Az ENISA első NIS360-jelentése szerint három ágazat emelkedik ki a többi közül az általános érettség szempontjából. Ezek az energetika, a távközlés, valamint a bankszektor. Ezek az ágazatok egy rugalmas és összekapcsolt gazdaság alapját képezik.
A korábbi években ezek az ágazatok jelentős szabályozási előnyökben is részesültek. A felügyelet, a globális beruházások, a politikai összpontosítás és a köz- és magánszféra közötti szilárd partnerségek, lehetővé tették, hogy ezen ágazatok magasabb szintű érettséget érjenek el.
Az uniós ügynökség hangsúlyozta, hogy e három szektor ellenálló-képessége kulcsfontosságú a társadalmi és gazdasági stabilitás szempontjából.
Hiányosságok a kockázati zónában
A digitális infrastruktúrák, az internet-szolgáltatások, az adatközpontok és a felhőalapú szolgáltatásokat is a kiemelt szektorok közé tartoznak az érettség szempontjából. Azonban e területeken is számos komoly kihívással kell még megbirkózni.
Az ENISA jelentése szerint négy ágazat és további két alágazat tartozik a “kockázati zónába”. Ezek az IKT-szolgáltatások kezelése, az űrkutatás, a közigazgatás, a tengerészet, valamint az egészségügy és a gázszolgáltatások.
Az uniós ügynökség szerint ezeknek az ágazatoknak különös figyelmet kell fordítaniuk arra, hogy ledolgozzák érettségi hiányosságaikat.
Ahol még sokat kell dolgozni
- Az IKT-szolgáltatási ágazat a határokon átnyúló jellege és sokszínűsége miatt kulcsfontosságú kihívásokkal néz szembe. A szektor ellenálló-képességének megerősítése létfontosságú, és szoros együttműködést igényel a hatóságok között. Emellett az ENISA szerint a NIS2 és a DORA hatálya alá tartozó szervezetek terheinek csökkentésére, valamint a határokon átnyúló harmonizált felügyeletre is szükség van.
- Az űripari ágazat is jelentős kihívásokkal néz szembe a korlátozott kiberbiztonsági ismeretek, valamint a kereskedelmi forgalomban kapható alkatrészek használata miatt. Az ellenálló-képesség fokozása nagyobb kiberbiztonsági tudatosságot igényel, valamint szorosabb együttműködést például a távközlési ágazattal. Részben az 5G és a műholdas kommunikáció növekvő konvergenciája miatt.
- A közigazgatás még a kiberbiztonsági érettség korai szakaszában van, hiányzik az a támogatás és tapasztalat, amely az érettebb ágazatokban már érzékelhető. Ez az ágazat a hacktivizmus egyik elsődleges célpontja és bizonyos államellenes műveletek célpontja is lehet. Éppen ezért törekedni kell arra, hogy a közigazgatásban is megerősítsék a kiberbiztonsági képességeket. Ebben az unió kiberszolidaritásról szóló törvénye nyújt fogódzkodót, de meg kell vizsgálni a szervezetek közötti megosztott szolgáltatási modellek lehetőségét.
- A hajózási, tengerészeti ágazat továbbra is kihívásokkal küzd. A személyre szabott intézkedéseknek komoly hasznát látná ez a szektor – olvasható a NIS360-jelentésben. Az ágazatspecifikus kockázatok minimalizálására összpontosító kiberbiztonsági kockázatkezelés sokat segíthet ebben. Akárcsak az uniós szintű kiberbiztonsági gyakorlatok alkalmazása a koordináció és a felkészültség fokozása érdekében.
- Az egészségügyi ágazat olyan kihívásokkal küzd, mint a bonyolult ellátási láncok, az örökölt vagy éppen a rosszul védett rendszerek. Az ágazat ellenálló-képességének megerősítéséhez szükség lenne gyakorlati iránymutatásra a beszerzések terén. A szektorban alapvető kiberhigiéniai hiányosságokkal kell megküzdeni, és jelentősen növelni kell az ágazatban dolgozók biztonságtudatosságát.
- A gázszektornak tovább kell dolgoznia az incidensekre való felkészültség és reagálás fejlesztésén. Javítani kell az incidensekre való reagálási képességeket, ezeket nemzeti és uniós szinten is fejleszteni és tesztelni kell.
Az IKT-ágazatnak szóló javaslatok
Az ágazat határokon átnyúló jellege, valamint a többi szektor támogatásában betöltött kritikus szerepe miatt fokozottan ki van téve a kibertámadásoknak. Az ENISA szerint alapvető fontosságú az IKT-szolgáltatások menedzsmentjében a szoros együttműködés az érintett ágazatok illetékes hatóságai között. Az ágazat szervezetei ellen irányuló kiberbiztonsági incidensek több szektorban is megzavarhatják a kritikus szolgáltatásokat.
Az ilyen kockázatok mérséklése érdekében elengedhetetlen az illetékes hatóságok közötti összehangolt megközelítés.
A DORA és a NIS2 keretrendszereket következetesen kell alkalmazni a más területekkel gyakran átfedésben működő IKT-ágazat esetében. Fel kell térképezni a két keretrendszer kiberbiztonsági követelményeit – ez az egyértelműsítés mellett a redundancia csökkentésében is hasznos.
A menedzselt biztonsági szolgáltatások tanúsítási rendszereinek meg kell felelniük az uniós kiberszolidaritásról szóló törvény előírásainak. Emellett pedig biztosítani kell a szabályozási keretrendszerek összehangolását is.
(Kép: unsplash.com)
