Σύμφωνα με τα τελευταία δεδομένα της Eurostat, το 2024, η συντριπτική πλειονότητα των επιχειρήσεων στην ΕΕ εφαρμόζουν μέτρα ασφάλειας για τα συστήματα Πληροφορικής και Επικοινωνιών (ICT), με ιδιαίτερη έμφαση στην προστασία δεδομένων και δικτύων. Ωστόσο, παρατηρούνται σημαντικές διαφορές μεταξύ των κρατών μελών, με την Ελλάδα να κατατάσσεται σε χαμηλότερη θέση σε σχέση με άλλες ευρωπαϊκές χώρες όσον αφορά την εφαρμογή και αναθεώρηση πολιτικών ασφάλειας ICT.
Αναλυτικά, το 2024, το 92,76% των επιχειρήσεων στην ΕΕ με 10 ή περισσότερους υπαλλήλους ή αυτοαπασχολούμενα άτομα χρησιμοποίησαν τουλάχιστον ένα μέτρο για να εξασφαλίσουν την ακεραιότητα, τη διαθεσιμότητα και την εμπιστευτικότητα των δεδομένων και των συστημάτων. Περισσότερες από 1 στις 3 επιχειρήσεις (35,50%) ανέφεραν ότι είχαν έγγραφα που καθόριζαν μέτρα, πρακτικές ή διαδικασίες για την ασφάλεια. Στο ένα πέμπτο των επιχειρήσεων (21,82%) αυτά τα έγγραφα καθορίστηκαν ή αναθεωρήθηκαν τους τελευταίους 12 μήνες. Το 59,97% των επιχειρήσεων στην ΕΕ ενημέρωσαν το προσωπικό τους για τις υποχρεώσεις του σε θέματα ασφάλειας ICT. Τέλος, 1 στις 5 επιχειρήσεις (21,54%) αντιμετώπισαν συνέπειες λόγω περιστατικών ασφάλειας που σχετίζονται με τα ICT το 2023.
Το 2024, το 92,76% των επιχειρήσεων στην ΕΕ χρησιμοποίησαν τουλάχιστον ένα από τα μέτρα ασφάλειας ICT. Το πιο κοινό μέτρο που χρησιμοποιήθηκε ήταν η αυθεντικοποίηση με ισχυρούς κωδικούς πρόσβασης (83,69%), ακολουθούμενο από την αντίγραφα ασφαλείας δεδομένων σε ξεχωριστή τοποθεσία ή στο cloud (79,23%) και τον έλεγχο πρόσβασης στο δίκτυο (65,43%). Λιγότερες από τις μισές επιχειρήσεις ανέφεραν ότι χρησιμοποιούν VPN (49,64%) ή τη διατήρηση αρχείων καταγραφής για ανάλυση μετά από περιστατικά ασφάλειας (45,16%). Οι επιχειρήσεις χρησιμοποίησαν λιγότερο συχνά έναν συνδυασμό 2 ή περισσότερων μηχανισμών αυθεντικοποίησης (39,84%), τεχνικές κρυπτογράφησης για δεδομένα, έγγραφα ή email (39,72%), δοκιμές ασφάλειας ICT (34,64%), αξιολογήσεις κινδύνου ICT (34,10%) ή αυθεντικοποίηση μέσω βιομετρικών μεθόδων (18,27%).
