A perspetiva da Cyber Academy
A ENISA é a agência de cibersegurança da UE, com sede em Atenas. Apoia os Estados-Membros e as instituições da UE em matéria de política de cibersegurança, cooperação operacional e o quadro de certificação da UE. Está operacionalmente envolvida na cooperação ao abrigo do NIS 2, nas normas de execução do DORA e na linha de base de segurança do AI Act. O seu relatório anual sobre o panorama de ameaças é a publicação anual mais citada.
A ENISA é a Agência da União Europeia para a Cibersegurança. A sua missão é elevar o nível comum de cibersegurança em toda a União.
O que a ENISA faz e o que não faz
A ENISA é o organismo da UE para a cibersegurança. Tem sede em Atenas.
Trabalha ao lado dos Estados-Membros, da Comissão Europeia e das instituições da UE. Apoia três áreas :
- Política.
- Cooperação operacional.
- Reforço de capacidades.
A ENISA não assegura ela própria a defesa nacional. A distinção importa na prática. A ENISA não faz o seguinte :
- Investigar violações.
- Aplicar coimas vinculativas.
- Supervisionar empresas individuais.
As autoridades nacionais competentes e os reguladores setoriais realizam esse trabalho. A ENISA produz aquilo em que essas autoridades se apoiam :
- Orientações.
- Informações sobre ameaças.
- Referenciais técnicos de base.
As organizações reguladas sob essas autoridades apoiam-se no mesmo material.
A ENISA comparada com uma agência nacional
Uma forma útil de situar a ENISA é contrastá-la com uma agência nacional. Tomemos a ANSSI de França.
A ANSSI é uma autoridade de um Estado-Membro. Tem poderes operacionais e regulatórios dentro de um único país.
A ENISA opera um nível acima. Coordena todos os Estados-Membros. Dá à UE um único ponto de referência técnico.
Isto impede que vinte e sete abordagens nacionais se afastem. Assim, quando um CISO francês cita ambos, a divisão é clara :
- A ANSSI é a autoridade perante a qual responde.
- A ENISA é a fonte à escala da UE com a qual se alinha.
Onde a ENISA toca as regulamentações que tem de cumprir
Para um profissional de GRC, a ENISA não é uma abstração. Surge diretamente dentro dos textos face aos quais o seu âmbito é definido.
NIS 2
Ao abrigo da NIS 2, a ENISA apoia os mecanismos de cooperação entre os Estados-Membros. Mantém uma consciência partilhada da situação.
Também contribui com orientações técnicas. Isto ajuda as entidades essenciais e importantes a interpretar as suas obrigações de forma coerente. Essas obrigações abrangem a segurança e a notificação de incidentes.
DORA
Ao abrigo do DORA, a ENISA contribui para as normas técnicas de execução e de regulamentação. Estas transformam os requisitos de alto nível do regulamento para as entidades financeiras em expectativas concretas.
AI Act
As disposições de segurança do AI Act ainda estão a tomar forma. A ENISA está em posição de ajudar a definir o nível base de cibersegurança esperado dos sistemas de IA de alto risco.
EU Cybersecurity Act
A ENISA gere o quadro europeu de certificação de cibersegurança. Desenvolve esquemas para produtos, serviços e processos.
Um esquema permite que cada um seja certificado uma única vez. O resultado é depois reconhecido em toda a União.
O que os profissionais leem de facto
A ENISA publica muito. O seu relatório anual Threat Landscape é o trabalho mais citado.
É o documento de referência a que as equipas recorrem quando precisam de uma visão autorizada, ao nível da UE. Mostra como o panorama de ameaças evolui nos vários setores. Os profissionais usam-no para :
- Verificar a coerência das suas próprias avaliações de risco.
- Informar os conselhos de administração com uma fonte independente e pan-europeia.
- Justificar as prioridades de controlo perante auditores e reguladores.
A ENISA também publica mais do que o relatório :
- Orientações específicas por setor.
- Guias de boas práticas.
- Os fundamentos técnicos dos esquemas de certificação.
Como tratar a ENISA na prática
Trate a ENISA como uma fonte de autoridade. Não é um organismo perante o qual presta contas. Não submete nada junto da ENISA.
Em vez disso, alinhe o seu próprio trabalho com o que ela publica :
- A sua linguagem do risco.
- Os seus referenciais de controlo de base.
- Os seus pressupostos sobre ameaças.
Esse material é também a referência que a sua autoridade nacional e o seu auditor leem. Cada vez mais, o seu regulador também o lê.
Frequently asked questions
01A ENISA é um regulador que pode multar a minha empresa?
Não. A ENISA é uma agência de apoio e coordenação. A aplicação, a supervisão e as sanções ao abrigo de regimes como a NIS 2 e o DORA cabem às autoridades nacionais competentes e aos reguladores setoriais, e não à ENISA.
02Qual é a diferença entre a ENISA e a ANSSI?
A ENISA é a agência à escala da UE que coordena a cibersegurança em todos os Estados-Membros. A ANSSI é a autoridade nacional de cibersegurança da França, com poderes operacionais e regulatórios dentro da França. Uma organização francesa responde perante a ANSSI e alinha-se com a ENISA.
03Qual é o papel da ENISA no quadro europeu de certificação da cibersegurança?
Ao abrigo do EU Cybersecurity Act, a ENISA desenvolve e gere esquemas de certificação europeus para que os produtos, serviços e processos TIC possam ser certificados uma só vez e reconhecidos em todos os Estados-Membros, em vez de certificados separadamente em cada país.
04Que publicação da ENISA devo realmente ler?
O relatório anual ENISA Threat Landscape é o mais citado. Oferece uma visão independente, à escala da UE, das ameaças em evolução que os profissionais usam para validar as avaliações de risco e informar a liderança.
05Tenho de notificar os incidentes à ENISA?
Geralmente não. A notificação de incidentes ao abrigo da NIS 2 e do DORA flui para as autoridades nacionais designadas e os CSIRT. A ENISA apoia a consciência situacional partilhada entre os Estados-Membros, mas normalmente não é a entidade junto da qual se apresenta um relatório de incidente.