Medio oktober trad Udo Helmbrecht aan als tweede executive director van het European Network & Information Security Agency, ENISA. Het wordt zijn taak Enisa een permanent mandaat te bezorgen.

Niet dat het Enisa aan werk zou ontbreken. Van bij de aanvang, nu vijf jaar geleden, streefde het agentschap ernaar de “security te verbeteren in economische en financiêle aangelegenheden, zowel in de bedrijfswereld als voor consumenten. Uiteindelijk komt de Europese economie in gevaar als we security niet correct en adekwaat aanpakken!”

Meer zichtbaar

Dr. Helmbrecht wil dan ook in de komende jaren de toegevoegde waarde van Enisa duidelijk in het licht stellen. Immers, ook na 2012 – de einddatum van Enisa’s huidig mandaat – “zullen nog heel wat van de huidige problemen actueel zijn, zoals de ‘critical information infrastructure protection’ en de diefstal van identiteiten.” Dat betekent een dialoog met de lidstaten, maar ook met alle andere stakeholders. Zo zal dr. Helmbrecht meer contacten zoeken met de industrie in het kader van publiek/private partnerships, zoals met telecombedrijven en internetproviders met het oog op onder meer “een ‘early warning’ systeem.” Hij denkt daarbij ook aan bedrijven (zoals een Nokia of Vodaphone etc) die een duidelijke affiniteit hebben met het securitygebeuren.

In zijn voorgaande functie als president van het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) beschikte Udo Helmbrecht over heel wat meer middelen en mensen dan Enisa, wat een meer ‘hands on’ aanpak mogelijk maakte. Voor Enisa ziet hij een rol weggelegd als organisatie die experten, middelen en zelfs bedrijven uit verschillende landen en bronnen samenbrengt om problemen of vragen van lidstaten op te lossen. “Vergelijk Enisa met een ‘engineering bureau’ dat de opdracht voor de bouw van een stuwdam krijgt en hiervoor naast de kern van eigen ingenieurs een beroep doet op derden.”

Die samenwerking ziet Udo Helmbrecht overigens ook buiten Europa want het gaat immers om “een wereldwijd probleem,” met een netwerk dat zowel andere landen als internationale organisaties (zoals de ITU) omvat. Hij staat trouwens open voor een discussie over hoe een dergelijke samenwerking vorm kan krijgen en wat de rol van Enisa hierin zou kunnen zijn, allicht in het kader van een nieuw mandaat.

Adviezen

Naast de activiteiten in de huidige takenpakketten (in het kader van zijn meerjarige thema-programma’s), wil Enisa ook fungeren als een waakhond tegen nieuwe dreigingen voor een veilige Europese economie. Enisa kan ook helpen nadenken over de manier waarop die dreigingen kunnen worden aangepakt. Helmbrecht denkt daarbij aan het verzamelen van bestaande ‘best practices’, het formuleren en doen aanvaarden van standaarden en dies meer. “Europa en zijn instellingen hebben nood aan een onafhankelijke instelling voor het verstrekken van expert-advies in securityaangelegenheden. Het agentschap moet een sterkere en nog meer gerespecteerde speler worden, actief als een politiek adviesorgaan en ‘pacemaker’ voor de Europese Commissie en het Europees parlement. Als dusdanig moet het advies van het agentschap een invloed hebben op de wetten en reglementen van de Commissie en de lidstaten.” Wel blijft hij de mening toegedaan dat in aangelegenheden zoals de herziene ePrivacy richtlijn een zelfregulerende ict-sector te verkiezen is, met het opleggen van reglementen als een laatste middel. Hij benadrukt dat bedrijven immers ict-security moeten zien als een concurrentieel voordeel.

In de voorbije vijf jaar heeft Enisa onder leiding van Andrea Pirotti onder meer meegewerkt aan het opzetten van nationale Computer Emergency Response Teams (CERTs), het onderzoek naar meer robuuste publieke communicatienetwerken (inclusief richtlijnen voor het uitrollen van DNSSEC), het inventariseren van methodes voor risico-inschatting, het identificeren van toekomstige bedreigingen en een reeks ‘good practices’ gidsen en rapporten. Een overzicht van dit alles staat op http://www.enisa.europa.eu/media/key-documents/enisa-5-years-brochure.

Guy Kindermans