Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA)
ENISA jest niezależnym ośrodkiem gromadzącym specjalistyczną wiedzę z zakresu cyberbezpieczeństwa, z siedzibą w Grecji. Głównym celem Agencji jest zapewnienie wysokiego poziomu cyberbezpieczeństwa w UE. Agencja wykonuje zadania powierzone jej na mocy przepisów unijnych i działa tak, aby nie powielać zadań realizowanych przez państwa członkowskie.
Główne zadania ENISA
- Zaangażowanie w rozwój i wdrażanie polityki i prawa UE
ENISA ma wypracowywać niezależne opinie i analizy, zapewniać wkład do unijnej polityki i polityk sektorowych oraz prawa w dziedzinie cyberbezpieczeństwa. Agencja ma też wspierać państwa członkowskie w tworzeniu narodowych strategii cyberbezpieczeństwa.
- Wsparcie w budowaniu zdolności w zakresie cyberbezpieczeństwa
Agencja pomaga państwom członkowskim, instytucjom unijnym, agencjom i organizacjom, przeciwdziałać zagrożeniom teleinformatycznym. Współpracuje z zespołem CERT-EU oraz wspiera CSIRT krajowe w rozwoju ich kompetencji i wymianie doświadczeń, a także organizuje unijne ćwiczenia cyberbezpieczeństwa (CyberEurope).
Agencja ma też zadania, związane z implementacją Dyrektywy NIS: wspiera Grupę Współpracy w identyfikacji operatorów usług kluczowych działających w wielu krajach, zapewnia sekretariat dla sieci CSIRT oraz wspiera współpracę krajowych CSIRT.
- Zaangażowanie we współpracę na poziomie UE
Agencja ma wspierać współpracę między państwami członkowskimi, instytucjami unijnymi, innymi agencjami UE oraz pozostałymi interesariuszami. ENISA jest zaangażowana w budowanie współpracy tych podmiotów z zespołem CERT-EU, służbami zajmującymi się cyberprzestępczością, organami nadzorującymi ochronę prywatności i danych osobowych.
- Działania w obszarze certyfikacji i standaryzacji produktów i usług ICT
Agencja ma wspierać i promować wdrażanie certyfikacji produktów, usług i procesów ICT poprzez monitorowanie aktualnych standardów, a także rekomendowanie odpowiednich norm i specyfikacji technicznych zgodnych z europejskimi programami certyfikacji. W procesie europejskiej certyfikacji to właśnie ENISA przygotowuje propozycję programu, który następnie przekazuje do Komisji Europejskiej. Wraz z KE Agencja przewodniczy Grupie Interesariuszy Certyfikacji (Stakeholer Cybersecurity Certification Group).
- Zarządzanie i udostępnianie informacji z zakresu cyberbezpieczeństwa
Agencja analizuje rozwój nowoczesnych technologii i ocenia aktualne trendy. Przygotowuje analizy strategiczne incydentów, aby identyfikować zagrożenia oraz móc im zapobiegać. Zapewnia doradztwo, a także dostarcza wytyczne i najlepsze praktyki dla wzrostu poziomu cyberbezpieczeństwa infrastruktury krytycznej, operatorów usług kluczowych i dostawców usług cyfrowych.
- Działania z zakresu edukacji i zwiększania świadomości
Agencja dostarcza dobre praktyki i wskazówki obywatelom i organizacjom, a we współpracy z państwami członkowskimi organizuje regularne kampanie informacyjne. Co roku, w październiku, koordynuje Europejski Miesiąc Cyberbezpieczeństwa.
- Zaangażowanie w badania i rozwój
Agencja wspiera budowę unijnego strategicznego programu badań i innowacji w obszarze cyberbezpieczeństwa poprzez doradztwo w identyfikacji potrzeb i priorytetów badawczych. Na prośbę Komisji Europejskiej uczestniczy we wdrażaniu programów finansowania badań.
- Wspieranie współpracy międzynarodowej
ENISA angażuje się w budowę współpracy w zakresie cyberbezpieczeństwa między UE, państwami trzecimi i organizacjami międzynarodowymi. Jako obserwator bierze udział w ćwiczeniach międzynarodowych, ułatwia wymianę informacji i dobrych praktyk. Wraz z MSCG (Member States Certification Group) przygotowuje ekspertyzy umów o wzajemnym uznawaniu certyfikatów bezpieczeństwa z państwami trzecimi.
Organizacja Agencji
Struktura administracyjna Agencji składa się z zarządu, rady wykonawczej, dyrektora wykonawczego, grupy doradczej ENISA (ENISA Advisory Group) i sieci oficerów łącznikowych. Poniższa tabela prezentuje strukturę Agencji.
Zarząd | W skład zarządu wchodzi po jednym przedstawicielu z każdego państwa członkowskiego oraz dwóch przedstawicieli Komisji. Zarząd odpowiada za określenie ogólnego kierunku działań Agencji oraz przygotowanie propozycji budżetu, a także opracowuje roczne sprawozdanie z działalności ENISA. Ponadto mianuje dyrektora wykonawczego. |
Przewodniczący zarządu | Przewodniczący wybierany jest na cztery lata z możliwością jednokrotnego powtórzenia kadencji. Przewodniczący zwołuje posiedzenia zarządu, co najmniej dwa razy w roku. |
Rada wykonawcza | Rada przygotowuje decyzje do głosowania zarządu oraz wspiera dyrektora wykonawczego w ich wdrażaniu. Składa się z pięciu członków zarządu i reprezentanta Komisji, mianowanych na cztery lata, z możliwością ponownej kadencji. Posiedzenia odbywają się przynajmniej raz na kwartał. |
Dyrektor wykonawczy | Agencją zarządza dyrektor wykonawczy, który jest niezależny i odpowiada przed zarządem. Może on powoływać grupy robocze, składające się z ekspertów z państw członkowskich. |
Grupa Doradcza ENISA (ENISA Advisory Group) | Grupa jest powoływana na dwuipółletnią kadencję przez zarząd, na wniosek dyrektora wykonawczego. To grupa ekspertów reprezentujących różnych interesariuszy, takich jak dostawcy sieci oraz usług ICT, MŚP, operatorzy, grupy konsumenckie, przedstawiciele nauki oraz europejskich organizacji odpowiedzialnych za ochronę danych. Zadaniem grupy jest doradzanie Agencji i dyrektorowi wykonawczemu. |
Sieć krajowych urzędników łącznikowych | W skład sieci wchodzi po jednym przedstawicielu z każdego państwa członkowskiego. Zadaniem sieci jest umożliwianie sprawnej wymiany informacji pomiędzy ENISA a państwami członkowskimi, wspieranie Agencji w promowaniu jej działalności, wytycznych i zaleceń, a także zapewnienie komunikacji z krajowymi ekspertami cyberbezpieczeństwa. |
ENISA – 15 lat działalności
W momencie utworzenia w 2004 roku (Regulacja EC no. 460/2004), ENISA otrzymała mandat na pięć lat, ale był on przedłużany dwukrotnie w 2009 i 2011 roku. ENISA była jedyną agencją europejską z tymczasowym mandatem, który wygasał w czerwcu 2020 roku. W komunikacie z lipca 2016 Komisja Europejska zapowiedziała rewizję mandatu ENISA. Efektem był przygotowany akt legislacyjny, zaprezentowany 13 września 2017 roku w ramach tzw. „pakietu cybernetycznego”. Przepisy, które w 2018 roku wprowadził Cybersecurity Act, zapewniły ENISA stały i jasno sprecyzowany mandat, większy wpływ na ekosystem cyberbezpieczeństwa UE oraz większy niż dotąd budżet.