欧州 ENISA NIS投資報告書 2024
こんにちは、丸山満彦です。
ENISAが、Network and Information Security Investments Report 2024を公表していますね...
2020年から初めて今年で5年目ですね...
NIS2の施行も始まりましたし、サイバーセキュリティがますます注目されますね...今年の調査からNIS2であらたに規制対象となる産業分野も調査しているようですね...
情報セキュリティ支出は増加ている一方、IT部門の従業員に占める情報っセキュリティ専任者の割合は4年連続で低下しているようですね...特に技術的な専門知識を必要とする職務の充足に苦労しているとのこと...特に中小企業...
日本もそうですが、欧州も同じですね...きっと米国も...
事業体の90%が、来年はサイバー攻撃の量、コストが増加すると予想しているようです...
EU及びその諸国が政策を立案する際の参考にするために、行なっているようです。今年で5年目!
EUもグローバルの比較データが欲しいと思うので(一部は組み込まれていますが、、、)、日本も政策立案の際には必要となるのでしょうから、調整をして同じ調査をしても良いように思うんですけどね。。。どうかしら。。。
日本って政策立案についての定量的な分析を十分にせずに、一部の、政府職員、政治家、一部有識者?、それらの取り巻き?の思い、思いつきできまってしまうことが多くないでしょうかね。。。もう少し定量データ等を取り入れたらどうでしょうかね。。。
IPAが情報セキュリティ白書をだしていますが、読み物だけでなく、経年データのあるデータ編があると良いと思うんですよね...
● ENISA
プレス...
・2024.11.21 Navigating cybersecurity investments in the time of NIS 2
| Navigating cybersecurity investments in the time of NIS 2 | NIS 2の時代にサイバーセキュリティ投資をナビゲートする |
| The latest report of the European Union Agency for Cybersecurity (ENISA) aims to support policy makers in assessing the impact of the current EU cybersecurity framework, and particularly the NIS 2 Directive, on cybersecurity investments and the overall maturity of organisations in scope. | 欧州連合サイバーセキュリティ機関(ENISA)の最新報告書は、現在のEUサイバーセキュリティの枠組み、特にNIS 2指令がサイバーセキュリティ投資と対象組織の全体的な成熟度に与える影響を評価し、政策立案者を支援することを目的としている。 |
| The fifth iteration of the NIS Investments report provides key insights into how organisations in scope of the NIS 2 Directive allocate their cybersecurity budgets, build their capabilities, and mature in line with the Directive’s provisions, while also exploring global cybersecurity trends, workforce challenges, and the impact of AI. | NIS投資報告書の第5版では、NIS 2指令の適用範囲にある組織がどのようにサイバーセキュリティ予算を配分し、能力を構築し、指令の規定に沿って成熟しているかについて重要な洞察を提供するとともに、世界のサイバーセキュリティの動向、労働力の課題、AIの影響についても探求している。 |
| The report further provides insights into the readiness of entities to comply with new requirements introduced by key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, while also exploring the challenges they face. | 本報告書はさらに、事業体が直面する課題を探りながら、主要な水平法(CRAなど)や分野別法(DORA、NCCSなど)によって導入された新たな要件を遵守するための準備態勢についての洞察を提供している。 |
| The EU Agency for Cybersecurity Executive Director, Juhan Lepassaar, highlighted: “The NIS 2 Directive signifies a turning point in Europe's approach to cybersecurity. Within a fast evolving and complex threat landscape, the proper implementation of the NIS 2 requires adequate investments and especially into the new sectors which fall under the scope of the updated Directive. The ENISA NIS Investments report provides evidence-based feedback to policymakers and stakeholders regarding NIS-driven investments. These insights are essential for informed decision-making and addressing potential hurdles and gaps in cybersecurity policy implementation.” | EUサイバーセキュリティ機関のジュハン・レパサー事務局長は、次のように強調した: 「NIS 2指令は、サイバーセキュリティに対する欧州のアプローチの転換点を意味する。急速に進化する複雑な脅威の状況の中で、NIS 2を適切に実施するためには、適切な投資が必要であり、特に更新された指令の範囲に含まれる新しいセクターへの投資が必要である。ENISA NIS投資報告書は、NIS主導の投資に関して、政策立案者や利害関係者にエビデンスに基づくフィードバックを提供する。これらの洞察は、十分な情報に基づいた意思決定や、サイバーセキュリティ政策の実施における潜在的なハードルやギャップに対処するために不可欠である」。 |
