Informe ENISA NIS360 2024: Una mirada exhaustiva a la maduresa i criticidad de la ciberseguretat dels sectors NIS2

El NIS360 és un nou producte de l'Agència de la UE per a la Ciberseguretat, ENISA, que avalua la maduresa i criticidad dels sectors NIS2, proporcionant una anàlisi comparativa i més profund.

L'objectiu de la NIS360 és ajudar a les autoritats nacionals i a les agències de ciberseguretat dels Estats membres encarregats de l'aplicació de la NIS2, comprendre el panorama general, ajudar-los amb la priorització, destacar les àrees de millora i facilitar el seguiment dels avanços dels sectors. El NIS360 també té com a objectiu recolzar als responsables polítics a nivell nacional i de la UE, perquè aportin informació sobre el desenvolupament de polítiques i estratègies, així com sobre les iniciatives per augmentar la ciberresiliencia.

L'informe estableix tres prioritats principals:

• En primer lloc, recomana que es reforci la col·laboració, dins dels sectors i entre ells, a través d'esdeveniments de creació de comunitat i la cooperació a nivell sectorial, nacional i de la UE.
• En segon lloc, dins d'aquest període de transposició de la SRI2, s'està convertint en una prioritat cada vegada major el desenvolupament d'orientacions sectorials específiques sobre com aplicar els requisits clau de la SRI2 en cada sector. L'informe assenyala que les autoritats sectorials nacionals estan intensificant l'aplicació de la SRI2. Si bé les inversions estan augmentant en tots els sectors, es requereix una major millora de les capacitats.
• En tercer lloc, la NIS360 posa l'accent en la necessitat d'harmonitzar els requisits transfronterers en cada sector de la SRI, així com de la col·laboració transfronterera.

Resum de les principals conclusions

Entre les principals conclusions es troben les següents:

• L'electricitat, les telecomunicacions i la banca són els tres sectors més crítics i madurs que destaquen per sobre de la resta. Aquests sectors s'han beneficiat d'una important supervisió regulatòria, finançament i inversions, enfocament polític i, en general, una sòlida associació públic-privada.

• Les infraestructures digitales, que inclouen serveis crítics com a intercanvis d'Internet, dominis de nivell superior, centres de dades i serveis en el núvol, estan un pas per sota en termes de maduresa. Aquest sector dels SRI és molt heterogeni quant a la maduresa de les entitats, i té una forta naturalesa transfronterera que complica la supervisió, l'intercanvi d'informació i la col·laboració.  

• Sis sectors de NEI es troben dins de la zona de risc NIS360, la qual cosa suggereix que hi ha marge de millora en la seva maduresa en relació amb la seva criticidad.

  • Gestió de serveis TIC: El sector s'enfronta a reptes clau a causa del seu caràcter transfronterer i a la diversitat d'entitats. L'enfortiment de la seva resiliència requereix una estreta cooperació entre les autoritats, una reducció de les càrregues reglamentàries per a les entitats subjectes tant a la SRI2 com a una altra legislació, i una estreta cooperació en matèria de supervisió transfronterera.

  • Espai: Els limitats coneixements de ciberseguretat de les parts interessades i la seva gran dependència dels components comercials llests per usar presenten desafiaments per al sector. Millorar la seva resiliència requereix una major conscienciació sobre la ciberseguretat, directrius clares per a les proves prèvies a la integració dels components i una major col·laboració amb altres sectors.

  • Administracions públiques: En ser molt divers, és un repte per al sector aconseguir un major nivell comú de maduresa. El sector manca del suport i l'experiència que s'observa en sectors més madurs. En ser un objectiu principal per l'hacktivismo i les operacions de nexe entre estats, el sector ha d'apuntar a enfortir les seves capacitats de ciberseguretat aprofitant la Llei de Solidaritat Cibernètica de la UE i explorant models de serveis compartits entre entitats del sector en àrees comunes, per exemple, billeteras digitals.

  • Marítim: El sector segueix enfrontant-se a reptes amb la tecnologia operativa (OT) i podria beneficiar-se d'una orientació adaptada a la gestió de riscos de ciberseguretat que se centri a minimitzar els riscos específics del sector, així com d'un exercici de ciberseguretat a escala de la UE per millorar la coordinació i la preparació en la gestió de crisis tant sectorials com multimodales.

  • Salut: El sector de la salut, amb una cobertura ampliada en el marc de la NIS2, segueix enfrontant-se a desafiaments com la dependència de cadenes de subministrament complexes, sistemes heretats i dispositius metges poc assegurances. L'enfortiment de la seva resiliència requereix el desenvolupament de directrius pràctiques de contractació per ajudar a les organitzacions a adquirir serveis i productes segurs/segurs, orientació personalitzada per ajudar a superar problemes comuns i campanyes de conscienciació del personal.

  • Gas: El sector ha de seguir treballant per desenvolupar les seves capacitats de preparació i resposta davant incidents, mitjançant el desenvolupament i la prova de plans de resposta a incidents a nivell nacional i de la UE, però també mitjançant una major col·laboració amb els sectors de l'electricitat i la fabricació.

L'informe es basa en dades de les autoritats nacionals amb un mandat horitzontal o sectorial, en l'autoavaluació de les empreses dels sectors SRI2 i en fonts de dades de la UE, com Eurostat. En l'ENISA NIS360 s'identifiquen els punts forts, els reptes sectorials i les manques, i es formulen recomanacions per millorar la maduresa i la resiliència sectorials en tota la Unió.

Descarregar informe

Font original de la notícia