Toelichting bij COM(2017)478 - Evaluatie van het Agentschap van de EU voor netwerk- en informatiebeveiliging (Enisa) - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2017)478 - Evaluatie van het Agentschap van de EU voor netwerk- en informatiebeveiliging (Enisa). |
|---|---|
| bron | COM(2017)478   |
| datum | 13-09-2017 |
Inhoudsopgave
COM(2017) 478 final
EMPTY
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
over de evaluatie van het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa)
1.Inleiding
Het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) werd opgericht in 2004 en het mandaat werd periodiek verlengd. Het lopende mandaat van het Enisa is vastgesteld bij Verordening (EU) nr. 526/2013 1 (de 'Enisa-verordening') en verloopt op 19 juni 2020.
Het Enisa heeft tot taak bij te dragen aan een hoog niveau van netwerk- en informatiebeveiliging (NIS) binnen de EU. In de Enisa-verordening zijn de specifieke doelstellingen van het Agentschap vastgelegd. Het moet met name:
·een hoog expertiseniveau ontwikkelen en handhaven;
·bijstand verlenen aan de instellingen, organen en instanties van de Unie bij de ontwikkeling van beleid op het gebied van netwerk- en informatiebeveiliging;
·bijstand verlenen aan de instellingen, organen en instanties van de Unie en de lidstaten bij de tenuitvoerlegging van het beleid dat nodig is voor de naleving van wettelijke of regelgevende eisen aangaande netwerk- en informatiebeveiliging uit hoofde van de bestaande en toekomstige rechtshandelingen van de Unie, en aldus bijdragen tot de goede werking van de interne markt;
·bijstand verlenen aan de Unie en de lidstaten bij het verhogen en versterken van hun vermogen en paraatheid om problemen en incidenten op het gebied van netwerk- en informatiebeveiliging te voorkomen, op te sporen en aan te pakken;
·zijn deskundigheid inzetten om brede samenwerking tussen actoren uit de publieke en de private sector te stimuleren.
Bovendien besloten de medewetgevers van de EU het Enisa bij de vaststelling van Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de 'NIS-richtlijn') 2 een belangrijke rol toe te kennen bij de uitvoering van de wetgeving. In het bijzonder verzorgt het Agentschap het secretariaat voor het CSIRT-netwerk (dat is opgericht ter bevordering van snelle en doeltreffende operationele samenwerking tussen de lidstaten) en ondersteunt het de samenwerkingsgroep voor strategische samenwerking bij de uitvoering van zijn taken. Daarnaast moet het Enisa op grond van de NIS-richtlijn de lidstaten en de Commissie bijstaan door expertise en advies te verstrekken en door de uitwisseling van beste praktijken te faciliteren.
Het Agentschap is gevestigd in Griekenland: de administratieve zetel bevindt zich in Heraklion (Kreta) en de kernactiviteiten vinden plaats in Athene. Het telt 84 vaste medewerkers en heeft een jaarlijkse begroting van 11,25 miljoen euro. Het wordt geleid door een uitvoerend directeur, en het bestuur is in handen van de raad van bestuur, het dagelijks bestuur en de permanente groep van belanghebbenden. Voor de contacten met de lidstaten is een informeel netwerk van nationale contactpersonen tot stand gebracht.
1.2 Doel van het verslag
Volgens artikel 32 van de Enisa-verordening moet de Commissie uiterlijk op 20 juni 2018 'de impact, doeltreffendheid en doelmatigheid van het Agentschap en zijn werkmethoden' beoordelen, en de eventuele noodzaak om het mandaat van het Agentschap te wijzigen.
In het licht van de aanzienlijke veranderingen in het cyberbeveiligingslandschap sinds 2013, toen de Enisa-verordening werd vastgesteld – met inachtneming van de toenmalige stand van het beleid, de markt en de technologie – heeft de Commissie in haar mededeling van 2016 over het versterken van het Europese cyberbeveiligingssysteem en het bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche 3 aangekondigd dat ze de evaluatie en herziening van het Enisa zal vervroegen. De Commissie wees er met name op dat de evaluatie van het Enisa zou kunnen leiden tot een mogelijke hervorming van het Agentschap en versterking van haar vermogens en capaciteiten om de lidstaten op duurzame wijze te ondersteunen.
Deze visie werd bevestigd in de conclusies van de Raad van 2016 4 , waarin het volgende werd erkend: 'cyberdreigingen en -kwetsbaarheden blijven evolueren en worden groter, wat noopt tot een permanente nauwere samenwerking, vooral bij de behandeling van grootschalige grensoverschrijdende cyberincidenten'. In de conclusies wordt bevestigd dat de Enisa-verordening mede de kern vormt van een EU-kader voor cyberbeveiliging.
