Σύμφωνα με την Eurostat, το 2024, το 93% των επιχειρήσεων της ΕΕ εφάρμοσε τουλάχιστον ένα μέτρο για τη διασφάλιση της ακεραιότητας, διαθεσιμότητας και εμπιστευτικότητας των δεδομένων και των συστημάτων ΤΠΕ τους.
Το πιο συνηθισμένο μέτρο ασφαλείας που χρησιμοποιείται από τις επιχειρήσεις ήταν ο ισχυρός έλεγχος ταυτότητας μέσω κωδικών πρόσβασης (84%), ακολουθούμενος από τη δημιουργία αντιγράφων ασφαλείας σε ξεχωριστή τοποθεσία (79%) και τον έλεγχο πρόσβασης στο δίκτυο (65%). Το λιγότερο κοινό μέτρο ήταν ο έλεγχος ταυτότητας μέσω βιομετρικών μεθόδων (18%).
Σε εθνικό επίπεδο, το υψηλότερο ποσοστό επιχειρήσεων που χρησιμοποίησε τουλάχιστον τρία μέτρα ασφάλειας ΤΠΕ καταγράφηκε στη Φινλανδία (93%), ακολουθούμενη από τη Δανία (90%), την Ολλανδία και τη Γερμανία (αμφότερες 87%). Αντίθετα, οι επιχειρήσεις στην Ελλάδα (52%), τη Βουλγαρία και τη Ρουμανία (αμφότερες 53%) ανέφεραν το χαμηλότερο ποσοστό.
Αναλυτικότερα, το 2024, το 92,76% των επιχειρήσεων της ΕΕ με 10 ή περισσότερους εργαζομένους ή αυτοαπασχολούμενους χρησιμοποίησε τουλάχιστον ένα μέτρο. Περισσότερες από 1 στις 3 επιχειρήσεις (35,50%) ανέφεραν ότι διαθέτουν έγγραφα που θεσπίζουν μέτρα, πρακτικές ή διαδικασίες για την ασφάλεια των ΤΠΕ. Σε μία στις πέντε επιχειρήσεις (21,82%), αυτά τα έγγραφα ορίστηκαν ή αναθεωρήθηκαν τους τελευταίους 12 μήνες. Το 59,97% των επιχειρήσεων της ΕΕ ενημέρωσαν το προσωπικό τους για τις υποχρεώσεις τους σχετικά με την ασφάλεια των ΤΠΕ. Τέλος, 1 στις 5 επιχειρήσεις (21,54%) ανέφεραν επιπτώσεις λόγω περιστατικών ασφαλείας ΤΠΕ το 2023.
Το 2024, το 92,76% των επιχειρήσεων της ΕΕ χρησιμοποίησε τουλάχιστον ένα μέτρο ασφάλειας ΤΠΕ. Το πιο κοινό μέτρο ήταν ο ισχυρός έλεγχος ταυτότητας μέσω κωδικών πρόσβασης (83,69%), ακολουθούμενο από τη δημιουργία αντιγράφων ασφαλείας σε ξεχωριστή τοποθεσία ή στο cloud (79,23%) και τον έλεγχο πρόσβασης στο δίκτυο (65,43%). Λιγότερο από το μισό των επιχειρήσεων ανέφερε τη χρήση εικονικών ιδιωτικών δικτύων (VPN) (49,64%) ή τη διατήρηση αρχείων καταγραφής για ανάλυση μετά από περιστατικά ασφαλείας (45,16%). Λιγότερο συχνά, οι επιχειρήσεις χρησιμοποίησαν συνδυασμό δύο ή περισσότερων μηχανισμών ελέγχου ταυτότητας (39,84%), τεχνικές κρυπτογράφησης για δεδομένα, έγγραφα ή email (39,72%), δοκιμές ασφαλείας ΤΠΕ (34,64%), εκτιμήσεις κινδύνου ΤΠΕ (34,10%) ή έλεγχο ταυτότητας μέσω βιομετρικών μεθόδων (18,27%).
Το μέτρο «ισχυρός έλεγχος ταυτότητας μέσω κωδικών πρόσβασης» χρησιμοποιήθηκε σχεδόν από όλες τις μεγάλες επιχειρήσεις (96,78%), από το 90,66% των μεσαίων και από πάνω από 8 στις 10 μικρές επιχειρήσεις (82,03%). Παρόμοια στοιχεία αναφέρθηκαν και για το δεύτερο πιο δημοφιλές μέτρο ασφάλειας ΤΠΕ – τη δημιουργία αντιγράφων ασφαλείας σε ξεχωριστή τοποθεσία, το οποίο χρησιμοποιήθηκε από το 94,95% των μεγάλων επιχειρήσεων, το 88,48% των μεσαίων και το 77,09% των μικρών επιχειρήσεων. Σημαντικές διαφορές σχετιζόμενες με το μέγεθος των επιχειρήσεων παρατηρήθηκαν στη χρήση των λιγότερο κοινών μέτρων ασφάλειας ΤΠΕ.
