EUROPÄISCHE KOMMISSION
Brüssel, den 13.9.2017
COM(2017) 478 final
BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT
über die Bewertung der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA)
EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
You are here
Document 52017DC0478
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the evaluation of the European Union Agency for Network and Information Security (ENISA)
BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT über die Bewertung der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA)
BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT über die Bewertung der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA)
COM/2017/0478 final
- Date of document:
- 13/09/2017
- Date of dispatch:
- 13/09/2017; Dem Rat zugeleitet
- Date of dispatch:
- 13/09/2017; Dem Parlament zugeleitet
- Author:
- Europäische Kommission, Generaldirektion Kommunikationsnetze, Inhalte und Technologien
- Responsible body:
- CNECT
- Form:
- Bericht
- Legal basis:
-
- 32013R0526 - A32
- Link
- Link
- Link
- Select all documents mentioning this document
- Instruments cited:
- EUROVOC descriptor:
- Subject matter:
- Directory code:
Language
HTML
DOC
PDF
1.Einführung
1.1. Informationen zur ENISA
Die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) wurde im Jahr 2004 gegründet und ihr Mandat wurde in regelmäßigen Abständen verlängert. Das derzeitige Mandat der ENISA ist in der Verordnung (EU) Nr. 526/2013 1 (im Folgenden „ENISA-Verordnung“) festgelegt und läuft am 19. Juni 2020 aus.
Das Mandat der ENISA besteht darin, einen Beitrag zu einem hohen Netz- und Informationssicherheitsniveau innerhalb der Union zu leisten. In der ENISA-Verordnung werden die Ziele der Agentur im Einzelnen wie folgt festgelegt:
·Die Agentur entwickelt und pflegt ein hohes Niveau an Sachkenntnis.
·Sie unterstützt die Organe, Einrichtungen und sonstigen Stellen der Union dabei, politische Maßnahmen im Bereich der Netz- und Informationssicherheit zu entwickeln.
·Sie unterstützt die Organe, Einrichtungen und sonstigen Stellen der Union und die Mitgliedstaaten dabei, die politischen Maßnahmen durchzuführen, die erforderlich sind, um die rechtlichen und regulatorischen Anforderungen in Bezug auf Netz- und Informationssicherheit in geltenden und künftigen Rechtsakten der Union zu erfüllen, und trägt dadurch zum ordnungsgemäßen Funktionieren des Binnenmarktes bei.
·Sie unterstützt die Union und die Mitgliedstaaten bei der Verbesserung und Stärkung ihrer Fähigkeit und Abwehrbereitschaft zur Verhütung, Erkennung und Bewältigung von Problemen und Vorfällen im Bereich der Netz- und Informationssicherheit.
·Sie nutzt ihre Sachkenntnis, um Anstöße zu einer breiten Zusammenarbeit zwischen Akteuren des öffentlichen und des privaten Sektors zu geben.
Darüber hinaus haben die gesetzgebenden EU-Organe der ENISA im Wege der Richtlinie (EU) 2016/1148 2 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (im Folgenden „NIS-Richtlinie“) wichtige Aufgaben bei der Anwendung der Rechtsvorschriften zugewiesen. Insbesondere stellt die Agentur das Sekretariat des CSIRTs-Netzes (das eingerichtet wurde, um eine schnelle und wirksame operative Zusammenarbeit zwischen den Mitgliedstaaten zu fördern) und wird auch herangezogen, um die Kooperationsgruppe für die strategische Zusammenarbeit bei der Durchführung ihrer Aufgaben zu unterstützen. In der NIS-Richtlinie ist ferner geregelt, dass die ENISA die Mitgliedstaaten und die Kommission mit Fachkompetenz, als Berater und als Mittler für den Austausch bewährter Verfahren unterstützen muss.
Die Agentur ist in Griechenland angesiedelt, wobei sich ihr Verwaltungssitz in Heraklion (Kreta) befindet und das Kerngeschäft von Athen aus betrieben wird. Sie hat 84 Mitarbeiter und ein jährliches Betriebsbudget in Höhe von 11,25 Mio. EUR. An ihrer Spitze steht ein Direktor, die Leitung erfolgt durch einen Verwaltungsrat, einen Exekutivrat und eine Ständige Gruppe der Interessenträger. Über ein informelles Netz nationaler Verbindungsbeamte wird der Kontakt mit den Mitgliedstaaten erleichtert.
