ENISA Europäische Agentur für Cybersicherheit.

ENISA ist die EU-Cybersicherheitsbehörde mit Sitz in Athen. Sie unterstützt Mitgliedstaaten und EU-Institutionen in den Bereichen Cybersicherheitspolitik, operative Zusammenarbeit und den EU-Zertifizierungsrahmen. Operativ ist sie in die NIS 2-Kooperation, die Durchführungsstandards zu DORA sowie die Sicherheitsbasislinie des AI Act eingebunden. Ihr Bericht zur Bedrohungslage ist die meistzitierte jährliche Publikation in diesem Bereich.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

Die Einschätzung der Cyber Academy

ENISA ist die EU-Cybersicherheitsbehörde mit Sitz in Athen. Sie unterstützt Mitgliedstaaten und EU-Institutionen in den Bereichen Cybersicherheitspolitik, operative Zusammenarbeit und den EU-Zertifizierungsrahmen. Operativ ist sie in die NIS 2-Kooperation, die Durchführungsstandards zu DORA sowie die Sicherheitsbasislinie des AI Act eingebunden. Ihr Bericht zur Bedrohungslage ist die meistzitierte jährliche Publikation in diesem Bereich.

ENISA ist die Agentur der Europäischen Union für Cybersicherheit. Ihre Aufgabe ist es, das gemeinsame Cybersicherheitsniveau in der gesamten Union zu erhöhen.

Was ENISA tut und was nicht

ENISA ist die EU-Einrichtung für Cybersicherheit. Ihr Sitz ist in Athen.

Sie arbeitet mit den Mitgliedstaaten, der Europäischen Kommission und den EU-Institutionen zusammen. Sie unterstützt drei Bereiche :

  • Politik.
  • Operative Zusammenarbeit.
  • Kapazitätsaufbau.

ENISA betreibt nicht selbst die nationale Verteidigung. Die Unterscheidung ist in der Praxis von Bedeutung. ENISA tut Folgendes nicht :

  • Verstöße untersuchen.
  • Verbindliche Geldbußen verhängen.
  • Einzelne Unternehmen beaufsichtigen.

Die zuständigen nationalen Behörden und die Sektorregulatoren leisten diese Arbeit. ENISA erstellt das, worauf sich diese Behörden stützen :

  • Leitlinien.
  • Bedrohungsanalysen.
  • Technische Grundlagen.

Regulierte Organisationen unter diesen Behörden stützen sich auf dasselbe Material.

ENISA im Vergleich zu einer nationalen Agentur

Eine nützliche Möglichkeit, ENISA einzuordnen, besteht darin, sie einer nationalen Agentur gegenüberzustellen. Nehmen wir die französische ANSSI.

Die ANSSI ist eine Behörde eines Mitgliedstaats. Sie verfügt über operative und regulatorische Befugnisse innerhalb eines einzigen Landes.

ENISA arbeitet eine Ebene darüber. Sie koordiniert über alle Mitgliedstaaten hinweg. Sie gibt der EU einen einzigen technischen Bezugspunkt.

Das verhindert, dass siebenundzwanzig nationale Ansätze auseinanderdriften. Wenn also ein französischer CISO beide nennt, ist die Aufteilung klar :

  • Die ANSSI ist die Behörde, der er rechenschaftspflichtig ist.
  • ENISA ist die EU-weite Quelle, an der er sich ausrichtet.

Wo ENISA die Vorschriften berührt, die Sie einhalten müssen

Für einen GRC-Praktiker ist ENISA keine Abstraktion. Sie taucht direkt in den Texten auf, an denen sich Ihr Geltungsbereich bemisst.

NIS 2

Im Rahmen von NIS 2 unterstützt ENISA die Kooperationsmechanismen zwischen den Mitgliedstaaten. Sie pflegt ein gemeinsames Lagebild.

Sie steuert außerdem technische Leitlinien bei. Das hilft wesentlichen und wichtigen Einrichtungen, ihre Pflichten einheitlich auszulegen. Diese Pflichten umfassen Sicherheit und Meldung von Vorfällen.

DORA

Im Rahmen von DORA trägt ENISA zu den technischen Durchführungs- und Regulierungsstandards bei. Diese überführen die übergeordneten Anforderungen der Verordnung für Finanzunternehmen in konkrete Erwartungen.

