The latest report of the European Union Agency for Cybersecurity (ENISA) aims to support policy makers in assessing the impact of the current EU cybersecurity framework, and particularly the NIS 2 Directive, on cybersecurity investments and the overall maturity of organisations in scope.
The fifth iteration of the NIS Investments report provides key insights into how organisations in scope of the NIS 2 Directive allocate their cybersecurity budgets, build their capabilities, and mature in line with the Directive’s provisions, while also exploring global cybersecurity trends, workforce challenges, and the impact of AI.
The report further provides insights into the readiness of entities to comply with new requirements introduced by key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, while also exploring the challenges they face.
The EU Agency for Cybersecurity Executive Director, Juhan Lepassaar, highlighted: “The NIS 2 Directive signifies a turning point in Europe’s approach to cybersecurity. Within a fast evolving and complex threat landscape, the proper implementation of the NIS 2 requires adequate investments and especially into the new sectors which fall under the scope of the updated Directive. The ENISA NIS Investments report provides evidence-based feedback to policymakers and stakeholders regarding NIS-driven investments. These insights are essential for informed decision-making and addressing potential hurdles and gaps in cybersecurity policy implementation.”
The 2024 edition features a significant enhancement compared to previous versions, as it extends the survey sample to include sectors and entities that are in scope of NIS 2. Through this approach, this report provides a pre-implementation snapshot of relevant metrics for the new sectors and entities under NIS 2, laying a foundation for future assessments of the impact of NIS 2. Additionally, it includes a sectorial deep dive in the Digital infrastructure and Space sectors.
Data were collected from 1350 organisations from all EU Member States covering all NIS2 sectors of high criticality, as well as the manufacturing sector.
Key findings
- Information security now represents 9% of EU IT investments, a significant increase of 1.9 percentage points from 2022, marking the second consecutive year of growth in cybersecurity investment post-pandemic.
- In 2023, median IT spending for organisations rose to EUR 15 million, with information security spending doubling from EUR 0.7 million to EUR 1.4 million.
- For the fourth consecutive year, the percentage of IT Full Time Equivalents (FTEs) dedicated to information security has declined, from 11.9% to 11.1%. This decrease may reflect recruitment challenges, with 32% of organisations—and 59% of SMEs—struggling to fill cybersecurity roles, particularly those requiring technical expertise. This trend is especially notable given that 89% of organisations expect to need additional cybersecurity staff to comply with NIS2.
- New NIS2 sectors are comparable in cybersecurity spending to existing NIS Directive entities, with their investments largely focused on developing and maintaining baseline cybersecurity capabilities. Emerging areas, such as post-quantum cryptography, receive limited attention with only 4% of surveyed entities investing and 14% planning future investments.
- The majority of organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2. Notably, a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%).
- 90% of entities expect an increase in cyberattacks next year, in terms of volume, costliness or both. Despite that, 74% focus their cybersecurity preparedness efforts internally, with much lower participation in national or EU-level initiatives. This gap underscores a critical area for improvement, as effective cross-border cooperation in managing large-scale incidents can only be achieved at these higher levels.
- Overall awareness among in-scope entities is encouraging, with 92%being aware of the general scope or specific provisions of the NIS 2 Directive. However, a notable percentage of entities in certain new NIS 2 sectors remain unaware of the Directive, suggesting a potential need for increased awareness campaigns by the national competent authorities.
- Entities in sectors already covered by NIS outperform those newly included under NIS 2 across various cybersecurity governance, risk, and compliance metrics. Similarly, entities in new NIS 2 sectors show lower engagement and higher non-participation rates in cybersecurity preparedness activities. This highlights the positive impact the NIS Directive has had on the sectors already in scope; and creates anticipation for the impact NIS 2 will have on the new sectors.
Through the years, the series of the NIS Investments report provide a rich historical dataset which, building on this year’s foundation, will allow us to gain insights into the effect of NIS 2 on new entities within its scope.