De resultaten van de beoordeling van het Enisa werden meegenomen in de effectbeoordeling bij het voorstel voor een verordening van het Europees Parlement en de Raad inzake het agentschap van de Europese Unie voor cyberbeveiliging (Enisa, het cyberbeveiligingsagentschap) en tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening").
Volgens artikel 32 van de Enisa-verordening moet de Commissie het evaluatieverslag en haar conclusies toesturen aan het Europees Parlement, de Raad en de raad van bestuur. Dit samenvattend verslag gaat vergezeld van een werkdocument van de Commissie over de evaluatie van het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (SWD(2017) 502).
2.Belangrijkste conclusies van de evaluatie
Overeenkomstige haar richtsnoeren voor betere regelgeving 5 heeft de Commissie een beoordeling gemaakt van de doeltreffendheid, de efficiëntie, de samenhang, de relevantie en de toegevoegde waarde van het Agentschap wat betreft de prestaties, de governance, de interne organisatiestructuur en de werkmethoden.
Bij de analyse werd ook rekening gehouden met de gewijzigde context waarin het Agentschap nu werkt, met name: het nieuwe regelgevings- en beleidskader van de EU (bijv. de NIS-richtlijn, de herziening van de EU-strategie inzake cyberbeveiliging); de veranderende behoeften van de gemeenschap van belanghebbenden van het Agentschap; en de complementariteit en synergie met de werkzaamheden van andere instellingen, agentschappen en organen van de EU en de lidstaten, zoals het Computer Security Incident Response Team van de instellingen, agentschappen en organen van de EU (CERT-EU) en het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) bij Europol.
Het functioneren van het Agentschap werd als volgt geëvalueerd:
·De Commissie heeft tussen november en 2016 en juli 2017 een onafhankelijke studie laten uitvoeren. Deze studie vormt samen met de interne analyses van de Commissie de belangrijkste bron van de evaluatie.
·Er werd gebruikgemaakt van documentatie-onderzoek, gegevensverzameling en -analyse, met inbegrip van enquêtes onder belanghebbenden, diepte-interviews met sleutelactoren in de cyberbeveiliging, een workshop voor belanghebbenden, benchmarking, een positionering van het agentschap en een analyse van de sterke en zwakke punten, kansen en bedreigingen (SWOT).
·De Commissie heeft ook twaalf weken lang online een openbare raadpleging over zowel de evaluatie als de toekomst van het Enisa gehouden, naast gerichte raadplegingen onder de belangrijkste belanghebbenden.
De belangrijkste conclusies van de evaluatie overeenkomstig de beoordelingscriteria kunnen als volgt worden samengevat:
1.Relevantie: Binnen een context van technologische ontwikkelingen en veranderende dreigingen en een significante behoefte aan versterkte netwerk- en informatiebeveiliging (NIS) in de EU, zijn de doelstellingen van het Enisa relevant gebleken. De lidstaten en de organen van de EU zijn namelijk afhankelijk van expertise over de ontwikkeling op het gebied van NIS, de capaciteit in de lidstaten moet worden opgebouwd, zodat dreigingen juist worden ingeschat en er adequaat op wordt gereageerd, en de belanghebbenden moeten over de grenzen van thematische gebieden en instellingen heen samenwerken. NIS blijft een essentiële politieke prioriteit van de EU en van het Enisa wordt verwacht dat het hierop ingaat; de opzet van het Enisa als EU-agentschap met een tijdelijk mandaat zorgt er echter voor dat: i) langetermijnplanning en duurzame ondersteuning van de lidstaten en EU-instellingen in het snel veranderende landschap van bedreigingen voor de cyberveiligheid niet mogelijk zijn; ii) er een juridisch vacuüm kan ontstaan, aangezien de bepalingen van de NIS-richtlijn waarbij de taken van het Enisa zijn vastgesteld, van permanente aard zijn.
