Bei der Gründung der Agentur im Jahr 2004 steckte Facebook noch in den Kinderschuhen, und Cybersicherheit war weder für die Regierungen noch für die Bürger ein vorrangiges Anliegen. Dieser Umstand kam auch in der Wahl des Sitzes der ENISA an der Peripherie  der europäischen Entscheidungszentren – in den griechischen Städten Heraklion und Athen – sowie in ihrem zunächst auf fünf  Jahre befristeten Mandat zum Ausdruck. 

Im Laufe der Jahre wurde die Agentur jedoch federführend bei der Ausarbeitung einer gemeinschaftlichen Cybersicherheitsstrategie. 2019 wurde zusammen mit ihrer Bezeichnung auch ihr Zuständigkeitsbereich erweitert, obwohl das Akronym weiterhin auf den ursprünglichen Namen verweist (der alte Name der Agentur lautete Europäische Agentur für Netz- und Informationssicherheit, auf Englisch: European network and information security agency).

“Die ENISA nimmt die ihr mit dieser Verordnung zugewiesenen Aufgaben mit dem Ziel wahr, ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union zu erreichen, unter anderem indem sie die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Verbesserung der Cybersicherheit unterstützt.” Verordnung (EU) 2019/881, Artikel 3

Die Agentur ist also ein Bezugspunkt für die Entwicklung des europäischen Plans für die Sicherheit von Computernetzwerken. Ohne eine gemeinschaftliche Verteidigungsstrategie, ohne eine zentralisierte Cyberschutzbehörde auf europäischer Ebene wäre die Union ein leichtes Ziel für Cyberkriminelle. Die europäische Kommission hatte die Gründung der ENISA ursprünglich angeregt, um die einheitliche Absicherung des europäischen Kontinents gegen Cyberattacken zu garantieren. In diesem Zusammenhang war es wichtig, alle entsprechenden Richtlinien anzuwenden, damit einige Länder nicht verwundbarer als andere sind, und Hindernisse zu deren Vereinheitlichung aus dem Weg zu räumen. Zudem arbeitet die Agentur im engen Kontakt mit Europol und dem Europäischen Zentrum zur Bekämpfung von Cyberkriminalität.

Die Gründung der ENISA im Jahr 2004 war der Zeit ein wenig voraus, wenn man bedenkt, dass das Internet damals erst noch Teil der alltäglichen Lebenswirklichkeit der EU-Bürger werden sollte. Aber mit der Zunahme der Informations- und Kommunikationstechnologien (ITC) stiegen auch die mit diesen verbundenen Gefahren exponentiell, so dass der Schutz gegen Cyberkriminalität bald nicht mehr nur als Vorsichtsmaßnahme, sondern als Notwendigkeit wahrgenommen wurde, an der die Arbeit der Einrichtung entscheidenden Anteil haben sollte.

Ohne die ENISA wären Cyberattacken, wie die auf das Krankenhaus von Brno (Tschechische Republik) im März 2020, welche mitten in der Pandemie die Verschiebung dringender Operationen sowie die Verlegung schwerkranker Patienten nötig machte,wesentlich häufiger. Die Pandemie hat die Situation komplizierter gemacht: Durch die beschleunigte digitale Transformation der Gesellschaft und der Wirtschaft haben sich die Bedrohungen vervielfacht, während sich die Anwendungsbereiche der Informationstechnologie gleichzeitig diversifiziert haben, von der Wasserversorgung bis hin zur Domotik immer stärker vernetzter Eigenheime.

Kontinuierliches Wachstum

Die ENISA wurde als kleine Agentur mit einer begrenzten Aufgabenstellung gegründet: Für die sichere Vernetzung der Institutionen und Organisationen innerhalb der EU und der Mitgliedstaaten untereinander zu sorgen. 2008, ein Jahr vor Ablauf ihres ersten Mandats, beschlossen das europäische Parlament und der Rat auf Vorschlag der Kommission, ihr Mandat bis 2012 zu verlängern und gaben damit zum Ausdruck, dass die Wertschätzung und die Verbesserung des Schutzes europäischer Netzwerke im öffentlichen Bewusstsein angekommen waren.