1.2 Zweck des Berichts
Nach Artikel 32 der ENISA-Verordnung muss die Kommission bis zum 20. Juni 2018 eine „Bewertung insbesondere der Wirkung, Wirksamkeit und Effizienz der Agentur und ihrer Arbeitsmethoden“ vorlegen und prüfen, ob das jeweils geltende Mandat verlängert werden muss.
Angesichts der erheblichen Veränderungen der Cybersicherheitslage, die seit 2013 – dem Jahr, in dem die derzeitige ENISA-Verordnung erlassen wurde –, eingetreten sind, hat die Kommission unter Berücksichtigung der erreichten politischen, marktbezogenen und technologischen Reife in ihrer Mitteilung „Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche“ 3 aus dem Jahr 2016 angekündigt, dass sie die Bewertung und Überprüfung der ENISA vorziehen würde. Die Kommission stellte insbesondere fest, dass die Überprüfung der ENISA eine Gelegenheit dafür bieten würde, die Fähigkeiten und Kapazitäten der Agentur zur nachhaltigen Unterstützung der Mitgliedstaaten bei der Verwirklichung der Abwehrfähigkeit gegenüber Cyberangriffen unter Umständen zu stärken.
Diese Vorstellung wurde in den Schlussfolgerungen des Rates von 2016 4 erneut bekräftigt, in denen festgestellt wurde, dass „Cyberbedrohungen und Angriffsflächen für Cyberattacken sich weiterentwickeln und zunehmen, weshalb insbesondere zur Bewältigung schwerwiegender grenzüberschreitender Cybervorfälle eine ständige und noch engere Zusammenarbeit erforderlich ist“. In den Schlussfolgerungen wird bekräftigt, dass „die ENISA-Verordnung eines der Kernelemente der Widerstandsfähigkeit gegenüber Cyberangriffen in der EU“ ist.
Die Ergebnisse der ENISA-Bewertung fanden Eingang in die Folgenabschätzung zum Vorschlag für eine Verordnung über die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA, die „EU-Cybersicherheitsagentur“) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“).
Nach Artikel 32 der ENISA-Verordnung muss die Kommission den Bewertungsbericht zusammen mit ihren abschließenden Feststellungen dem Europäischen Parlament, dem Rat und dem Verwaltungsrat übermitteln. Der vorliegende zusammenfassende Bericht wird durch eine Arbeitsunterlage der Kommissionsdienststellen über die Bewertung der Agentur der Europäischen Union für Netz- und Informationssicherheit (SWD(2017) 502) ergänzt.
2.Wichtigste Ergebnisse der Bewertung
Im Rahmen der Bewertung wurden im Einklang mit den Leitlinien für eine bessere Rechtsetzung der Kommission 5 die Wirksamkeit, Effizienz, Kohärenz und Relevanz sowie der EU-Mehrwert der Agentur unter Berücksichtigung ihrer Leistungen, Führung, internen Organisationsstruktur und Arbeitsmethoden beurteilt.
Bei der Analyse wurde auch das erweiterte Umfeld, in dem die Agentur nun tätig ist, berücksichtigt, insbesondere im Hinblick auf den neuen rechtlichen und politischen Rahmen (z. B. NIS-Richtlinie, Überprüfung der EU-Strategie für Cybersicherheit), den sich wandelnden Bedarf der Interessenträger der Agentur und die Komplementarität und möglichen Synergien mit der Arbeit anderer Organe, Einrichtungen und sonstiger Stellen der EU und der Mitgliedstaaten, z. B. des Computer-Notfallteams der Organe, Einrichtungen und sonstigen Stellen der EU (CERT-EU) und des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) innerhalb von Europol.
Zur Bewertung der Funktionsweise der Agentur wurde Folgendes unternommen:
·Die Kommission gab eine unabhängige Studie in Auftrag, die von November 2016 bis Juli 2017 durchgeführt wurde; zusammen mit der internen Analyse der Dienststellen der Kommission ist sie die wichtigste Quelle für die Bewertung.
·Die Studie umfasste sekundärstatistische Auswertungen, Datenerhebungen und analysen, einschließlich der Befragung von Interessenträgern, ausführliche Interviews mit zentralen Akteuren auf dem Gebiet der Cybersicherheit, einen Workshop mit Interessenträgern, Benchmarking-Tätigkeiten, die Positionierung der Agentur und eine Analyse der Stärken, Schwächen, Chancen und Risiken (SWOT-Analyse).
