ENISA Agenzia dell'Unione Europea per la Cybersecurity.

ENISA è l'agenzia UE per la cybersecurity, con sede ad Atene. Supporta gli Stati membri e le istituzioni UE in materia di politica della cybersecurity, cooperazione operativa e quadro di certificazione europeo. È operativamente coinvolta nella cooperazione NIS 2, negli standard tecnici di attuazione DORA e nella baseline di sicurezza dell'AI Act. Il loro rapporto sul panorama delle minacce è la pubblicazione annuale più citata in assoluto.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

Il punto di vista di Cyber Academy

ENISA è l'agenzia UE per la cybersecurity, con sede ad Atene. Supporta gli Stati membri e le istituzioni UE in materia di politica della cybersecurity, cooperazione operativa e quadro di certificazione europeo. È operativamente coinvolta nella cooperazione NIS 2, negli standard tecnici di attuazione DORA e nella baseline di sicurezza dell'AI Act. Il loro rapporto sul panorama delle minacce è la pubblicazione annuale più citata in assoluto.

ENISA è l'Agenzia dell'Unione europea per la cibersicurezza. Il suo compito è elevare il livello comune di cibersicurezza in tutta l'Unione.

Cosa fa ENISA e cosa non fa

ENISA è l'organismo dell'UE per la cibersicurezza. Ha sede ad Atene.

Lavora a fianco degli Stati membri, della Commissione europea e delle istituzioni dell'UE. Sostiene tre ambiti :

  • Politica.
  • Cooperazione operativa.
  • Sviluppo delle capacità.

ENISA non gestisce direttamente la difesa nazionale. La distinzione conta nella pratica. ENISA non fa quanto segue :

  • Indagare sulle violazioni.
  • Imporre sanzioni vincolanti.
  • Vigilare sulle singole imprese.

Le autorità nazionali competenti e i regolatori settoriali svolgono questo lavoro. ENISA produce ciò su cui tali autorità si basano :

  • Linee guida.
  • Intelligence sulle minacce.
  • Riferimenti tecnici di base.

Le organizzazioni regolamentate sotto tali autorità si basano sullo stesso materiale.

ENISA a confronto con un'agenzia nazionale

Un modo utile per collocare ENISA è metterla a confronto con un'agenzia nazionale. Prendiamo l'ANSSI francese.

L'ANSSI è un'autorità di uno Stato membro. Dispone di poteri operativi e regolamentari all'interno di un solo paese.

ENISA opera a un livello superiore. Coordina tutti gli Stati membri. Offre all'UE un unico punto di riferimento tecnico.

Questo impedisce a ventisette approcci nazionali di divergere. Così, quando un CISO francese cita entrambi, la distinzione è chiara :

  • L'ANSSI è l'autorità a cui risponde.
  • ENISA è la fonte a livello UE con cui si allinea.

Dove ENISA tocca le normative che dovete rispettare

Per un professionista GRC, ENISA non è un'astrazione. Compare direttamente all'interno dei testi rispetto ai quali è definito il vostro perimetro.

NIS 2

Ai sensi di NIS 2, ENISA sostiene i meccanismi di cooperazione tra gli Stati membri. Mantiene una consapevolezza condivisa della situazione.

Contribuisce inoltre con linee guida tecniche. Questo aiuta i soggetti essenziali e importanti a interpretare i propri obblighi in modo coerente. Tali obblighi riguardano la sicurezza e la notifica degli incidenti.

DORA

Ai sensi di DORA, ENISA contribuisce alle norme tecniche di attuazione e di regolamentazione. Queste trasformano i requisiti di alto livello del regolamento per i soggetti finanziari in aspettative concrete.

AI Act

Le disposizioni di sicurezza dell'AI Act sono ancora in fase di definizione. ENISA è in posizione di contribuire a definire il livello base di cibersicurezza atteso dai sistemi di IA ad alto rischio.

EU Cybersecurity Act

ENISA gestisce il quadro europeo di certificazione della cibersicurezza. Sviluppa schemi per prodotti, servizi e processi.

Uno schema consente di certificare ciascuno una sola volta. Il risultato viene poi riconosciuto in tutta l'Unione.

Ciò che i professionisti leggono davvero

ENISA pubblica molto. Il suo rapporto annuale Threat Landscape è il lavoro più citato.

È il documento di riferimento a cui i team ricorrono quando hanno bisogno di una visione autorevole, a livello UE. Mostra come il quadro delle minacce evolve nei diversi settori. I professionisti lo utilizzano per :

  • Verificare la coerenza delle proprie valutazioni del rischio.
  • Informare i consigli di amministrazione con una fonte indipendente e paneuropea.
  • Giustificare le priorità di controllo presso revisori e regolatori.

ENISA pubblica anche più del solo rapporto :

  • Linee guida specifiche per settore.
  • Guide alle buone pratiche.
  • Le basi tecniche degli schemi di certificazione.

Come trattare ENISA nella pratica

Trattate ENISA come una fonte di autorevolezza. Non è un organismo a cui rendete conto. Non depositate nulla presso ENISA.

Allineate invece il vostro lavoro a ciò che pubblica :

  • Il vostro linguaggio del rischio.
  • I vostri riferimenti di controllo di base.
  • Le vostre ipotesi sulle minacce.

Questo materiale è anche il riferimento che leggono la vostra autorità nazionale e il vostro revisore. Sempre più spesso lo legge anche il vostro regolatore.

Frequently asked questions

01L'ENISA è un regolatore che può multare la mia azienda?

No. L'ENISA è un'agenzia di sostegno e coordinamento. L'applicazione, la vigilanza e le sanzioni nell'ambito di regimi come NIS 2 e DORA spettano alle autorità nazionali competenti e ai regolatori di settore, non all'ENISA.

02Qual è la differenza tra l'ENISA e l'ANSSI?

L'ENISA è l'agenzia a livello UE che coordina la cibersicurezza in tutti gli Stati membri. L'ANSSI è l'autorità nazionale francese per la cibersicurezza, dotata di poteri operativi e regolamentari all'interno della Francia. Un'organizzazione francese risponde all'ANSSI e si allinea all'ENISA.

03Qual è il ruolo dell'ENISA nel quadro europeo di certificazione della cibersicurezza?

Ai sensi dell'EU Cybersecurity Act, l'ENISA sviluppa e gestisce schemi di certificazione europei affinché prodotti, servizi e processi ICT possano essere certificati una sola volta e riconosciuti in tutti gli Stati membri, anziché certificati separatamente in ciascun paese.

04Quale pubblicazione dell'ENISA dovrei davvero leggere?

Il rapporto annuale ENISA Threat Landscape è il più citato. Offre una visione indipendente, a livello UE, delle minacce in evoluzione che i professionisti usano per validare le valutazioni del rischio e informare la dirigenza.

05Devo notificare gli incidenti all'ENISA?

In genere no. La notifica degli incidenti ai sensi della NIS 2 e del DORA confluisce verso le autorità nazionali designate e i CSIRT. L'ENISA sostiene la consapevolezza situazionale condivisa tra gli Stati membri, ma di norma non è l'entità presso cui si deposita una segnalazione di incidente.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.