AI Act

Die Sicherheitsbestimmungen des AI Act nehmen noch Gestalt an. ENISA ist in der Position, die von KI-Systemen mit hohem Risiko erwartete Cybersicherheits-Grundlinie mitzudefinieren.

EU Cybersecurity Act

ENISA betreibt den europäischen Rahmen für die Cybersicherheitszertifizierung. Sie entwickelt Schemata für Produkte, Dienste und Prozesse.

Ein Schema ermöglicht es, dass jedes davon einmal zertifiziert wird. Das Ergebnis wird dann in der gesamten Union anerkannt.

Was Praktiker tatsächlich lesen

ENISA veröffentlicht viel. Ihr jährlicher Threat-Landscape-Bericht ist die am häufigsten zitierte Arbeit.

Er ist das Referenzdokument, zu dem Teams greifen, wenn sie eine maßgebliche Sicht auf EU-Ebene benötigen. Er zeigt, wie sich das Bedrohungsbild über die Sektoren hinweg entwickelt. Praktiker nutzen ihn, um :

  • Ihre eigenen Risikobewertungen auf Plausibilität zu prüfen.
  • Vorständen mit einer unabhängigen und paneuropäischen Quelle zu berichten.
  • Kontrollprioritäten gegenüber Prüfern und Regulatoren zu begründen.

ENISA veröffentlicht außerdem mehr als nur den Bericht :

  • Sektorspezifische Leitlinien.
  • Leitfäden für bewährte Verfahren.
  • Die technische Grundlagenarbeit hinter den Zertifizierungsschemata.

Wie man ENISA in der Praxis behandelt

Behandeln Sie ENISA als Autoritätsquelle. Sie ist keine Stelle, der Sie Bericht erstatten. Sie reichen nichts bei ENISA ein.

Richten Sie stattdessen Ihre eigene Arbeit an dem aus, was sie veröffentlicht :

  • Ihre Risikosprache.
  • Ihre Kontroll-Grundlinien.
  • Ihre Bedrohungsannahmen.

Dieses Material ist die Referenz, die auch Ihre nationale Behörde und Ihr Prüfer lesen. Zunehmend liest es auch Ihr Regulator.

Frequently asked questions

01Ist die ENISA ein Regulierer, der mein Unternehmen mit einem Bußgeld belegen kann?

Nein. Die ENISA ist eine unterstützende und koordinierende Agentur. Durchsetzung, Aufsicht und Sanktionen im Rahmen von Regimen wie NIS 2 und DORA liegen bei den zuständigen nationalen Behörden und den Sektorregulierern, nicht bei der ENISA.

02Was ist der Unterschied zwischen der ENISA und der ANSSI?

Die ENISA ist die EU-weite Agentur, die die Cybersicherheit über alle Mitgliedstaaten hinweg koordiniert. Die ANSSI ist die nationale Cybersicherheitsbehörde Frankreichs mit operativen und regulatorischen Befugnissen innerhalb Frankreichs. Eine französische Organisation ist der ANSSI rechenschaftspflichtig und richtet sich an der ENISA aus.

03Welche Rolle spielt die ENISA im europäischen Rahmen für die Cybersicherheitszertifizierung?

Im Rahmen des EU Cybersecurity Act entwickelt und verwaltet die ENISA europäische Zertifizierungsschemata, damit IKT-Produkte, -Dienste und -Prozesse einmal zertifiziert und in allen Mitgliedstaaten anerkannt werden können, statt in jedem Land separat zertifiziert zu werden.

04Welche ENISA-Veröffentlichung sollte ich tatsächlich lesen?

Der jährliche ENISA-Threat-Landscape-Bericht ist der am häufigsten zitierte. Er bietet eine unabhängige, EU-weite Sicht auf sich entwickelnde Bedrohungen, die Fachleute nutzen, um Risikobewertungen zu validieren und die Leitung zu informieren.

05Muss ich Vorfälle an die ENISA melden?

In der Regel nein. Die Meldung von Vorfällen im Rahmen von NIS 2 und DORA fließt an die benannten nationalen Behörden und CSIRTs. Die ENISA unterstützt das gemeinsame Lagebild über die Mitgliedstaaten hinweg, ist aber normalerweise nicht die Stelle, bei der Sie eine Vorfallmeldung einreichen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.