| The 2024 edition features a significant enhancement compared to previous versions, as it extends the survey sample to include sectors and entities that are in scope of NIS 2. Through this approach, this report provides a pre-implementation snapshot of relevant metrics for the new sectors and entities under NIS 2, laying a foundation for future assessments of the impact of NIS 2. Additionally, it includes a sectorial deep dive in the Digital infrastructure and Space sectors. | 2024年版の特徴は、NIS 2の対象となる事業体やセクターを調査対象に加えたことである。 このアプローチにより、本報告書は、NIS 2の対象となる新たなセクターや事業体に関する関連指標の導入前スナップショットを提供し、NIS 2の影響に関する将来のアセスメントの基礎を築く。 さらに、デジタルインフラと宇宙セクターのセクター別深堀り調査も含まれている。 |
| Data were collected from 1350 organisations from all EU Member States covering all NIS2 sectors of high criticality, as well as the manufacturing sector. | データは、製造事業者だけでなく、重要度の高いNIS2の全分野をカバーする全EU加盟国の1350組織から収集された。 |
| Key findings | 主な調査結果 |
| Information security now represents 9% of EU IT investments, a significant increase of 1.9 percentage points from 2022, marking the second consecutive year of growth in cybersecurity investment post-pandemic. | EUのIT投資に占める情報セキュリティの割合は9%となり、2022年から1.9ポイントの大幅な伸びを示し、パンデミック以降2年連続でサイバーセキュリティへの投資が増加している。 |
| In 2023, median IT spending for organisations rose to EUR 15 million, with information security spending doubling from EUR 0.7 million to EUR 1.4 million. | 2023年には、組織のIT支出の中央値は1,500万ユーロに上昇し、情報セキュリティ支出は0.7百万ユーロから1.4百万ユーロに倍増する。 |
| For the fourth consecutive year, the percentage of IT Full Time Equivalents (FTEs) dedicated to information security has declined, from 11.9% to 11.1%. This decrease may reflect recruitment challenges, with 32% of organisations—and 59% of SMEs—struggling to fill cybersecurity roles, particularly those requiring technical expertise. This trend is especially notable given that 89% of organisations expect to need additional cybersecurity staff to comply with NIS2. | IT部門のフルタイム従業員(FTE)に占める情報セキュリティ専任者の割合は4年連続で低下し、11.9%から11.1%になった。この減少は、サイバーセキュリティの職務、特に技術的な専門知識を必要とする職務の充足に苦労している組織が32%、中小企業が59%に上るという、採用上の課題を反映している可能性がある。89%の組織がNIS2に準拠するためにサイバーセキュリティ担当者の増員を必要としていることを考えると、この傾向は特に注目に値する。 |
| New NIS2 sectors are comparable in cybersecurity spending to existing NIS Directive entities, with their investments largely focused on developing and maintaining baseline cybersecurity capabilities. Emerging areas, such as post-quantum cryptography, receive limited attention with only 4% of surveyed entities investing and 14% planning future investments. | 新規のNIS2セクターは、既存のNIS指令事業体と同程度のサイバーセキュリティ支出を行っており、その投資は主に基本的なサイバーセキュリティ能力の開発と維持に集中している。耐量子暗号のような新分野への注目度は低く、調査対象事業体のわずか4%が投資し、14%が将来の投資を計画しているにすぎない。 |
| The majority of organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2. Notably, a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%). | 大半の事業体は、NIS 2に準拠するためにサイバーセキュリティ予算の単発的または恒久的な増加を見込んでいる。注目すべきは、相当数の事業体が必要な追加予算を要求できないことであり、その割合は特に中小企業(34%)で高い。 |