2.Doeltreffendheid: Algemeen gezien, heeft het Enisa zijn doelstellingen verwezenlijkt en zijn taken uitgevoerd. Het heeft bijdragen tot versterkte NIS in Europa door middel van zijn voornaamste activiteiten (capaciteitsopbouw, het verstrekken van expertise, gemeenschapsopbouw en beleidsondersteuning). Op elk van deze gebieden zijn verbeteringen mogelijk. In de evaluatie wordt geconcludeerd dat het Enisa op doeltreffende wijze sterke en betrouwbare betrekkingen met een aantal belanghebbenden tot stand heeft gebracht, met name met de lidstaten en de CSIRT-gemeenschap. Acties op het gebied van capaciteitsopbouw werden als doeltreffend aangemerkt, met name met betrekking tot lidstaten die over minder middelen beschikken. Het stimuleren van brede samenwerking wordt beschouwd als een van de hoogtepunten: een groot aantal belanghebbenden was het erover eens dat het Enisa een positieve rol speelt bij het samenbrengen van mensen. Het Enisa had echter moeite zijn stempel te drukken op het uitgestrekte gebied van de NIS. Dit was mede te wijten aan het feit dat het in verhouding tot het zeer ruime mandaat slechts over redelijk beperkte personele en financiële middelen beschikte. Uit de evaluatie is ook gebleken dat het Enisa de doelstelling van het verstrekken van expertise slechts gedeeltelijk heeft verwezenlijkt vanwege problemen bij de aanwerving van deskundigen (zie ook hieronder in het gedeelte over efficiëntie).
3.Efficiëntie: Hoewel het Agentschap over een budget beschikt dat tot de laagste van alle EU-agentschappen behoort, is het erin geslaagd bij te dragen tot de beoogde doelstellingen door algeheel efficiënt gebruik van de beschikbare middelen. Uit de evaluatie is gebleken dat de processen over het algemeen efficiënt waren en dat de duidelijke afbakening van de verantwoordelijkheden binnen de organisatie heeft geleid tot degelijke uitvoering van de werkzaamheden. Een van de belangrijkste uitdagingen waarmee het Enisa wordt geconfronteerd, is de moeite die wordt ondervonden bij het aanwerven en vasthouden van hooggekwalificeerde deskundigen. Uit de bevindingen blijkt dat dit te wijten is aan een combinatie van factoren, waaronder de in de overheidssector algemeen voorkomende moeilijkheden wat betreft het concurreren met de particuliere sector bij het inhuren van uiterst gespecialiseerde deskundigen, het soort arbeidsovereenkomst (tijdelijk) dat het Agentschap in de meeste gevallen kon aanbieden en de niet zeer aantrekkelijke locatie waar het Enisa is gevestigd, bijvoorbeeld in verband met problemen die echtgenoten ondervinden bij het vinden van werk. De twee locaties, in Athene en Heraklion, vereisten extra inspanningen wat betreft de coördinatie en zorgden voor extra kosten, maar doordat de kernactiviteiten in 2013 naar Athene zijn verplaatst, werd de operationele efficiëntie van het Agentschap wel verbeterd.
4.Coherentie: In het algemeen was de samenhang van de activiteiten van het Enisa met de beleidsmaatregelen en activiteiten van de betrokken belanghebbenden op nationaal en EU-niveau voldoende, maar er is behoefte aan een meer gecoördineerde aanpak van cyberbeveiliging op EU-niveau. Het potentieel wat betreft de samenwerking tussen het Enisa en andere EU-organen is niet volledig benut. Door de ontwikkeling van het juridische en beleidskader van de EU is de samenhang van het mandaat momenteel afgenomen.
5.Toegevoegde waarde voor de EU: De toegevoegde waarde van het Enisa was voornamelijk dat het de samenwerking kon bevorderen, met name tussen de lidstaten, maar ook met verwante NIS-gemeenschappen. Op EU-niveau is er geen andere actor die de samenwerking van een dergelijke variatie aan belanghebbenden op het gebied van netwerk- en informatiebeveiliging ondersteunt. De toegevoegde waarde die het Agentschap biedt, varieerde naargelang van de uiteenlopende behoeften van de betrokken belanghebbenden (bijv. grote ten opzichte van kleine lidstaten, lidstaten ten opzichte van het bedrijfsleven) en van het feit dat het Agentschap op basis van het werkprogramma prioriteit aan bepaalde activiteiten moest geven. Uit de evaluatie is gebleken dat een eventuele stopzetting van het Enisa een gemiste kans voor alle lidstaten zou zijn. Het zou niet mogelijk zijn dezelfde mate van gemeenschapsopbouw en samenwerking tussen alle lidstaten op het gebied van cyberbeveiliging te waarborgen zonder gedecentraliseerd EU-agentschap. Er zou meer versnippering plaatsvinden en de lacunes die het Enisa zou achterlaten, zouden worden gevuld door middel van bilaterale of regionale samenwerking.
