ENISA Agência da União Europeia para a Cibersegurança.

A ENISA é a agência de cibersegurança da UE, com sede em Atenas. Apoia os Estados-Membros e as instituições da UE em matéria de política de cibersegurança, cooperação operacional e o quadro de certificação da UE. Está operacionalmente envolvida na cooperação ao abrigo do NIS 2, nas normas de execução do DORA e na linha de base de segurança do AI Act. O seu relatório anual sobre o panorama de ameaças é a publicação anual mais citada.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

A perspetiva da Cyber Academy

A ENISA é a agência de cibersegurança da UE, com sede em Atenas. Apoia os Estados-Membros e as instituições da UE em matéria de política de cibersegurança, cooperação operacional e o quadro de certificação da UE. Está operacionalmente envolvida na cooperação ao abrigo do NIS 2, nas normas de execução do DORA e na linha de base de segurança do AI Act. O seu relatório anual sobre o panorama de ameaças é a publicação anual mais citada.

A ENISA é a Agência da União Europeia para a Cibersegurança. A sua missão é elevar o nível comum de cibersegurança em toda a União.

O que a ENISA faz e o que não faz

A ENISA é o organismo da UE para a cibersegurança. Tem sede em Atenas.

Trabalha ao lado dos Estados-Membros, da Comissão Europeia e das instituições da UE. Apoia três áreas :

  • Política.
  • Cooperação operacional.
  • Reforço de capacidades.

A ENISA não assegura ela própria a defesa nacional. A distinção importa na prática. A ENISA não faz o seguinte :

  • Investigar violações.
  • Aplicar coimas vinculativas.
  • Supervisionar empresas individuais.

As autoridades nacionais competentes e os reguladores setoriais realizam esse trabalho. A ENISA produz aquilo em que essas autoridades se apoiam :

  • Orientações.
  • Informações sobre ameaças.
  • Referenciais técnicos de base.

As organizações reguladas sob essas autoridades apoiam-se no mesmo material.

A ENISA comparada com uma agência nacional

Uma forma útil de situar a ENISA é contrastá-la com uma agência nacional. Tomemos a ANSSI de França.

A ANSSI é uma autoridade de um Estado-Membro. Tem poderes operacionais e regulatórios dentro de um único país.

A ENISA opera um nível acima. Coordena todos os Estados-Membros. Dá à UE um único ponto de referência técnico.

Isto impede que vinte e sete abordagens nacionais se afastem. Assim, quando um CISO francês cita ambos, a divisão é clara :

  • A ANSSI é a autoridade perante a qual responde.
  • A ENISA é a fonte à escala da UE com a qual se alinha.

Onde a ENISA toca as regulamentações que tem de cumprir

Para um profissional de GRC, a ENISA não é uma abstração. Surge diretamente dentro dos textos face aos quais o seu âmbito é definido.

NIS 2

Ao abrigo da NIS 2, a ENISA apoia os mecanismos de cooperação entre os Estados-Membros. Mantém uma consciência partilhada da situação.

Também contribui com orientações técnicas. Isto ajuda as entidades essenciais e importantes a interpretar as suas obrigações de forma coerente. Essas obrigações abrangem a segurança e a notificação de incidentes.

DORA

Ao abrigo do DORA, a ENISA contribui para as normas técnicas de execução e de regulamentação. Estas transformam os requisitos de alto nível do regulamento para as entidades financeiras em expectativas concretas.

AI Act

As disposições de segurança do AI Act ainda estão a tomar forma. A ENISA está em posição de ajudar a definir o nível base de cibersegurança esperado dos sistemas de IA de alto risco.

EU Cybersecurity Act

A ENISA gere o quadro europeu de certificação de cibersegurança. Desenvolve esquemas para produtos, serviços e processos.

Um esquema permite que cada um seja certificado uma única vez. O resultado é depois reconhecido em toda a União.

O que os profissionais leem de facto

A ENISA publica muito. O seu relatório anual Threat Landscape é o trabalho mais citado.

É o documento de referência a que as equipas recorrem quando precisam de uma visão autorizada, ao nível da UE. Mostra como o panorama de ameaças evolui nos vários setores. Os profissionais usam-no para :

  • Verificar a coerência das suas próprias avaliações de risco.
  • Informar os conselhos de administração com uma fonte independente e pan-europeia.
  • Justificar as prioridades de controlo perante auditores e reguladores.

A ENISA também publica mais do que o relatório :

  • Orientações específicas por setor.
  • Guias de boas práticas.
  • Os fundamentos técnicos dos esquemas de certificação.

Como tratar a ENISA na prática

Trate a ENISA como uma fonte de autoridade. Não é um organismo perante o qual presta contas. Não submete nada junto da ENISA.

Em vez disso, alinhe o seu próprio trabalho com o que ela publica :

  • A sua linguagem do risco.
  • Os seus referenciais de controlo de base.
  • Os seus pressupostos sobre ameaças.

Esse material é também a referência que a sua autoridade nacional e o seu auditor leem. Cada vez mais, o seu regulador também o lê.

Frequently asked questions

01A ENISA é um regulador que pode multar a minha empresa?

Não. A ENISA é uma agência de apoio e coordenação. A aplicação, a supervisão e as sanções ao abrigo de regimes como a NIS 2 e o DORA cabem às autoridades nacionais competentes e aos reguladores setoriais, e não à ENISA.

02Qual é a diferença entre a ENISA e a ANSSI?

A ENISA é a agência à escala da UE que coordena a cibersegurança em todos os Estados-Membros. A ANSSI é a autoridade nacional de cibersegurança da França, com poderes operacionais e regulatórios dentro da França. Uma organização francesa responde perante a ANSSI e alinha-se com a ENISA.

03Qual é o papel da ENISA no quadro europeu de certificação da cibersegurança?

Ao abrigo do EU Cybersecurity Act, a ENISA desenvolve e gere esquemas de certificação europeus para que os produtos, serviços e processos TIC possam ser certificados uma só vez e reconhecidos em todos os Estados-Membros, em vez de certificados separadamente em cada país.

04Que publicação da ENISA devo realmente ler?

O relatório anual ENISA Threat Landscape é o mais citado. Oferece uma visão independente, à escala da UE, das ameaças em evolução que os profissionais usam para validar as avaliações de risco e informar a liderança.

05Tenho de notificar os incidentes à ENISA?

Geralmente não. A notificação de incidentes ao abrigo da NIS 2 e do DORA flui para as autoridades nacionais designadas e os CSIRT. A ENISA apoia a consciência situacional partilhada entre os Estados-Membros, mas normalmente não é a entidade junto da qual se apresenta um relatório de incidente.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.