ΕΚΘΕΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ Βρυξέλλες, 13.9.2017 COM(2017) 478 final ΕΚΘΕΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ για την αξιολόγηση του Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) EL EL

1. ΕΙΣΑΓΩΓΗ 1.1 ΣΧΕΤΙΚΑ ΜΕ ΤΟΝ ENISA Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) ιδρύθηκε το 2004 και η εντολή του ανανεώνεται περιοδικά. Η τρέχουσα εντολή του ENISA καθορίζεται στον κανονισμό ΕΕ αριθ. 526/2013 1 («κανονισμός για τον ENISA») και πρόκειται να λήξει στις 19 Ιουνίου 2020. Η εντολή του ENISA είναι να συμβάλει σε υψηλό επίπεδο ασφάλειας δικτύων και πληροφοριών εντός της Ένωσης. Στον κανονισμό για τον ENISA περιγράφονται οι συγκεκριμένοι στόχοι του Οργανισμού και ορίζεται ότι ο Οργανισμός: αναπτύσσει και διατηρεί υψηλό επίπεδο εμπειρογνωσίας. συνεπικουρεί τα θεσμικά και λοιπά όργανα, τις υπηρεσίες και τους οργανισμούς της Ένωσης στην ανάπτυξη πολιτικών για την ασφάλεια των δικτύων και των πληροφοριών. επικουρεί τα θεσμικά και λοιπά όργανα, τις υπηρεσίες και τους οργανισμούς της Ένωσης και τα κράτη μέλη στην υλοποίηση των πολιτικών που απαιτούνται για την εκπλήρωση των νομικών και ρυθμιστικών απαιτήσεων σχετικά με την ασφάλεια των δικτύων και των πληροφοριών, τόσο στις ισχύουσες όσο και στις μελλοντικές νομικές πράξεις της Ένωσης, συμβάλλοντας έτσι στην ορθή λειτουργία της εσωτερικής αγοράς. επικουρεί την Ένωση και τα κράτη μέλη στη βελτίωση και την ενίσχυση της ικανότητας και της ετοιμότητάς τους ώστε να προλαμβάνουν, να εντοπίζουν και να αντιμετωπίζουν προβλήματα και περιστατικά που αφορούν την ασφάλεια δικτύων και πληροφοριών. χρησιμοποιεί την εμπειρογνωσία του προκειμένου να ενισχύσει την ευρεία συνεργασία μεταξύ φορέων του δημόσιου και του ιδιωτικού τομέα. Επιπλέον, μέσω της οδηγίας ΕΕ αριθ. 2016/1148 2 σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (οδηγία ΑΔΠ), οι συννομοθέτες της ΕΕ αποφάσισαν να αποδώσουν σημαντικό ρόλο στον ENISA για την εφαρμογή του νόμου. Συγκεκριμένα, ο Οργανισμός παρέχει γραμματειακή υποστήριξη στο δίκτυο CSIRT (συστάθηκε για να προωθήσει την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία μεταξύ κρατών μελών), και έχει επίσης κληθεί να επικουρεί την ομάδα συνεργασίας για τη στρατηγική συνεργασία κατά την εκτέλεση των καθηκόντων της. Επιπλέον, δυνάμει της οδηγίας ΑΔΠ, ο ENISA οφείλει να συνδράμει τα κράτη μέλη και την Επιτροπή, παρέχοντας εμπειρογνωσία και συμβουλές, και διευκολύνοντας την ανταλλαγή βέλτιστων πρακτικών. Ο Οργανισμός είναι εγκατεστημένος στην Ελλάδα η διοικητική του έδρα βρίσκεται στο Ηράκλειο (Κρήτη) ενώ το επιχειρησιακό του κέντρο στην Αθήνα. Στελεχώνεται από 84 άτομα και έχει ετήσιο προϋπολογισμό λειτουργίας 11,25 εκατ. EUR. Διευθύνεται από εκτελεστικό διευθυντή και διοικείται από διοικητικό συμβούλιο, εκτελεστική επιτροπή και μόνιμη ομάδα ενδιαφερομένων. Οι επαφές με τα κράτη μέλη διευκολύνονται από άτυπο δίκτυο υπαλλήλων-συνδέσμων. 