Akt o cyberbezpieczeństwie – nowy mandat ENISA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r.w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie).

Akt o cyberbezpieczeństwie został opublikowany 7 czerwca 2017, ale porozumienie na temat ostatecznego brzmienia regulacji Parlament Europejski i Komisja osiągnęły 10 grudnia 2018. Sam projekt aktu został natomiast przedstawiony we wrześniu 2017 roku, jako część tzw. pakietu cyberbezpieczeństwa, natomiast porozumienie w sprawie Aktu Parlament Europejski i Komisja osiągnęły 10 grudnia 2018.

Akt o cyberbezpieczeństwie (Cybersecurity Act, CA) to druga, po dyrektywie NIS, ogólnoeuropejska regulacja w dziedzinie cyberbezpieczeństwa. CA składa się z dwóch części:

  • nowy permanentny mandat dla ENISA, której nazwa została zmieniona z Europejskiej Agencji Bezpieczeństwa Sieci i Informacji na Agencja UE ds. Cyberbezpieczeństwa. Rola ENISA została znacznie wzmocniona nie tylko poprzez permanentny mandat, ale także poprzez szereg nowych obowiązków związanych z wejściem w życie Dyrektywy NIS oraz europejskich ram certyfikacji.
  • rozporządzenie tworzące europejskie ramy certyfikacji cyberbezpieczeństwa dla produktów i usług ICT. Jest to bardzo istotna regulacja, która znacznie zmieni funkcjonujący obecnie model certyfikacji, zdominowany przez SOG-IS (Senior Official Group Information Security Systems)[1].

ENISA ( Agencja Unii Europejskiej ds. Cyberbezpieczeństwa)

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ang. The European Union Agency for Network and Information Security – ENISA) została założona w 2004 roku. Do jej głównych zadań należy zapewnienie wysokiego poziomu bezpieczeństwa w sieciach i systemach informatycznych w Unii Europejskiej. Główna siedziba ENISA znajduje się w Grecji. Do tej pory mandat ENISA był czasowy, miał skończyć się w czerwcu 2020r. Dotychczasowa rola agencji sprowadzała się głównie do udzielania porad eksperckich i przeprowadzania ćwiczeń. Przepisy, które wprowadza Cybersecurity Act zapewniają ENISA stały i jasno sprecyzowany mandat, a także większy wpływ na ekosystem cyberbezpieczeństwa UE. Zmieniono także nazwę Agencji, która obecnie brzmi Agencja UE ds. Cyberbezpieczeństwa.

Głównym celem ENISA jest zapewnienie wysokiego poziomu cyberbezpieczeństwa w UE. Agencja wykonuje zadania powierzone jej na mocy przepisów unijnych, działa niezależnie i w taki sposób, aby nie powielać zadań realizowanych przez państwa członkowskie. ENISA utrzymuje własne zasoby, w tym kompetencje techniczne i kapitał ludzki, niezbędne do wywiązania się z nałożonych na nią obowiązków. Jest organem UE, ma osobowość prawną i w każdym kraju posiada zdolność do czynności prawnych, przyznaną na mocy prawa krajowego, co oznacza, że może nabywać i zbywać mienie ruchome i nieruchome. Może być także stroną w postępowaniu sądowym. Reprezentantem ENISA jest Dyrektor  Wykonawczy.

Główne zadania ENISA, to:

  • wsparcie dla państw członkowskich, instytucji, organów i jednostek organizacyjnych UE we wdrażaniu europejskiej polityki cyberbezpieczeństwa, a także polityk sektorowych;
  • działanie na rzecz budowy zdolności, gotowości i bezpieczeństwa sieci i systemów informacyjnych, rozwijanie potencjału zabezpieczeń przed cyberzagrożeniami i wsparcie  kompetencji i umiejętności niezbędnych do zachowania wysokiego poziomu cyberbezpieczeństwa w UE;
  • budowa współpracy, a także wymiany informacji na różnych szczeblach: unijnym, pomiędzy państwami członkowskimi, agencjami, odpowiednimi interesariuszami z rynku prywatnego;
  • pomoc w budowaniu zdolności państw członkowskich do reagowania na incydenty, zapobieganie przestępstwom w cyberprzestrzeni, a w szczególności reagowanie na zdarzenia transgraniczne;
  • promowanie certyfikacji w państwach członkowskich, uczestnictwo w ustanawianiu i utrzymaniu ram certyfikacji, koordynacja przejrzystości całego procesu, a także wzmocnienie zaufania do jednolitego rynku cyfrowego i jego konkurencyjności;
  • zwiększanie świadomości publicznej i poziomu kompetencji cyfrowych poprzez działania edukacyjne.

Zadania ENISA

Zaangażowanie w rozwój i wdrażanie polityki i prawa UE

ENISA ma realizować to zadanie poprzez udzielanie porad w postaci niezależnych opinii i analiz, opracowywanie wkładu do unijnej polityki i prawa w dziedzinie cyberbezpieczeństwa, polityk sektorowych i projektów prawnych związanych z cyberbezpieczeństwem.

Agencja ma też wspierać państwa członkowskie w tworzeniu narodowych strategii cyberbezpieczeństwa oraz pomagać we wdrożeniu unijnych wytycznych cyberbezpieczeństwa i przepisów prawnych dotyczących ochrony danych i prywatności.

Dodatkowo ENISA uczestniczy w regularnym przeglądzie polityki unijnej i przygotowuje raport, zawierający zgłoszone przez państwa członkowskie incydenty, zidentyfikowane naruszenia bezpieczeństwa zgłoszone do ENISA, a także powiadomienia o zdarzeniach z Europejskiego Kodeksu Łączności Elektronicznej.

Wspieranie budowy zdolności w zakresie cyberbezpieczeństwa

Nowym zadaniem Agencji jest udzielanie pomocy państwom członkowskim, instytucjom unijnym, agencjom i organizacjom w prewencji, wykrywaniu, analizie i zdolności do odpowiadania na cyberzagrożenia i incydenty. Pomoc ta ma polegać przede wszystkim, na udzieleniu dostępu do niezbędnej wiedzy fachowej. W tym zakresie ENISA współpracuje z zespołem CERT-EU[2].

Dodatkowo Agencja może asystować państwom członkowskim (na ich wyraźne życzenie) w tworzeniu narodowych zespołów CSIRT.

ENISA wspiera również CSIRT poziomu krajowego w rozwoju ich kompetencji i wymianie doświadczeń. Przynajmniej raz na dwa lata organizuje także unijne ćwiczenia z cyberbezpieczeństwa (znane powszechnie jako CyberEurope) oraz prowadzi szkolenia dla instytucji publicznych.

Istotne są działania związane z implementacją Dyrektywy NIS, a więc:

  • wspieranie grupy współpracy[3] w zakresie identyfikacji operatorów usług kluczowych działających transgranicznie,
  • ułatwianie wymiany informacji pomiędzy sektorami zdefiniowanymi w dyrektywie NIS jako kluczowe,
  • opracowywanie dobrych praktyk dla sektorów (wytycznych i wskazówek),
  • oferowanie pomocy w rozwiązywaniu problemów regulacyjnych, związanych z dzieleniem się informacjami.

Zaangażowanie we współpracę operacyjną na poziomie Unii

ENISA ma za zadanie wspieranie współpracy pomiędzy państwami członkowskimi, instytucjami, organami i jednostkami organizacyjnymi Unii, oraz pozostałymi interesariuszami. To także nowe zadanie, znacznie wzmacniające rolę Agencji. W tym zakresie ENISA:

  • Jest zaangażowana w budowanie synergii podmiotów z zespołem CERT-EU, służbami zajmującymi się cyberprzestępczością, organami nadzorującymi ochronę prywatności i danych osobowych;
  • Zapewnia sekretariat dla sieci CSIRT[4], oraz wspiera współpracę między CSIRT krajowymi;
  • Oferuje doradztwo w zakresie rozwoju kompetencji CSIRTów;
  • Wspiera w ocenie incydentów, analizuje podatności, a także incydenty ex-post;
  • Opracowuje, w ścisłej współpracy z państwami członkowskimi, regularny pogłębiony raport techniczny o stanie cyberbezpieczeństwa w UE, z uwzględnieniem zagrożeń i incydentów, które zostały zgłoszone przez państwa członkowskie, sieć CSIRT lub pojedyncze punkty kontaktowe, a także Europejskie Centrum Cyberprzestępczości (EC3) w Europolu;
  • Wspiera  obsługę incydentów transgranicznych i zagrożeń cyberbezpieczeństwa na dużą skalę: agreguje sprawozdania z państw członkowskich, dba o efektywny przepływ informacji w sieci CSIRT, wspiera komunikację publiczną dotyczącą incydentów, a także testuje procedury reagowania na incydenty transgraniczne na poziomie unijnym.

Działania w obszarze certyfikacji cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT

Nowym zadaniem jest wspieranie i promowanie wdrożenia certyfikacji produktów, usług i procesów ICT poprzez monitorowanie aktualnych standardów i rekomendowanie odpowiednich norm i specyfikacji technicznych zgodnych z europejskimi programami certyfikacji. W procesie europejskiej certyfikacji, to właśnie ENISA przygotuje propozycję programu certyfikacji, który następnie przekazuje do Komisji Europejskiej. Poza tym ENISA opracowuje i publikuje wytyczne i dobre praktyki w zakresie wymogów cyberbezpieczeństwa produktów, procesów i usług ICT, oraz przyczynia się do budowania zdolności państw członkowskich w zakresie związanych z procesami oceny i certyfikacji, na przykład poprzez wydawanie wytycznych, a także organizację warsztatów czy konferencji.

W ramach działań w obszarze certyfikacji, ENISA, wraz z Komisją, przewodniczy Grupie Interesariuszy Ds. Certyfikacji Cyberbezpieczeństwa która składa się z uznanych ekspertów reprezentujących wszystkich interesariuszy. Wyboru członków dokonuje KE, na wniosek ENISA, w sposób przejrzysty i transparentny, tak, aby zapewnić równą reprezentację przedstawicieli każdej z grup interesariuszy, także pod względem płci i lokalizacji geograficznej. 

Główne zadania grupy to:

  • Doradzanie KE w kwestiach strategicznych dotyczących europejskich ram certyfikacji cyberbezpieczeństwa;
  • Doradzanie ENISA w zakresie zadań dotyczących certyfikacji;
  • Wspieranie KE w przygotowaniu i wydaje opinię dotyczącą unijnego kroczącego programu prac;
  • W pilnych przypadkach doradztwo w kwestii potrzeby opracowania dodatkowych programów certyfikacji.

Zarządzanie i udostępnianie informacji z zakresu cyberbezpieczeństwa

Zadaniem ENISA jest także przeprowadzanie analizy rozwoju nowoczesnych technologii i dokonywanie oceny aktualnych trendów pod kątem społecznym, prawnym, ekonomicznym i wpływu innowacji na cyberbezpieczeństwo. Agencja przygotowuje analizy strategiczne incydentów w celu identyfikacji możliwych zagrożeń i zapobiegania im. zapewnia, we współpracy z ekspertami z państw członkowskich, doradztwo, wytyczne i najlepsze praktyki dla wzrostu poziomu cyberbezpieczeństwa infrastruktury krytycznej, operatorów usług kluczowych i dostawców usług cyfrowych.

Prowadzenie działań z zakresu edukacji i zwiększania świadomości

ENISA działa na rzecz podnoszenia świadomości społeczeństwa na temat zagrożeń związanych z cyberprzestrzenią, dostarcza dobre praktyki i wskazówki obywatelom i organizacjom. We współpracy z państwami członkowskimi, organizuje regularne kampanie informacyjne (m.in. co roku, w październiku, koordynuje Europejski Miesiąc Cyberbezpieczeństwa[5]). Wspiera również lokalne działania edukacyjne państw członkowskich.