·Außerdem führte die Kommission eine 12-wöchige öffentliche Online-Konsultation sowohl zur Ex-post-Bewertung als auch zur Zukunft der ENISA und gezielte Konsultationen der wichtigsten Interessenträger durch.
Die wichtigsten Ergebnisse der Bewertung gemäß den Bewertungskriterien können wie folgt zusammengefasst werden:
1.Relevanz: Vor dem Hintergrund der technologischen Entwicklungen und der sich ändernden Bedrohungen sowie der Notwendigkeit einer verbesserten Netz- und Informationssicherheit (NIS) in der EU erwiesen sich die Ziele der ENISA als relevant. Die Mitgliedstaaten und die EU-Einrichtungen sind auf Fachwissen über die Entwicklung der NIS angewiesen, in den Mitgliedstaaten müssen Kapazitäten aufgebaut werden, um Bedrohungen verstehen und abwehren zu können, und die Interessenträger müssen über alle Themenbereiche und Einrichtungen hinweg zusammenarbeiten. Die NIS ist nach wie vor eine zentrale politische Priorität der EU, und von der ENISA wird erwartet, dass sie ihr gerecht wird. Die Ausgestaltung der ENISA als EU-Agentur mit einem befristeten Mandat jedoch i) erlaubt in dem sich schnell ändernden Umfeld der Cybersicherheitsbedrohungen keine langfristige Planung und keine nachhaltige Unterstützung der Mitgliedstaaten und der EU-Organe; ii) kann zu einem rechtlichen Vakuum führen, da die Bestimmungen der NIS-Richtlinie, durch die die ENISA mit Aufgaben betraut wurde, dauerhafter Art sind.
2.Wirksamkeit: Insgesamt hat die ENISA ihre Ziele erreicht und ihre Aufgaben wahrgenommen. Durch ihre Haupttätigkeiten (Aufbau von Kapazitäten, Bereitstellung von Fachwissen, Aufbau von Fachkreisen, Unterstützung der Politik) hat sie einen Beitrag zur Verbesserung der NIS in Europa geleistet. Bei den einzelnen Bereichen besteht allerdings ein gewisses Verbesserungspotenzial. Die Bewertung kam zu dem Schluss, dass die ENISA auf wirksame Weise starke und vertrauensvolle Beziehungen zu einigen ihrer Interessenträger, insbesondere zu den Mitgliedstaaten und den CSIRTs-Kreisen, aufgebaut hat. Maßnahmen im Bereich des Kapazitätsaufbaus wurden vor allem für Mitgliedstaaten mit weniger Ressourcen als wirksam angesehen. Besonders hervorzuheben war die Förderung einer breit angelegten Zusammenarbeit; die Interessenträger stimmten weitgehend darin überein, dass die ENISA eine positive Rolle dabei spielt, Menschen zusammenzuführen. Die ENISA hatte jedoch Schwierigkeiten, auf dem weiten Feld der NIS große Wirkung zu entfalten. Dies war auch darauf zurückzuführen, dass sie über nur relativ begrenzte personelle und finanzielle Ressourcen verfügte, um ein sehr umfassendes Mandat zu erfüllen. Eine weitere Schlussfolgerung der Bewertung war, dass die ENISA das Ziel der Bereitstellung von Fachwissen nur zum Teil erreichte, was mit den Schwierigkeiten bei der Rekrutierung von Sachverständigen zusammenhing (siehe nachstehenden Abschnitt zur Effizienz).
3.Effizienz: Trotz ihrer geringen Mittelausstattung (die im Vergleich mit der anderer EU-Agenturen zu den niedrigsten gehört) war die Agentur in der Lage, einen Beitrag zu den gesetzten Zielen zu leisten, wobei sie bei der Nutzung ihrer Ressourcen insgesamt Effizienz bewies. Die Bewertung kam zu dem Schluss, dass die Prozesse im Allgemeinen effizient waren und eine klare Abgrenzung der Zuständigkeiten innerhalb der Organisation dafür sorgte, dass die Arbeiten gut durchgeführt werden konnten. Eine der wesentlichen Herausforderungen in Bezug auf die Effizienz der Agentur betrifft die Schwierigkeiten der ENISA, hoch qualifizierte Sachverständige zu rekrutieren und zu binden. Die Ergebnisse zeigen, dass sich dies durch eine Kombination von Faktoren erklären lässt, u. a. durch die allgemeinen Schwierigkeiten des gesamten öffentlichen Sektors, bei der Einstellung hoch spezialisierter Fachleute mit dem privaten Sektor zu konkurrieren, die Art der Verträge (Befristung), die die Agentur in den meisten Fällen anbieten konnte, und die eher geringe Attraktivität des Standorts der ENISA, z. B. aufgrund der Schwierigkeiten für den Ehepartner, einen Arbeitsplatz zu finden. Die Aufteilung zwischen Athen und Heraklion erforderte zusätzliche Koordinierungsanstrengungen und verursachte zusätzliche Kosten, aber die Übersiedlung der Abteilung für das Kerngeschäft nach Athen im Jahr 2013 hat die operative Effizienz der Agentur verbessert.
