欧盟发布《欧盟2024网络安全指数》报告

近日，欧盟（ENISA）发布《欧盟2024网络安全指数》相关报告。欧盟网络安全指数（EU-CSI）是ENISA 与成员国合作开发的工具，用于描述成员国和欧盟的网络安全态势。

两个目的

• 介绍 2024 年欧盟网络安全指数（EU-CSI）在欧盟层面的主要见解，这些见解已被用于对 2024 年 12 月发布的第一份《欧盟网络安全状况报告》进行分析。

• 说明 ENISA 和成员国一直在开展的工作，同时为 2026 年下一版欧盟网络安全指数奠定基础。

欧盟网络安全指数是什么？

如上所述，欧盟网络安全指数是描述成员国和欧盟网络安全状况的工具。欧盟网络安全指数充分利用现有数据和信息，深入分析各成员国的网络安全成熟度和能力，同时帮助发现成员国之间相互学习的机会。它还可作为定量和定性评估NIS2 指令第18 条规定的整个欧盟网络安全能力和资源成熟度的基础。

欧盟竞争力指数是一个具有层次结构的综合指数。该指数尽可能简化，由一系列定性和定量指标组成，这些指标的分值从0 到 100不等。这些指标及其各自的分数被归类为网络安全领域，分数从0 到 100不等。反过来，这些领域及其各自的分数又被归类为一个总分，最高为100 分。

指数得分通过将多个因素整合为一个单一值，量化了无法直接测量的多维概念。0分是最低分：这意味着欧盟在某一指标或领域取得了次优结果。100为最高分：表示欧盟在某一指标或领域取得了非常好的成果。

EU-CSI所包含的数据收集自成员国相关当局、根据适用法律框架向ENISA 报告的数据（如事件报告）、ENISA的《网络安全威胁状况报告》以及ENISA 和欧盟委员会的其他出版物。

EU-CSI是一个两年一次的指数，目前的形式始于2024 年。因此，虽然数据是在2024 年收集的，但在某些情况下，如果没有最近的数据，就会使用较早的数据来源。下一版欧盟竞争力指数将于2026 年发布。

下一步工作

欧盟综合指标由ENISA 与成员国合作制定和实施，成员国在ENISA 国家联络官 （NLO）网络中有代表，根据经合组织/联合研究中心关于构建综合指标的手册

中的指导方针和建议，ENISA和成员国目前正在努力进一步完善欧盟综合指标，以反映2024 年的经验教训，并整合成员国收到的反馈意见。此外，还通过公众咨询征求反馈意见。

特别是在下一版中，将通过优化指标清单和计算方式，简化当前的结构，进一步改进数据来源，并进一步使欧盟统计能力指标（EU-CSI）与NIS2指令保持一致。

进一步完善欧盟网络安全态势指数是不断努力改善有关会员国网络安全态势的现有知识的一部分，这对于在整个欧盟实现高水平的共同网络安全以及支持欧盟和会员国提高网络安全能力至关重要。

主要见解

2024年欧盟-网络安全指数

欧盟的总指数值为62.65（满分100）。几乎所有成员国的得分都在欧盟平均值的10.00 个单位以内。与欧盟平均值的平均偏差为3.76个单位，这表明整个欧盟在所考虑的指标方面总体上是一致的。成员国的总指数得分偏差从低于欧盟平均值的▼13.18个单位到高于欧盟平均值的▲7.45个单位不等。

网络安全能力衡量社会识别威胁和预防网络安全事件的能力，得分为64.51 分。大多数成员国的得分与欧盟平均水平相差10 分。成员国得分与欧盟平均值的平均偏差为4.73 分，最小值为 ▼14.29 个单位，最大值为 ▲11.42 个单位。

网络安全市场/行业领域衡量私营部门预防、检测和分析网络威胁的能力，得分62.36。值得注意的是，所有27 个欧盟成员国的得分都在欧盟平均值的10 分范围内。成员国得分与欧盟平均值的平均偏差为2.78 分，最小值为 ▼7.06 个单位，最大值为 ▲7.54个单位。与其他指数领域相比，市场/行业领域在欧盟范围内表现出最强的一致性。

