Het European Network and Information Security Agency (Enisa) moet blijven bestaan, concludeert een wetenschappelijke studie, uitgevoerd in opdracht van het Europees Parlement. Het economisch belang van elektronische netwerken en aantal incidenten en cyberaanvallen maken specialistische kennis en coördinatie noodzakelijk. Het zou moeilijker en duurder zijn om dat per land te regelen, ook doordat het aantal betrokken organisaties toeneemt: de computer emergency response teams (CERT’s) uit elk EU-land, internationale ngo’s als de G8, de Oeso en de Navo en allerlei stakeholders in het bedrijfsleven.
Enisa is in 2004 ingesteld voor een periode van vijf jaar. Die termijn is verlengd tot maart 2012 en daarna nog eens tot september 2013. Het bureau staat er goed voor, met een competent management, een deskundige staf en gezonde financiën. Het krjigt ook steeds meer taken. Er zijn echter twee problemen die elkaar versterken: het bureau is klein, waardoor de overhead relatief groot is, en de afgelegen locatie – Heraklion op Kreta – is inefficiënt. Dat gaat niet eens zo zeer om de reiskosten, maar om de reistijd, die niet nuttig besteed kan worden. Medewerkers van Enisa gaan assisteren bij onderzoek naar datalekken en moeten daarvoor op pad.
De onderzoekers adviseren om Enisa te laten blijven bestaan, permanent, danwel met een termijn die gelijk wordt getrokken met de meerjarenbegrotingen van de EU. Het wordt aanbevolen om de staf te laten meegroeien met de bevoegdheden, van 75 naar 100 man. De Europese Commissie kan zich daar ook in vinden. Als er standplaatsen worden gevestigd in Athene en Brussel, zou dat zowel de reistijd verkorten als de werving van medewerkers vergemakkelijken. Bij de instelling van Enisa was het niet de bedoeling om er operationele taken onder te brengen, maar dat zou toch zinvol kunnen zijn. Een van de opties die onderzocht kan worden, is om een pan-Europees CERT te formeren, dat 24/7 kan bijspringen.