| 90% of entities expect an increase in cyberattacks next year, in terms of volume, costliness or both. Despite that, 74% focus their cybersecurity preparedness efforts internally, with much lower participation in national or EU-level initiatives. This gap underscores a critical area for improvement, as effective cross-border cooperation in managing large-scale incidents can only be achieved at these higher levels. | 事業体の90%が、来年はサイバー攻撃の量、コスト、またはその両方が増加すると予想している。にもかかわらず、74%はサイバーセキュリティ対策に社内で注力しており、国やEUレベルのイニシアティブへの参加はかなり低い。このギャップは、大規模なインシデントに対処するための効果的な国境を越えた協力は、これらのより高いレベルでしか達成できないため、改善すべき重要な領域であることを強調している。 |
| Overall awareness among in-scope entities is encouraging, with 92% being aware of the general scope or specific provisions of the NIS 2 Directive. However, a notable percentage of entities in certain new NIS 2 sectors remain unaware of the Directive, suggesting a potential need for increased awareness campaigns by the national competent authorities. | 対象事業体の全体的な認知度は高く、92%がNIS 2指令の一般的な範囲または特定の規定を知っている。しかし、特定の新しいNIS 2セクターの事業体では、依然としてこの指令を知らない事業体の割合が目立っており、各国の所轄官庁による認知度向上キャンペーンの潜在的な必要性を示唆している。 |
| Entities in sectors already covered by NIS outperform those newly included under NIS 2 across various cybersecurity governance, risk, and compliance metrics. Similarly, entities in new NIS 2 sectors show lower engagement and higher non-participation rates in cybersecurity preparedness activities. This highlights the positive impact the NIS Directive has had on the sectors already in scope; and creates anticipation for the impact NIS 2 will have on the new sectors. | すでにNISの対象となっているセクターの事業体は、さまざまなサイバーセキュリティガバナンス、リスク、コンプライアンスの指標において、新たにNIS 2の対象となったセクターを上回っている。同様に、新たにNIS 2の対象となった事業体では、サイバーセキュリティ対策活動への参加率が低く、不参加率が高い。このことは、NIS指令がすでに対象となっているセクターにプラスの影響を与えていることを浮き彫りにしており、NIS 2が新たなセクターに与える影響への期待を高めている。 |
| Through the years, the series of the NIS Investments report provide a rich historical dataset which, building on this year’s foundation, will allow us to gain insights into the effect of NIS 2 on new entities within its scope. | 長年にわたり、NIS投資報告書のシリーズは豊富な歴史的データセットを提供しており、今年の基礎の上に、NIS 2がその範囲内の新たな事業体に与える影響についての洞察を得ることができるだろう。 |
| Further Information | 詳細情報 |
| NIS Investments Report 2024 | NIS投資報告書2024 |
| NIS Investments Report 2023 — ENISA | NIS投資報告書2023 - ENISA |
| NIS Investments 2022 — ENISA | NIS投資報告書2022 - ENISA |
| Cybersecurity Investment: Spotlight on Vulnerability Management — ENISA | サイバーセキュリティ投資: 脆弱性管理に注目 - ENISA |
・2024.11.21 NIS Investments 2024
| NIS Investments 2024 | NIS投資 2024 |
| This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. | 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本レポートは、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の導入前のスナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 本報告書の第5版では、NIS 2のすべての重要度の高いセクターと製造事業者を対象に、EU全27加盟国の1350組織のデータを紹介している。 |
・[PDF]
目次...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| 1. INTRODUCTION | 1. 序文 |
| 2. INFORMATION SECURITY DYNAMICS AND OUTLOOK | 2. 情報セキュリティの動態と展望 |
| 2.1 INFORMATION SECURITY SPENDING | 2.1 情報セキュリティ支出 |
| 2.1.1 Forecast spending on information security and risk management | 2.1.1 情報セキュリティとリスクマネジメントへの支出の見通し |
| 2.1.2 Information security spending | 2.1.2 情報セキュリティ支出 |
| 2.2 CYBERSECURITY PRIORITIES | 2.2 サイバーセキュリティの優先事項 |
| 2.2.1 Investment Priorities | 2.2.1 投資の優先順位 |
| 2.2.2 Third-Party Cyber Risk Management | 2.2.2 サードパーティサイバーリスク管理 |
