Enisa, de waakhond van Brussel

Ondanks een aantal handicaps zal Enisa naar verwachting een belangrijke rol vervullen in de Europese Unie. Zij gaat het beleid rond informatiebeveiliging harmoniseren en versterken door de coördinatie van bestaande initiatieven.

Hoge verwachtingen "Ik denk dat het belang en de invloed van Enisa de komende jaren sterk zal groeien. Het grote bestuur is een handreiking aan de lidstaten en kan aangepast worden in de loop der jaren. Als de huidige vorm en het bestaande budget van Enisa het eindresultaat zouden zijn, zou ik erg ontevreden zijn met het instituut. " Dit zegt Wim van Velzen, rapporteur op dit onderwerp voor de Christendemocraten in het Europees Parlement. Jacques Schuurman, aanvoerder van het calamiteitenteam bij Surfnet Cert-nl, ziet voor Enisa grote taken weggelegd. "Adviezen over het coherent verwerken van Europese richtlijnen tegen spam tot nationale wetgeving zal zeker zijn nut bewijzen. Ook een blauwdruk voor nog op te richten Cert-organisaties in Europese lidstaten is uitermate nuttig." Twijfels over de werkbaarheid van de organisatie heeft Schuurman niet. "Niet alle dertig deelnemers in de stuurgroep zullen de discussie domineren. Daarnaast luistert de organisatie nu al goed. Binnenkort legt het zijn plannen voor aan een Cert-delegatie van het Europese onderzoeksnetwerk Terena. Ze staat blijkbaar open voor kritiek."

Verbazingwekkend snel. Dat is de belangrijkste kwalificatie die aan het nieuwe European Network and Information Security Agency meegegeven kan worden. Vanaf 1 januari 2004 ondersteunt en adviseert het nieuwe instituut de Europese lidstaten en de Commissie over netwerk- en informatiebeveiliging. Het eerste plan voor zo’n instituut ontstond in 2001. Nu, twee jaar later is de politieke besluitvorming rond en is er een eerste begin gemaakt aan een gecoördineerd Europees informatiebeveiligingsbeleid. Enisa krijgt een budget van 24,3 miljoen euro per jaar en wordt in eerste instantie in Brussel gehuisvest.

Hoge prioriteit

Reden voor dit snelle handelen is de hoge prioriteit die de Commissie, het Europees Parlement en de lidstaten aan coördinatie van informatiebeveiliging toekennen. Door het commissievoorstel voor het agentschap één keer langs het Europese Parlement en de raad van Europese telecomministers te sturen is uitstel door de Europese verkiezingen volgend jaar voorkomen. Normaal krijgen deze instanties ook het gewijzigde voorstel nog een keer onder ogen. De lidstaten onderschrijven met de oprichting van Enisa dat Europa er met alleen informatiebeveiliging op nationaal niveau niet komt. Het heeft ze alleen de nodige moeite gekost dit cruciaal geachte onderwerp voor een deel uit handen te geven.
Met coördinatie van netwerkbeveiliging op Europees niveau valt veel te winnen. Belangrijke incidenten overstijgen al snel de landsgrenzen en problemen als computervirussen en spam zijn alleen op internationaal niveau echt goed aan te pakken. Het instituut wil de mogelijke risico’s van kritieke informatienetwerken in kaart brengen en nieuw beleid opzetten om deze te minimaliseren. Ook moet het nieuw onderzoek volgen en standaardisatiepogingen evalueren.
Verder noemt de verantwoordelijke EU-commissaris Erkki Liikanen het uitvoeren van centraal onderzoek en het opzetten van bewustwordingscampagnes rond netwerkbeveiliging voor consumenten en kleinere bedrijven als belangrijke taak. Hij noemt niet het aansturen van zwakke EU-broeders op dit vlak. Er zijn lidstaten die nog geen camaliteitenteam voor computer en netwerkbeveiliging op nationaal niveau hebben. Ierland bijvoorbeeld ontbeert zo’n team dat de rijksoverheid voor kritieke problemen in informatienetwerken waarschuwt en actie onderneemt.

Amerikaanse evenknie

Een andere voor de hand liggende functie van Enisa -vertolking van het Europese standpunt over informatiebeveiliging en bespreking van gevaarlijke incidenten op wereldniveau- blijft begrijpelijkerwijs onbenoemd. De VS heeft al ervaring met een centraal instituut dat de vinger aan de pols houdt bij kritieke informatienetwerken binnen verschillende branches. Sinds een jaar voert het National Cyber Security Division onderdeel van het Department of Homeland Security deze taak uit. Een Europese tegenhanger zou het informatiebeveiligingsbeleid of gevaarlijke trends met dit Amerikaanse instituut moeten bespreken. Alleen treedt Enisa dan waarschijnlijk equivalenten uit de lidstaten zelf voor de voeten, die deze informatie één op één met de Amerikanen willen delen.
In de gekozen bestuursvorm voor Enisa is deze krampachtige invloed van lidstaten ook terug te vinden. De Raad van Europese telecomministers heeft op 20 november bepaald dat elke lidstaat, ook de nieuwe toetreders tot de Commissie, een vertegenwoordiger krijgt in het bestuur van Enisa. Het instituut krijgt daardoor in eerste instantie evenveel bestuurders als stafleden: rond de dertig. De Europese Commissie en het Europees Parlement stonden een kleiner bestuur voor om het instituut werkbaarder te maken.
Op een aantal belangrijke punten hebben de Raad van Europese telecomministers wel water bij de wijn gedaan. Zo is de benoemingsduur van de Enisa-directeur verdubbeld tot vijf jaar en krijgt deze functionaris een mandaat om zelf werkgroepen te starten en de leden daarvan te benoemen. Ook het bedrijfsleven krijgt meer in de melk te brokkelen dan de Raad in eerste instantie lief was. Er komt een vaste belangengroep, voor een belangrijk deel bestaand uit vertegenwoordigers van het Europese bedrijfsleven, de universiteitswereld en consumentenorganisaties, dat Enisa van advies voorziet. In deze opzet krijgen ook de eigenaren van de Europese telecominfrastructuren een belangrijke stem in het kapittel. In 2008 wordt bekeken of Enisa daadwerkelijk bestaansrecht heeft.< BR CLEAR=LEFT>