Uwaga redaktora: Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, ENISA, jest agencją Unii, której celem jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Europie. W listopadzie 2022 r. ENISA opublikowała swoje trzecie sprawozdanie roczne na temat inwestycji w bezpieczeństwo sieci i informacji (NIS) w UE. Raport zawiera wgląd w to, jak dyrektywa w sprawie NIS wpłynęła na budżet operatorów na cyberbezpieczeństwo w ciągu ostatniego roku. Ten nowy raport może przynieść korzyści cyberbezpieczeństwu, zarządzanie informacjami, oraz specjaliści zajmujący się odkrywaniem prawnym działający w ekosystemie eDiscovery, rozważając cyberwykrywanie przez pryzmat inwestycji budżetowych.
Ogłoszenie prasowe i raport*
Inwestycje w cyberbezpieczeństwo w UE: czy pieniądze są wystarczające, aby sprostać nowym standardom cyberbezpieczeństwa?
Ogłoszenie
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa publikuje najnowszy raport na temat inwestycji w bezpieczeństwo sieci i informacji w UE, przedstawiający wgląd w to, w jaki sposób dyrektywa NIS wpłynęła na budżet operatorów na cyberbezpieczeństwo w ciągu ostatniego roku, zagłębiając się w sektor energii i zdrowia.
Raport analizuje dane zebrane od Operatorów Usług Podstawowych (OES) oraz od dostawców usług cyfrowych (DSP) określonych w dyrektywie Unii Europejskiej w sprawie systemów bezpieczeństwa sieci i informacji (dyrektywa NIS). Analiza ma na celu zrozumienie, czy podmioty te zainwestowały swoje budżety inaczej w ciągu ostatniego roku, aby spełnić nowe wymogi określone w tekście legislacyjnym.
Agencja UE ds. Cyberbezpieczeństwa, dyrektor wykonawczy Juhan Lepansaar, oświadczyła: „Odporność naszych krytycznych infrastruktur i technologii UE będzie w dużym stopniu zależeć od naszej zdolności do dokonywania strategicznych inwestycji. Jestem przekonany, że dysponujemy kompetencjami i umiejętnościami, które pozwalają nam osiągnąć nasz cel, jakim jest zapewnienie, że dysponujemy odpowiednimi zasobami umożliwiającymi dalszy rozwój naszych zdolności w zakresie cyberbezpieczeństwa we wszystkich sektorach gospodarki UE”.
Parametry kontekstowe kształtujące analizę
Sprawozdanie zawiera analizę obejmującą ponad 1000 operatorów w 27 państwach członkowskich UE. Powiązane wyniki pokazują, że odsetek budżetu technologii informatycznych (IT) przeznaczonego na bezpieczeństwo informacji (IS) wydaje się być niższy w porównaniu z ustaleniami z zeszłorocznych ustaleń, spadając z 7,7% do 6,7%.
Liczby te powinny być traktowane jako ogólny przegląd wydatków na bezpieczeństwo informacji w różnych typologiach sektorów strategicznych. W związku z tym określone makroekonomiczne sytuacje awaryjne, takie jak COVID-19, mogły wpłynąć na średnie wyniki.
Jakie są kluczowe ustalenia?
Dyrektywa w sprawie NIS, inne obowiązki regulacyjne i krajobraz zagrożeń to główne czynniki wpływające na budżety bezpieczeństwa informacji;
Duzi operatorzy inwestują 120 000 EUR na analizę zagrożeń cybernetycznych (CTI) w porównaniu z 5 500 EUR dla MŚP, podczas gdy operatorzy z całkowicie wewnętrznymi lub insourcingowymi SoC wydają na CTI około 350 000 EUR, czyli o 72% więcej niż wydatki operatorów z hybrydowym SOC;
Sektory zdrowia i bankowości ponoszą największe koszty wśród sektorów krytycznych w przypadku poważnych incydentów związanych z cyberbezpieczeństwem, przy czym mediana bezpośrednich kosztów incydentu w tych sektorach wynosi 300 000 EUR;
37% Operatorów Usług podstawowych i Dostawców Usług Cyfrowych nie prowadzi SOC;
Dla 69% większość incydentów związanych z bezpieczeństwem informacji jest spowodowana lukami w oprogramowaniu lub produktach sprzętowych, a sektor zdrowia deklaruje większą liczbę takich incydentów;
Ubezpieczenie cybernetyczne spadło do 13% w 2021 r., Osiągając niski 30% w porównaniu do 2020 r.;
Tylko 5% MŚP subskrybuje ubezpieczenie cybernetyczne;
86% wdrożyło zasady zarządzania ryzykiem stron trzecich.