| 2.3 CYBERSECURITY WORKFORCE CHALLENGES | 2.3 サイバーセキュリティ人材の課題 |
| 2.3.1 Information security staffing | 2.3.1 情報セキュリティ人材の確保 |
| 2.3.2 Talent scarcity and impacts | 2.3.2 人材不足とその影響 |
| 2.4 IMPACT OF ARTIFICIAL INTELLIGENCE (AI) | 2.4 人工知能(AI)の影響 |
| 2.4.1 Cybersecurity of AI and AI for cybersecurity | 2.4.1 AIのサイバーセキュリティとサイバーセキュリティのためのAI |
| 2.5 CYBERSECURITY INCIDENTS AND VULNERABILITIES | 2.5 サイバーセキュリティのインシデントと脆弱性 |
| 2.5.1 Cybersecurity incidents | 2.5.1 サイバーセキュリティ事件 |
| 2.5.2 Vulnerabilities | 2.5.2 脆弱性 |
| 3. INFORMATION SECURITY INVESTMENTS | 3. 情報セキュリティ投資 |
| 3.1 METHODOLOGY | 3.1 方法論 |
| 3.2 SPENDING ON INFORMATION SECURITY | 3.2 情報セキュリティへの支出 |
| 3.2.1 IT spending | 3.2.1 IT投資 |
| 3.2.2 IS spending | 3.2.2 IS投資 |
| 3.2.3 IS spending as a share of IT spending | 3.2.3 IT支出に占めるIS支出の割合 |
| 3.2.4 Investment in post-quantum cryptography (PQC) | 3.2.4 耐量子暗号(PQC)への投資 |
| 3.3 INFORMATION SECURITY AND NIS STAFFING | 3.3 情報セキュリティとNISの人員配置 |
| 3.3.1 IT FTEs | 3.3.1 IT FTE |
| 3.3.2 IS FTEs | 3.3.2 IS FTE |
| 3.3.3 IS FTEs as a share of IT FTEs | 3.3.3 IT FTEに占めるIS FTEの割合 |
| 3.3.4 Security domains with difficulties in hiring | 3.3.4 採用が困難なセキュリティ領域 |
| 3.3.5 Staffing evolution to comply with the DORA | 3.3.5 DORAに対応するための人員配置の変遷 |
| 3.3.6 Staffing evolution to comply with the cybersecurity network code for electricity | 3.3.6 電力のサイバーセキュリティネットワークコードに準拠するための人員配置の変遷 |
| 4. NIS 2 DIRECTIVE READINESS | 4. NIS 2指令の準備 |
| 4.1 NIS 2 AWARENESS | 4.1 NIS 2に対する認識 |
| 4.2 MOST CHALLENGING NIS 2 REQUIREMENTS | 4.2 最も困難なNIS 2要件 |
| 4.3 NIS 2 BUDGET ARRANGEMENTS | 4.3 NIS 2予算の取り決め |
| 4.4 STAFFING EVOLUTION TO COMPLY WITH NIS2 | 4.4 NIS2に準拠するためのスタッフの進化 |
| 5. CYBERSECURITY GOVERNANCE AND RISK MANAGEMENT | 5. サイバーセキュリティガバナンスとリスクマネジメント |
| 5.1 LEADERSHIP INVOLVEMENT IN CYBERSECURITY | 5.1 リーダーシップによるサイバーセキュリティへの関与 |
| 5.2 CYBERSECURITY RISK MANAGEMENT FOR THIRD PARTIES | 5.2 サードパーティのサイバーセキュリティリスクマネジメント |
| 5.3 IT/OT PRODUCTS SECURITY | 5.3 IT/OT製品のセキュリティ |
| 5.4 PERCEIVED CYBER-RISK MANAGEMENT MATURITY | 5.4 認知されたサイバーリスクマネジメントの成熟度 |
| 5.5 PERCEIVED NETWORK AND INFORMATION SECURITY MATURITY | 5.5 ネットワークと情報セキュリティの成熟度の認識 |
| 5.6 INFORMATION SHARING | 5.6 情報共有 |
| 5.7 CYBER RESILIENCE ACT (CRA) | 5.7 サイバーレジリエンス法(CRA) |
| 5.8 EU CYBERSECURITY CERTIFICATION | 5.8 EUサイバーセキュリティ認証 |
| 6. CYBER ATTACK EXPECTATIONS AND PREPAREDNESS | 6. サイバー攻撃に対する期待と準備 |
| 6.1 CYBER ATTACK EXPECTIONS | 6.1 サイバー攻撃への期待 |
| 6.2 PERCEIVED CYBER-ATTACK DETECTION AND RESPONCE CAPABILITY MATURITY | 6.2 サイバー攻撃の検知と対応能力の成熟度の認識 |
| 6.3 PARTICIPATION TO CYBERSECURITY PREPAREDNESS INITIATIVES | 6.3 サイバーセキュリティ対策への参加 |
| 7. SECTORAL ANALYSIS: DIGITAL INFRASTRUCTURE | 7. セクター別分析:デジタルインフラ |
| 7.1 DIGITAL INFRASTRUCTURE SERVICES | 7.1 デジタルインフラサービス |
| 7.2 TELECOMMUNICATION SERVICES | 7.2 電気通信サービス |
| 7.3 SCOPE OF OPERATIONS | 7.3 業務範囲 |
| 7.4 INCIDENT NOTIFICATION OBLIGATIONS | 7.4 インシデント通知義務 |
| 7.5 CYBERSECURITY FRAMEWORKS | 7.5 サイバーセキュリティの枠組み |
| 7.6 CYBERSECURITY SERVICES | 7.6 サイバーセキュリティサービス |
| 7.7 HIGH RISK VENDORS | 7.7 リスクの高いベンダー |
| 8. SECTORAL ANALYSIS: SPACE | 8. セクター別分析:宇宙 |
| 8.1 SPACE ENTITIES PROFILE | 8.1 宇宙事業体のプロフィール |
