De Europese veiligheidsorganisatie Enisa (European Network and Information Security Agency) is nu een kleine twee maanden operationeel. De vraag is wat de rol van deze door de Europese Unie ingestelde organisatie zal worden. Blijft ze een papieren tijger of toont ze slagkracht in de strijd tegen computercriminaliteit?
| Diplomaat aan het roer De huidige uitvoerend directeur van Enisa, het European Network and Information Security Agency, is de 57-jarige Andrea Pirotti. Deze Italiaan begon zijn carrière in het leger, waar hij zich op de militaire academie bekwaamde in telecommunicatie, cryptografie en elektronische oorlogsvoering. In 1976 stapte hij over naar Marconi, waar hij opklom tot algemeen directeur in diverse regio’s. Hij richtte zich daarbij altijd sterk op informatiebeveiliging. In die jaren werd ook de basis gelegd voor zijn diplomatieke optreden. Volgens sommigen is zijn sterke kant vooral het met zachte hand doorvoeren van moeilijke agendapunten en het laten samenwerken van verschillende culturen. Pirotti was de afgelopen jaren vice-president van de civiele tak van Marconi en begon in deze functie op te treden als adviseur voor het Italiaanse ministerie van Communicatie op het gebied van informatiebeveiliging. Deze functie heeft hij nog steeds. |
“Een aantal van de andere landen binnen de EU hebben die zaken veel minder goed op orde”, stelt Pirotti. “Drie jaar geleden besloot men dat er een betere uitwisseling van informatie moest komen. Daaruit is Enisa ontstaan. Dat het zo lang heeft geduurd voordat de organisatie op poten stond, is niet verwonderlijk. Bureaucratische processen gaan met zoveel lidstaten langzaam en de te nemen besluiten waren delicaat. We hebben niets aan een snel opgezette organisatie die vervolgens te weinig legitimiteit heeft en niet slagvaardig is.”
Tegenstrijdig
Volgens Pirotti moest ruim de tijd worden genomen om een goed raamwerk te kunnen neerzetten. “De taken van Enisa zijn nu minutieus beschreven. Dat was noodzakelijk. Het werkbaar maken van een organisatie als Enisa was bij de oprichting één van de belangrijkste doelstellingen. Juist omdat er zo veel organisaties bij betrokken zijn, is de juiste taakverdeling cruciaal.”
Volgens Jacques Schuurman, voorzitter van het calamiteitenteam van Surfnet Cert.nl (Computer Emergency Response Team), is het nog te vroeg om te bepalen of Enisa slagkracht heeft. “Nationale wetgeving pakt van land tot land vaak anders uit, hoewel die is gebaseerd op exact dezelfde Europese richtlijn. Neem de Europese richtlijn dat alle landen de bescherming van persoonsgegevens adequaat moeten invullen. Zweden en Portugal hebben dit volledig anders, zelfs tegenstrijdig, ingevuld. Enisa zou moeten leiden tot coherentere wetgeving op dat vlak.”
| Doelen De doelstellingen van het European Network and Information Security Agency zijn nog wat diffuus en lijken vooral uitonderhandeld te zijn tussen de diverse lidstaten. Enisa moet in eerste instantie dienen als Europees expertisecentrum waar zowel lidstaten als EU-instellingen terechtkunnen voor advies over netwerk- en informatiebeveiliging. Om dat te bereiken richt de organisatie zich op vier punten: het verzamelen en analyseren van informatie over veiligheidsincidenten en nieuwe risico’s; samenwerken met diverse actoren, vooral door het opzetten van publiek-private partnerschappen met het bedrijfsleven op EU- en mondiaal niveau; het bevorderen van de kennis en toepassing van methodes voor risicoanalyse en optimale werkwijzen op het gebied van interoperabele oplossingen voor risicobeheersing; het volgen van de ontwikkeling van standaarden voor producten en diensten voor de netwerk- en informatiemaatschappij. Het agentschap zal verder de Europese Commissie, de lidstaten en het bedrijfsleven helpen te voldoen aan de vereisten op het gebied van netwerk- en informatiebeveiliging, met inbegrip van de eisen van de huidige en toekomstige wetgeving. Volgens Pirotti is het niet de bedoeling dat Enisa dezelfde taken uitvoert als de nationale cert’s (computer emergency response team). “Onze taak zal vooral coördinerend zijn.” Voor Nederland zit sinds kort Edgar de Lange, directeur markt & ordening van het directoraat-generaal Telecommunicatie en Post van het ministerie van Economische Zaken in het bestuur van Enisa. |
Minimumbudget
“We hebben landen als Nederland nodig omdat zij de ervaring hebben die een behoorlijk deel van de 25 andere landen niet heeft”, stelt Pirotti. “Die hulp is overigens niet vrijblijvend. Wanneer we merken dat nationale cert’s niet op schema zitten, zullen we de desbetreffende overheid streng toespreken en vragen waarom ze onze suggesties niet ter harte heeft genomen, of onvoldoende budget en mankracht heeft vrijgemaakt. Het is belangrijk dat ook de landen die zich net bij de EU hebben aangesloten hun informatiebeveiliging op orde hebben, omdat cybercrime zich nu eenmaal voorbij de nationale grenzen beweegt.”
