Sun. Mar 26th, 2023
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Uwaga redaktora: Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, ENISA, jest agencją Unii, której celem jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Europie. W listopadzie 2022 r. ENISA opublikowała swoje trzecie sprawozdanie roczne na temat inwestycji w bezpieczeństwo sieci i informacji (NIS) w UE. Raport zawiera wgląd w to, jak dyrektywa w sprawie NIS wpłynęła na budżet operatorów na cyberbezpieczeństwo w ciągu ostatniego roku. Ten nowy raport może przynieść korzyści cyberbezpieczeństwu, zarządzanie informacjami, oraz specjaliści zajmujący się odkrywaniem prawnym działający w ekosystemie eDiscovery, rozważając cyberwykrywanie przez pryzmat inwestycji budżetowych.

    Ogłoszenie prasowe i raport*

    Inwestycje w cyberbezpieczeństwo w UE: czy pieniądze są wystarczające, aby sprostać nowym standardom cyberbezpieczeństwa?

    Ogłoszenie

    Agencja Unii Europejskiej ds. Cyberbezpieczeństwa publikuje najnowszy raport na temat inwestycji w bezpieczeństwo sieci i informacji w UE, przedstawiający wgląd w to, w jaki sposób dyrektywa NIS wpłynęła na budżet operatorów na cyberbezpieczeństwo w ciągu ostatniego roku, zagłębiając się w sektor energii i zdrowia.

    Raport analizuje dane zebrane od Operatorów Usług Podstawowych (OES) oraz od dostawców usług cyfrowych (DSP) określonych w dyrektywie Unii Europejskiej w sprawie systemów bezpieczeństwa sieci i informacji (dyrektywa NIS). Analiza ma na celu zrozumienie, czy podmioty te zainwestowały swoje budżety inaczej w ciągu ostatniego roku, aby spełnić nowe wymogi określone w tekście legislacyjnym.

    Agencja UE ds. Cyberbezpieczeństwa, dyrektor wykonawczy Juhan Lepansaar, oświadczyła: „Odporność naszych krytycznych infrastruktur i technologii UE będzie w dużym stopniu zależeć od naszej zdolności do dokonywania strategicznych inwestycji. Jestem przekonany, że dysponujemy kompetencjami i umiejętnościami, które pozwalają nam osiągnąć nasz cel, jakim jest zapewnienie, że dysponujemy odpowiednimi zasobami umożliwiającymi dalszy rozwój naszych zdolności w zakresie cyberbezpieczeństwa we wszystkich sektorach gospodarki UE”.

    Parametry kontekstowe kształtujące analizę

    Sprawozdanie zawiera analizę obejmującą ponad 1000 operatorów w 27 państwach członkowskich UE. Powiązane wyniki pokazują, że odsetek budżetu technologii informatycznych (IT) przeznaczonego na bezpieczeństwo informacji (IS) wydaje się być niższy w porównaniu z ustaleniami z zeszłorocznych ustaleń, spadając z 7,7% do 6,7%.

    Liczby te powinny być traktowane jako ogólny przegląd wydatków na bezpieczeństwo informacji w różnych typologiach sektorów strategicznych. W związku z tym określone makroekonomiczne sytuacje awaryjne, takie jak COVID-19, mogły wpłynąć na średnie wyniki.

    Jakie są kluczowe ustalenia?

    Dyrektywa w sprawie NIS, inne obowiązki regulacyjne i krajobraz zagrożeń to główne czynniki wpływające na budżety bezpieczeństwa informacji;

    Duzi operatorzy inwestują 120 000 EUR na analizę zagrożeń cybernetycznych (CTI) w porównaniu z 5 500 EUR dla MŚP, podczas gdy operatorzy z całkowicie wewnętrznymi lub insourcingowymi SoC wydają na CTI około 350 000 EUR, czyli o 72% więcej niż wydatki operatorów z hybrydowym SOC;

    Sektory zdrowia i bankowości ponoszą największe koszty wśród sektorów krytycznych w przypadku poważnych incydentów związanych z cyberbezpieczeństwem, przy czym mediana bezpośrednich kosztów incydentu w tych sektorach wynosi 300 000 EUR;

    37% Operatorów Usług podstawowych i Dostawców Usług Cyfrowych nie prowadzi SOC;

    Dla 69% większość incydentów związanych z bezpieczeństwem informacji jest spowodowana lukami w oprogramowaniu lub produktach sprzętowych, a sektor zdrowia deklaruje większą liczbę takich incydentów;

    Ubezpieczenie cybernetyczne spadło do 13% w 2021 r., Osiągając niski 30% w porównaniu do 2020 r.;

    Tylko 5% MŚP subskrybuje ubezpieczenie cybernetyczne;

    86% wdrożyło zasady zarządzania ryzykiem stron trzecich.

    Kluczowe ustalenia dotyczące sektora zdrowia i energii

    Zdrowie

    Z globalnej perspektywy wydaje się, że na inwestycje w ICT dla sektora opieki zdrowotnej duży wpływ ma COVID-19, a wiele szpitali poszukuje technologii rozszerzających usługi opieki zdrowotnej, które mają być świadczone poza granice geograficzne szpitali. Mimo to kontrole cyberbezpieczeństwa pozostają najwyższym priorytetem wydatków, a 55% operatorów służby zdrowia poszukuje zwiększonego finansowania narzędzi cyberbezpieczeństwa.

    64% operatorów służby zdrowia już ucieka się do podłączonych urządzeń medycznych, a 62% już wdrożyło rozwiązanie zabezpieczające specjalnie dla urządzeń medycznych. Tylko 27% ankietowanych OES w sektorze posiada specjalny program obrony przed ransomware, a 40% z nich nie ma programu świadomości bezpieczeństwa dla pracowników spoza IT.

    Energia

    Wydaje się, że operatorzy ropy naftowej i gazu ziemnego traktują priorytetowo bezpieczeństwo cybernetyczne, a inwestycje rosną w tempie 74%. Sektor energetyczny wykazuje tendencję do zmiany inwestycji ze starszej infrastruktury i centrów danych na usługi w chmurze.

    Jednak 32% operatorów w tym sektorze nie ma jednego krytycznego procesu technologii operacyjnej (OT) monitorowanego przez SOC. OT i IT są objęte jednym SOC dla 52% OES w sektorze energetycznym.

    Tło

    Celem dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji) jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich.

    Jednym z trzech filarów dyrektywy w sprawie bezpieczeństwa sieci i informacji jest wdrożenie obowiązków w zakresie zarządzania ryzykiem i sprawozdawczości w odniesieniu do OES i DSP.

    OES świadczy podstawowe usługi w strategicznych sektorach energii (energia elektryczna, ropa i gaz), transportu (lotniczy, kolejowy, wodny i drogowy), bankowości, infrastruktury rynku finansowego, zdrowia, zaopatrzenia i dystrybucji wody pitnej oraz infrastruktury cyfrowej (punkty wymiany internetowej, dostawcy usług systemów nazw domen, rejestry nazw domen najwyższego poziomu).

    DSP działa w środowisku online, a mianowicie rynki internetowe, wyszukiwarki internetowe i usługi przetwarzania w chmurze.

    Raport bada, w jaki sposób operatorzy inwestują w cyberbezpieczeństwo i przestrzegają celów dyrektywy w sprawie bezpieczeństwa sieci i informacji. Przedstawiono również przegląd sytuacji w odniesieniu do takich aspektów, jak personel bezpieczeństwa IT, cyberubezpieczenie i organizacja bezpieczeństwa informacji w OES i DSP.

    Dalsze informacje

    NIS Investments — raport ENISA 2022

    Inwestycje NIS - raport ENISA 2021

    Inwestycje NIS - raport ENISA 2020

    Temat ENISA - dyrektywa NIS

    Przeczytaj oryginalne ogłoszenie.

    Kompletny raport: Inwestycje w bezpieczeństwo sieci i informacji ENISA (NIS) (PDF) - Przewiń

    Inwestycje w sieci UE 2022

    Przeczytaj oryginalny artykuł.

    *Udostępnione za zgodą Creative Commons — Uznanie autorstwa 4.0 Międzynarodowe (CC BY 4.0) — licencja.

    Dodatkowy odczyt

    Międzynarodowe prawo cybernetyczne w praktyce: interaktywny zestaw narzędzi

    Definiowanie Cyber Discovery? Definicja i ramy

    Źródło: complexDiscovery