Első alkalommal értékelte a tavaly élesedő NIS2 alapján az EU Kiberbiztonsági Ügynöksége, az ENISA az Unió kiberbiztonsági felkészültségét. A NIS360 néven futó tanulmány a különböző szektorok NIS2-es érettségét vizsgálja, hogy a tagállamok nemzeti hatóságai átfogó képet kapjanak az aktuális problémákról annak érdekében, hogy pontosabban kijelölhessék a prioritásokat és a fejlesztendő területeket.

Az elemzés három ajánlást fogalmaz meg:

1. Meg kell erősíteni az ágazatokon belüli és az ágazatok közötti együttműködést tagállami és uniós szinten egyaránt.

2. Ágazatspecifikus útmutatókat kell kidolgozni a NIS2 kulcsfontosságú követelményeinek bevezetésére.

3. Bizonyos ágazatok esetében szükség lesz a NIS2-követelmények határokon átnyúló összehangolására.

Nem a digitális infrastruktúra ágazat a legfelkészültebb

A jelentés szerint azok az ágazatok állnak a legjobban NIS2-szempontból, melyekre korábban is szigorú (kiber)biztonsági előírások vonatkoztak. A villamosenergia-hálózatok, a távközlés és a bankszektor a három legfelkészültebb. Ez részben annak köszönhető, hogy a három területre régóta jelentős szabályozási nyomás nehezedik, és mindig is kiemelt politikai figyelmet kapott.

Ezzel szemben a digitális infrastruktúrák (internetes tőzsdék, felső szintű domainek, adatközpont- és felhőszolgáltatások stb.) az érettség alacsonyabb fokán állnak. A szegmens hálózat- és információbiztonság szempontjából ugyanis nagyon heterogén. Felügyeletét külön nehezíti, hogy ezeket a szolgáltatások gyakran határokon átívelően nyújtják.

Az ENISA hat olyan ágazatot azonosított, melyek kiberbiztonsági érettsége elmarad attól, ami kritikusságukhoz képest elvárható lenne.

Az IKT-szolgáltatásmenedzsment esetében a szolgáltatások határokon átnyúló jellege okoz kihívást. Ez a nemzetközi együttműködések erősítésével javítható.

Az űripar legnagyobb kockázata, hogy az iparágban érdekeltek kiberbiztonsági ismeretei erősen hiányosak, valamint hogy fejlesztéseikhez sok esetben kereskedelmi forgalomban kapható összetevőket használnak fel. Itt a kiberbiztonsági tudatosság javítása, valamint a szigorú tesztelési standardok bevezetése hozhatna előrelépést.

Szintén problémát lát az ENISA a közigazgatási szerveknél. Az ágazat sokszínűsége komoly kihívást jelent egy közös és magasabb érettségi szint elérésében. Hiányzik az érettebb szektorokra jellemző támogatás és tapasztalat, miközben ez a terület van a legjobban kitéve a kibertámadásoknak.

A tengerészet esetében az ágazatspecifikus kockázatok minimalizálására összpontosító kiberbiztonsági kockázatkezelési iránymutatást, valamint az uniós szintű válságkezelés koordinációját hiányolja a jelentés.

Az egészségügyben a bonyolult ellátási láncok, az elavult rendszerek és a rosszul védett orvostechnikai eszközök jelentik a legnagyobb problémát. Itt többek között olyan beszerzési iránymutatásokra lenne szükség, amelyek segítenék a biztonságos szolgáltatások és termékek beszerzését.

A hatodik terület a gázhálózatok. Az ágazatban az incidensekre való felkészültségét és reagálási képességeit kell fejleszteni.

A teljes jelentés az ENISA honlapjáról tölthető le (PDF) »