Informe ENISA NIS360 2024: Una mirada exhaustiva a la maduresa i criticidad de la ciberseguretat dels sectors NIS2

El NIS360 és un nou producte de l'Agència de la UE per a la Ciberseguretat, ENISA, que avalua la maduresa i criticidad dels sectors NIS2, proporcionant una anàlisi comparativa i més profund.

L'objectiu de la NIS360 és ajudar a les autoritats nacionals i a les agències de ciberseguretat dels Estats membres encarregats de l'aplicació de la NIS2, comprendre el panorama general, ajudar-los amb la priorització, destacar les àrees de millora i facilitar el seguiment dels avanços dels sectors. El NIS360 també té com a objectiu recolzar als responsables polítics a nivell nacional i de la UE, perquè aporten informació sobre el desenvolupament de polítiques i estratègies, així com sobre les iniciatives per a augmentar la ciberresiliencia.

L'informe establix tres prioritats principals:

• En primer lloc, recomana que es reforce la col·laboració, dins dels sectors i entre ells, a través d'esdeveniments de creació de comunitat i la cooperació a nivell sectorial, nacional i de la UE.
• En segon lloc, dins d'este període de transposició de la SRI2, s'està convertint en una prioritat cada vegada major el desenvolupament d'orientacions sectorials específiques sobre com aplicar els requisits clau de la SRI2 en cada sector. L'informe assenyala que les autoritats sectorials nacionals estan intensificant l'aplicació de la SRI2. Si bé les inversions estan augmentant en tots els sectors, es requerix una major millora de les capacitats.
• En tercer lloc, la NIS360 posa l'accent en la necessitat d'harmonitzar els requisits transfronterers en cada sector de la SRI, així com de la col·laboració transfronterera.

Resum de les principals conclusions

Entre les principals conclusions es troben les següents:

• L'electricitat, les telecomunicacions i la banca són els tres sectors més crítics i madurs que destaquen per damunt de la resta. Estos sectors s'han beneficiat d'una important supervisió regulatòria, finançament i inversions, enfocament polític i, en general, una sòlida associació públic-privada.

• Les infraestructures digitales, que inclouen servicis crítics com a intercanvis d'Internet, dominis de nivell superior, centres de dades i servicis en el núvol, estan un pas per davall en termes de maduresa. Este sector dels SRI és molt heterogeni quant a la maduresa de les entitats, i té una forta naturalesa transfronterera que complica la supervisió, l'intercanvi d'informació i la col·laboració.  

• Sis sectors de NEI es troben dins de la zona de risc NIS360, la qual cosa suggerix que hi ha marge de millora en la seua maduresa en relació amb la seua criticidad.

  • Gestió de servicis TIC: El sector s'enfronta a reptes clau a causa del seu caràcter transfronterer i a la diversitat d'entitats. L'enfortiment de la seua resiliència requerix una estreta cooperació entre les autoritats, una reducció de les càrregues reglamentàries per a les entitats subjectes tant a la SRI2 com a una altra legislació, i una estreta cooperació en matèria de supervisió transfronterera.

  • Espai: Els limitats coneixements de ciberseguretat de les parts interessades i la seua gran dependència dels components comercials llests per a usar presenten desafiaments per al sector. Millorar la seua resiliència requerix una major conscienciació sobre la ciberseguretat, directrius clares per a les proves prèvies a la integració dels components i una major col·laboració amb altres sectors.

  • Administracions públiques: En ser molt divers, és un repte per al sector aconseguir un major nivell comú de maduresa. El sector manca del suport i l'experiència que s'observa en sectors més madurs. En ser un objectiu principal per a l'hacktivismo i les operacions de nexe entre estats, el sector ha d'apuntar a enfortir les seues capacitats de ciberseguretat aprofitant la Llei de Solidaritat Cibernètica de la UE i explorant models de servicis compartits entre entitats del sector en àrees comunes, per exemple, billeteras digitals.

  • Marítim: El sector seguix enfrontant-se a reptes amb la tecnologia operativa (OT) i podria beneficiar-se d'una orientació adaptada a la gestió de riscos de ciberseguretat que se centre a minimitzar els riscos específics del sector, així com d'un exercici de ciberseguretat a escala de la UE per a millorar la coordinació i la preparació en la gestió de crisis tant sectorials com multimodales.

  • Salut: El sector de la salut, amb una cobertura ampliada en el marc de la NIS2, seguix enfrontant-se a desafiaments com la dependència de cadenes de subministrament complexes, sistemes heretats i dispositius metges poc assegurances. L'enfortiment de la seua resiliència requerix el desenvolupament de directrius pràctiques de contractació per a ajudar a les organitzacions a adquirir servicis i productes segurs, orientació personalitzada per a ajudar a superar problemes comuns i campanyes de conscienciació del personal.

  • Gas: El sector ha de seguir treballant per a desenvolupar les seues capacitats de preparació i resposta davant incidents, mitjançant el desenvolupament i la prova de plans de resposta a incidents a nivell nacional i de la UE, però també mitjançant una major col·laboració amb els sectors de l'electricitat i la fabricació.

L'informe es basa en dades de les autoritats nacionals amb un mandat horitzontal o sectorial, en l'autoavaluació de les empreses dels sectors SRI2 i en fonts de dades de la UE, com Eurostat. En l'ENISA NIS360 s'identifiquen els punts forts, els reptes sectorials i les manques, i es formulen recomanacions per a millorar la maduresa i la resiliència sectorials en tota la Unió.

Descarregar informe

Font original de la notícia