Kiberbiztonsági beruházások a NIS2 idején


Az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) legújabb jelentése célja, hogy segítse a döntéshozókat az EU jelenlegi kiberbiztonsági keretrendszerének, különösen a NIS 2 irányelv hatásainak értékelésében – olvasható az egov.hu hírlevélben, amely az ENISA közleményét idézi.

„A kiberbiztonsági beruházásokról és az érintett szervezetek általános érettségéről szolgáltat alapvető információkat. Leírja és elemzi, hogy a NIS 2 irányelv hatálya alá tartozó szervezetek hogyan osztják el kiberbiztonsági költségvetésüket, hogyan építik ki képességeiket, és hogyan fejlődnek az irányelv előírásainak megfelelően. Emellett a jelentés feltárja a globális kiberbiztonsági trendeket, munkaerőpiaci kihívásokat és a mesterséges intelligencia hatását is.

A jelentés továbbá áttekintést ad arról, hogy az érintett entitások mennyire felkészültek az új, kulcsfontosságú horizontális (pl. CRA) és ágazati (pl. DORA, NCCS) jogszabályok által bevezetett követelmények teljesítésére, miközben rávilágít az általuk tapasztalt kihívásokra is.

A NIS Investments jelentés ötödik iterációja kulcsfontosságú betekintést nyújt a következőkről: a kiberbiztonsági költségvetések elosztása a NIS 2 irányelv hatálya alá tartozó szervezeteknél, valamint, hogy hogyan építik ki képességeiket, és hogyan fejlődnek az irányelv előírásainak megfelelően. Emellett a jelentés feltárja a globális kiberbiztonsági trendeket, a munkaerőpiaci kihívásokat és a mesterséges intelligencia hatását is.

A jelentés továbbá áttekintést ad arról, hogy az érintett entitások mennyire felkészültek az új, kulcsfontosságú horizontális (pl. CRA) és ágazati (pl. DORA, NCCS) jogszabályok által bevezetett követelmények teljesítésére, miközben rávilágít az általuk tapasztalt kihívásokra is.

Az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) ügyvezető igazgatója, Juhan Lepassaar, kiemelte: „A NIS 2 irányelv fordulópontot jelent Európa kiberbiztonsághoz való hozzáállásában. Egy gyorsan változó és összetett fenyegetési környezetben a NIS 2 megfelelő végrehajtása megfelelő beruházásokat igényel, különösen az új, a frissített irányelv hatálya alá tartozó ágazatok esetében. Az ENISA NIS Investments jelentése bizonyítékokon alapuló visszajelzést nyújt a döntéshozóknak és az érintetteknek a NIS által vezérelt beruházásokról. Ezek az ismeretek elengedhetetlenek a megalapozott döntéshozatalhoz és a kiberbiztonsági szakpolitika végrehajtása során felmerülő akadályok és hiányosságok kezeléséhez.”

A 2024-es kiadás jelentős fejlődést jelent az előző verziókhoz képest, mivel a felmérés mintáját kiterjeszti a NIS 2 hatálya alá tartozó ágazatokra és szervezetekre is. Ezzel a megközelítéssel a jelentés egy előzetes képet nyújt az új ágazatokra és szervezetekre vonatkozó releváns mutatókról a NIS 2 végrehajtása előtt, így alapot teremt a jövőbeni hatásértékelésekhez. Ezen túlmenően részletes ágazati elemzést is tartalmaz a digitális infrastruktúra és az űrágazat területéről.

Az adatgyűjtés során az összes EU-tagállamból 1350 szervezet vett részt, amelyek a NIS2 irányelv által meghatározott, kiemelten kritikus ágazatokból, valamint a feldolgozóipar területéről kerültek ki.

Főbb megállapítások:

  • Az információbiztonság az EU IT-beruházásainak immár 9%-át teszi ki, ami jelentős, 1,9 százalékpontos növekedést jelent 2022-höz képest, és a kiberbiztonsági beruházások második egymást követő növekedési évét jelzi a pandémia után.
  • 2023-ban a szervezetek átlagos IT-kiadásai elérték a 15 millió eurót, miközben az információbiztonsági költségek megduplázódtak, 0,7 millió euróról 1,4 millió euróra emelkedve.
  • Már negyedik egymást követő évben csökken az információbiztonságnak szentelt teljes munkaidős IT-állások aránya, 11,9%-ról 11,1%-ra. Ez a csökkenés valószínűleg a toborzási nehézségeket tükrözi: a szervezetek 32%-a – és a kis- és középvállalkozások (KKV-k) 59%-a – küzd a kiberbiztonsági állások betöltésével, különösen a technikai szakértelmet igénylő szerepek esetében. Ez a tendencia különösen figyelemre méltó annak fényében, hogy a szervezetek 89%-a további kiberbiztonsági szakemberek alkalmazására számít a NIS2 irányelvnek való megfelelés érdekében.
  • Az új NIS2 ágazatok kiberbiztonsági költései összehasonlíthatók a meglévő NIS irányelv alá tartozó entitásokéval, beruházásaik túlnyomórészt az alapvető kiberbiztonsági képességek fejlesztésére és fenntartására összpontosulnak. Az újonnan megjelenő területek, például a posztkvantum kriptográfia, kevés figyelmet kapnak: a megkérdezett entitások mindössze 4%-a fektetett be ezen a területen, és 14%-uk tervez a jövőben beruházásokat.
  • A szervezetek többsége egyszeri vagy tartós növekedést vár a kiberbiztonsági költségvetésében a NIS2-nek való megfelelés érdekében. Különösen aggasztó, hogy jelentős számú entitás nem lesz képes kérni a szükséges többletköltségvetést, ami a KKV-k körében különösen magas (34%).
  • A szervezetek 90%-a számít a kibertámadások növekedésére a következő évben, akár a mennyiség, akár a költségek, akár mindkettő tekintetében. Ennek ellenére 74%-uk a kiberbiztonsági felkészültségi erőfeszítéseit belsőleg összpontosítja, és sokkal kevesebben vesznek részt nemzeti vagy uniós szintű kezdeményezésekben. Ez a különbség fejlesztendő kritikus fontosságú területre mutat rá, mivel a nagyszabású incidensek kezelésében a határokon átnyúló hatékony együttműködés csak ezeken a magasabb szinteken valósítható meg.
  • Az irányelvek hatálya alá tartozó szervezetek általános tájékozottsága biztató: 92%-uk ismeri a NIS 2 irányelv általános hatályát vagy konkrét rendelkezéseit. Egyes új NIS 2 ágazatokban azonban a szervezetek jelentős hányada továbbra sem ismeri az irányelvet, ami arra utal, hogy az illetékes nemzeti hatóságoknak fokozott figyelemfelkeltő kampányokra lenne szükségük.
  • A NIS által már lefedett ágazatokban működő vállalkozások a különböző kiberbiztonsági irányítási, kockázati és megfelelési mutatók tekintetében jobban teljesítenek, mint a NIS 2 alá újonnan bevontak. Hasonlóképpen, a NIS 2 új ágazataiban működő szervezetek alacsonyabb elkötelezettséget mutatnak és nagyobb arányban nem vesznek részt a kiberbiztonsági felkészültségi tevékenységekben. Ez rávilágít a NIS-irányelvnek a már hatályban lévő ágazatokra gyakorolt pozitív hatására, és előrevetíti, hogy a NIS 2 milyen hatással lesz az új szektorokra.
  • Az évek során megjelentetett jelentések sorozata a NIS-beruházásokról gazdag történelmi adatkészletet nyújt, amely az idei évre építve lehetővé teszi, hogy betekintést nyerjünk, hogy a NIS 2 a hatálya alá tartozó új szervezetekre milyen hatást gyakorol.

További információk

”Forrás:
Navigating cybersecurity investments in the time of NIS 2; ENISA; 2024. november 21.

(https://hirlevel.egov.hu/)


Kapcsolódó cikkek

2024. május 14.

NIS2 visszaszámlálás: Másfél hónapjuk van a vállalatoknak a NIS2 nyilvántartásba vételre

A NIS2 direktíva számos követelményt fogalmaz meg az EU-tagállamok kiber- és információbiztonságára vonatkozóan. Magyarországon a „2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről”, azaz a „Kibertan-törvény” implementálja a direktíva rendelkezéseit, melynek értelmében az érintett vállalatoknak 2024. június 30-ig regisztrálniuk kell magukat a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kijelölt online felületen.
2024. május 7.

NIS2: ki legyen az információs rendszerek biztonságáért felelős személy?

A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló „Kibertan-törvény” hatálybalépésével kezdetét vette Magyarországon is az EU új NIS2 (Network Information System v2) irányelvének átültetése a hazai jogrendbe. Ezek az információvédelmi követelmények minden eddiginél szélesebb kört érintenek, az előzetes becslések alapján közvetlenül 2500-3000 társaság került a hatálya alá. Az érintett cégeknek  2024. június 30-ig már csak alig két hónap áll rendelkezésükre, hogy bejelentkezzenek a Szabályozott Tevékenységek Felügyeleti Hatóságához (SZFTH).  A regisztráció során adminisztratív és technikai jellegű cégadatok megadása mellett az információs rendszerek biztonságáért felelős személy (IBF) adatait és elérhetőségét is fel kell tüntetni. Kóczé Péter a Grant Thornton nemzetközi üzleti- és adótanácsadó cég digitális üzletágának vezetője segít átgondolni, hogy mi alapján válasszuk ki a cég számára optimális megoldást.
2024. október 10.

A NIS2 hatályba lépésére figyelmeztet az EY

Pár nap és élesedik a NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv, amely több ezer cégre vonatkozik Magyarországon. A regisztrációt elmulasztó társaságok akár szankciókra is számíthatnak a hatóságtól. Az érintett vállalkozásoknak az év végéig le kell szerződniük a biztonsági vizsgálatra jogosult auditorral is, ugyanis, ha nem végzik el időben az IT rendszereik felülvizsgálatát akár több millió eurós büntetésre is számíthatnak.