Zaangażowanie w badania i innowacje

Kolejnym zdaniem Agencji jest zaangażowanie w budowę programu strategicznych badań i innowacji na poziomie unijnym w dziedzinie cyberbezpieczeństwa. Doradza w identyfikacji potrzeb i priorytetów badawczych, a na życzenie Komisji, uczestniczy we wdrażaniu programów finansowania badań lub bierze w nich udział jako beneficjent.

Wspieranie współpracy międzynarodowej

Agencja angażuje także się w działania UE w zakresie współpracy z państwami trzecimi i organizacjami międzynarodowymi w dziedzinie cyberbezpieczeństwa. Jako obserwator, bierze udział w ćwiczeniach międzynarodowych, ułatwia wymianę informacji i dobrych praktyk. Wraz z ECCG (Member States Certification Group – MSCG) przygotowuje ekspertyzy dotyczące umów o wzajemnym uznawaniu certyfikatów bezpieczeństwa z państwami trzecimi.

Organizacja Agencji

W ramach ENISA działa Zarząd, Rada Wykonawcza, Dyrektor Wykonawczy, Grupa Doradcza ENISA (ENISA Advisory Group) i Sieć Krajowych Urzędników Łącznikowych.

Zarząd

W skład Zarządu wchodzi po jednym przedstawicielu z każdego państwa członkowskiego, oraz dwóch przedstawicieli KE. Wszyscy mają prawo głosu, a także wyznaczonego zastępcę w razie nieobecności. Do Zarządu powoływane są osoby, które posiadają wiedzę z zakresu cyberbezpieczeństwa, kompetencje kierownicze, administracyjne i budżetowe. Zarząd podejmuje decyzje większością głosów. Wyjątkiem są głosowania dotyczące przyjęcia jednolitego dokumentu programowego ENISA (czytaj dalej w: Jednolity dokument programowy), budżetu rocznego, mianowania/przedłużania kadencji/odwołania Dyrektora Wykonawczego, gdzie potrzebna jest większość dwóch trzecich głosów.

Zadania Zarządu:

  • Określanie ogólnego kierunku działania Agencji tak, aby był on spójny z działaniami państw członkowskich i innych instytucji unijnych.
  • Przygotowanie projektu budżetu i jednolitego dokumentu programowego,wyznaczającego cele roczne i wieloletnie.
  • Opracowanie rocznego sprawozdania z działalności ENISA i przedłożenie go do Parlamentu Europejskiego, Komisji, Rady i Trybunału Obrachunkowego.
  • Uchwalenie regulaminu wewnętrznego, regulaminu pracowniczego i warunków zatrudnienia. Podejmowanie decyzji w sprawie ustanowienia wewnętrznych struktur Agencji.
  • Mianowanie Dyrektora Wykonawczego ENISA, a także przedłużenie jego kadencji lub odwołanie ze stanowiska.

Przewodniczący zarządu

Na czele Zarządu stoi przewodniczący, który jest wybierany większością dwóch trzecich głosów, spośród członków Zarządu, na okres czterech lat, z możliwością jednokrotnego powtórzenia kadencji. Zarząd wybiera także jego zastępcę, (na wypadek gdyby przewodniczący nie mógł wykonywać swoich obowiązków).

Zadania przewodniczącego:

  • Prowadzenie posiedzeń Zarządu.
  • Obowiązek zwołania posiedzenia Zarządu, co najmniej dwa razy w roku.
  • Zwołanie posiedzenia nadzwyczajnego na wniosek własny, KE lub jednej trzeciej członków Zarządu.

Rada Wykonawcza:

Organem wspierającym Zarząd jest Rada wykonawcza. Rada składa się z pięciu członków wybranych z Zarządu i jednego reprezentanta KE, mianowanych na okres czterech lat (z możliwością ponownej kadencji). Posiedzenia Rady odbywają się przynajmniej raz na kwartał. Dyrektor Wykonawczy może brać w nich udział, jednak nie ma prawa głosu.