1 http://eur-lex.europa.eu/legal-content/en/txt/?qid=1495472820549&uri=celex:32013r0526 2 http://eur-lex.europa.eu/legalcontent/en/txt/?uri=uriserv:oj.l_.2016.194.01.0001.01.eng&toc=oj:l:2016:194:toc 2

1.2 ΣΚΟΠΟΣ ΤΗΣ ΕΚΘΕΣΗΣ Το άρθρο 32 του κανονισμού για τον ENISA απαιτεί από την Επιτροπή να προβεί σε αξιολόγηση του ENISA έως τις 20 Ιουνίου 2018 «για την αξιολόγηση συγκεκριμένα του αντίκτυπου, της αποτελεσματικότητας και της απόδοσης του Οργανισμού και των εργασιακών πρακτικών του» και για να εξεταστεί κατά πόσον η τρέχουσα εντολή πρέπει να παραταθεί. Υπό το πρίσμα των σημαντικών αλλαγών που σημειώθηκαν στο πεδίο της ασφάλειας στον κυβερνοχώρο από το 2013, όταν εγκρίθηκε ο ισχύον κανονισμός ENISA λαμβάνοντας υπόψη το επιτευχθέν επίπεδο ωριμότητας των πολιτικών, της αγοράς, του επιπέδου της τεχνολογίας η Επιτροπή, στην ανακοίνωσή της για την ενίσχυση του συστήματος κυβερνοανθεκτικότητας της Ευρώπης και την προώθηση ανταγωνιστικού και καινοτόμου κλάδου ασφάλειας στον κυβερνοχώρο, του 2016 3, ανακοίνωσε ότι θα προωθήσει την αξιολόγηση και την επανεξέταση του ENISA. Συγκεκριμένα, η Επιτροπή σημείωσε ότι η επανεξέταση του ENISA θα δώσει την ευκαιρία για μια πιθανή ενίσχυση των δυνατοτήτων και των ικανοτήτων του Οργανισμού να υποστηρίζει τα κράτη μέλη κατά τρόπο βιώσιμο για την επίτευξη ανθεκτικότητας σχετικά με την ασφάλεια στον κυβερνοχώρο. Το όραμα αυτό επιβεβαιώθηκε περαιτέρω στα συμπεράσματα του Συμβουλίου του 2016 4, όπου αναγνωρίζεται ότι «οι απειλές και τα ευάλωτα σημεία στον κυβερνοχώρο εξακολουθούν να αυξάνονται και να εντείνονται, πράγμα που θα απαιτήσει συνεχή και στενότερη συνεργασία, ιδίως στο πλαίσιο της αντιμετώπισης διασυνοριακών συμβάντων ασφάλειας στον κυβερνοχώρο μεγάλης κλίμακας». Τα συμπεράσματα επιβεβαίωσαν εκ νέου ότι «ο κανονισμός ENISA αποτελεί μία από τις βασικές συνιστώσες του πλαισίου της ΕΕ για την ανθεκτικότητα στον κυβερνοχώρο». Τα αποτελέσματα της αξιολόγησης του ENISA αξιοποιήθηκαν στην εκτίμηση των επιπτώσεων που συνοδεύει την πρόταση κανονισμού για τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA, ο «οργανισμός της ΕΕ για την ασφάλεια στον κυβερνοχώρο») και την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013, και για την πιστοποίηση ασφάλειας στον κυβερνοχώρο για τις τεχνολογίες πληροφοριών και επικοινωνιών («πράξη για την ασφάλεια στον κυβερνοχώρο»). Σύμφωνα με το άρθρο 32 του κανονισμού ENISA, η Επιτροπή διαβιβάζει την έκθεση αξιολόγησης μαζί με τα συμπεράσματά της στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και το διοικητικό συμβούλιο. Η παρούσα συνοπτική έκθεση συνοδεύεται από έγγραφο εργασίας των υπηρεσιών της Επιτροπής σχετικά με την αξιολόγηση του Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (SWD(2017) 502). 2. ΚΥΡΙΕΣ ΔΙΑΠΙΣΤΩΣΕΙΣ ΤΗΣ ΑΞΙΟΛΟΓΗΣΗΣ Σύμφωνα με τις κατευθυντήριες γραμμές της Επιτροπής για τη βελτίωση της νομοθεσίας 5, η αξιολόγηση εξέτασε την αποτελεσματικότητα, την αποδοτικότητα, τη 3 4 5 Ανακοίνωση της Επιτροπής για την ενίσχυση του συστήματος κυβερνοανθεκτικότητας της Ευρώπης και προώθηση ανταγωνιστικού και καινοτόμου κλάδου ασφάλειας στον κυβερνοχώρο, COM/2016/0410 final. Συμπεράσματα του Συμβουλίου για την ενίσχυση του συστήματος κυβερνοανθεκτικότητας της Ευρώπης και προώθηση ανταγωνιστικού και καινοτόμου κλάδου ασφάλειας στον κυβερνοχώρο 15 Νοεμβρίου 2016. COM (2015)215final SWD (2015)111 final 3

συνοχή, τη συνάφεια και την ενωσιακή προστιθέμενη αξία του Οργανισμού, όσον αφορά τις επιδόσεις του, τη διακυβέρνησή του, την εσωτερική οργανωτική δομή του και τις μεθόδους εργασίας του. Στην ανάλυση ελήφθη επίσης υπόψη το εξελισσόμενο πλαίσιο εντός του οποίου λειτουργεί πλέον ο Οργανισμός, ειδικότερα όσον αφορά τα εξής: το νέο κανονιστικό πλαίσιο και το πλαίσιο πολιτικής της ΕΕ (π.χ. την οδηγία ΑΔΠ, την επανεξέταση της στρατηγικής της ΕΕ για την ασφάλεια στον κυβερνοχώρο) τις εξελισσόμενες ανάγκες της κοινότητας των ενδιαφερομένων του Οργανισμού και τη συμπληρωματικότητα, καθώς και πιθανές συνέργειες με τις εργασίες που διεξάγονται από άλλα ενωσιακά και εθνικά θεσμικά όργανα, οργανισμούς και φορείς, όπως η ομάδα αντιμετώπισης περιστατικών ασφάλειας πληροφορικής των οργάνων, οργανισμών και υπηρεσιών της ΕΕ (CERT-EU) και το Ευρωπαϊκό Κέντρο για τα εγκλήματα στον κυβερνοχώρο (EC3) της Ευρωπόλ. Για την αξιολόγηση της λειτουργίας του Οργανισμού: Η Επιτροπή ανέθεσε ανεξάρτητη μελέτη, που πραγματοποιήθηκε μεταξύ Νοεμβρίου 2016 και Ιουλίου 2017, και η οποία αποτελεί την κύρια πηγή αξιολόγησης, μαζί με την εσωτερική ανάλυση που πραγματοποίησε η Επιτροπή. Στις δραστηριότητες της μελέτης περιλαμβάνονταν η έρευνα τεκμηρίωσης, η συλλογή και η ανάλυση δεδομένων, μεταξύ άλλων με έρευνες από τους ενδιαφερόμενους, διεξοδικές συνεντεύξεις με βασικούς παράγοντες του τομέα της ασφάλειας στον κυβερνοχώρο, ημερίδες εργασίας των ενδιαφερόμενων, συγκριτική αξιολόγηση, άσκηση τοποθέτησης του Οργανισμού και ανάλυση πλεονεκτημάτων, αδυναμιών, ευκαιριών και απειλών (SWOT). Η Επιτροπή πραγματοποίησε επίσης δημόσια διαβούλευση μέσω διαδικτύου, διάρκειας 12 εβδομάδων, η οποία καλύπτει τόσο την εκ των υστέρων αξιολόγηση όσο και το μέλλον του ENISA, καθώς και στοχευμένες διαβουλεύσεις με τους κύριους ενδιαφερόμενους. Τα κυριότερα πορίσματα της αξιολόγησης, σύμφωνα με τα κριτήρια αξιολόγησης, μπορούν να συνοψιστούν ως εξής: 1. Συνάφεια: Στο πλαίσιο των τεχνολογικών εξελίξεων και των εξελισσόμενων απειλών, καθώς και της μεγάλης ανάγκης για αυξημένη ασφάλεια δικτύων και πληροφοριών (ΑΔΠ) στην ΕΕ, οι στόχοι του ENISA αποδείχθηκαν συναφείς. Πράγματι, τα κράτη μέλη και τα όργανα της ΕΕ βασίζονται σε εμπειρογνωσία όσον αφορά την εξέλιξη της ΑΔΠ, ικανότητες πρέπει να αναπτυχθούν στα κράτη μέλη ώστε αυτά να κατανοούν και να ανταποκρίνονται στις απειλές, και οι ενδιαφερόμενοι από διαφορετικούς θεματικούς τομείς και ιδρύματα πρέπει να συνεργάζονται. Η ΑΔΠ εξακολουθεί να αποτελεί βασική πολιτική προτεραιότητα της ΕΕ, και σε αυτήν αναμένεται να ανταποκριθεί ο ENISA ωστόσο, ο σχεδιασμός του ENISA ως οργανισμού της ΕΕ με εντολή ορισμένου χρόνου: i) δεν επιτρέπει τον μακροπρόθεσμο σχεδιασμό και τη βιώσιμη στήριξη των κρατών μελών και των θεσμικών οργάνων της ΕΕ στο ταχέως μεταβαλλόμενο τοπίο της προστασίας από απειλές στον κυβερνοχώρο ii) ενδέχεται να οδηγήσει σε νομικό κενό, δεδομένου ότι οι διατάξεις της οδηγίας ΑΔΠ αναθέτουν στον ENISA καθήκοντα με μόνιμο χαρακτήρα. http://ec.europa.eu/smart-regulation/guidelines/docs/swd_br_guidelines_en.pdf 4

2. Αποτελεσματικότητα: Ο ENISA συνολικά πέτυχε τους στόχους του και ανταποκρίθηκε στα καθήκοντά του. Συνέβαλε στην αύξηση της ΑΔΠ στην Ευρώπη μέσω των βασικών του δραστηριοτήτων (ανάπτυξη ικανοτήτων, παροχή εμπειρογνωμοσύνης, ανάπτυξη κοινοτήτων, στήριξη της πολιτικής). Έδειξε δυνατότητες βελτίωσης σε σχέση με καθεμία από αυτές τις δραστηριότητες. Η αξιολόγηση κατέληξε στο συμπέρασμα ότι ο ENISA έχει όντως δημιουργήσει ισχυρές σχέσεις εμπιστοσύνης με ορισμένους από τους ενδιαφερόμενους, ιδίως με τα κράτη μέλη και την κοινότητα CSIRT. Οι παρεμβάσεις στο πεδίο της ανάπτυξης ικανοτήτων θεωρήθηκαν αποτελεσματικές ιδίως για κράτη μέλη με λιγότερους πόρους. Η προώθηση της ευρείας συνεργασίας αποτέλεσε ένα από τα σημαντικότερα στοιχεία, καθώς οι ενδιαφερόμενοι συμφωνούν σε γενικές γραμμές ότι ο ENISA διαδραματίζει θετικό ρόλο στην προσέγγιση των ανθρώπων. Ωστόσο, ο ENISA αντιμετώπισε δυσκολίες που δεν του επέτρεψαν να έχει μεγάλο αντίκτυπο στο αχανές πεδίο της ΑΔΠ. Αυτό οφείλεται μεταξύ άλλων στο γεγονός ότι διέθετε πολύ περιορισμένους ανθρώπινους και οικονομικούς πόρους για να ανταποκριθεί σε μια πολύ ευρεία εντολή. Η αξιολόγηση κατέληξε επίσης στο συμπέρασμα ότι ο ENISA ανταποκρίθηκε εν μέρει στον στόχο της παροχής εμπειρογνωμοσύνης, γεγονός που συνδέεται με τα προβλήματα στη στρατολόγηση εμπειρογνωμόνων (βλ. επίσης κατωτέρω την ενότητα για την αποδοτικότητα). 