Bericht - Er behandelt die Bewertung der Agentur der Europäischen Union für Cybersicherheit (ENISA) sowie des europäischen Rahmens für die Cybersicherheit-Zertifizierung (ECCF).

Zusammenfassung der wesentlichen Inhalte:

1. Einleitung und Hintergrund

• ENISA: Die 2004 gegründete Agentur hat die Aufgabe, ein hohes Maß an Netz- und Informationssicherheit in der EU zu gewährleisten. Durch den Cybersecurity Act (CSA) von 2019 wurde ihr Mandat dauerhaft gestärkt, um die EU bei der Entwicklung von Cybersicherheitspolitik zu unterstützen und die operativen Kapazitäten zur Reaktion auf Vorfälle zu verbessern.
• ECCF: Dieser Rahmen wurde geschaffen, um einen einheitlichen Ansatz für die Cybersicherheit-Zertifizierung von IKT-Produkten und -Diensten in der EU zu etablieren. Ziel ist es, die Marktfragmentierung zu verringern, das Vertrauen in den digitalen Binnenmarkt zu stärken und die Widerstandsfähigkeit zu erhöhen.

2. Hauptergebnisse der Evaluierung der ENISA

• Wirksamkeit: Die ENISA hat ihr Mandat weitgehend erfüllt und während Krisen wie der COVID-19-Pandemie und dem russischen Angriffskrieg gegen die Ukraine Flexibilität bewiesen. Dennoch gibt es Verbesserungsbedarf bei der Priorisierung von Aufgaben.
• Effizienz: Die interne Matrix-Struktur hat geholfen, Ressourcen zu optimieren, jedoch leidet die Agentur unter dem weltweiten Fachkräftemangel und unzureichenden personellen Ressourcen für neue Aufgaben.
• Relevanz und Kohärenz: Die Agentur ist sehr anpassungsfähig an sich ändernde Bedarfe, könnte aber ihre Sichtbarkeit bei KMU erhöhen. Die Zusammenarbeit mit anderen EU-Stellen (wie dem ECCC oder der JRC) sollte weiter formalisiert werden, um Synergien zu maximieren.
• EU-Mehrwert: Die ENISA fungiert als zentraler Knotenpunkt für Cybersicherheitsexpertise, der besonders für kleinere Mitgliedstaaten mit weniger entwickelter Infrastruktur wertvoll ist.

3. Hauptergebnisse der Evaluierung des ECCF

• Herausforderungen: Die praktische Umsetzung der Zertifizierungsziele stieß auf erhebliche Hindernisse. Insbesondere die Fragmentierung der Zertifizierungsschemata besteht fort, und die Einführung des ersten Schemas (EUCC) dauerte mit 57 Monaten von der Initiierung bis zur Verabschiedung ungewöhnlich lange.
• Politische und technische Komplexität: Verzögerungen ergaben sich auch durch politische Debatten, etwa über Datensouveränität und Lokalisierungsanforderungen beim Cloud-Zertifizierungsschema (EUCS).
• Positive Aspekte: Der Rahmen hat das Bewusstsein für die Bedeutung von Cybersicherheit-Zertifizierungen in den Mitgliedstaaten geschärft.

4. Schlussfolgerungen und Empfehlungen

• ENISA: Die Agentur sollte ihre Berichte benutzerfreundlicher gestalten, die Kommunikation mit der Privatwirtschaft stärken und ihre Rolle bei der Umsetzung von Richtlinien wie NIS2 und dem Cyber Resilience Act (CRA) klarer definieren,,.
• ECCF: Es wird eine umfassende Überarbeitung der Governance-Strukturen empfohlen, um die Rechenschaftspflicht und operative Klarheit zu verbessern,.
• Ressourcenmanagement: Es ist entscheidend, qualifiziertes Personal durch bessere Ausbildung und stabile Beschäftigungsverhältnisse langfristig an die ENISA zu binden, um die Kontinuität bei komplexen Zertifizierungsprojekten zu gewährleisten.