Броят на сериозните киберинциденти в органите на ЕС се е увеличил над десет пъти в периода между 2018 г. и 2021 г. Това установи доклад на Европейската сметна палата. Работата от разстояние предоставя значително по-голям брой потенциални точки за достъп за извършителите на такива атаки. Сериозните инциденти често се причиняват от сложни кибератаки, които обикновено са свързани с използването на нови методи и технологии, а разследването им и възстановяването след тях могат да отнемат седмици или месеци. Те посочват като пример, кибератаката срещу Европейската агенция по лекарствата, която причини изтичане и манипулиране на чувствителни данни по начин, целящ да подкопае доверието във ваксините.
Основната констатация на одиторите е, че институциите, органите и агенциите на ЕС невинаги са добре защитени срещу киберзаплахи. Те нямат единен подход в областта на киберсигурността, невинаги прилагат основни механизми за контрол и ключови добри практики в областта на киберсигурността, нито предоставят систематично обучения по киберсигурност. Размерът на отделените за киберсигурност ресурси варира значително, като някои органи на ЕС са имали много по-ниски разходи в сравнение с други подобни организации.
Според тях, кадрите не са достатъчно подготвени, тъй като нивото на подготвеност в различните институции е различно. В тази връзка одиторите препоръчват да се въведат обвързващи правила за киберсигурност и да се увеличат ресурсите, предоставени на Екипа за незабавно реагиране при компютърни инциденти за институциите, органите и агенциите на ЕС (CERT-EU). Те посочват още, че Европейската комисия следва също да насърчава по-близкото сътрудничество между органите на ЕС, а CERT-EU и Агенцията на Европейския съюз да се фокусират повече върху институциите на ЕС с по-малко опит в управлението на киберсигурността.
Одиторите посочват, че несподелянето на информация също представлява недостатък — например, не всички органи на ЕС докладват навреме относно съществуващите уязвимости или сериозните киберинциденти, които са ги засегнали и могат да засегнат и други институции
