Agentur der Europäischen Union für Cybersicherheit

Die Agentur der Europäischen Union für Cybersicherheit (bis zum 28. Juni 2019: Europäische Agentur für Netz- und Informationssicherheit, ENISA; englisch European Network and Information Security Agency) ist eine 2004 von der Europäischen Union gegründete Agentur. Sitz der seit September 2005 voll geschäftsfähigen ENISA ist Athen, Griechenland. Einen zweiten Sitz unterhält die Agentur in Iraklio auf Kreta. Direktor der Behörde ist Juhan Lepassaar.

Agentur der Europäischen Union für Cybersicherheit ENISA
Logo Logo der ENISA
Englische Bezeichnung	European Union Agency for Cybersecurity
Französische Bezeichnung	Agence de l’Union européenne pour la cybersécurité
Griechische Bezeichnung	Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια
Organisationsart	Agentur der Europäischen Union
Status	Einrichtung des europäischen öffentlichen Rechts mit eigener Rechtspersönlichkeit
Sitz der Organe	Athen, Griechenland ⊙35.30629625.074744
Vorsitz	Juhan Lepassaar (Geschäftsführender Direktor)
Gründung	10. März 2004
ENISA

Dieser Artikel befasst sich mit der EU-Agentur ENISA. Zur Musikerin siehe Enisa Nikaj.

Grundlagen

Die gesetzlichen Grundlagen sind definiert in der Verordnung (EU) 2019/881 Europäischen Parlamentes und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (Rechtsakt zur Cybersicherheit)^[1], welche die vorherige Verordnung (EU) Nr. 526/2013^[2] aufhebt. Bis dato wurde die Agentur jeweils zeitlich begrenzt errichtet, zuerst in der Verordnung Nummer 460/2004 des Europäischen Parlamentes und des Rates vom 10. März 2004.^[3]

Der Verordnung von 2019 sind 110 Gründe zuvor angeführt, welche die Motivation widerspiegeln.

Der Gegenstand ist das Gewährleisten des ordnungsgemäßen Funktionierens des Binnenmarkts der Union und das gleichzeitige Erreichen eines hohen Niveaus in der Cybersicherheit, bei der Fähigkeit zur Abwehr gegen Cyberangriffe und beim Vertrauen in die Cybersicherheit.

Mandat und Ziele

• Die ENISA soll ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union erreichen.
• Sie dient den Organen, Einrichtungen und sonstigen Stellen der Union sowie anderen maßgeblichen Interessenträgern der Union als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit.
• Sie soll mitwirken beim Angleichen der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten auf dem Gebiet der Cybersicherheit.
• Sie handelt bei der Wahrnehmung ihrer Aufgaben unabhängig und entwickelt ihre eigenen, erforderlichen Ressourcen einschließlich technischer und menschlicher Fähigkeiten und Fertigkeiten, um die ihr zugewiesenen Aufgaben wahrzunehmen.

ENISA soll als Kompetenzzentrum in Fragen der Cybersicherheit dienen und verfolgt hierzu folgende Ziele:

• Unterstützung bei der Ausarbeitung und Umsetzung von Strategien der Union im Zusammenhang mit der Cybersicherheit
• Förderung unionsweit des Kapazitätsaufbaus und der Abwehrbereitschaft
• Förderung der Zusammenarbeit einschließlich des Informationsaustauschs und der Koordinierung zwischen den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den einschlägigen privaten und öffentlichen Interessenträgern in Fragen, die im Zusammenhang mit der Cybersicherheit stehen.
• Förderung der Nutzung der europäischen Cybersicherheits-Zertifizierung und Mitwirken beim Aufbau und der Pflege eines Cybersicherheitszertifizierungsrahmens, um die auf mehr Transparenz gestützte Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt sowie dessen Wettbewerbsfähigkeit zu stärken.
• Förderung der Sensibilisierung für die Cybersicherheit, einschließlich der Cyberhygiene und der Cyberkompetenz von Bürgern, Organisationen und Unternehmen.

Aufgaben

Die konkreten Aufgaben sind in der Verordnung von 2019 weiter verfeinert worden.

Allgemeine Unterstützung des Europäischen Parlaments, der Europäischen Kommission, europäischer Stellen und Einrichtungen und Stellen der Mitgliedstaaten in Fragen und Sachen der Cybersicherheit.