3.Conclusies/aanbevelingen
De conclusie van de beoordeling luidt dat het Enisa op grond van de verordening een breed mandaat heeft. Dat biedt ruimte voor flexibiliteit maar zorgt soms voor een gebrek aan doelgerichtheid, waardoor het Agentschap geen grote impact kan maken. De doelstellingen voor de periode 2013-2016 zijn in ieder geval wel relevant gebleken. Het Agentschap is erin geslaagd een goede mate van efficiëntie te bereiken en aan te tonen dat optreden op EU-niveau een toegevoegde waarde heeft, met name door kernactiviteiten zoals de cyberoefeningen op Europese schaal, de ondersteuning van de CSIRT-gemeenschap en de analyses van het dreigingslandschap. Het Enisa heeft bijgedragen aan een betere netwerk- en informatiebeveiliging in Europa, voornamelijk door de samenwerking tussen lidstaten en belanghebbenden te ondersteunen en de gemeenschaps- en capaciteitsopbouw te bevorderen.
Het Agentschap heeft deze resultaten geboekt ondanks de in dit verslag en het werkdocument in bijlage beschreven uitdagingen. Een van de belangrijkste uitdagingen vormden de beperkte middelen die niet strookten met het brede mandaat van het Agentschap, in het bijzonder gezien de nieuwe taken voor het Agentschap op grond van de NIS-richtlijn en het snel evoluerende dreigingslandschap. Het Enisa is ook nog steeds het enige EU-agentschap met een mandaat van beperkte duur, ondanks de eerder genoemde taken op grond van de NIS-richtlijn.
Het landschap ontwikkelt zich snel met steeds weer nieuwe bedreigingen voor de cyberveiligheid terwijl Europa steeds meer afhankelijk wordt van digitale infrastructuur en diensten met niet alleen geconnecteerde apparaten maar inmiddels ook alomtegenwoordige connectiviteit. Het internet van de dingen biedt nieuwe kansen op het gebied van energie-efficiëntie, milieubescherming, geconnecteerde mobiliteit, realtime-gezondheidsmonitoring en slimme, probleemloze financiële transacties in de digitale economie en samenleving. Maar deze stimulansen en kansen voor het bedrijfsleven gaan gepaard met nieuwe zwakke plekken en aanvallen met besmette apparaten. Deze kunnen de digitale eengemaakte markt verstoren.
Deze evaluatie heeft geleid tot de conclusie dat het huidige mandaat het Enisa niet de nodige instrumenten biedt om de huidige en toekomstige uitdagingen op het gebied van cyberbeveiliging aan te gaan.
Bovendien neemt het risico op versnippering op EU-niveau momenteel toe door de diverse cyberbeveiligingsactoren op EU-niveau en de ontoereikende coördinatie daartussen. De EU heeft behoefte aan een centraal punt om nieuwe bedreigingen, die horizontaal van aard zijn en verschillende sectoren raken, aan te pakken en om te beantwoorden aan de behoeften van de cyberbeveiligingsgemeenschap, met name in de lidstaten, bij de EU-instellingen en in het bedrijfsleven. Uit de evaluatie komt naar voren dat er behoefte is aan een EU-agentschap dat horizontaal/sectoroverschrijdend met een sterk mandaat kan opereren.
De evaluatie toont aan dat het Enisa ondanks verscheidene uitdagende kwesties een aanzienlijk potentieel heeft om bij te dragen tot een betere cyberbeveiliging in de EU, mits het een behoorlijk mandaat en de nodige financiële en personele middelen krijgt.
Er is ook een duidelijke behoefte aan samenwerking en coördinatie bij de verschillende belanghebbenden. De noodzaak van een coördinerende entiteit op EU-niveau om de informatiestromen te vergemakkelijken en overlappingen van rollen en taken te voorkomen, wordt steeds duidelijker. Als gedecentraliseerd EU-agentschap en neutrale bemiddelaar heeft het Enisa de juiste positie om de aanpak van cyberbeveiliging in de EU te coördineren.
Op basis daarvan heeft de Commissie een voorstel gedaan voor de hervorming van het Enisa met een permanent mandaat dat voortbouwt op de belangrijkste kwaliteiten van het Agentschap en op de nieuwe prioritaire gebieden voor maatregelen, zoals bijvoorbeeld de certificering van cyberbeveiliging. Dit nieuwe mandaat moet de gewijzigde realiteit weerspiegelen en het Agentschap in staat stellen de EU in de toekomst naar behoren te ondersteunen.
(1) eur-lex.europa.eu/legal-content/NL/TXT:32013R0526
(2) eur-lex.europa.eu/legal-content/NL/TXT:OJ.L_.2016.194.01.0001.01.NLD&toc=OJ:L:2016:194:TOC
(3) Mededeling van de Commissie 'Versterken van het Europese cyberbeveiligingssysteem en bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche', COM(2016) 410 final.
(4) Conclusies van de Raad over het versterken van het Europese cyberbeveiligingssysteem en het bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche - 15 november 2016.
(5) COM(2015) 215 final, SWD (2015)111 final; ec.europa.eu/smart-regulation/guidelines/docs