Informe ENISA NIS360 2024: Unha mirada exhaustiva á madurez e criticidad da ciberseguridade dos sectores NIS2

O NIS360 é un novo produto da Axencia da UE para a Ciberseguridade, ENISA, que avalía a madurez e criticidad dos sectores NIS2, proporcionando unha análise comparativa e máis profundo.

O obxectivo da NIS360 é axudar ás autoridades nacionais e ás axencias de ciberseguridade dos Estados membros encargados da aplicación da NIS2, comprender o panorama xeral, axudarlles coa priorización, destacar as áreas de mellora e facilitar o seguimento dos avances dos sectores. O NIS360 tamén ten como obxectivo apoiar aos responsables políticos a nivel nacional e da UE, para que acheguen información sobre o desenvolvemento de políticas e estratexias, así como sobre as iniciativas para aumentar a ciberresiliencia.

O informe establece tres prioridades principais:

• En primeiro lugar, recomenda que se reforce a colaboración, dentro dos sectores e entre eles, a través de eventos de creación de comunidade e a cooperación a nivel sectorial, nacional e da UE.
• En segundo lugar, dentro deste período de transposición da SRI2, está a converterse nunha prioridade cada vez maior o desenvolvemento de orientacións sectoriais específicas sobre como aplicar os requisitos crave da SRI2 en cada sector. O informe sinala que as autoridades sectoriais nacionais están a intensificar a aplicación da SRI2. Aínda que os investimentos están a aumentar en todos os sectores, requírese unha maior mellora das capacidades.
• En terceiro lugar, a NIS360 fai fincapé na necesidade de harmonizar os requisitos transfronteirizos en cada sector da SRI, así como da colaboración transfronteiriza.

Resumo das principais conclusións

Entre as principais conclusións atópanse as seguintes:

• A electricidade, as telecomunicacións e a banca son o tres sectores máis críticos e maduros que destacan por encima do resto. Estes sectores beneficiáronse dunha importante supervisión regulatoria, financiamiento e investimentos, enfoque político e, en xeral, unha sólida asociación público-privada.

• As infraestruturas digitales, que inclúen servizos críticos como intercambios de Internet, dominios de nivel superior, centros de datos e servizos na nube, están un paso por baixo en termos de madurez. Este sector dos SRI é moi heteroxéneo canto á madurez das entidades, e ten unha forte natureza transfronteiriza que complica a supervisión, o intercambio de información e a colaboración.  

• Seis sectores de NEI atópanse dentro da zona de risco NIS360, o que suxire que hai marxe de mellora na súa madurez en relación coa súa criticidad.

  • Xestión de servizos TIC: O sector enfróntase a retos crave debido ao seu carácter transfronteirizo e á diversidade de entidades. O fortalecemento do seu resiliencia require unha estreita cooperación entre as autoridades, unha redución das cargas regulamentarias para as entidades suxeitas tanto á SRI2 como a outra lexislación, e unha estreita cooperación en materia de supervisión transfronteiriza.

  • Espazo: Os limitados coñecementos de ciberseguridade das partes interesadas e a súa gran dependencia dos compoñentes comerciais listos para usar presentan desafíos para o sector. Mellorar o seu resiliencia require unha maior concienciación sobre a ciberseguridade, directrices claras para as probas previas á integración dos compoñentes e unha maior colaboración con outros sectores.

  • Administracións públicas: Ao ser moi diverso, é un reto para o sector alcanzar un maior nivel común de madurez. O sector carece do apoio e a experiencia que se observa en sectores máis maduros. Ao ser un obxectivo principal para o hacktivismo e as operacións de nexo entre estados, o sector debe apuntar a fortalecer as súas capacidades de ciberseguridade aproveitando a Lei de Solidariedade Cibernética da UE e explorando modelos de servizos compartidos entre entidades do sector en áreas comúns, por exemplo, billeteiras dixitais.

  • Marítimo: O sector segue enfrontándose a retos coa tecnoloxía operativa (OT) e podería beneficiarse dunha orientación adaptada á xestión de riscos de ciberseguridade que se centre en minimizar os riscos específicos do sector, así como dun exercicio de ciberseguridade a escala da UE para mellorar a coordinación e a preparación na xestión de crises tanto sectoriais como multimodales.

  • Saúde: O sector da saúde, cunha cobertura ampliada no marco da NIS2, segue enfrontándose a desafíos como a dependencia de cadeas de subministración complexas, sistemas herdados e dispositivos médicos pouco seguros. O fortalecemento do seu resiliencia require o desenvolvemento de directrices prácticas de contratación para axudar ás organizacións a adquirir servizos e produtos seguros, orientación personalizada para axudar a superar problemas comúns e campañas de concienciación do persoal.

  • Gas: O sector debe seguir traballando para desenvolver as súas capacidades de preparación e resposta ante incidentes, mediante o desenvolvemento e a proba de plans de resposta a incidentes a nivel nacional e da UE, pero tamén mediante unha maior colaboración cos sectores da electricidade e a fabricación.

O informe baséase en datos das autoridades nacionais cun mandato horizontal ou sectorial, na autoevaluación das empresas dos sectores SRI2 e en fontes de datos da UE, como Eurostat. No ENISA NIS360 identifícanse os puntos fortes, os retos sectoriais e as carencias, e formúlanse recomendacións para mellorar a madurez e a resiliencia sectoriais en toda a Unión.

Descargar informe

Fonte orixinal da noticia