| 8.2 COTS (COMMERCIAL OFF THE SHELF) USAGE | 8.2 COT(市販品)の使用状況 |
| 8.3 SECURITY OF COTS PRODUCTS | 8.3 市販製品のセキュリティ |
| 8.4 USE OF CLOUD SERVICES | 8.4 クラウドサービスの利用 |
| 8.5 USE OF 3RD PARTY SUPPLIERS | 8.5 第三者サプライヤーの利用 |
| 8.6 CYBERSECURITY POSTURE STRENGTHENING | 8.6 サイバーセキュリティ態勢の強化 |
| 9. COMPARING SMES AND LARGE ENTERPRISES | 9. 中小企業と大企業の比較 |
| 10.CONCLUSIONS | 10.結論 |
| 11.ANNEX A – DEMOGRAPHICS | 11.附属書 A - 人口統計 |
| 12.ANNEX B – DEFINITIONS | 12.附属書 B - 定義 |
| 12.1MEDIAN AND AVERAGE DEFINITIONS | 12.1 中央値と平均値の定義 |
| 12.2CAGR DEFINITION | 12.2 CAGRの定義 |
| 12.3SME DEFINITION | 12.3 SMEの定義 |
| 12.4MAPPING OF ECSF PROFILES TO SECURITY DOMAINS | 12.4 セキュリティ・ドメインへのECSFプロファイルのマッピング |
エグゼクティブサマリーと序文...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. | 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティフレームワークの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本報告書は、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の実施前スナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 |
| This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. As the past couple of years have been characterised by a proliferation of the EU cybersecurity policy framework with the introduction of key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, the report provides insights into the readiness of entities to comply with these new requirements, as well as into the challenges they face. Moreover, a sectorial deep dive was conducted for entities in the Digital infrastructure and Space sectors. Key findings from the report include: | 本報告書の5回目となる今回は、製造事業者に加え、重要度の高いNIS 2の全分野をカバーするEU加盟国全27カ国の1350組織のデータを紹介する。ここ数年、EUのサイバーセキュリティ政策の枠組みは、重要な水平法(CRAなど)および分野別法(DORA、NCCSなど)の序文が導入され、その拡散が特徴となっている、 本報告書は、事業体がこれらの新たな要件に準拠するための準備態勢や直面する課題についての洞察を提供している。さらに、デジタルインフラと宇宙分野の事業体について、分野別の深堀りを行った。本レポートの主な調査結果は以下の通りである: |
| • Organisations earmark 9,0% of their IT investments for Information Security, a significant increase of 1.9 percentage points compared to last year. | - 組織はIT投資の9.0%を情報セキュリティに充てており、昨年と比較して1.9ポイントの大幅増となった。 |
| • Organisations allocate 11,1% of their IT FTEs for information security a decrease of 0,8% compared to last year, despite the overall increase in cybersecurity spending and the fourth year in a row where a decrease in this metric is observed. | - サイバーセキュリティへの支出が全体的に増加しているにもかかわらず、組織はIT FTE数の11.1%を情報セキュリティに割り当てており、昨年と比較して0.8%減少している。 |
| • 89% of organisations will require more cybersecurity staff to comply with NIS 2, primarily in the cybersecurity architecture and engineering (46%) and cybersecurity operations (40%) domains. | - 組織の89%は、NIS 2に準拠するために、サイバーセキュリティ・アーキテクチャとエンジニアリング(46%)とサイバーセキュリティ・オペレーション(40%)を中心に、より多くのサイバーセキュリティ・スタッフを必要としている。 |
| • Organisations will also need additional FTEs to comply with other horizontal (CRA - 85%) or vertical (DORA - 84%; NCCS - 81%) cybersecurity legislation. | - 組織はまた、他の水平的(CRA - 85%)または垂直的(DORA - 84%、NCCS - 81%)サイバーセキュリティ法制に準拠するために、FTEを追加する必要がある。 |
| • Most organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2 though a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%). | - ほとんどの事業体は、NIS 2に準拠するためにサイバーセキュリティ予算が単発的または恒久的に増加すると見込んでいるが、必要な追加予算を要求できない事業体も相当数あり、その割合は特に中小企業で高い(34%)。 |
