ENISA Agencia de la Unión Europea para la Ciberseguridad.

ENISA es la agencia de ciberseguridad de la UE, con sede en Atenas. Apoya a los estados miembros y a las instituciones europeas en materia de política de ciberseguridad, cooperación operativa y el marco de certificación de la UE. Participa activamente en la cooperación de NIS 2, en las normas de desarrollo de DORA y en la línea de base de seguridad del AI Act. Su informe anual sobre el panorama de amenazas es la publicación anual más citada del sector.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

La perspectiva de Cyber Academy

ENISA es la agencia de ciberseguridad de la UE, con sede en Atenas. Apoya a los estados miembros y a las instituciones europeas en materia de política de ciberseguridad, cooperación operativa y el marco de certificación de la UE. Participa activamente en la cooperación de NIS 2, en las normas de desarrollo de DORA y en la línea de base de seguridad del AI Act. Su informe anual sobre el panorama de amenazas es la publicación anual más citada del sector.

ENISA es la Agencia de la Unión Europea para la Ciberseguridad. Su misión es elevar el nivel común de ciberseguridad en toda la Unión.

Qué hace ENISA y qué no hace

ENISA es el organismo de la UE para la ciberseguridad. Tiene su sede en Atenas.

Trabaja junto a los Estados miembros, la Comisión Europea y las instituciones de la UE. Apoya tres ámbitos :

  • Política.
  • Cooperación operativa.
  • Desarrollo de capacidades.

ENISA no se encarga ella misma de la defensa nacional. La distinción importa en la práctica. ENISA no hace lo siguiente :

  • Investigar brechas.
  • Imponer multas vinculantes.
  • Supervisar empresas individuales.

Las autoridades nacionales competentes y los reguladores sectoriales realizan ese trabajo. ENISA produce aquello en lo que esas autoridades se apoyan :

  • Orientaciones.
  • Inteligencia sobre amenazas.
  • Líneas base técnicas.

Las organizaciones reguladas bajo esas autoridades se apoyan en el mismo material.

ENISA comparada con una agencia nacional

Una forma útil de situar a ENISA es contrastarla con una agencia nacional. Tomemos la ANSSI de Francia.

La ANSSI es una autoridad de un Estado miembro. Tiene poderes operativos y reguladores dentro de un solo país.

ENISA opera un nivel por encima. Coordina a todos los Estados miembros. Da a la UE un único punto de referencia técnico.

Esto impide que veintisiete enfoques nacionales se separen. Así, cuando un CISO francés cita ambos, la división es clara :

  • La ANSSI es la autoridad ante la que responde.
  • ENISA es la fuente a escala de la UE con la que se alinea.

Dónde ENISA incide en las regulaciones que debe cumplir

Para un profesional de GRC, ENISA no es una abstracción. Aparece directamente dentro de los textos respecto a los cuales se delimita su alcance.

NIS 2

En virtud de NIS 2, ENISA apoya los mecanismos de cooperación entre los Estados miembros. Mantiene un conocimiento compartido de la situación.

También aporta orientaciones técnicas. Esto ayuda a las entidades esenciales e importantes a interpretar sus obligaciones de forma coherente. Esas obligaciones abarcan la seguridad y la notificación de incidentes.

DORA

En virtud de DORA, ENISA contribuye a las normas técnicas de ejecución y de regulación. Estas convierten los requisitos de alto nivel del reglamento para las entidades financieras en expectativas concretas.

AI Act

Las disposiciones de seguridad del AI Act aún están tomando forma. ENISA está en posición de ayudar a definir la línea base de ciberseguridad esperada de los sistemas de IA de alto riesgo.

EU Cybersecurity Act

ENISA gestiona el marco europeo de certificación de ciberseguridad. Desarrolla esquemas para productos, servicios y procesos.

Un esquema permite que cada uno se certifique una sola vez. El resultado se reconoce después en toda la Unión.

Lo que los profesionales leen realmente

ENISA publica mucho. Su informe anual Threat Landscape es la obra más citada.

Es el documento de referencia al que recurren los equipos cuando necesitan una visión autorizada, a nivel de la UE. Muestra cómo evoluciona el panorama de amenazas en los distintos sectores. Los profesionales lo utilizan para :

  • Contrastar la coherencia de sus propias evaluaciones de riesgos.
  • Informar a los consejos de administración con una fuente independiente y paneuropea.
  • Justificar las prioridades de control ante auditores y reguladores.

ENISA también publica más que el informe :

  • Orientaciones específicas por sector.
  • Guías de buenas prácticas.
  • Los fundamentos técnicos de los esquemas de certificación.

Cómo tratar a ENISA en la práctica

Trate a ENISA como una fuente de autoridad. No es un organismo ante el que rinda cuentas. No presenta nada ante ENISA.

En cambio, alinee su propio trabajo con lo que publica :

  • Su lenguaje del riesgo.
  • Sus líneas base de control.
  • Sus hipótesis sobre amenazas.

Ese material es también la referencia que leen su autoridad nacional y su auditor. Cada vez más, su regulador también la lee.

Frequently asked questions

01¿Es ENISA un regulador que puede multar a mi empresa?

No. ENISA es una agencia de apoyo y coordinación. La aplicación, la supervisión y las sanciones bajo regímenes como NIS 2 y DORA recaen en las autoridades nacionales competentes y los reguladores sectoriales, no en ENISA.

02¿Cuál es la diferencia entre ENISA y la ANSSI?

ENISA es la agencia a escala de la UE que coordina la ciberseguridad en todos los Estados miembros. La ANSSI es la autoridad nacional de ciberseguridad de Francia, con poderes operativos y reguladores dentro de Francia. Una organización francesa responde ante la ANSSI y se alinea con ENISA.

03¿Cuál es el papel de ENISA en el marco europeo de certificación de ciberseguridad?

En el marco del EU Cybersecurity Act, ENISA desarrolla y gestiona esquemas de certificación europeos para que los productos, servicios y procesos TIC puedan certificarse una sola vez y reconocerse en todos los Estados miembros, en lugar de certificarse por separado en cada país.

04¿Qué publicación de ENISA debería leer realmente?

El informe anual ENISA Threat Landscape es el más citado. Ofrece una visión independiente, a escala de la UE, de las amenazas en evolución que los profesionales usan para validar las evaluaciones de riesgos e informar a la dirección.

05¿Tengo que notificar los incidentes a ENISA?

Por lo general, no. La notificación de incidentes bajo NIS 2 y DORA fluye hacia las autoridades nacionales designadas y los CSIRT. ENISA apoya la conciencia situacional compartida entre los Estados miembros, pero normalmente no es la entidad ante la que se presenta un informe de incidente.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.