欧盟首份关于联盟网络安全状况的报告

根据 NIS 2 指令第18条，ENISA 的任务是每两年编写一份关于联盟网络安全状况的报告。

该报告基于证据概述了网络安全成熟度现状，并对整个欧洲的网络安全能力进行了评估。报告还提出了解决已发现的缺陷和提高欧盟网络安全水平的政策建议。 

欧盟网络安全局执行主任Juhan Lepassaar强调：“自成立以来，ENISA 一直坚定不移地致力于为欧盟成员国提供专业知识和战略支持。在网络安全威胁日益增加、技术进步和地缘政治格局复杂的背景下，评估我们的能力至关重要。通过这一过程，我们可以有效地评估我们的成熟度水平并战略性地规划我们的下一步行动。欧盟网络安全状况的第一份报告反映了我们正在进行的集体努力，并强调了我们加强整个欧盟安全和复原力的共同目标。”

所进行的分析基于各种来源，包括但不限于欧盟网络安全指数、NIS 投资报告系列、Foresight 2030 和 ENISA 威胁形势报告。本报告是与所有 27 个欧盟成员国和欧盟委员会进行广泛磋商的结果。 

主要发现 

在联盟层面进行的风险评估显示，欧盟面临的网络威胁程度相当大，并强调了威胁行为者针对欧盟实体所利用的漏洞。

在欧盟层面的网络安全能力方面，欧盟成员国已经制定了网络安全战略，这些战略呈现出总体一致的目标。关键部门在规模和关键性方面似乎更加多样化，这使得网络安全措施的监督和统一实施变得复杂。在公民层面，欧盟公民的网络安全意识可能有所提高。尽管成员国在教育项目的可用性和教育成熟度方面存在差异，但年轻一代的数字技能水平似乎更高。 

政策建议 

报告确定了政策建议将解决的四个优先领域：1）政策实施，2）网络危机管理，3）供应链和4）技能 

报告的主要成果是六项政策建议，涵盖上述四个优先领域，此外还涵盖关键行业运营商的能力以及网络安全意识和网络卫生。

• 加强对欧盟机构、团体和机构（EUIBA）、国家主管当局以及属于NIS2指令范围内的实体的技术和财政支持，以确保利用欧盟现有的结构（如NIS合作组、CSIRT网络和欧盟机构）协调、全面、及时和一致地实施不断发展的欧盟网络安全政策框架。

• 根据欧盟理事会的要求，修订欧盟应对大规模网络事件的蓝图，同时考虑到欧盟所有最新的网络安全政策发展。修订后的欧盟蓝图应进一步促进欧盟网络安全的协调和优化，并加强国家和欧盟的网络安全能力，以提高国家和欧洲层面的网络安全恢复能力。

• 通过实施网络安全技能学院，特别是通过建立欧盟网络安全培训共同方法、确定未来的技能需求、制定协调的欧盟 利益相关者参与方法以解决技能差距以及建立欧洲网络安全技能认证计划，加强欧盟网络劳动力队伍。

• 通过加强欧盟范围内的协调风险评估和制定欧盟供应链安全横向政策框架来解决欧盟的供应链安全问题，旨在解决公共和私营部门面临的网络安全挑战。

• 增强对行业特性和需求的理解，提高NIS2指令所涵盖行业的网络安全成熟度水平，并利用《网络团结法》下建立的未来网络安全应急机制，提高行业的准备和恢复能力，重点关注薄弱或敏感行业以及通过欧盟范围内的风险评估确定的风险。

• 通过在现有政策举措的基础上并协调全国努力来促进统一的方法，以实现专业人士和公民之间共同的高水平网络安全意识和网络卫生，而不论人口特征如何。

展望未来

随着我们的进步，预计几个关键主题将需要更多的政策关注。欧盟最新的网络安全政策发展为能力建设奠定了坚实的基础，尽管如此，欧盟和国家层面的当局在适应新角色的同时应对不断变化的威胁形势方面都面临着挑战。特别是，人工智能 (AI) 和后量子密码学将在未来几年引起更多关注，而欧盟必须通过研究、开发和创新来提高该领域的竞争力。为了应对未来的挑战，共同的态势感知和经过充分测试的运营合作至关重要。

— 欢迎关注