EU Cybersecurity Index 2024
Az ENISA EU Cybersecurity Index 2024 jelentés az Európai Unió tagállamainak kiberbiztonsági érettségét vizsgálja, strukturált, objektív és rendszeresen aktualizált keretrendszer alapján. Az EU-CSI egy komplex mutatószámrendszer, amely a tagállamok kiberbiztonsági helyzetét több szempontból méri: politikai szabályozások, operatív védelem, kapacitások és iparági feltételek alapján. A teljes skála 0–100 pont között mozog, és a 2024-es kiadásban az EU átlaga 62,65 pont, viszonylag szűk, kb. ±3,8 pont ingadozás mellett.
Az olyan alapvető védelmi mutatók, mint a kis- és nagyvállalatok incidensmentessége és a nemzetközi CSIRT‑képviselet, átlagosan nagyon magas eredményeket mutattak (90 – 97 pont felett). Az azonosított hiányosságok elsősorban az ellátási lánc biztosításában, a kritikus szektorok különös támogatásában, és a kiberbiztonsági munkaerő képzésében és szabványosításában voltak jellemzőek.
Az ENISA hangsúlyozza, hogy bár a jogszabályi keretek – különösen a NIS2-irányelv, a Cyber Resilience Act és a DORA – már rendelkezésre állnak vagy épp hatályba lépnek, ezek tényleges, összehangolt végrehajtása egyenetlen a tagállamok között. A fő kihívást nem a jogi szöveg értelmezése, hanem a gyakorlati alkalmazás, a megfelelés ellenőrzése és a végrehajtás koordinációja jelenti.
A jelentés második prioritása a kiberválságok során tanúsított reagálási képességek fejlesztése. A 2023–2024-es időszakban több tagállamot ért szinkronizált zsarolóvírus és DDoS támadás, amelyek során világossá vált, hogy az EU-tagállamok közötti valós idejű koordináció, erőforrásmegosztás és közös incidenskezelés nem elégséges.
Az ellátási lánc sérülékenysége az egyik legkritikusabb biztonsági probléma. Az ENISA rámutat arra, hogy a beszállítók, alvállalkozók, harmadik fél szolgáltatók – például IT infrastruktúrák, szoftverfrissítések, logisztikai rendszerek – gyakran nem állnak azonos biztonsági követelmények alatt, mint a végső szolgáltatók vagy állami szervek.
Az EU teljes területén kiberbiztonsági szakemberhiány tapasztalható, amely nemcsak a közszférát, hanem az ipart és kritikus infrastruktúrákat is érinti. Az ENISA becslése szerint több mint 200 000 betöltetlen pozíció van az EU-ban a szektorban.
Az ENISA támogatja Cybersecurity Skills Academy létrehozását, hogy egységes képzési keretet biztosítson az EU-n belüli munkaerőfejlesztéshez. Egyúttal egy uniós tanúsítási rendszer kidolgozását is javasolják, amellyel kezelhetőbbé válna a szakemberhiány.
A válságkezelés, különösen a nagy volumenű incidensek esetén, a kiberválságok EU-n belüli összehangolása – újrahangolt EU Blueprint és a Cyber Solidarity Act keretében – stratégiai előnyt biztosítana a valós idejű reagálásban.
Az EU‑CSI célja kettős, egyrészt bemutatni a jelenlegi állapotot, másrészt segíteni a tagországoknak egymástól tanulva fejleszteni kiberbiztonsági rendszereiket. 2026-ra tervezett következő felméréssel pedig módszertani finomítás is várható.