| • 51% of surveyed organisations reported that their leadership participates in dedicated cybersecurity training a 2% increase compared to last year. | - 調査対象となった組織の51%が、自社のリーダーシップがサイバーセキュリティの専門トレーニングに参加していると回答した。 |
| • Sectors previously covered by NIS reported higher perceived maturity in cyberrisk management (6.8 vs. 6.2), network and information security arrangements (7 vs. 6.3), and cyber-attack detection and response capability (7.1 vs. 6.3) compared to new sectors. | - 以前NISの対象であったセクターは、新しいセクターと比較して、サイバーリスク管理(6.8対6.2)、ネットワークと情報セキュリティの取り決め(7対6.3)、サイバー攻撃の検知と対応能力(7.1対6.3)において、より高い成熟度を認識していると報告した。 |
| • Sectors newly covered by the NIS 2 Directive in most cases lag behind sectors already covered by it in areas such as participation in information-sharing initiatives (60% non-participation), participation in cybersecurity preparedness initiatives, controls to establish trust in supply chain (20% implicitly trust it). | - 情報共有イニシアティブへの参加(60%が不参加)、サイバーセキュリティ準備イニシアティブへの参加、サプライチェーンにおける信頼確立のための管理(20%が暗黙のうちに信頼している)といった分野では、ほとんどの場合、新たにNIS 2指令の対象となったセクターは、すでに対象となったセクターに遅れをとっている。 |
| • Only 4% of organisations have already invested in Post-Quantum Cryptography, while 68% of respondents indicated that they will not invest in QSC. | - 耐量子暗号に投資済みの組織はわずか4%で、回答者の68%は耐量子暗号には投資しないと回答している。 |
| • 90% of entities expect an increase in cyberattacks in the coming year. Despite this, participation in cybersecurity preparedness initiatives is predominantly internal, with 74% of organisations engaging in such activities within their own companies. | - 事業体の90%が、来年はサイバー攻撃が増加すると予想している。にもかかわらず、サイバーセキュリティ対策への参加は主に社内で行われており、74%の組織が社内でそのような活動に従事している。 |
| 1. INTRODUCTION | 1. 序文 |
| This report is the fifth edition of the NIS Investments study published by the ENISA to understand how the Directive concerning measures for a high common level of security of network and information systems across the Union (NIS Directive) 1 has impacted the cybersecurity investments, cybersecurity strategy and cybersecurity posture of organisations in scope, and what is the respective projected impact of the Directive on measures for a high common level of cybersecurity across the Union (NIS 2 Directive) 2 which replaced the NIS Directive as of October 2024. | 本報告書は、ENISAが発表したNIS投資調査の第5版であり、欧州連合全体におけるネットワークと情報システムの高度な共通レベルのセキュリティ対策に関する指令(NIS指令)1が、対象組織のサイバーセキュリティ投資、サイバーセキュリティ戦略、サイバーセキュリティ態勢にどのような影響を与えたか、また、2024年10月時点でNIS指令に代わる欧州連合全体における高度な共通レベルのサイバーセキュリティ対策に関する指令(NIS 2指令)2が、それぞれどのような影響を及ぼすと予測されるかを把握することを目的としている。 |
| The NIS 2 Directive which, during the time of this study, is being transposed across the EU (European Union), represents a significant update to the previous NIS Directive. It expands the scope of the NIS Directive to cover a wider range of organisations and imposes more stringent cybersecurity requirements. These changes are likely to have a significant impact on how entities in scope allocate their cybersecurity budgets and manage their risks. | 本調査の期間中、EU(欧州連合)全域に適用されるNIS 2指令は、従来のNIS指令の大幅な更新を意味する。NIS指令の適用範囲が拡大され、より広範な組織が対象となり、より厳しいサイバーセキュリティ要件が課される。これらの変更は、対象事業体のサイバーセキュリティ予算の配分やリスクマネジメントに大きな影響を与える可能性が高い。 |
