Első alkalommal értékelte a tavaly élesedő NIS2 alapján az EU Kiberbiztonsági Ügynöksége, az ENISA az Unió kiberbiztonsági felkészültségét. A NIS360 néven futó tanulmány a különböző szektorok NIS2-es érettségét vizsgálja, hogy a tagállamok nemzeti hatóságai átfogó képet kapjanak az aktuális problémákról annak érdekében, hogy pontosabban kijelölhessék a prioritásokat és a fejlesztendő területeket.
Az elemzés három ajánlást fogalmaz meg:
1. Meg kell erősíteni az ágazatokon belüli és az ágazatok közötti együttműködést tagállami és uniós szinten egyaránt.
2. Ágazatspecifikus útmutatókat kell kidolgozni a NIS2 kulcsfontosságú követelményeinek bevezetésére.
3. Bizonyos ágazatok esetében szükség lesz a NIS2-követelmények határokon átnyúló összehangolására.
Nem a digitális infrastruktúra ágazat a legfelkészültebb
A jelentés szerint azok az ágazatok állnak a legjobban NIS2-szempontból, melyekre korábban is szigorú (kiber)biztonsági előírások vonatkoztak. A villamosenergia-hálózatok, a távközlés és a bankszektor a három legfelkészültebb. Ez részben annak köszönhető, hogy a három területre régóta jelentős szabályozási nyomás nehezedik, és mindig is kiemelt politikai figyelmet kapott.
Ezzel szemben a digitális infrastruktúrák (internetes tőzsdék, felső szintű domainek, adatközpont- és felhőszolgáltatások stb.) az érettség alacsonyabb fokán állnak. A szegmens hálózat- és információbiztonság szempontjából ugyanis nagyon heterogén. Felügyeletét külön nehezíti, hogy ezeket a szolgáltatások gyakran határokon átívelően nyújtják.
Az ENISA hat olyan ágazatot azonosított, melyek kiberbiztonsági érettsége elmarad attól, ami kritikusságukhoz képest elvárható lenne.
Az IKT-szolgáltatásmenedzsment esetében a szolgáltatások határokon átnyúló jellege okoz kihívást. Ez a nemzetközi együttműködések erősítésével javítható.
Az űripar legnagyobb kockázata, hogy az iparágban érdekeltek kiberbiztonsági ismeretei erősen hiányosak, valamint hogy fejlesztéseikhez sok esetben kereskedelmi forgalomban kapható összetevőket használnak fel. Itt a kiberbiztonsági tudatosság javítása, valamint a szigorú tesztelési standardok bevezetése hozhatna előrelépést.
Szintén problémát lát az ENISA a közigazgatási szerveknél. Az ágazat sokszínűsége komoly kihívást jelent egy közös és magasabb érettségi szint elérésében. Hiányzik az érettebb szektorokra jellemző támogatás és tapasztalat, miközben ez a terület van a legjobban kitéve a kibertámadásoknak.
A tengerészet esetében az ágazatspecifikus kockázatok minimalizálására összpontosító kiberbiztonsági kockázatkezelési iránymutatást, valamint az uniós szintű válságkezelés koordinációját hiányolja a jelentés.
Az egészségügyben a bonyolult ellátási láncok, az elavult rendszerek és a rosszul védett orvostechnikai eszközök jelentik a legnagyobb problémát. Itt többek között olyan beszerzési iránymutatásokra lenne szükség, amelyek segítenék a biztonságos szolgáltatások és termékek beszerzését.
A hatodik terület a gázhálózatok. Az ágazatban az incidensekre való felkészültségét és reagálási képességeit kell fejleszteni.
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak