权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2020年征订开始  
网络安全支出:欧盟内部投资动态分析
2021-11-18

[欧洲网络安全局20211117日报道] 欧盟网络安全局(ENISA)去年发布了报告的第一版——2020年网络和信息系统(Network and Information SystemsNIS)投资报告》,初步了解了网络和信息系统安全指令(NIS指令)所涵盖的服务提供商的网络安全投资方法,即OESDSP

新报告《2021NIS投资报告》汇总了欧盟所有27个成员国的数据,并调查了OESDSP网络安全预算的分配情况,以及由于需要实施该指令的规定,预算分配情况可能发生的变化。《报告》还分析了网络安全事件对经济的影响,并评估欧盟成员国如何监控其预算和投资,以满足其网络安全要求。

NIS指令对NIS投资的作用和影响是什么?

作为首个欧盟范围内的网络安全立法,《网络和信息系统安全指令》(NIS指令)的目标是在所有成员国实现高度统一的网络安全水平。NIS指令的三大支柱之一是执行OESDSP的风险管理和报告义务。

2021NIS投资报告》调查了运营商如何投资网络安全并遵守NIS指令的目标。《报告》还概述了OESDSP中信息技术安全人员配置、网络保险和信息安全组织等方面的情况。

在这种情况下,报告的调查结果可用于进一步纳入欧洲议会和欧盟理事会(称为“NIS 2”),目前正在讨论的关于在整个欧盟范围内实现高度共同网络安全措施的指令提案。从这个意义上讲,《报告》还可以在去年已经开展的工作的基础上,为下一步的政策研究做出贡献。

主要发现是什么?

•执行NIS指令

50%的受调查国认为NIS指令对其信息安全管理产生了重大或非常重大的影响。近50%的已建立的OESDSP认为,由于执行指令的规定,自身的检测能力得到加强。26%的国家认为这提高了他们从网络安全事故中恢复的能力。2020年,只有8.8%的受调查运营商和DSP经历了重大网络安全事件。

即使67%的服务提供商需要分配额外的预算以确保合规,18%的服务提供商仍然没有执行任何规定。

一个典型的OES/DSP在信息安全方面的花费约为200万欧元。执行NIS指令的相应预算占整个信息安全预算的5%10%

研究表明,全球组织的安全预算主要用于以下安全领域,剩余预算包括身份访问管理、数据、端点和应用程序安全:

-漏洞管理和安全分析占20%

-治理、风险和合规性占18%

-网络安全占16%

•部门

调查结果表明,能源部门的典型OESDSP为实现NIS指令的合规性而分配的预算最高,紧随其后的是银行部门的组织。饮用水供应和分配、金融市场基础设施和数字基础设施以最低的预算实现合规性。

NIS指令实施的排名前3的领域是:

-治理风险与合规(GRC);

-网络安全;

-脆弱性管理。

•事故费用

银行和医疗保健部门是发生重大安全事故时直接成本最高的部门,通常在21.3万欧元至30万欧元之间,而通常的直接成本约为10万欧元。

•人力资源

欧盟近50%的成熟运营商和DSP雇佣承包商服务,以支持其信息安全工作人员。

一个典型的OESDSP雇用了60IT员工,其中7名致力于信息安全。平均有2名工作人员专门负责事故响应。由于NIS指令的实施,OESDSP中的信息安全工作人员有所增加,18.7%的受调查组织雇佣了额外的内部员工,32%求助于外部承包商。

•网络保险

超过57%的组织尚未签署网络保险。然而,超过一半的OESDSP认证其系统和流程。

大多数服务提供商评估其信息安全控制是否达到或超过行业标准,只有5%的服务提供商承认没有达到或超过行业标准。

共有23%的组织报告称,他们没有实施任何网络保险解决方案,尽管他们宣称准备实施。(国家工业信息安全发展研究中心 张昇)


相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
国防科技信息网 dsti.net © 2006 - 2022 版权所有 | 京ICP备10013389号-1 | 公安备案号:11010802036354