3. Αποδοτικότητα: Παρά τον μικρό του προϋπολογισμό από τους χαμηλότερους σε σύγκριση με άλλους οργανισμούς της ΕΕ ο Οργανισμός κατόρθωσε να συμβάλει σε συγκεκριμένους στόχους, επιδεικνύοντας συνολικά αποδοτικότητα στη χρήση των πόρων του. Η αξιολόγηση κατέληξε στο συμπέρασμα ότι οι διαδικασίες εν γένει ήταν αποτελεσματικές και ότι η σαφής οριοθέτηση των αρμοδιοτήτων εντός του οργανισμού είχε ως αποτέλεσμα την ορθή εκτέλεση των εργασιών. Μία από τις κύριες προκλήσεις για την αποτελεσματικότητα του Οργανισμού σχετίζεται με τις δυσκολίες που αντιμετωπίζει ο ENISA να προσλάβει και να διατηρήσει στο δυναμικό του ειδικευμένους εμπειρογνώμονες. Τα πορίσματα δείχνουν ότι αυτό μπορεί να εξηγηθεί από έναν συνδυασμό παραγόντων, που περιλαμβάνουν τις γενικές δυσκολίες που αντιμετωπίζει ο δημόσιος τομέας εν γένει να ανταγωνιστεί τον ιδιωτικό τομέα όταν προσπαθεί να προσλάβει εμπειρογνώμονες υψηλής εξειδίκευσης, το είδος των συμβάσεων (ορισμένου χρόνου) που μπορεί κατά κύριο λόγο να προσφέρει ο Οργανισμός, καθώς και το σχετικά χαμηλό επίπεδο ελκυστικότητας που οφείλεται στον τόπο εγκατάστασης του ENISA, για παράδειγμα λόγω των δυσκολιών που αντιμετωπίζουν οι σύζυγοι των υπαλλήλων να βρουν εργασία. Η χωρική διάσπαση μεταξύ Αθήνας και Ηρακλείου απαιτεί πρόσθετες προσπάθειες συντονισμού και συνεπάγεται πρόσθετα έξοδα αλλά, με τη μεταφορά το 2013 του επιχειρησιακού του κέντρου στην Αθήνα, αυξήθηκε η επιχειρησιακή αποτελεσματικότητα του οργανισμού. 4. Συνοχή: Οι δραστηριότητες του ENISA ήταν σε γενικές γραμμές συνεκτικές με τις πολιτικές και τις δραστηριότητες των ενδιαφερομένων σε εθνικό επίπεδο και σε επίπεδο ΕΕ, αλλά υπάρχει ανάγκη για πιο συντονισμένη προσέγγιση της ασφάλειας στον κυβερνοχώρο σε επίπεδο ΕΕ. Δεν έχει αξιοποιηθεί πλήρως η δυνατότητα συνεργασίας μεταξύ του ENISA και άλλων οργανισμών της ΕΕ. Η εξέλιξη του ενωσιακού νομικού και πολιτικού τοπίου καθιστούν σήμερα την τρέχουσα εντολή λιγότερο συνεκτική. 5