4.Kohärenz: Die Tätigkeiten der ENISA standen im Allgemeinen mit der Politik und den Aktivitäten der Interessenträger auf nationaler und EU-Ebene in Einklang, auf EU-Ebene muss jedoch der Ansatz im Hinblick auf die Cybersicherheit besser koordiniert werden. Das Potenzial für eine Zusammenarbeit zwischen der ENISA und anderen EU-Einrichtungen wurde noch nicht voll ausgeschöpft. Die Weiterentwicklung der rechtlichen und politischen Landschaft in der EU hatte zur Folge, dass das aktuelle Mandat jetzt weniger stimmig ist.
5.Mehrwert durch EU-Maßnahmen: Der Mehrwert der ENISA bestand in erster Linie darin, dass die Agentur es verstand, die Zusammenarbeit, insbesondere zwischen den Mitgliedstaaten, aber auch mit den einschlägigen NIS-Fachkreisen, zu verbessern. Auf EU-Ebene gibt es keinen anderen Akteur, der die Zusammenarbeit eines so großen Spektrums unterschiedlicher Interessenträger im Bereich der Netz- und Informationssicherheit unterstützt. Der Mehrwert der Agentur wurde je nach den verschiedenen Bedürfnissen und Ressourcen ihrer Interessenträger (z. B. große/kleine Mitgliedstaaten, Mitgliedstaaten/Industrie) und der Notwendigkeit seitens der Agentur, bei ihren Aktivitäten Prioritäten gemäß dem Arbeitsprogramm zu setzen, unterschiedlich bewertet. Die Bewertung kam zu dem Schluss, dass eine mögliche Einstellung der Arbeiten der ENISA für alle Mitgliedstaaten eine vertane Chance wäre. Ohne eine dezentrale EU-Agentur wird es nicht möglich sein, im Bereich der Cybersicherheit im selben Maße zwischen den Mitgliedstaaten Fachkreise zu bilden und zusammenzuarbeiten. Falls ein von der ENISA hinterlassenes Vakuum durch eine bilaterale oder regionale Zusammenarbeit ausgefüllt würde, wäre das Gesamtbild uneinheitlicher.
3.Schlussfolgerungen/Empfehlungen
Die Bewertung kam zu dem Schluss, dass die ENISA durch die ENISA-Verordnung ein weit gefasstes Mandat erhalten hatte, das Flexibilität ermöglicht, dem es aber in einigen Fällen an Fokussierung mangelt, wodurch es der Agentur erschwert wurde, eine große Wirkung zu erzielen, und dass ihre Ziele sich im Zeitraum 2013-2016 als relevant erwiesen. Der Agentur gelang es, ein gutes Niveau an Effizienz zu erreichen, und sie hat den Mehrwert von Maßnahmen auf EU-Ebene unter Beweis gestellt, insbesondere durch Schlüsselaktivitäten wie die europaweiten Cyberübungen, die Unterstützung der CSIRTs-Kreise und die Analysen der Bedrohungslage. Die ENISA hat dazu beigetragen, die Netz- und Informationssicherheit in Europa vor allem durch die Förderung der Zusammenarbeit zwischen den Mitgliedstaaten und den NIS-Interessenträgern sowie durch ihre Maßnahmen zum Aufbau von Fachkreisen und zum Aufbau von Kapazitäten zu erhöhen.