Η αυθεντικοποίηση με ισχυρούς κωδικούς πρόσβασης χρησιμοποιήθηκε σχεδόν από όλες τις μεγάλες επιχειρήσεις (96,78%), από το 90,66% των μεσαίων επιχειρήσεων και από περισσότερες από 8 στις 10 μικρές επιχειρήσεις (82,03%). Παρόμοια ποσοστά αναφέρθηκαν και για το δεύτερο πιο δημοφιλές μέτρο – το αντίγραφο ασφαλείας δεδομένων σε ξεχωριστή τοποθεσία, το οποίο χρησιμοποιήθηκε από το 94,95% των μεγάλων επιχειρήσεων, το 88,48% των μεσαίων επιχειρήσεων και το 77,09% των μικρών επιχειρήσεων. Μεγαλύτερες διαφορές σε σχέση με το μέγεθος της επιχείρησης παρατηρήθηκαν στο ποσοστό των επιχειρήσεων που χρησιμοποίησαν τα λιγότερο κοινά μέτρα ασφάλειας. Η αξιολόγηση κινδύνου χρησιμοποιήθηκε από το 75,62% των μεγάλων επιχειρήσεων, ενώ το ποσοστό των μικρών επιχειρήσεων που χρησιμοποίησαν αυτό το μέτρο ήταν λιγότερο από το μισό (29,35%). Ανεξαρτήτως του μεγέθους της επιχείρησης, η αυθεντικοποίηση μέσω βιομετρικών μεθόδων ήταν το λιγότερο χρησιμοποιούμενο μέτρο ασφάλειας ICT, αν και το ποσοστό των μεγάλων επιχειρήσεων που χρησιμοποίησαν αυτό το μέτρο (38,55%) ήταν σημαντικά υψηλότερο από το ποσοστό των μικρών επιχειρήσεων (16,44%).
Το 2024, το 35,50% των επιχειρήσεων στην ΕΕ είχαν έγγραφα που καθόριζαν μέτρα, πρακτικές ή διαδικασίες για την ασφάλεια ICT. Ποσοστά μεγαλύτερα από 50% καταγράφηκαν στη Φινλανδία (59,41%), τη Δανία (59,11%) και την Πορτογαλία (54,29%). Από την άλλη, λιγότερο από το 20% των επιχειρήσεων είχαν έγγραφα για μέτρα, πρακτικές ή διαδικασίες για την ασφάλεια ICT στην Ελλάδα (18,28%), την Ουγγαρία (13,75%) και τη Βουλγαρία (13,67%).
Περισσότερες από μία στις πέντε επιχειρήσεις στην ΕΕ (21,82%) καθόρισαν ή αναθεώρησαν τα έγγραφα για τα μέτρα, τις πρακτικές ή τις διαδικασίες για την ασφάλεια ICT τους τους τελευταίους 12 μήνες. Για το 7,58% αυτό συνέβη πριν από 12 έως 24 μήνες και για το 4,58% πριν από περισσότερους από 24 μήνες. Περισσότερες από τις μισές μεγάλες επιχειρήσεις (57,87%) ανέφεραν ότι καθόρισαν ή αναθεώρησαν τα έγγραφα τους για την ασφάλεια ICT εντός των τελευταίων 12 μηνών, ενώ για τις μεσαίες και μικρές επιχειρήσεις το ποσοστό αυτό ήταν σημαντικά χαμηλότερο με 35,72% και 17,98% αντίστοιχα.
Το 2024, σχεδόν 3 στις 5 επιχειρήσεις στην ΕΕ (59,97%) ενημέρωσαν τους υπαλλήλους τους για τις υποχρεώσεις τους σε θέματα ασφάλειας ICT. Η εθελοντική εκπαίδευση ή η διαθέσιμη πληροφορία στο εσωτερικό δίκτυο, για παράδειγμα στο intranet, ήταν η πιο συνηθισμένη μορφή (42,59% των επιχειρήσεων), ακολουθούμενη από συμβόλαια όπως τα συμβόλαια εργασίας (34,25%) και από υποχρεωτικά εκπαιδευτικά μαθήματα ή υποχρεωτικό υλικό (24,51%).
Το ποσοστό των επιχειρήσεων που ενημέρωσαν τα άτομα που εργάζονται σε αυτές για τις υποχρεώσεις τους σε θέματα ασφάλειας ICT, με οποιοδήποτε από τα μέτρα που παρουσιάζονται, ήταν ιδιαίτερα υψηλό για τις μεγάλες (92,34%) και μεσαίες επιχειρήσεις (76,45%). Παρόλα αυτά, περισσότερες από τις μισές μικρές επιχειρήσεις (55,99%) ανέφεραν ότι ενημέρωσαν τα άτομα που εργάζονται σε αυτές για τις υποχρεώσεις τους σε θέματα ασφάλειας ICT.