Η εκτίμηση κινδύνου ΤΠΕ χρησιμοποιήθηκε από το 75,62% των μεγάλων επιχειρήσεων, ενώ το ποσοστό για τις μικρές επιχειρήσεις ήταν περισσότερο από δύο φορές μικρότερο (29,35%). Ανεξάρτητα από το μέγεθος των επιχειρήσεων, ο έλεγχος ταυτότητας μέσω βιομετρικών μεθόδων ήταν το λιγότερο χρησιμοποιούμενο μέτρο ασφάλειας ΤΠΕ, αν και το ποσοστό των μεγάλων επιχειρήσεων που το χρησιμοποίησαν (38,55%) ήταν σημαντικά υψηλότερο από εκείνο των μικρών επιχειρήσεων (16,44%).
Το 2024, το 35,50% των επιχειρήσεων της ΕΕ διέθετε έγγραφα που θέσπιζαν μέτρα, πρακτικές ή διαδικασίες για την ασφάλεια ΤΠΕ. Ποσοστά άνω του 50% καταγράφηκαν στη Φινλανδία (59,41%), τη Δανία (59,11%) και την Πορτογαλία (54,29%). Αντίθετα, λιγότερο από το 20% των επιχειρήσεων διέθεταν τέτοια έγγραφα στην Ελλάδα (18,28%), την Ουγγαρία (13,75%) και τη Βουλγαρία (13,67%).
Σχεδόν 3 στις 5 επιχειρήσεις της ΕΕ (59,97%) ενημέρωσαν τους εργαζομένους τους για τις υποχρεώσεις τους σχετικά με θέματα ασφάλειας ΤΠΕ. Η πιο κοινή μορφή ήταν η εθελοντική εκπαίδευση ή η εσωτερική πληροφόρηση, για παράδειγμα μέσω του intranet (42,59%), ακολουθούμενη από τα συμβόλαια, όπως οι συμβάσεις εργασίας (34,25%) και τα υποχρεωτικά μαθήματα εκπαίδευσης ή η παρακολούθηση υποχρεωτικού υλικού (24,51%).
Το 2023, περισσότερες από 1 στις 5 επιχειρήσεις της ΕΕ (21,54%) αντιμετώπισαν περιστατικά ασφαλείας ΤΠΕ, τα οποία οδήγησαν σε συνέπειες όπως η μη διαθεσιμότητα υπηρεσιών ΤΠΕ, η καταστροφή ή αλλοίωση δεδομένων ή η διαρροή εμπιστευτικών πληροφοριών. Τα περιστατικά ασφαλείας ΤΠΕ μπορεί να προκληθούν από κακόβουλες επιθέσεις εντός ή εκτός της επιχείρησης ή από μη κακόβουλες αιτίες, όπως αστοχίες υλικού ή λογισμικού ή ακούσιες ενέργειες από τους ίδιους τους εργαζομένους. Το 2023, οι επιχειρήσεις ανέφεραν πιο συχνά ζημιές λόγω μη κακόβουλων περιστατικών. Η πιο κοινή συνέπεια ήταν η μη διαθεσιμότητα υπηρεσιών ΤΠΕ λόγω βλάβης υλικού ή λογισμικού (17,97%).
Αντίθετα, η μη διαθεσιμότητα υπηρεσιών ΤΠΕ λόγω εξωτερικής επίθεσης (π.χ. επιθέσεις ransomware ή Denial of Service) αναφέρθηκε από το 3,43% των επιχειρήσεων. Η καταστροφή ή αλλοίωση δεδομένων λόγω βλάβης υλικού ή λογισμικού αναφέρθηκε από το 3,87% των επιχειρήσεων, ενώ η μόλυνση από κακόβουλο λογισμικό ή μη εξουσιοδοτημένη πρόσβαση οδήγησε σε καταστροφή ή αλλοίωση δεδομένων στο 1,89% των επιχειρήσεων. Λιγότερο συχνά αναφέρθηκαν η διαρροή εμπιστευτικών δεδομένων λόγω εισβολής, επιθέσεων phishing ή εσκεμμένων ενεργειών εργαζομένων (1,57%) ή λόγω ακούσιων ενεργειών των εργαζομένων (1,15%).
Λαμβάνοντας υπόψη την οικονομική δραστηριότητα, το 2023, περισσότερες από μία στις τέσσερις επιχειρήσεις στους τομείς πληροφορικής και επικοινωνιών, επαγγελματικών, επιστημονικών και τεχνικών δραστηριοτήτων, παροχής ηλεκτρικής ενέργειας, φυσικού αερίου, κλιματισμού και υδροδότησης καθώς και ακινήτων, αντιμετώπισαν περιστατικά ασφαλείας ΤΠΕ. Στους τομείς των κατασκευών και των μεταφορών, αυτό ίσχυε για λιγότερο από μία στις πέντε επιχειρήσεις.
