NIS Yatırımları raporunun 6. baskısı, Avrupa Birliği genelindeki kuruluşların siber güvenlik yatırımlarını nasıl tahsis ettiklerine ilişkin yeniden düzenlemeyi vurguluyor; finansman, personel alımından teknolojilere ve dış kaynak hizmetlerine doğru istikrarlı bir şekilde kayıyor. Bulgular, ENISA’nın, AB siber güvenlik politikasının, özellikle de NIS2 Direktifinin uygulamaya nasıl yansıdığını ve operasyonel kararları, kaynakları ve uzun vadeli planlamayı nasıl etkilediğini inceleyen yıllık anketinden geliyor.
ENISA İcra Direktörü Juhan Lepassaar, çalışmanın önemini vurgulayarak şunları söyledi: “NIS Yatırımları Çalışması, ENISA’nın AB Üye Devletlerini kritik sektörlerde siber dayanıklılık oluşturma konusunda destekleme rolü açısından merkezi bilgiler sağlıyor. Bulgular, zorlukları daha iyi anlamamıza, desteğimizi hedeflememize ve geleceğe yönelik önerilerimizi şekillendirmemize yardımcı oluyor.”
Geçen yılın döngüsünde anket, tüm AB Üye Devletlerindeki 1.080 kamu ve özel kuruluşun yanıtlarını topladı. Örneklem, NIS2 Direktifi kapsamında oldukça kritik kabul edilen sektörleri temsil ediyordu.
Büyük işletmeler yanıt verenlerin %83’ünü oluştururken, %17’si KOBİ’lerden oluşuyordu; bu da çok farklı kaynak yapılarına sahip kuruluşlar arasında karşılaştırma yapılmasına olanak sağlıyor. Ana raporun yanında, daha derin analiz için hem sektör bazlı hem de Üye Devlet görüşleri sunan ayrıntılı bir veri kılavuzu yayınlandı.
Siber Güvenlik Yatırımı Öncelik Haline Geliyor
Geçen yılla karşılaştırıldığında, genel siber güvenlik yatırımları sabit kaldı; ortalama 1,5 milyon Euro harcamayla BT bütçelerinin ortalama %9’unu oluşturdu. Ancak veriler, şirket içi siber güvenlik ekiplerinin genişletilmesinden gelişmiş teknoloji yığınlarına ve dış kaynaklı hizmetlere doğru net bir yönelim olduğunu gösteriyor. Bu değişim, raporun temel trendlerinden birine işaret ediyor.
Siber yetenek eksikliği AB genelinde belirleyici bir sorun olmaya devam ediyor. Kuruluşlar, siber güvenlik uzmanlarını cezbetme (%76) ve elde tutma (%71) konusunda sürekli zorluklar yaşadıklarını bildirdi. Yüksek personel değişimi, sınırlı yetenek mevcudiyeti ve rekabetçi işe alım koşulları, iş gücü açığını genişletmeye devam ederek, kuruluşların personel alma modellerini yeniden değerlendirmesine ve dış desteğe bağımlılığı artırmasına neden oluyor.
Kuruluşların %70’inin belirttiğine göre, özellikle NIS2 ile ilgili uyumluluk, siber güvenlik yatırımlarının arkasındaki ana katalizör olmaya devam ediyor. Ancak raporda, bu çabaların mevzuata uymanın ötesinde faydalar sağladığı belirtiliyor. Katılımcılar risk yönetimi (%41), tespit yeteneği (%35) ve olaylara müdahale (%26) alanlarındaki gelişmelere dikkat çekti. Gelecekteki yatırım öncelikleri arasında siber güvenlik araçlarının yükseltilmesi, kurtarma süreçlerinin güçlendirilmesi ve şirket içi beceri gelişiminin iyileştirilmesi yer alıyor.
NIS2 Uygulaması Önemlidir Ancak Zordur
NIS2, kuruluşları siber güvenlik temellerini yükseltmeye teşvik ederken, yönergenin uygulanması birçok alanda zorluklara yol açıyor. Kuruluşlar yama (%50), iş sürekliliği (%49) ve tedarik zinciri risk yönetimi (%37) konularında engeller bildirdi. Daha büyük kuruluşlar yaklaşımları uyumlu hale getirmek ve eski sistemlerden geçiş yapmakta zorlanırken, KOBİ’ler sınırlı rehberlik, yüksek araç maliyetleri ve yetersiz beceriler gibi engellerle karşı karşıyadır.
Rapor, yamaların zamanında uygulanması ve güvenlik değerlendirmelerinin yürütülmesi konusunda süregelen zorlukları ortaya koyuyor. Neredeyse her üç kuruluştan biri son 12 ayda siber güvenlik değerlendirmesi yapmamıştı. Ek olarak, %28’inin kritik güvenlik açıklarını düzeltmek için üç aydan fazla süreye ihtiyacı var; bu, güvenlik açığından yararlanmanın önde gelen saldırı vektörü olmaya devam ettiği göz önüne alındığında acil bir sorun. KOBİ’ler en zorlu engellerle karşı karşıyadır; %63’ü test etmede, %51’i ise yamalamada zorluk yaşamaktadır.
Tedarik Zinciri Maruziyeti Artıyor
Tedarik zinciri risk yönetimi yavaş yavaş geliştikçe, dış kaynaklı BİT ve güvenlik hizmetlerine bağımlılık, özellikle de tedarikçiler sınırlı kaynaklara sahip KOBİ’ler olduğunda, güvenlik açıkları yaratmaya devam ediyor. Tedarik zinciri ve üçüncü taraf uzlaşmaları, siber bağımlılıkları hedef alan saldırılarda artışa dikkat çeken ENISA Tehdit Ortamı raporundaki eğilimlerle uyumlu olarak, gelecekteki en fazla endişe verici (%47) ikinci tehdit olarak belirlendi.
Kuruluşlar DoS saldırılarının günlük operasyonları en çok aksatan saldırılar olduğunu belirtiyor ancak fidye yazılımları (%55), tedarik zinciri saldırıları (%47) ve kimlik avı (%35) uzun vadeli kaygıların başında geliyor. KOBİ’ler, herhangi bir tehdit kategorisinde siber olaylara hazırlanma, bunlara dayanma ve bu olaylardan kurtulma yetenekleri konusunda sürekli olarak en düşük güveni bildiren ülkeler oldu.
NIS Yatırımları raporundan elde edilen bulgular, NIS360 sektörel olgunluk değerlendirmesi, AB Siber Güvenlik Endeksi ve Birlik’teki Siber Güvenliğin Durumu raporu da dahil olmak üzere çeşitli ENISA girişimlerini besliyor. Bu bilgiler politika önerilerinin iyileştirilmesine yardımcı olur ve AB’nin genel siber direncini güçlendirmek için gelecekteki eylemlere rehberlik eder.