Având în vedere că IOAUE sunt puternic interconectate, punctele slabe ale uneia le pot expune pe celelalte la amenințări de securitate, arată un raport al Curții de Conturi Europene. Analiza a constatat că nivelul de pregătire al IOAUE nu este proporțional cu amenințările și că infrastructura organizațională a UE are niveluri foarte variabile de maturitate în materie de securitate cibernetică. În aceste condiții, Curtea recomandă îmbunătățirea nivelului de pregătire, propunând introducerea unor norme obligatorii în materie de securitate cibernetică și creșterea resurselor Centrului de răspuns la incidente de securitate cibernetică (CERT-UE).
Numărul incidentelor cibernetice este în creștere, o tendință deosebit de îngrijorătoare fiind creșterea dramatică a numărului de incidente semnificative care afectează IOAUE. Anul trecut a fost unul record din acest punct de vedere, înregistrându-se și o creștere importantă a incidentele semnificative, adică a acelor evenimente care desemnează acele incidente care nu sunt nici repetitive, nici simple. De regulă, acestea implică utilizarea de noi metode și tehnologii, iar pentru investigarea și redresarea în urma lor poate fi nevoie de săptămâni sau chiar de luni întregi. Numărul incidentelor semnificative a crescut de peste zece ori între 2018 și 2021. Numai în ultimii doi ani, cel puțin 22 de IOAUE au fost victime ale unor incidente semnificative. Un exemplu recent este atacul cibernetic asupra Agenției Europene pentru Medicamente, soldat cu divulgarea unor date sensibile și manipularea acestora într-un mod menit să submineze încrederea în vaccinuri.
„IOAUE nu dispun în prezent de un cadru juridic pentru securitatea informațiilor și securitatea cibernetică. Ele nu fac obiectul celui mai cuprinzător act legislativ al UE privind securitatea cibernetică, și anume Directiva NIS din 201612, și nici al propunerii de revizuire a acesteia, Directiva NIS213. De asemenea, nu există informații complete cu privire la sumele cheltuite de IOAUE pentru securitatea cibernetică”.
Raportul Curții de Conturi
Fără planuri de securitate
Curtea a identificat deficiențe în guvernanța securității informatice în numeroase IOAUE. Astfel, doar 58% dintre acestea (38 din 65) au o strategie de securitate informatică sau cel puțin un plan în materie care să fi fost aprobat. O defalcare pe tipuri de instituții, organe și agenții arată că procentele cele mai scăzute corespund misiunilor civile și agențiilor descentralizate, arată raportul. De asemenea, un sondaj realizat de inspectorii Curții, citat în cadrul raportului, a arătat că 60% dintre IOAUE nu desemnaseră un responsabil pentru securitatea sistemelor informatice (CISO) independent sau un rol echivalent. Chiar și în cazurile în care au fost numiți CISO (sau echivalenți), rolurile acestora diferă foarte mult prin natura lor - iar funcțiile lor sunt înțelese în mod diferit, de la o IOAUE la alta.