网络安全行动领域衡量会员国开展网络安全行动和确保复原力的能力，得分为57.63，低于总指数值。尽管如此，会员国之间的一致性很高，大多数会员国的得分与欧盟平均值相差不超过10 分。会员国得分与欧盟平均值的平均偏差为6.24 个单位，最低为 ▼11.72 个单位，最高为 ▲15.14 个单位。

网络安全政策领域衡量网络安全政策的制定和实施情况，与其他指数领域相比，该领域的欧盟平均得分最高，为66.09分。尽管如此，该领域在各成员国之间的一致性水平最低，表明存在很大差异，特别是在漏洞披露和对基本和重要实体的监管措施方面。成员国得分与欧盟平均值的平均偏差为9.45 个单位，最小为 ▼27.28 个单位，最大为 ▲17.45 个单位。

最高得分指标

在报告所述期间，成员国在欧盟平均得分最高的领域表现出高度一致。具体而言，欧盟平均得分最高的五项指标显示出较低的平均偏差。

欧盟大多数中小型企业没有发生过导致机密数据泄露的事件（例如，由于入侵、制药、网络钓鱼、企业员工有意或无意的行为），平均得分为98.02 个单位，平均偏差为0.79 个单位。最小偏差为 ▼2.42 个单位，最大偏差为 ▲1.28 个单位。

同样，欧盟中没有发生导致机密数据泄露事件（如由于入侵、制药、网络钓鱼、企业员工有意或无意的行为）的大型企业的平均得分高达93.83 分，成员国的平均偏差为2.81 个单位。这些偏差最小为 ▼10.93，最大为 ▲5.17。

同样，欧盟在没有发生导致数据破坏或损坏的事件（如由于感染恶意软件或未经授权的入侵、硬件或软件故障）的中小企业中显示出94.99 的高分，MS偏差平均为1.22 个单位。最小偏差为 ▼3.79 个单位，最大偏差为 ▲3.41个单位。然而，上述指标的高分可能是由于企业，特别是中小型企业对安全事件的报告不足造成的，原因是认识有限、担心声誉受损或报告要求复杂。

衡量欧盟成员国中作为FIRST 成员和TI 列名/认可/认证的CSIRT 的指标得分为97.62，平均偏差为2.87个单位。这表明，所有成员国的得分都在欧盟平均值的较小范围内（10个单位以内）。数值最低的国家偏离欧盟平均值 ▼7.62 个单位，数值最高的国家偏离 ▲2.38 个单位。

该指标指欧盟用户使用互联网时的行为方式。欧盟这一指标的平均值为93.29 个单位，而成员国的平均偏差为2.69 个单位。最小偏差为 ▼7.36 个单位，最大偏差为 ▲5.69 个单位。

最低得分指标

在本报告所述期间，欧盟平均得分最低的五项指标如下，它们是需要改进的领域。

欧盟大多数企业没有利用人工智能技术来保障信息和通信技术的安全，相关指标显示平均得分为3.18。各成员国的得分都很低，所有27 个成员国的得分都低于欧盟平均值10.00 个单位，平均偏差为1.67 个单位。得分最低的国家偏离了2.78 个单位，得分最高的国家偏离了7.22 个单位。

同样，基本/重要实体的网络安全投资作为其总体信息技术预算/支出的一部分，也有可能增加。欧盟在这一指标上的平均得分为7.14 分，平均偏差为0.54 分，最低为1.24 个单位，最高为1.46 个单位。

欧盟CSIRT（s）认证的平均得分也很低，为10.31 分。平均偏差为10.58 个单位，最小偏差为 ▼10.31 个单位，最大偏差为 ▲27.19个单位。这些结果突出表明，有必要做出有针对性的努力，以提高这一指标的得分和会员国之间的一致性。

衡量每个国家获得的与网络安全有关的欧盟研发资金分配情况的指标也反映出相对较低的绩效，欧盟平均为24.93 个单位，平均偏差为13.19 个单位。最小偏差为 ▼24.93，最大偏差为 ▲30.90。

同样，衡量企业进行网络安全风险评估的指标平均值为32.01，平均偏差为9.76。最大偏差为 ▲26.89，最小偏差为 ▼21.31。

声明：本文来自天极智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。