2011 wurde das Mandat der Agentur erneut bis 2013 verlängert , dann abermals bis 2020. Im Unterschied zu den vorausgegangenen Maßnahmen wurde bei der zweiten Verlängerung der Mandatsfrist jedoch auch die Rolle der Agentur selbst ausgeweitet. Zeitgleich mit der Veröffentlichung der ersten Strategie für Cybersicherheit der EU wurde die Agentur modernisiert , um sie besser auf einige Aspekte ihrer neuen Amtszeit auszurichten, von denen der wichtigste die Aufstellung eines Netzwerks von Teams in allen europäischen Hauptstädten (Cert-Eu) war, um adäquat auf IT-Sicherheitsvorfälle zu reagieren.

Erst seit Verabschiedung des Cybersecurity Act 2019 ist die Amtszeit der ENISA nicht mehr zeitlich begrenzt. Neben der Aufstockung der ihr zur Verfügung stehenden Mittel wurde die seit 2004 bestehende Befristung der Amtszeit auf fünf Jahre nun aufgehoben und die Agentur für einen unbegrenzte Zeitraum eingerichtet. Mit Änderung ihrer Bezeichnung in ‚Agentur der Europäischen Union für Cybersicherheit‘ wurde auch ihre beratende Rolle erweitert, und sie erhielt zum ersten Mal klare operative Vorgaben .

Die Agentur unterstützt nun auch die Mitgliedstaaten bei der Festlegung ihrer Prioritäten zur Finanzierung der Forschungs- und Entwicklungstätigkeit im IT-Bereich, und sie hat ein Zertifizierungssystem für ICT-Produkte und -Dienstleistungen in der EU auf den Weg gebracht.

Damit Unternehmen und Verbraucher Vertrauen in die Sicherheit ihrer Daten online haben können, werden sichere Endgeräte benötigt, aber das Fehlen eines einheitlichen europäischen Zertifizierungssystems untergräbt dieses Vertrauen und schränkt den grenzüberschreitenden Handel ein. Deshalb kommt der ENISA die Aufgabe zu, gemeinschaftliche Kriterien festzulegen und die nationalen Mechanismen zur Ausstellung von Zertifizierungen in der Cybersicherheit zu vereinheitlichen. Dies ist eine grundlegende Voraussetzung für eine ganze Reihe von Produkten und Dienstleistungen, von Smart Cards (Kreditkarten, ÖVP-Abos, SIM-Karten) bis hin zu Cloud-Services.

Das Budget der ENISA wurde von Jahr zu Jahr aufgestockt und erreichte 2020 fast 22 Millionen Euro, fünfmal so viel wie bei ihrer Gründung, was die Finanzierung vieler Initiativen im IT-Bereich sicherstellt.

Die meisten Mittel werden von der europäischen Kommission gestellt, während die EWR-Staaten (Island, Liechtenstein, Norwegen und Schweiz) sowie Griechenland – wo die Agentur ihren Sitz hat – kleinere Beiträge beisteuern. 2019 hatte die ENISA 75 Angestellte .

Angesichts der wachsenden Bedeutung der Agentur im Rahmen der europäischen Cybersicherheits-Strategie hat die Europäische Kommission beschlossen, den Sitz der Organisation näher an das europäische Machtzentrum zu rücken. Anstatt aber dafür einen neuen Sitz in einem anderen Land zu beziehen, wurde im vergangenen Juni die Eröffnung einer dritten Geschäftsstelle in Brüssel genehmigt, um eine  „regelmäßige und systematische Zusammenarbeit“ zwischen der Agentur und den europäischen Institutionen zu gewährleisten.

Seit ihrer Gründung 2004 ist die ENISA nach und nach ist zu einer tragenden Säule der Cybersicherheit in Europa geworden. Der bisherige Höhepunkt dieser Entwicklung sind die Eröffnung ihres neuen Büros in Brüssel und die Konsolidierung ihrer operativen Aufgaben. Dieser Wandel zeigt das Streben der Europäischen Union, die Abwehr von Cyberattacken zunehmend selbst in die Hand zu nehmen.