Im Bereich „Entwicklung und Umsetzung der Unionspolitik und des Unionsrechts“:

• insbesondere durch unabhängige Stellungnahmen und Analysen sowie durch vorbereitende Arbeiten zur Ausarbeitung und Überprüfung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit, Beratung und Unterstützung gewährt und indem sie sektorspezifische Strategien und Rechtsetzungsinitiativen im Bereich der Cybersicherheit vorlegt
• die Unterstützung bei der Entwicklung und Förderung von Strategien im Zusammenhang mit der Cybersicherheit, die die allgemeine Verfügbarkeit oder Integrität des öffentlichen Kerns des offenen Internets bewahren
• die Unterstützung bei der regelmäßige Überprüfung der Unionspolitik und Erstellung eines Jahresberichts über den Stand der Umsetzung des jeweiligen Rechtsrahmens i

Im Bereich „Kapazitätsaufbau“ unterstützt die ENISA die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union u. a.

• bei ihren Bemühungen zur Verhütung, Erkennung und Analyse und zur Stärkung ihrer Fähigkeiten bei der Bewältigung von Cyberbedrohungen und Cybersicherheitsvorfällen
• bei der Aufstellung und Umsetzung von Strategien für eine Offenlegung von Sicherheitslücken auf freiwilliger Basis
• durch die regelmäßige Veranstaltung der mindestens alle zwei Jahre stattfindenden Cybersicherheitsübungen auf Unionsebene

Im Bereich „Operative Zusammenarbeit auf Unionsebene“ unterstützt sie die Zusammenarbeit, arbeitet auf operativen Ebenen mit und entwickelt Synergien mit den beteiligten Stellen. Auf Ersuchen eines oder mehrerer Mitgliedstaaten unterstützt sie die nachträglichen technischen Untersuchungen von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen.

Da die zugrunde liegende Verordnung den Binnenmarkt der Union stärken soll, ist ENISA tätig im Bereich „Markt, Cybersicherheitszertifizierung und Normung“, wo insbesondere die Cybersicherheitszertifizierung eine wesentliche Rolle spielt. Neben dem Beisteuern von Wissen sowie Ausarbeitung europäischer Schemata nimmt ENISA hier auch Sekretariatsgeschäfte wahr.

Im Bereich „Wissen und Informationen“:

• Analyse neu entstehender Technik
• themenspezifische Bewertungen der von den technischen Innovationen zu erwartenden gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Auswirkungen auf die Cybersicherheit
• Durchführung langfristiger strategischer Analysen der Cyberbedrohungen und Sicherheitsvorfälle zur Erkennung neu auftretende Trends

Im Bereich „Sensibilisierung und Ausbildung“:

• sensibilisiert die ENISA die Öffentlichkeit für Cybersicherheitsrisiken und stellt Leitlinien für bewährte Verfahren zur Verfügung, die sich an Bürger, Organisationen und Unternehmen richten und auch Cyberhygiene und Cyberkompetenz umfassen
• organisiert in Zusammenarbeit mit den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union und der Branche regelmäßige Aufklärungskampagnen, um die Cybersicherheit und ihre Sichtbarkeit in der Union zu erhöhen und eine umfassende öffentliche Debatte anzuregen

Im Zusammenhang der „Forschung und Innovation“:

• berät ENISA die Organe, Einrichtungen und sonstigen Stellen der Union und die Mitgliedstaaten zum Forschungsbedarf und zu den Forschungsprioritäten im Bereich Cybersicherheit
• beteiligt sie sich bei übertragenen Befugnisse an der Durchführungsphase von Förderprogrammen für Forschung und Innovation oder als Begünstigte
• trägt im Bereich der Cybersicherheit zur strategischen Forschungs- und Innovationsagenda auf Unionsebene bei.

In der „Internationalen Zusammenarbeit“ unterstützt ENISA die Bemühungen der Union um Zusammenarbeit mit Drittländern und internationalen Organisationen sowie der Förderung der internationale Zusammenarbeit in Angelegenheiten der Cybersicherheit, indem sie

• bei der Organisation von internationalen Übungen als Beobachterin mitwirkt, die Ergebnisse solcher Übungen analysiert und sie dem Verwaltungsrat vorlegt
• der Kommission auf deren Ersuchen mit Sachkenntnis zur Seite steht;

Organisation

ENISA verfügt über zirka 110 Mitarbeiter.^[4]

Die Verwaltungs- und Leitungsstruktur der ENISA besteht aus

• einem Verwaltungsrat (Management Board);
• einem Exekutivrat (Executive Board);
• einem Exekutivdirektor;
• einer ENISA-Beratungsgruppe (Advisory Group); und
• einem Netz der nationalen Verbindungsbeamten (National Liaison Officers Network).^[1]

Direktion

Die Agentur wird von einem geschäftsführenden Direktor geführt, der bei der Wahrnehmung seiner Aufgaben unabhängig ist. Der Exekutivdirektor ist gegenüber dem Verwaltungsrat rechenschaftspflichtig. Der Exekutivdirektor erstattet dem Europäischen Parlament über die Erfüllung seiner Aufgaben Bericht, wenn er dazu aufgefordert wird.^[1]

Der erste geschäftsführende Vertreter war Andrea Pirotti, dessen Nachfolge 2009 Udo Helmbrecht antrat. Im Oktober 2019 wurde Udo Helmbrecht von Juhan Lepassaar abgelöst.