| As the implementation of the NIS 2 Directive is under progress, it will be essential to monitor its effectiveness and assess its impact on the cybersecurity posture of organisations across the EU. The insights provided in this report can serve as a valuable baseline for future analysis and inform policy decisions related to cybersecurity. | NIS 2指令の施行は現在進行中であり、その有効性を監視し、EU全域の組織のサイバーセキュリティ態勢に与える影響を評価することが不可欠である。本報告書でプロバイダが提供する洞察は、今後の分析のための貴重なベースラインとして役立ち、サイバーセキュリティに関連する政策決定に情報を提供することができる。 |
| To ensure representative results, a total of 1,350 organisations were surveyed across 27 EU Member States, hence 50 organisations per Member State. Additional information on the demographics of the survey is available in Annex A. This report collects data from entities already in scope of the NIS Directive as well as entities that will be in scope of NIS 2. The terms “organisations” or “entities” will be used throughout chapters 3 – 9 to refer to surveyed entities. | 代表者を確実にするため、EU加盟国27カ国で合計1,350団体、つまり1加盟国あたり50団体を調査した。本報告書では、すでにNIS指令の適用範囲にある事業体およびNIS 2の適用範囲となる事業体からデータを収集している。第3章から第9章を通じて、調査対象事業体を指す場合は「組織」または「事業体」という用語を使用する。 |
| For this study, entities from all sectors of high criticality (listed in Annex I of NIS 2 Directive) and the manufacturing sector (listed in Annex II of NIS 2 Directive) have been surveyed. This year’s report also provides a more in-depth analysis for entities in the Digital Infrastructure and Space sectors. | 本調査では、臨界性の高いすべてのセクター(NIS 2指令の附属書Iに記載)と製造セクター(NIS 2指令の附属書IIに記載)の事業体を調査した。今年の報告書では、デジタルインフラと宇宙分野の事業体についても、より詳細な分析を行っている。 |
| The target audience of this report is EU and national policymakers. It is part of a series designed to produce historical datasets to track the development of key indicators – such as information security (IS) budgets – over time. These reports also assess how policy influences these indicators, providing insights and evidence to inform policy decisions. This work is part of ENISA’s Cybersecurity Policy Observatory (CSPO) activities. | 本報告書の対象読者はEUおよび各国の政策立案者である。本報告書は、情報セキュリティ(IS)予算などの主要指標の経年変化を追跡するためのヒストリカル・データセットを作成することを目的としたシリーズの一部である。また、これらの報告書では、政策がこれらの指標にどのような影響を与えるかをアセスメントし、政策決定に役立つ洞察とエビデンスを提供している。この作業は、ENISAのサイバーセキュリティ政策観測所(CSPO)活動の一環である。 |
・2023.11.16 NIS Investments Report 2023 [PDF]
・2022.11.23 NIS Investments 2022 [PDF]
・2021.11.17 NIS Investments Report 2021 [PDF]
・2020.11.11 NIS Investments Report 2020 [PDF]
| NIS Investments 2024 | NIS投資 2024 |
| This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. | 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本レポートは、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の導入前のスナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 本報告書の第5版では、NIS 2のすべての重要度の高いセクターと製造事業者を対象に、EU全27加盟国の1350組織のデータを紹介している。 |
| NIS Investments Report 2023 | NIS投資報告書2023 |
| This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how the NIS Directive has influenced this investment. This fourth iteration of the report presents data from 1,080 OES/DSPs from all 27 EU Member States. | 本報告書は、ネットワークと情報システムのセキュリティに関する欧州連合指令(NIS指令)で特定された Operators of Essential Services(OES)およびDigital Service Providers(DSP)がサイバーセキュリティ予算をどのように投資しているか、またNIS指令がこの投資にどのような影響を与えたかに関するデータを通じて、政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するためのエビデンスを提供することを目的としている。本報告書の第4版では、EU加盟国全27カ国の1,080のOES/DSPのデータを紹介している。 |