5. Προστιθέμενη αξία της ΕΕ: Η προστιθέμενη αξία του ENISA έγκειται κυρίως στη δυνατότητα του Οργανισμού να ενισχύει τη συνεργασία, κυρίως μεταξύ των κρατών μελών αλλά και με τις συναφείς κοινότητες ΑΔΠ. Δεν υπάρχει άλλος φορέας σε επίπεδο ΕΕ που να στηρίζει τη συνεργασία του ίδιου εύρους ενδιαφερομένων για την ΑΔΠ. Η προστιθέμενη αξία που προσφέρει ο Οργανισμός κυμαίνεται ανάλογα με τις αποκλίνουσες ανάγκες και τους πόρους των ενδιαφερομένων (π.χ. των μεγάλων έναντι των μικρών κρατών μελών των κρατών μελών έναντι της βιομηχανίας) και την ανάγκη του Οργανισμού να ιεραρχήσει τις δραστηριότητές του ανάλογα με το πρόγραμμα εργασίας. Η αξιολόγηση κατέληξε στο συμπέρασμα ότι ενδεχόμενη διακοπή της λειτουργίας του ENISA θα αποτελούσε χαμένη ευκαιρία για όλα τα κράτη μέλη. Χωρίς αποκεντρωμένο οργανισμό της ΕΕ, δεν θα είναι δυνατόν να διασφαλιστεί ο ίδιος βαθμός ανάπτυξης κοινοτήτων και συνεργασίας μεταξύ των κρατών μελών στον τομέα της ασφάλειας στον κυβερνοχώρο. Η εικόνα θα ήταν πιο κατακερματισμένη αν το κενό που άφηνε πίσω του ο ENISA αναπληρωνόταν από τη διμερή ή την περιφερειακή συνεργασία. 3. ΣΥΜΠΕΡΑΣΜΑΤΑ/ΣΥΣΤΑΣΕΙΣ Η αξιολόγηση κατέληξε στο συμπέρασμα ότι ο ENISA ήταν επιφορτισμένος από τον κανονισμό με μια ευρεία εντολή η οποία επιτρέπει ευελιξία αλλά, σε ορισμένες περιπτώσεις, στερείται σαφούς εστίασης και δυσχεραίνει την επίτευξη σημαντικού αντικτύπου από τον Οργανισμό και οι στόχοι του αποδείχτηκαν συναφείς κατά την περίοδο 2013-2016. Ο Οργανισμός κατόρθωσε να επιτύχει ικανοποιητικό επίπεδο αποδοτικότητας και κατέδειξε την προστιθέμενη αξία της δράσης σε επίπεδο ΕΕ, ιδίως μέσω βασικών δραστηριοτήτων, όπως οι πανευρωπαϊκές ασκήσεις ασφάλειας στον κυβερνοχώρο, η στήριξη στην κοινότητα CSIRT, οι αναλύσεις σχετικά με το τοπίο των απειλών. Ο ENISA συνέβαλε στην ενίσχυση της ασφάλειας δικτύων και πληροφοριών στην Ευρώπη, κυρίως μέσω της στήριξης της συνεργασίας μεταξύ των κρατών μελών και των ενδιαφερομένων για την ΑΔΠ, καθώς και μέσω των δραστηριοτήτων του για την ανάπτυξη κοινότητας και ικανοτήτων. Ο Οργανισμός πέτυχε αυτά τα αποτελέσματα παρά τις πολλαπλές προκλήσεις, που παρουσιάστηκαν στις προηγούμενες ενότητες της παρούσας έκθεσης και το συνημμένο έγγραφο εργασίας των υπηρεσιών της Επιτροπής. Μία από τις βασικές προκλήσεις ήταν οι περιορισμένοι πόροι, οι οποίοι δεν ανταποκρίνονταν στην ευρεία εντολή του Οργανισμού, ιδίως με δεδομένα τα νέα καθήκοντα που ανατέθηκαν στον Οργανισμό από την οδηγία ΑΔΠ και το ταχέως εξελισσόμενο τοπίο των απειλών. Ο ENISA παραμένει επίσης ο μόνος οργανισμός της ΕΕ με εντολή ορισμένου χρόνου, παρά, μεταξύ άλλων, τα καθήκοντα που σχετίζονται με την οδηγία ΑΔΠ, όπως αναφέρεται ανωτέρω. Το τοπίο των απειλών στον κυβερνοχώρο εξελίσσεται με ταχείς ρυθμούς, καθώς νέες απειλές αναδύονται επειδή η Ευρώπη αποκτά όλο και μεγαλύτερη εξάρτηση από τις ψηφιακές υποδομές και υπηρεσίες, όχι μόνο μέσω των συνδεδεμένων συσκευών αλλά, πλέον, λόγω της πανταχού παρούσας συνδετικότητας. Το διαδίκτυο των πραγμάτων