス・プロバイダーの37%は、SOCを運用していない
69% の企業では、情報セキュリティインシデントの大半がソフトウェアまたはハードウェア製品の脆弱性によるもので、医療セクターの方がインシデント件数が多いと回答しています。
サイバー保険は2021年に 13% に低下し、2020年と比較して 30% という低い水準に達しました。
サイバー保険に加入している中小企業はわずか5%です。
86% が第三者リスク管理ポリシーを実施しています。
保健・エネルギー分野の主な調査結果
健康
グローバルな観点から見ると、医療分野のICTへの投資は新型コロナウイルスの影響を大きく受けているようです。多くの病院は、医療サービスを拡大して病院の地理的境界を越えて提供できる技術を求めています。それでも、医療従事者の 55% がサイバーセキュリティツールへの増資を求めているため、サイバーセキュリティ管理は依然として支出の最優先事項です。
医療従事者の 64% は既にコネクテッド医療機器に頼っており、62% はすでに医療機器専用のセキュリティソリューションを導入しています。このセクターの調査対象OESのうち、専用のランサムウェア防御プログラムを実施しているのはわずか 27% で、その 40% は非ITスタッフ向けのセキュリティ意識向上プログラムを実施していません。
エネルギー
石油・ガス事業者はサイバーセキュリティを優先しているようで、投資額は 74% 増加しています。エネルギー部門では、投資が従来のインフラストラクチャやデータセンターからクラウドサービスに移行する傾向を示しています。
しかし、この分野の事業者の 32% は、SOCが監視する重要な運用技術(OT)プロセスを1つも持っていません。OTとITは、エネルギー分野のOEの 52% が単一のSOCでカバーされています。
バックグラウンド
ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、すべての加盟国で高い共通レベルのサイバーセキュリティを実現することです。
NIS指令の3つの柱の1つは、OESとDSPのリスク管理と報告義務の実施です。
OESは、エネルギー(電気、石油、ガス)、輸送(航空、鉄道、水道、道路)、銀行、金融市場インフラ、健康、飲料水の供給と流通、デジタルインフラストラクチャ(インターネット交換ポイント、ドメインネームシステムサービスプロバイダー、トップレベルのドメイン名レジストリ)の戦略的分野で不可欠なサービスを提供しています。
DSPはオンライン環境、つまりオンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスで動作します。
このレポートでは、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査しています。また、ITセキュリティの人員配置、サイバー保険、OESとDSPにおける情報セキュリティの組織化などの側面に関連する状況の概要も説明します。
さらに詳しい情報
NIS インベストメンツ — ENISA レポート 2022
NIS インベストメンツ — ENISA レポート 2021
NIS インベストメンツ — ENISA レポート 2020
ENISA トピック-NIS 指令
元の発表を読んでください。
レポート全文:ENISAのネットワークと情報セキュリティ(NIS)への投資(PDF)-マウスオーバーでスクロール
欧州NISインベストメンツ 2022
元の論文を読んでください。
*クリエイティブ・コモンズ — アトリビューション 4.0 インターナショナル (CC BY 4.0) — ライセンスに基づく許可を得て共有しています。
その他の読み物
国際サイバー法の実務:インタラクティブツールキット
サイバーディスカバリーの定義?定義とフレームワーク
ソース:コンプレックスディスカバリー