Further Information
Investitionen in die Cybersicherheit in Zeiten von NIS 2 steuern
Der jüngste Bericht der Agentur der Europäischen Union für Cybersicherheit (ENISA) soll politische Entscheidungsträger bei der Bewertung der Auswirkungen des aktuellen EU-Rahmens für Cybersicherheit und insbesondere der NIS-2-Richtlinie auf Investitionen in die Cybersicherheit und den allgemeinen Reifegrad der betroffenen Organisationen unterstützen.
Die fünfte Auflage des NIS-Investitionsberichts bietet wichtige Einblicke in die Art und Weise, wie Organisationen, die in den Geltungsbereich der NIS-2-Richtlinie fallen, ihre Cybersicherheitsbudgets verteilen, ihre Fähigkeiten ausbauen und gemäß den Bestimmungen der Richtlinie reifen, und untersucht gleichzeitig globale Cybersicherheitstrends, Herausforderungen für die Belegschaft und die Auswirkungen von KI.
Der Bericht gibt außerdem Aufschluss über die Bereitschaft von Unternehmen, die neuen Anforderungen zu erfüllen, die durch wichtige horizontale (z. B. CRA) und sektorale (z. B. DORA, NCCS) Rechtsvorschriften eingeführt wurden, und untersucht gleichzeitig die Herausforderungen, mit denen sie konfrontiert sind.
Der Exekutivdirektor der EU-Agentur für Cybersicherheit, Juhan Lepassaar, betonte: „Die NIS-2-Richtlinie markiert einen Wendepunkt in Europas Herangehensweise an die Cybersicherheit. Angesichts einer sich schnell entwickelnden und komplexen Bedrohungslandschaft erfordert die ordnungsgemäße Umsetzung der NIS 2 angemessene Investitionen, insbesondere in die neuen Sektoren, die in den Geltungsbereich der aktualisierten Richtlinie fallen. Der ENISA-NIS-Investitionsbericht bietet politischen Entscheidungsträgern und Interessengruppen evidenzbasiertes Feedback zu NIS-getriebenen Investitionen. Diese Erkenntnisse sind für eine fundierte Entscheidungsfindung und die Beseitigung potenzieller Hürden und Lücken bei der Umsetzung der Cybersicherheitspolitik von entscheidender Bedeutung.“
Die Ausgabe 2024 bietet im Vergleich zu früheren Versionen eine deutliche Verbesserung, da die Stichprobe der Umfrage auf Sektoren und Einheiten ausgeweitet wurde, die in den Anwendungsbereich von NIS 2 fallen. Durch diesen Ansatz bietet dieser Bericht eine Momentaufnahme relevanter Kennzahlen für die neuen Sektoren und Einheiten im Rahmen von NIS 2 vor der Umsetzung und legt damit den Grundstein für zukünftige Bewertungen der Auswirkungen von NIS 2. Darüber hinaus enthält er eine sektorspezifische Vertiefung in den Sektoren Digitale Infrastruktur und Weltraum.
Es wurden Daten von 1350 Organisationen aus allen EU-Mitgliedstaaten erhoben, die alle NIS2-Sektoren mit hoher Kritikalität sowie den Fertigungssektor abdecken.
Wichtigste Ergebnisse
- Die Informationssicherheit macht inzwischen 9 % der IT-Investitionen in der EU aus, was einem deutlichen Anstieg von 1,9 Prozentpunkten gegenüber 2022 entspricht und das zweite Jahr in Folge mit steigenden Investitionen in die Cybersicherheit nach der Pandemie darstellt.
- Im Jahr 2023 stiegen die durchschnittlichen IT-Ausgaben für Organisationen auf 15 Millionen Euro, wobei sich die Ausgaben für Informationssicherheit von 0,7 Millionen Euro auf 1,4 Millionen Euro verdoppelten.