Zadania Rady Wykonawczej:

  • Przygotowanie decyzji do głosowania dla Zarządu.
  • Wsparcie Dyrektora Wykonawczego we wdrażaniu decyzji Zarządu.
  • Zapewnienie odpowiednich działań naprawczych w przypadku uzyskania przez ENISA zaleceń od audytorów, albo Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych.
  • W wyjątkowych sytuacjach, podejmowanie tymczasowych decyzji w imieniu Zarządu[6].

Dyrektor Wykonawczy

Agencją zarządza Dyrektor Wykonawczy, który jest niezależny w wykonywaniu swoich obowiązków i odpowiada przed Zarządem.

Zadania Dyrektora Wykonawczego:

  • Bieżące zarządzanie Agencją.
  • Wdrażanie decyzji przyjętych przez Zarząd.
  • Przygotowanie projektu jednolitego dokumentu programowego i przedłożenie go Zarządowi do zatwierdzenia.
  • Wdrożenie jednolitego dokumentu programowego.
  • Przygotowanie raportu rocznego.
  • Przygotowanie planu działania opartego na wnioskach z ewaluacji działalności Agencji.
  • Przygotowanie planu działania w następstwie wniosków ze sprawozdań z kontroli wewnętrznej, a także sprawozdań Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, a także składanie do KE, dwa razy w roku, sprawozdania z wdrożenia postępów prac.
  • Przygotowanie projektów przepisów finansowych mających zastosowanie dla Agencji.
  • Ochrona interesów finansowych UE poprzez wdrożenie środków zapobiegania nadużyciom, korupcji, nielegalnej działalności. Przygotowanie strategii zwalczania nadużyć finansowych.
  • Utrzymywanie kontaktów ze środowiskiem biznesowym i podtrzymywanie dialogu ze wszystkimi interesariuszami.
  • Regularna wymiana informacji z instytucjami, organami i jednostkami organizacyjnymi UE w celu zapewnienia spójności w opracowywaniu i wdrażaniu unijnej polityki bezpieczeństwa.

Na wniosek Parlamentu Europejskiego lub Rady, Dyrektor przedstawia sprawozdanie z wykonania swoich obowiązków.

Dyrektor Wykonawczy może powoływać grupy robocze, składające się z ekspertów z państw członkowskich. Procedura powołania grup jest określona w wewnętrznych zasadach działania ENISA. Jeżeli będzie taka potrzeba, Dyrektor może podjąć decyzję o utworzeniu biura lokalnego. Decyzja ta musi być podyktowana koniecznością skutecznego i efektywnego wykonywania zadań ENISA, a także w oparciu o racjonalną analizę kosztów i korzyści. Przed podjęciem decyzji Dyrektor uzyskuje zgodę Ke i Zarządu, a także zasięga opinii państwa członkowskiego, w którym ma być ustanowione biuro lokalne. Liczba personelu we wszystkich biurach ENISA powinna być ograniczona do minimum, a zakres działań wyznaczony w taki sposób, aby uniknąć niepotrzebnego powielania funkcji i kompetencji poszczególnych jednostek.

Grupa Doradcza ENISA (ENISA Advisory Group)

W ramach agencji działa także Grupa Doradcza ENISA. Na wniosek Dyrektora Wykonawczego, Zarząd powołuje grupę ekspertów reprezentujących różnych interesariuszy, takich jak dostawcy sieci, dostawcy usług ICT, MŚP, operatorzy, grupy konsumenckie, przedstawiciele nauki w zakresie cyberbezpieczeństwa, a także przedstawiciele europejskich organizacji odpowiedzialnych za ochronę danych i egzekwowanie prawa. Grupie Doradczej ENISA przewodniczy Dyrektor Wykonawczy lub osoba przez niego powołana. Kadencja członków grupy wynosi dwa i pół roku. Zarząd dąży do zapewnienia równej reprezentacji płci, obszarów geograficznych, a także grup interesariuszy. W skład grupy nie mogą wchodzić członkowie Zarządu. Natomiast eksperci z KE i państw członkowskich mogą być obecni na posiedzeniach grupy. W razie potrzeby, Dyrektor może zaprosić na spotkania przedstawicieli innych organów.