δημιουργεί νέες ευκαιρίες που συνδέονται με την ενεργειακή απόδοση, την περιβαλλοντική προστασία, τη διασυνδεδεμένη κινητικότητα, την παρακολούθηση της υγείας σε πραγματικό χρόνο και τις έξυπνες και απρόσκοπτες χρηματοοικονομικές συναλλαγές στην ψηφιακή οικονομία και κοινωνία. Ωστόσο, παράλληλα με αυτές τις κινητήριες δυνάμεις της επιχειρηματικότητας αναπτύσσονται νέες τρωτότητες και ευπάθειες που επιτρέπουν στις πληγείσες συσκευές να διαταράξουν τη λειτουργία της ψηφιακής ενιαίας αγοράς. 6

Η αξιολόγηση κατέληξε στο συμπέρασμα ότι η τρέχουσα εντολή δεν εξοπλίζει τον ENISA με τα απαραίτητα εργαλεία για να αντιμετωπίσει τις σημερινές και τις μελλοντικές προκλήσεις για την ασφάλεια στον κυβερνοχώρο. Επιπλέον, αυξανόμενος είναι πλέον ο κίνδυνος μεγαλύτερου κατακερματισμού σε επίπεδο ΕΕ, λόγω της πληθώρας των φορέων στον τομέα της ασφάλειας στον κυβερνοχώρο που λειτουργούν σε επίπεδο ΕΕ και του ανεπαρκούς συντονισμού τους. Η ΕΕ χρειάζεται ένα εστιακό σημείο για να αντιμετωπίσει τις νέες απειλές που έχουν οριζόντιο χαρακτήρα και επιδρούν σε πολλούς τομείς της βιομηχανίας και για να ανταποκριθεί στις ανάγκες της κοινότητας για την ασφάλεια στον κυβερνοχώρο, ιδίως των κρατών μελών, των θεσμικών οργάνων της ΕΕ και των επιχειρήσεων. Η αξιολόγηση δείχνει ότι υπάρχει ανάγκη για έναν οργανισμό της ΕΕ, οργανωμένο σε διατομεακή/οριζόντια βάση και με ισχυρή εντολή. Η αξιολόγηση δείχνει ότι παρά τις πολλαπλές προκλήσεις, υπάρχουν σημαντικές δυνατότητες ώστε ο ENISA, εφόσον λάβει επαρκώς ισχυρή εντολή και υποστηριχθεί όσον αφορά τους οικονομικούς και ανθρώπινους πόρους, να συμβάλει στην αύξηση της ασφάλειας στον κυβερνοχώρο στην ΕΕ. Υπάρχει επίσης σαφής ανάγκη για συνεργασία και συντονισμό μεταξύ των διαφόρων ενδιαφερομένων. Η ανάγκη για έναν συντονιστικό φορέα σε επίπεδο ΕΕ για τη διευκόλυνση των ροών πληροφοριών, την ελαχιστοποίηση των κενών και την αποφυγή της επικάλυψης ρόλων και αρμοδιοτήτων καθίσταται ολοένα και πιο οξεία. Ο ENISA, ως αποκεντρωμένος οργανισμός της ΕΕ και ουδέτερος διαμεσολαβητής, είναι σε θέση να συντονίζει την προσέγγιση της ΕΕ όσον αφορά τις απειλές στον κυβερνοχώρο. Σε αυτή τη βάση, η Επιτροπή υπέβαλε πρόταση για τη μεταρρύθμιση του ENISA, με την ανάθεση μόνιμης εντολής που θα στηρίζεται στα κύρια ισχυρά σημεία που επέδειξε ο Οργανισμός και τους νέους τομείς προτεραιότητας για την ανάληψη δράσης, για παράδειγμα τον τομέα της πιστοποίησης της ασφάλειας στον κυβερνοχώρο. Η νέα εντολή θα πρέπει να αντικατοπτρίζει τις μεταβληθείσες συνθήκες και να εξουσιοδοτεί τον Οργανισμό ώστε αυτός να μπορεί να παρέχει στο μέλλον την ενδεδειγμένη στήριξη στην ΕΕ. 7