La Agencia de la Unión Europea para la Ciberseguridad (Enisa) ha publicado el segundo informe NIS Investments Report 2021, donde se analiza la asignación del presupuesto de ciberseguridad de los Operadores de Servicios Esenciales (OES) y Proveedores de Servicios Digitales (DSP), y cómo esta asignación posiblemente haya cambiado como resultado de la necesidad de implementar las disposiciones de la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS).
Con 27 Estados miembros de la Unión Europea (UE) encuestados, el informe también analiza el impacto económico de los incidentes de ciberseguridad y evalúa cómo estas organizaciones monitorean su presupuesto e invierten para cumplir con sus requisitos de ciberseguridad. Además, ofrece una descripción general de la situación en relación con aspectos como el personal de seguridad de TI, el ciberseguro y la organización de la seguridad de la información en OES y DSP.
Como primera legislación de la UE sobre ciberseguridad, el objetivo de la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS) es lograr un alto nivel común de ciberseguridad en todos los Estados miembros. Esta directiva ha sido implementada por el 82% de las 947 organizaciones identificadas como OES y DSP.
Según el informe, casi el 50% de las organizaciones encuestadas reconocen un impacto significativo o muy significativo de la Directiva NIS en la gestión de la seguridad de su información. Casi el 50% de los OES y DSP establecidos consideran que sus capacidades de detección ahora se ven reforzadas como resultado de la implementación de las disposiciones de la directiva, mientras que el 26% cree que ha mejorado su capacidad para recuperarse de incidentes. Solo el 8,8% de los encuestados han experimentado un incidente de seguridad importante en 2020.
Incluso si el 67% de esos proveedores de servicios necesita asignar un presupuesto adicional para garantizar el cumplimiento, el 18% todavía no ha implementado ninguna de las disposiciones de la directiva.
Presupuesto para la ciberseguridad
El informe muestra que un OES/DSP típico gasta alrededor de 2 millones de euros en seguridad de la información. El presupuesto respectivo para implementar la Directiva NIS asciende desde el 5% hasta el 10% del presupuesto total de seguridad de la información.
Los datos obtenidos revelan que las organizaciones de todo el mundo dedican principalmente su presupuesto de seguridad a la gestión de vulnerabilidades y análisis de seguridad (20%), a la gobernanza, riesgo y cumplimiento (18%) y a la seguridad de la red (16%). Respecto al presupuesto restante, se cubre la gestión del acceso a la identidad, los datos, el punto final y la seguridad de las aplicaciones.
Los resultados de la encuesta indican que un OES o DSP típico del sector energético asigna el presupuesto más alto para lograr la implementación, seguido de cerca por las organizaciones del sector bancario. El suministro y distribución de agua potable, las infraestructuras del mercado financiero y la infraestructura digital asignan los presupuestos más bajos para lograr el cumplimiento.