Die Agentur erzielte diese Ergebnisse trotz mehrerer Schwierigkeiten, auf die in den vorherigen Abschnitten dieses Berichts und in der beigefügten Arbeitsunterlage der Kommissionsdienststellen eingegangen wurde. Eine der zentralen Schwierigkeiten betraf die begrenzten Ressourcen, die mit dem weit gefassten Mandat der Agentur nicht in Einklang standen, insbesondere in Anbetracht der neuen Aufgaben, die der Agentur mit der NIS-Richtlinie zugewiesen wurden, und der sich rasch ändernden Bedrohungslage. Außerdem ist die ENISA weiterhin die einzige EU-Agentur mit einem befristeten Mandat, obwohl sie, wie bereits oben erwähnt, u. a. Aufgaben wahrnimmt, die mit der NIS-Richtlinie zusammenhängen.
Die Cybersicherheitsbedrohungslage entwickelt sich schnell, wobei neue Bedrohungen in dem Maße aufkommen, wie Europa nicht nur durch Geräte, sondern auch durch die mittlerweile allgegenwärtige Konnektivität immer stärker von digitalen Infrastrukturen und Diensten abhängig wird. Das Internet der Dinge schafft neue Möglichkeiten in den Bereichen Energieeffizienz, Umweltschutz, vernetzte Mobilität, Echtzeit-Gesundheitsüberwachung sowie intelligente und nahtlose finanzielle Transaktionen in der digitalen Wirtschaft und Gesellschaft. Mit diesen Entwicklungen gehen neue Anfälligkeiten einher und es entstehen Sicherheitslücken, deren Ausnutzung mit beeinträchtigten Geräten zu Störungen des digitalen Binnenmarkt führen.
In der Bewertung wurde abschließend festgestellt, dass das derzeitige Mandat der ENISA nicht die Instrumente an die Hand gibt, die zur Bewältigung der gegenwärtigen und künftigen Herausforderungen für die Cybersicherheit notwendig sind.
Außerdem wächst das Risiko einer stärkeren Fragmentierung auf EU-Ebene, da es im Bereich der Cybersicherheit auf EU-Ebene eine Reihe von Akteuren und eine unzureichende Koordinierung zwischen ihnen gibt. Die EU benötigt eine zentrale Stelle, um neue Bedrohungen, die horizontaler Art sind und sich auf eine Vielzahl von Industriebranchen auswirken, zu bewältigen und um den Bedürfnissen der Cybersicherheitskreise, insbesondere der Mitgliedstaaten, der EU-Organe und der Unternehmen, gerecht zu werden. Die Bewertung legt nahe, dass eine EU-Agentur benötigt wird, die auf einer sektorübergreifenden/horizontalen Basis organisiert und mit einem starken Mandat ausgestattet ist.
Ferner hat die Bewertung ergeben, dass die ENISA, obwohl sie mit einer Reihe von Herausforderungen konfrontiert ist, ein erhebliches Potenzial hat, einen Beitrag zur Erhöhung der Cybersicherheit in der EU zu leisten, wenn sie mit einem ausreichenden Mandat sowie mit ausreichenden finanziellen und personellen Ressourcen ausgestattet wird.
Darüber hinaus besteht eindeutig ein Bedarf an Zusammenarbeit und Koordinierung zwischen den verschiedenen Interessenträgern. Die Notwendigkeit einer koordinierenden Stelle auf EU-Ebene, die den Informationsfluss erleichtert, Lücken möglichst klein hält und dafür sorgt, dass es zu keinen Überschneidungen von Aufgaben und Zuständigkeiten kommt, zeichnet sich immer deutlicher ab. Als dezentrale EU-Agentur und neutraler Vermittler ist die ENISA in der Lage, das Vorgehen der EU bei Cyberbedrohungen zu koordinieren.
Auf dieser Grundlage hat die Kommission einen Vorschlag zur Reformierung der ENISA vorgelegt, wonach die Agentur über ein ständiges Mandat verfügen soll, das auf den wesentlichen, erwiesenen Stärken der Agentur und auf den neuen vorrangigen Maßnahmenbereichen, z. B. im Bereich der Cybersicherheitszertifizierung, aufbaut. Dieses neue Mandat sollte der veränderten Wirklichkeit Rechnung tragen und die Agentur befähigen, die EU künftig angemessen zu unterstützen.
- (1) http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1495472820549&uri=CELEX:32013R0526
- (2) http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L:2016:194:TOC
- (3) Mitteilung der Kommission – Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche, COM/2016/410 final.
- (4) Schlussfolgerungen des Rates zur Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche vom 15. November 2016.
- (5) COM(2015) 215 final, SWD(2015) 111 final. http://ec.europa.eu/smart-regulation/guidelines/docs/swd_br_guidelines_en.pdf
All