Zadania Grupy Doradczej ENISA:

  • Doradztwo Agencji i Dyrektorowi Wykonawczemu w zakresie opracowania programu prac ENISA i zapewnienie odpowiedniej komunikacji z interesariuszami różnych grup.

Sieć Krajowych Urzędników Łącznikowych

W ramach ENISA funkcjonuje również Sieć Krajowych Urzędników Łącznikowych, która składa się z przedstawicieli wszystkich państw członkowskich (po jednym przedstawicielu z każdego państwa).

Zadania Sieci Krajowych Urzędników Łącznikowych:

  • Umożliwianie sprawnej wymiany informacji pomiędzy ENISA a państwami członkowskimi.
  • Wsparcie Agencji w promowaniu jej działalności, wytycznych i zaleceń.
  •  Zapewnienie komunikacji ENISA z krajowymi ekspertami z dziedziny cyberbezpieczeństwa.

Jednolity dokument programowy

Plan działania ENISA zawarty jest w jednolitym dokumencie programowym. Dokument zawiera roczny i wieloletni plan prac, w którym opisane są szczegółowe cele i oczekiwane wyniki, wraz ze wskaźnikami wydajności, które pozwolą na ocenę działalności Agencji. W planie zawarty jest również opis działań, a do każdego działania przyporządkowane są odpowiednie zasoby finansowe i ludzkie (przyporządkowanie zasobów powinno być aktualizowane przynajmniej raz w roku).  Plan wieloletni określa cele strategiczne i jest spójny z planem rocznym. Projekt planu przygotowuje co roku Dyrektor Wykonawczy. Do 30 listopada Zarząd przyjmuje jednolity dokument programowy i przesyła go do Parlamentu Europejskiego, Rady i Komisji, nie później niż 31 stycznia następnego roku. Dokument ostatecznie zostaje zaakceptowany wraz z przyjęciem budżetu ogólnego UE. W przypadku nałożenia dodatkowych zadań na Agencję, Zarząd dokonuje zmian w jednolitym dokumencie programowym. Procedura zmian jest dokładnie taka sama, jak w przypadku złożenia projektu dokumentu.

Budżet ENISA

Co roku Dyrektor Wykonawczy przygotowuje projekt preliminarza dochodów na kolejny rok budżetowy i przekazuje go Zarządowi wraz z proponowanym planem zatrudnienia. Projekt zatwierdza Komisja, Parlament i Rada. Budżet ENISA musi zostać dostosowany do budżetu ogólnego UE i zostaje zaakceptowany dopiero po przyjęciu budżetu ogólnego. 

Osobą odpowiedzialną za realizację budżetu jest Dyrektor Wykonawczy. ENISA jest zobowiązana do publikowania corocznego sprawozdania finansowego w terminie do  15 listopada następnego roku.

Współpraca z państwami członkowskimi, państwami trzecimi i organizacjami międzynarodowymi

W zakresie niezbędnym do osiągnięcia celów, ENISA może współpracować z państwami trzecimi lub organizacjami międzynarodowymi. Po uprzednim zatwierdzeniu przez KE, Agencja może podejmować zobowiązania robocze (nie stanowią one zobowiązań prawnych Unii i państw członkowskich). ENISA jest również otwarta na udział państw trzecich, które mają podpisane w tym celu porozumienia z UE. W porozumieniach określa się charakter, zakres i sposób współpracy wraz z informacją o udziału w inicjatywach, wkładzie finansowym, zaangażowanym personelu itp. Współpraca z państwami trzecimi i organizacjami międzynarodowymi powinna odbywać się w obszarach właściwych dla ENISA i zgodnie ze strategią przyjętą przez Zarząd.