Het werkterrein van Enisa zal zich dan ook niet beperken tot de huidige EU-leden. Volgens Pirotti geeft het mandaat voldoende handvatten om ook toekomstige lidstaten te ondersteunen bij de vorming van nationale cert’s. “Wij hebben geen politieke invloed en beslissen niet mee of een land klaar is voor toetreding. Toch zien potentiële leden in dat het belangrijk is dat hun informatiebeveiliging op nationale schaal op orde is. We hebben dan ook al hun vertegenwoordigers op bezoek gehad met het verzoek om hulp bij de oprichting van responsteams.”
Pirotti vindt dat alle landen voldoende budget moeten vrijmaken om nationale cert’s zo professioneel mogelijk te laten opereren. “De belangrijkste vraag die overheden zich moeten stellen is of ze genoeg budget hebben gereserveerd. Er is nu eenmaal een minimumbedrag nodig om een nationale cert operationeel te krijgen. Het probleem is dat sommige landen andere prioriteiten hebben en dat geen direct resultaat te verwachten valt. Wanneer aan het eind van het fiscale jaar niets is gebeurd zonder te investeren, kun je stellen dat geld is bespaard. Als blijkt dat een investering in informatiebeveiliging wel wat heeft opgeleverd, is het resultaat ook duidelijk. Als er ondanks investeringen wel wat gebeurt, wordt de investering al snel gezien als geldverspilling. In het bedrijfsleven is dat niet anders. Een cio of cso moet zich dan in bochten wringen om duidelijk te maken dat investeren in informatiebeveiliging zinvol is. Bij overheden geldt vaak dat een heel democratisch gekozen parlement overtuigd moet worden. Overheden moeten zich dus afvragen of genoeg is gedaan, waarbij ‘genoeg’ moeilijk te definiëren is.”
Monopolistisch
“In sommige landen trekken nationale overheden de rol van C-Cert’s te monopolistisch naar zich toe”, stelt Schuurman. “Dat lijkt me niet het juiste uitgangspunt. Polen en Slovenië doen het ontzettend goed omdat ze bestaande organen gebruiken; daar zit de kennis. Als je naar de 25 staatsgebonden zetels in het management van Enisa kijkt, kun je goed zien wat het beleid van de diverse regeringen is. Een aantal landen heeft iemand uit de academische wereld met veel kennis van zaken benoemd. Helaas zijn er ook landen die een hoge pief van het directoraat-generaal van de lokale telecomregulator neerzetten. Die landen vergeten dat, in tegenstelling tot alle andere infrastructuren, de infrastructuur van internet voor 99 procent in private handen is en bestaat uit gekoppelde netwerken van internetaanbieders. Nederland doet het redelijk, maar het kan beter. Mijn directe collega uit Slovenië heeft bijvoorbeeld rechtstreeks toegang op ministerieel niveau. Ik zie Donner nog niet eens op televisie, laat staan dat hij mijn telefoonnummer heeft.”
Schuurman gelooft dat Enisa hier een rol moet spelen. “De slagkracht kan liggen in het met elkaar in contact brengen van de juiste mensen. Ik zou graag zien is dat zij de handhavende en de wetgevende macht van alle lidstaten bijeen brengen met de organisaties die de praktijk kennen.”