| NIS Investments 2022 | 2022年のNIS投資 |
| This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. | 本報告書は、欧州連合(EU)のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOES(Operators of Essential Services)とDSP(Digital Service Providers)がサイバーセキュリティ予算をどのように投資しているか、またこの投資がNIS指令の影響をどのように受けているかに関するデータを収集したENISAのNIS投資報告書の3回目の改訂版である。さらに、関連するダイナミクスをより深く理解するために、ガートナーのセキュリティデータと世界およびEUで観察された洞察を通じて、世界のサイバーセキュリティ市場の動向を紹介している。今年の報告書では、EU全27加盟国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする過去のデータセットを提供できるようになった。さらに、エネルギー分野と保健分野については、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、ISに費やされるIT予算の割合など、絶対的な数値の多くが、昨年と比較して大幅に減少しているようだ。これは、調査サンプルの構成や、部門別ディープダイブによりエネルギー部門と保健医療部門のOESの割合が高くなったことに起因すると考えられるが、COVID-19が各予算に与えた影響などマクロ経済環境も影響している。 |
| NIS Investments Report 2021 | 2021年NIS投資報告書 |
| Following the 2020 NIS Investment publication, this report covers all 27 EU Member States and offering additional insights into the allocation of NIS budgets of OES/DSP, the economic impact of cybersecurity incidents and the organisation of cybersecurity in these operators. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. In this second edition, additional and complementary questions were asked to the surveyed organisations. Overall, 48.9 % of surveyed organisations acknowledge a very significant or significant impact of the NIS Directive on their information security (IS). | 2020年のNIS投資報告書に続き、本報告書ではEU加盟国27カ国すべてをカバーし、OES/DSPのNIS予算の配分、サイバーセキュリティインシデントが及ぼす経済的影響、これらの事業者のサイバーセキュリティ組織に関するさらなる洞察を提供する。さらに、関連するダイナミクスをよりよく理解するために、ガートナーのセキュリティデータと世界およびEUで観察された洞察を通じて、世界のサイバーセキュリティ市場の動向を示している。この第2版では、調査対象組織に対して追加的・補足的な質問を行った。全体として、調査対象組織の48.9%が、NIS指令が自社の情報セキュリティ(IS)に与える影響が非常に大きい、または大きいと認識している。 |
| NIS Investments Report 2020 | NIS投資報告書2020 |
| Four years after the NIS Directive entered into force and two years after the transposition by Member States into their national laws, this report presents the findings of a survey of 251 organisations across five EU Member States (France, Germany, Italy, Spain and Poland) with regards to NIS investments. The report depicts and analyses how OES and DSPs spend their information security budget and provides indications as to how this spending has been influenced by the introduction of the NIS Directive. The results of this NIS survey were correlated with Gartner security data and insights observed globally and in the EU in order to better understand the current NIS Directive adoption dynamics and impact on related investments. | NIS指令の発効から4年、加盟国による国内法への移管から2年を経て、本報告書はEU加盟5カ国(フランス、ドイツ、イタリア、スペイン、ポーランド)の251組織を対象に実施したNIS投資に関する調査結果をまとめたものである。報告書は、OESとDSPが情報セキュリティ予算をどのように使っているかを描き、分析し、この支出がNIS指令の序文によってどのような影響を受けたかを示している。このNIS調査の結果は、現在のNIS指令導入の動きと関連投資への影響をよりよく理解するために、ガートナーのセキュリティデータおよび世界とEUで観察された洞察と関連づけられた。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023
・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022
・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17
Comments