Verwaltungsrat

Als Hauptaufgabe des Verwaltungsrates legt dieser die allgemeine Ausrichtung der Tätigkeit der ENISA fest und sorgt auch dafür, dass die ENISA ihre Geschäfte gemäß der in dieser Verordnung festgelegten Vorschriften und Grundsätze führt. Er sorgt zudem für die Abstimmung der Arbeit der ENISA mit den Tätigkeiten, die von den Mitgliedstaaten und auf Unionsebene durchgeführt werden.^[1]

Dem Verwaltungsrat gehören je ein von jedem Mitgliedstaat ernanntes Mitglied und zwei von der Europäischen Kommission ernannte Mitglieder an. Alle Mitglieder haben Stimmrecht.

Seit dem 15. Juni 2023 leitet Fabienne Tegeler den Verwaltungsrat.

Zu den deutschsprachigen Verwaltungsräten für den Mitgliedsstaat Deutschland zählten Martin Schallbruch (Bundesministerium des Innern) und Michael Hange (Bundesamt für Sicherheit in der Informationstechnik).

Für Österreich ist Reinhard Posch Vertreter im Verwaltungsrat, der diesen bis 2010 als Vorsitzender geleitet hat.

Bei den Interessenvertretern waren für die akademische Seite Kai Rannenberg (Johann-Wolfgang-Goethe-Universität Frankfurt am Main) und für die Verbraucherseite Markus Bautsch (Stiftung Warentest) seit Beginn von 2004 bis 2014 Mitglied im Verwaltungsrat.^[5] Kai Rannenberg ist 2015 in die Permanente Gruppe der Interessenvertreter aufgenommen worden.^[6]

Netzwerk der nationalen Verbindungsbeamten

Das Netzwerk wurde im Jahr 2004 als informelle Anlaufstelle in die Mitgliedsstaaten gegründet. Ab dem 27. Juni 2019 ist das Netzwerk der nationalen Verbindungsbeamten ein satzungsgemäßes Organ der ENISA.

Jedes EU-Mitgliedstaat ernennt einen Vertreter.

Das Netz der nationalen Verbindungsbeamten erleichtert vor allem den Informationsaustausch zwischen der ENISA und den Mitgliedstaaten und unterstützt die ENISA dabei, ihre Tätigkeiten, Erkenntnisse und Empfehlungen bei den einschlägigen Interessenträgern in der gesamten Union bekannt zu machen.

Die nationalen Verbindungsbeamten dienen als Kontaktstelle auf nationaler Ebene, um die Zusammenarbeit zwischen der ENISA und den nationalen Sachverständigen im Rahmen der Durchführung des Jahresarbeitsprogramms der ENISA zu erleichtern.^[1]

Vertreterin für Deutschland ist Clarissa Wilkie, die für Internationale Beziehungen beim Bundesamt für Sicherheit in der Informationstechnik tätig ist.^[7]

Permanente Gruppe der Interessenvertreter

Die Permanente Gruppe der Interessenvertreter (Permanent Stakeholders’ Group) wird für die Vorbereitung von Projekten gebildet und setzt sich ebenfalls aus Vertretern der Wirtschaft, des Verbraucherschutzes und aus der Forschung zusammen.^[8]

Kritik / mögliche Konflikte

Mit der Gründung des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität im Jahre 2014 unter dem Dach der Europol werden durch die Überschneidung von Kompetenzen der beiden Organisationen Konflikte möglich.^[9] Die Ursache liegt in der mangelnden Abstimmung der Aufgabenbereiche.^[9]

Kooperation

ENISA kooperiert auf nationaler Ebene der Europäischen Union mit allen zuständigen Ministerien, Regulierungsbehörden und vielen weiteren nachgeordneten Behörden (CERT, police) und Institutionen, wie zum Beispiel:

• Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, Deutschland
• Central Sponsor for Information Assurance (CSIA), London, Vereinigtes Königreich
• Department of Trade & Industry – Information Security Policy Team, London, Vereinigtes Königreich
• Agence nationale de la sécurité des systèmes d’information (ANSSI), Paris, Frankreich
• Agenzia per la cybersicurezza nazionale (ACN), Rom, Italien

