欧盟网络安全局（ENISA）去年发布了第一版——2020年NIS投资报告——初步了解了网络和信息系统安全指令（NIS指令）所涵盖的服务提供商的网络安全投资方法。

新报告——2021年NIS投资报告——汇总了来自27个欧盟成员国的数据，研究了基本服务运营商（OES）或数字服务提供商（DSP）的网络安全预算分配情况，以及由于该指令的规定，这种分配可能会发生的变化。它还分析了网络安全事件的经济影响，和这些组织监控其预算和投资以满足其网络安全要求的方法。

注：OES在能源（电力，石油和天然气），运输（航空，铁路，水和公路），银行，金融市场基础设施，卫生，饮用水供应和分配以及数字基础设施（互联网交换点，域名系统服务提供商，顶级域名注册）的战略部门提供基本服务。DSP在在线环境中运行，即在线市场，在线搜索引擎和云计算服务。

欧盟网络安全局执行主任Juhan Lepassaar表示：“衡量网络安全的有效性是一项具有挑战的任务。通过查看基本运营商的信息安全投资及其资源的集中点，我们可以了解整个联盟的网络安全状况。”

NIS指令对投资的作用和影响是什么？

作为欧盟范围内第一个关于网络安全的立法，网络和信息系统安全指令（NIS指令）的目标是在所有成员国之间实现高水平的网络安全。NIS指令的任务之一是实施OES和DSP的风险管理和报告义务。

该报告另外概述了OES和DSP中的IT安全人员配备，以及与网络保险和信息安全组织等方面有关的情况。

该报告的主要发现是什么？

近50%的受访组织承认NIS指令对其信息安全管理产生了重大或非常重大的影响。近50%的OES和DSP认为，由于该指令规定的实施，它们的检测能力现在得到了加强。26%的人认为它提高了他们从事件中恢复的能力。在2020年，只有8.8%的受访OES和DSP经历了重大安全事件。

但是这些服务提供商中仍然有67%需要分配额外的预算来确保合规性，18%的服务提供商根本没有实施任何条款。

典型的OES/DSP在信息安全上花费约200万欧元。实施NIS指令的相应预算占整体信息安全预算的5%至10%不等。

该研究表明，全球组织主要将其安全预算的分配大致如下：

——漏洞管理和安全分析占20%;

——治理、风险和合规性占18%;

——网络安全为16%；

其余预算用于身份访问管理，数据，端点和应用程序安全性管理。

调查结果显示，能源部门的OES或DSP分配了最高的预算来实现实施，紧随其后的是银行业的组织。饮用水供应和分配、金融市场基础设施和数字基础设施会分配最低的预算来实现合规。

银行和医疗保健行业是重大安全事件发生时直接成本最高的行业，损失通常从213000欧元到300000欧元不等，而直接成本约为100000欧元。

NIS指令的三个最主要的实现领域是:治理风险与合规(GRC)，网络安全和漏洞管理。

欧盟近50%的OES和DSP雇用承包商的服务来支持其信息安全。

由于NIS指令的实施，OES和DSP的信息安全工作人员增加了，18.7%的被调查组织雇佣了额外的内部员工，32%的组织求助于外部承包商。一个典型的OES和DSP平均雇佣60名IT人员，其中7名是专门从事信息安全的。平均有2名工作人员专门负责事故反应工作。

超过57%的组织尚未订购网络保险。但是，超过一半的OES和DSP认证了他们的系统和流程。

这些服务提供商中的大多数评估其信息安全控制符合或超过行业标准，只有5%的人承认他们没有。

共有23%的组织报告说，他们没有任何网络保险解决方案，尽管他们声称计划要实施一个。

附：2021年NIS投资报告下载地址——

https://www.enisa.europa.eu/publications/nis-investments-2021（本文出自SCA安全通信联盟，转载请注明出处。）