Podsumowanie:

  1. Wraz z Cybersecurity Act ENISA otrzymała nowy, permanentny mandat i zmieniła swoją nazwę na Agencja UE ds. Cyberbezpieczeństwa.
  2. Cybersecurity Act wzmacnia rolę ENISA w zakresie współpracy z państwami członkowskimi, zespołami CERT i CERT-EU, służbami i organami nadzorującymi ochronę prywatności. W ramach współpracy ENISA monitoruje stan cyberbezpieczeństwa EU i przygotowuje raport z uwzględnieniem zgłoszeń naruszenia bezpieczeństwa ze wszystkich państw członkowskich.
  3. W dokumencie szczegółowo opisano zadania ENISA. Nowym obszarem odpowiedzialności jest wspieranie i promowanie wdrożenia certyfikacji produktów, usług i procesów ICT. Do ENISA należy przygotowanie propozycji programu certyfikacji, który następnie przekazuje do KE.
  4. ENISA przewodniczy również Grupie Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa. Grupa zajmuje się doradztwem KE w kwestiach strategicznych dot. certyfikacji.
  5. Agencją zarządza Dyrektor Wykonawczy, który odpowiada przed Zarządem. W ramach ENISA funkcjonuje także Rada Wykonawcza, Grupa Doradcza ENISA (ENISA Advisory Group) i Sieć Krajowych Urzędników Łącznikowych.

[1] Porozumienie SOG-IS zostało zawarte w 1997 roku, w odpowiedzi na decyzję Rady UE z marca 1992. Sygnatariusze porozumienia mogą  samodzielnie oceniać i certyfikować produkty i usługi sektora IT, zgodnie z międzynarodową normą ISO/IEC 15408, która pozwala zweryfikować bezpieczeństwo systemów teleinformatycznych pod względem formalnym. Polska dołączyła do grupy państw sygnatariuszy porozumienia SOG-IS w 2017 roku.

[2] Zespół ds. Reagowania na incydenty komputerowe (CERT-EU) dla instytucji, agencji i organów UE. Zespół składa się z ekspertów ds. Bezpieczeństwa IT z głównych instytucji UE (Komisja Europejska, Sekretariat Generalny Rady, Parlament Europejski, Komitet Regionów, Komitet Ekonomiczno-Społeczny). Ściśle współpracuje z innymi zespołami CERT w państwach członkowskich i poza nimi, a także ze specjalistycznymi firmami zajmującymi się bezpieczeństwem IT.

[3] Grupa współpracy (Cooperation Group) to mechanizm współpracy polityczno-strategicznej, powołany w Dyrektywie NIS. Celem grupy jest wzmacnianie i budowanie współpracy pomiędzy państwami członkowskimi na poziomie strategicznym. W jej skład wchodzą przedstawiciele państw członkowskich, Komisji i ENISA. Jednym z zadań grupy jest wymiana najlepszych praktyk identyfikowania operatorów usług kluczowych (również transgranicznych) przez państwa członkowskie.

[4] W skład sieci CSIRT wchodzą przedstawiciele CSIRT państw członkowskich, CERT-EU i Komisja. Zadaniem Sieci jest wzmacnianie współpracy operacyjnej pomiędzy Państwami Członkowskimi. Polskę w sieci CSIRT reprezentuje CERT Polska, znajdujący się w strukturze Państwowego Instytutu Badawczego NASK.

[5] Europejski Miesiąc Cyberbezpieczeństwa to  cykliczna, odbywająca się do roku w październiku, inicjatywa Komisji Europejskiej, koordynowana przez ENISA. W tym 2018 roku odbyła się już 6 edycja ECSM. W Polsce kampanię koordynuje Państwowy Instytut Badawczy NASK.

[6] Dotyczy to głównie decyzji administracyjnych i budżetowych i tylko takich, które mogą być podjęte przez Zarząd zwykłą większością głosów. Decyzja tymczasowa jest niezwłocznie przekazywana do Zarządu i musi być przez niego zatwierdzona nie później, niż w ciągu trzech miesięcy od momentu podjęcia decyzji.