Weblinks

• ENISA auf der offiziellen Website der Europäischen Union europa.eu
• Offizielle Website (nur in Englisch verfügbar)
• Europäische Agentur für Netz- und Informationssicherheit (ENISA). Zusammenfassung der Gesetzgebung. In: EUR-Lex. Amt für Veröffentlichungen der Europäischen Union, 22. März 2013; abgerufen am 7. März 2021.
• Schutz Europas vor Cyber-Angriffen und Störungen großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität. Mitteilung der Kommission an das Europäische Parlament, den Rat, der Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen über den Schutz kritischer Informationsinfrastrukturen (Europäische Kommission, März 2009 – PDF, 13 S., 180 kB; vgl. Cyberwar)

Einzelnachweise

1. Verordnung (EU) 2019/881
2. Verordnung (EU) Nr. 526/2013
3. Verordnung (EG) Nr. 460/2004
4. Annual report on EU agencies for the financial year 2021. EUROPEAN COURT OF AUDITORS, 2022, S. 24, abgerufen am 23. August 2023 (englisch).
5. List of ENISA Management Board Representatives and Alternates (Memento des Originals vom 7. März 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.enisa.europa.eu (PDF; 177 kB)
6. The Permanent Stakeholders’ Group – Term of office – March 2015 – September 2017, abgerufen am 18. Dezember 2015
7. List of ENISA National Liaison Officers (NLO). (PDF; 196 kB) European Union Agency for Cybersecurity (ENISA), 30. Mai 2022, abgerufen am 11. Juli 2022 (englisch).
8. Permanent Stakeholders’ Group of ENISA
9. Günther K. Weiße, Bekämpfung der Cyber-Kriminalität durch EUROPOL – Folgen für die deutsche Wirtschaft; auf Sicherheitsmelder (Memento des Originals vom 27. März 2022 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.sicherheitsmelder.de; abgerufen am 5. März 2014.

Agenturen der Europäischen Union

Agenturen:	Agentur der Europäischen Union für Cybersicherheit | Agentur der Europäischen Union für Grundrechte | Agentur der Europäischen Union für die Aus- und Fortbildung auf dem Gebiet der Strafverfolgung | Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust) | Agentur der Europäischen Union für das Weltraumprogramm | Agentur für die Zusammenarbeit der Energieregulierungsbehörden | Amt der Europäischen Union für geistiges Eigentum | Asylagentur der Europäischen Union | Drogenagentur der Europäischen Union | Eisenbahnagentur der Europäischen Union | Europäische Agentur für das Betriebsmanagement von IT-Großsystemen | Europäische Agentur für die Grenz- und Küstenwache (Frontex) | Europäische Agentur für die Sicherheit des Seeverkehrs | Europäische Agentur für Flugsicherheit | Europäische Agentur für Sicherheit und Gesundheitsschutz am Arbeitsplatz | Europäische Arbeitsbehörde | Europäische Arzneimittel-Agentur | Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung | Europäische Bankenaufsichtsbehörde | Europäische Behörde für Lebensmittelsicherheit | Europäische Chemikalienagentur | Europäische Fischereiaufsichtsagentur | Europäische Stiftung für Berufsbildung | Europäische Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen | Europäische Umweltagentur | Europäische Wertpapier- und Marktaufsichtsbehörde | Europäisches Institut für Gleichstellungsfragen | Europäisches Polizeiamt (Europol) | Europäisches Zentrum für die Förderung der Berufsbildung | Europäisches Zentrum für die Prävention und die Kontrolle von Krankheiten | Gemeinschaftliches Sortenamt | Agentur zur Unterstützung des GEREK | Übersetzungszentrum für die Einrichtungen der Europäischen Union
Agenturen für die Gemeinsame Sicherheits- und Verteidigungspolitik:	Europäische Verteidigungsagentur | Institut der Europäischen Union für Sicherheitsstudien | Satellitenzentrum der Europäischen Union
Agenturen der Europäischen Atomgemeinschaft:	Euratom-Versorgungsagentur | Fusion for Energy
Exekutivagenturen:	Bildung und Kultur (EACEA) | Europäischer Forschungsrat (ERC) | Forschung (REA) | Gesundheit und Digitales (HADEA) | Klima, Infrastruktur und Umwelt (CINEA) | Innovationsrat und kleine und mittlere Unternehmen (EISMEA) Europäisches Kompetenzzentrum für Cybersicherheit in Industrie, Technologie und Forschung (ECCC)

Normdaten (Körperschaft): GND: 10124170-7 (lobid, OGND) | LCCN: no2006035337 | VIAF: 149451445