Kluczowe ustalenia dotyczące sektora zdrowia i energii
Zdrowie
Z globalnej perspektywy wydaje się, że na inwestycje w ICT dla sektora opieki zdrowotnej duży wpływ ma COVID-19, a wiele szpitali poszukuje technologii rozszerzających usługi opieki zdrowotnej, które mają być świadczone poza granice geograficzne szpitali. Mimo to kontrole cyberbezpieczeństwa pozostają najwyższym priorytetem wydatków, a 55% operatorów służby zdrowia poszukuje zwiększonego finansowania narzędzi cyberbezpieczeństwa.
64% operatorów służby zdrowia już ucieka się do podłączonych urządzeń medycznych, a 62% już wdrożyło rozwiązanie zabezpieczające specjalnie dla urządzeń medycznych. Tylko 27% ankietowanych OES w sektorze posiada specjalny program obrony przed ransomware, a 40% z nich nie ma programu świadomości bezpieczeństwa dla pracowników spoza IT.
Energia
Wydaje się, że operatorzy ropy naftowej i gazu ziemnego traktują priorytetowo bezpieczeństwo cybernetyczne, a inwestycje rosną w tempie 74%. Sektor energetyczny wykazuje tendencję do zmiany inwestycji ze starszej infrastruktury i centrów danych na usługi w chmurze.
Jednak 32% operatorów w tym sektorze nie ma jednego krytycznego procesu technologii operacyjnej (OT) monitorowanego przez SOC. OT i IT są objęte jednym SOC dla 52% OES w sektorze energetycznym.
Tło
Celem dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji) jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich.
Jednym z trzech filarów dyrektywy w sprawie bezpieczeństwa sieci i informacji jest wdrożenie obowiązków w zakresie zarządzania ryzykiem i sprawozdawczości w odniesieniu do OES i DSP.
OES świadczy podstawowe usługi w strategicznych sektorach energii (energia elektryczna, ropa i gaz), transportu (lotniczy, kolejowy, wodny i drogowy), bankowości, infrastruktury rynku finansowego, zdrowia, zaopatrzenia i dystrybucji wody pitnej oraz infrastruktury cyfrowej (punkty wymiany internetowej, dostawcy usług systemów nazw domen, rejestry nazw domen najwyższego poziomu).
DSP działa w środowisku online, a mianowicie rynki internetowe, wyszukiwarki internetowe i usługi przetwarzania w chmurze.
Raport bada, w jaki sposób operatorzy inwestują w cyberbezpieczeństwo i przestrzegają celów dyrektywy w sprawie bezpieczeństwa sieci i informacji. Przedstawiono również przegląd sytuacji w odniesieniu do takich aspektów, jak personel bezpieczeństwa IT, cyberubezpieczenie i organizacja bezpieczeństwa informacji w OES i DSP.
Dalsze informacje
NIS Investments — raport ENISA 2022
Inwestycje NIS - raport ENISA 2021
Inwestycje NIS - raport ENISA 2020
Temat ENISA - dyrektywa NIS
Przeczytaj oryginalne ogłoszenie.
Kompletny raport: Inwestycje w bezpieczeństwo sieci i informacji ENISA (NIS) (PDF) - Przewiń
Inwestycje w sieci UE 2022
Przeczytaj oryginalny artykuł.
*Udostępnione za zgodą Creative Commons — Uznanie autorstwa 4.0 Międzynarodowe (CC BY 4.0) — licencja.
Dodatkowy odczyt
Międzynarodowe prawo cybernetyczne w praktyce: interaktywny zestaw narzędzi
Definiowanie Cyber Discovery? Definicja i ramy
Źródło: complexDiscovery