Cuando la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) fue fundada, allá por 2004, Facebook acababa de nacer y el prefijo “cíber” sonaba aún a ciencia ficción. Su mandato inicial fue de apenas cinco años, un límite al que la Comisión Europea le fue dando patadas hasta que en 2019 la convirtió por fin en una agencia permanente. Por si fuera poco, su sede se encuentra en las ciudades griegas de Heraclión y Atenas, en las antípodas europeas de Bruselas.

Y a pesar de ello, la ENISA se ha convertido en el elemento cohesionador de la estrategia de ciberseguridad comunitaria. De hecho, aunque conserva su acrónimo, tras su última remodelación pasó a llamarse Agencia de la Unión Europea para la Ciberseguridad, a la cual se le otorgó la función de “lograr un elevado nivel de ciberseguridad común en toda la Unión, especialmente mediante el apoyo activo a los Estados miembros y a las instituciones, órganos y organismos de la Unión”.

Es, en otras palabras, el punto de referencia, el timón del plan europeo de seguridad de la red y la información. Sin un nivel común de defensa, sin una protección armonizada, la UE sería un objetivo fácil para los cibercriminales, y es por eso por lo que la Comisión propuso la creación de la ENISA: para contar con un supervisor cuyo cometido principal sería asegurarse de que no quedaran cabos sueltos ni directrices sin implementar que hicieran vulnerable al grupo. Además, la agencia colabora estrechamente con Europol y el Centro Europeo de Ciberdelincuencia.

En 2004 se trataba de un proyecto prematuro, un paso por delante de la penetración de internet en la vida diaria de los ciudadanos, pero a medida que las tecnologías de la información y la comunicación (TIC) se abrían paso los riesgos asociados a ellas crecían exponencialmente. Protegerse frente a ellos ya no era una medida de precaución visionaria, sino una obligación, y ahí la labor de la Agencia Europea de Ciberseguridad demostró ser fundamental.

Sin su trabajo, ciberataques como el sufrido por el Hospital Universitario de Brno (Chequia) en marzo de 2020 , en mitad de la pandemia, que obligó a posponer operaciones urgentes y reubicar a pacientes graves, serían mucho más frecuentes. La pandemia ha complicado más las cosas: al acelerar la transformación digital de la sociedad y la economía, las amenazas se han multiplicado. Desde el suministro de agua hasta el control de nuestros hogares, cada vez más conectados, el ámbito de actuación de los cibercriminales ya no tiene límites.

Un ascenso progresivo

La ENISA fue concebida como una agencia pequeña con una tarea muy concreta: ayudar a las instituciones y organizaciones de la Unión Europea y los Estados miembros a proteger sus conexiones. Un año antes de que venciera su mandato inicial, en 2008, el Parlamento y el Consejo europeos decidieron , a propuesta de la Comisión, prorrogar su vigencia hasta 2012, en tanto en cuanto la evaluación y la mejora de la protección de las redes europeas apenas había comenzado.

En 2011, de nuevo, el mandato fue renovado hasta 2013, y cuando esa fecha límite llegó, otra vez hasta 2020. A diferencia de los anteriores, ese último empujón vino acompañado de una ampliación de sus funciones. Coincidiendo con la publicación de la primera Estrategia de Ciberseguridad de la UE, las instituciones comunitarias también plantearon una modernización de la agencia, que desde 2013 brindaría asistencia en nuevas áreas. Entre ellas, destaca la coordinación de una futura red de equipos de respuesta ante emergencias informáticas (EU CERT) repartidos por todas las capitales.

Pero fue en 2019, con la entrada en vigor del Reglamento de Ciberseguridad, cuando la ENISA recibió el espaldarazo definitivo. Además de aumentar sus recursos, la nueva legislación convirtió en permanente el mandato que recibió en 2004, cambió su nombre a Agencia de Ciberseguridad de la UE, expandió su papel asesor y le otorgó por primera vez funciones operativas claras .

Así, entre otras cosas, la agencia comenzó a ayudar también a los Estados miembros a la hora de establecer prioridades para la inversión en investigación y desarrollo y, lo más importante, a trabajar en la creación de un sistema de certificados de seguridad para productos y servicios TIC en la Unión.

Para que las empresas y los consumidores puedan confiar en que su información online está a salvo necesitan utilizar dispositivos seguros, pero la falta de un sistema de certificación único en la UE mina esa confianza a la vez que limita el comercio transfronterizo. Por ello, ENISA debe establecer criterios comunes y unificar los mecanismos nacionales para emitir certificados de ciberseguridad, un sello que necesitan desde las tarjetas inteligentes —tarjetas de crédito, de transporte, SIM…— hasta los servicios de computación en la nube.

En cuanto a su financiación, la Agencia de Ciberseguridad ha ido aumentado su dotación año a año hasta alcanzar los casi 22 millones de euros de 2020 , cinco veces más que su partida inicial. La inmensa mayoría del dinero lo aporta la Comisión Europea, mientras que los países de la Asociación Europea de Libre Comercio que no pertenecen a la UE —Islandia, Liechtenstein, Noruega y Suiza— y el Gobierno griego —en concepto de ayuda al alquiler de las instalaciones— realizan también una pequeña aportación. En 2019, además, contaba con 75 empleados .

El creciente peso de la ENISA en la Estrategia de Ciberseguridad de la UE ha llevado a la Comisión Europea a querer tenerla más cerca de su centro de poder. Y para ello, en lugar de cambiar su sede, el pasado mes de junio autorizó la apertura de una tercera oficina en Bruselas con el objetivo de que la agencia pueda mantener “una cooperación regular y sistemática” con las instituciones europeas.

Así, reciclaje tras reciclaje, la Agencia Europea de Seguridad de las Redes y de la Información se ha mantenido como el pilar de la ciberseguridad europea desde que fuera fundada en 2004. La culminación de ese proceso llegará con su asentamiento en Bruselas y la consolidación de sus funciones operativas, un cambio que se enmarca dentro del intento de la UE de pasar a la ofensiva contra los ciberataques y convertirse en el enemigo número uno de los cibercriminales en todo el mundo.