Μεταξύ όλων των χωρών της ΕΕ, το ποσοστό των επιχειρήσεων που ενημέρωσαν τα άτομα που εργάζονται σε αυτές για τις υποχρεώσεις τους σε θέματα ασφάλειας ICT κυμάνθηκε από το 77,47% στην Τσεχία, ακολουθούμενη από τη Φινλανδία (74,81%), τη Δανία (70,07%) και την Ιρλανδία (69,16%) έως το 38,96% στην Κροατία και το 31,68% στην Ελλάδα. Σε 21 χώρες της ΕΕ, το ποσοστό των επιχειρήσεων που ανέφεραν ότι ενημέρωσαν τα άτομα που εργάζονται σε αυτές για τις υποχρεώσεις τους σε θέματα ασφάλειας ICT ήταν υψηλότερο από το 50%.
Το 2023, περισσότερες από 1 στις 5 επιχειρήσεις στην ΕΕ (21,54%) αντιμετώπισαν περιστατικά ασφάλειας ICT που οδήγησαν σε συνέπειες, όπως η αδυναμία παροχής υπηρεσιών ICT, η καταστροφή ή η διαφθορά δεδομένων ή η διαρροή εμπιστευτικών δεδομένων. Τα περιστατικά ασφάλειας ICT μπορεί να προκληθούν από κακόβουλες επιθέσεις από εξωτερικούς ή εσωτερικούς παράγοντες ή από μη κακόβουλες αιτίες, όπως βλάβες υλικού ή λογισμικού ή ακούσιες ενέργειες από τους δικούς υπαλλήλους. Το 2023, οι επιχειρήσεις ανέφεραν πιο συχνά ζημιές στις υπηρεσίες ή τα δεδομένα ICT που προκλήθηκαν από μη κακόβουλα περιστατικά. Το πιο συχνά αναφερόμενο αποτέλεσμα από περιστατικά ασφάλειας ICT ήταν η αδυναμία παροχής υπηρεσιών ICT λόγω βλαβών υλικού ή λογισμικού (17,97% των επιχειρήσεων).
Σε σύγκριση, η αδυναμία παροχής υπηρεσιών ICT λόγω επίθεσης από εξωτερικούς παράγοντες (π.χ. επιθέσεις ransomware, επιθέσεις Denial of Service) αναφέρθηκε από το 3,43% των επιχειρήσεων. Η καταστροφή ή η διαφθορά δεδομένων που προκλήθηκε από βλάβες υλικού ή λογισμικού αναφέρθηκε από το 3,87% των επιχειρήσεων, ενώ η μόλυνση από κακόβουλο λογισμικό ή η μη εξουσιοδοτημένη είσοδος οδήγησαν σε καταστροφή ή διαφθορά δεδομένων στο 1,89% των επιχειρήσεων. Λιγότερο συχνά, οι επιχειρήσεις ανέφεραν διαρροή εμπιστευτικών δεδομένων λόγω εισβολής, επίθεσης pharming ή phishing ή σκόπιμων ενεργειών των δικών τους υπαλλήλων (1,57%) ή λόγω ακούσιων ενεργειών των δικών τους υπαλλήλων (1,15%).
Αναλόγως με την οικονομική δραστηριότητα, το 2023, περισσότερες από το ένα τέταρτο των επιχειρήσεων στους τομείς των πληροφοριών και επικοινωνιών, των επαγγελματικών, επιστημονικών και τεχνικών δραστηριοτήτων, της ηλεκτρικής ενέργειας, του αερίου, του κλιματισμού και της ύδρευσης και των δραστηριοτήτων ακινήτων, αντιμετώπισαν περιστατικά ασφάλειας ICT που οδήγησαν σε αδυναμία παροχής υπηρεσιών ICT, καταστροφή ή διαφθορά δεδομένων ή διαρροή εμπιστευτικών δεδομένων. Στους τομείς της κατασκευής και της μεταφοράς και αποθήκευσης, αυτό συνέβη σε λιγότερες από 1 στις 5 επιχειρήσεις.