- Zum vierten Mal in Folge ist der Anteil der IT-Vollzeitäquivalente (FTEs), die für die Informationssicherheit eingesetzt werden, von 11,9 % auf 11,1 % gesunken. Dieser Rückgang könnte auf Schwierigkeiten bei der Personalbeschaffung zurückzuführen sein, da 32 % der Organisationen – und 59 % der KMU – Schwierigkeiten haben, Stellen im Bereich Cybersicherheit zu besetzen, insbesondere solche, die technisches Fachwissen erfordern. Dieser Trend ist besonders bemerkenswert, da 89 % der Organisationen davon ausgehen, dass sie zusätzliches Personal für Cybersicherheit benötigen werden, um die NIS2-Richtlinie zu erfüllen.
- Die Ausgaben für Cybersicherheit in den neuen NIS2-Sektoren sind mit denen in den bestehenden NIS-Einrichtungen vergleichbar, wobei sich ihre Investitionen größtenteils auf die Entwicklung und Aufrechterhaltung grundlegender Cybersicherheitsfähigkeiten konzentrieren. Aufstrebende Bereiche wie die Post-Quanten-Kryptographie erhalten nur begrenzte Aufmerksamkeit, da nur 4 % der befragten Einrichtungen investieren und 14 % zukünftige Investitionen planen.
- Die Mehrheit der Organisationen rechnet mit einer einmaligen oder dauerhaften Erhöhung ihrer Cybersicherheitsbudgets zur Einhaltung von NIS 2. Bemerkenswert ist, dass eine beträchtliche Anzahl von Unternehmen nicht in der Lage sein wird, das erforderliche zusätzliche Budget zu beantragen, wobei dieser Prozentsatz bei KMU besonders hoch ist (34 %).
- 90 % der Unternehmen rechnen im nächsten Jahr mit einer Zunahme von Cyberangriffen, was das Volumen, die Kosten oder beides betrifft. Dennoch konzentrieren 74 % ihre Bemühungen zur Vorbereitung auf die Cybersicherheit auf interne Maßnahmen, während die Beteiligung an Initiativen auf nationaler oder EU-Ebene deutlich geringer ist. Diese Diskrepanz unterstreicht einen kritischen Bereich, in dem Verbesserungen erforderlich sind, da eine wirksame grenzüberschreitende Zusammenarbeit bei der Bewältigung von Großereignissen nur auf diesen höheren Ebenen erreicht werden kann.
- Das allgemeine Bewusstsein unter den betroffenen Einrichtungen ist ermutigend: 92 % sind sich des allgemeinen Geltungsbereichs oder der spezifischen Bestimmungen der NIS-2-Richtlinie bewusst. Ein bemerkenswerter Prozentsatz der Einrichtungen in bestimmten neuen NIS-2-Sektoren ist sich der Richtlinie jedoch nach wie vor nicht bewusst, was darauf hindeutet, dass die zuständigen nationalen Behörden möglicherweise verstärkt Aufklärungskampagnen durchführen müssen.
- Einrichtungen in Sektoren, die bereits von NIS abgedeckt werden, schneiden bei verschiedenen Kennzahlen für Cybersicherheit, Risiko und Compliance besser ab als die neu in NIS 2 aufgenommenen Sektoren. Ebenso zeigen Einrichtungen in neuen NIS-2-Sektoren ein geringeres Engagement und höhere Nichtbeteiligungsraten bei Aktivitäten zur Vorbereitung auf die Cybersicherheit. Dies unterstreicht die positiven Auswirkungen der NIS-Richtlinie auf die bereits abgedeckten Sektoren und lässt auf die Auswirkungen von NIS 2 auf die neuen Sektoren schließen.
Im Laufe der Jahre hat die Reihe der NIS-Investitionsberichte einen umfangreichen historischen Datensatz geliefert, der es uns, aufbauend auf der diesjährigen Grundlage, ermöglichen wird, Erkenntnisse über die Auswirkungen von NIS 2 auf neue Unternehmen in seinem Geltungsbereich zu gewinnen.
Further Information
Bild/Quelle: https://depositphotos.com/de/home.html