As the European Union advances its digital transformation agenda, cybersecurity has become a central element of its regulatory and policy framework. The increasing importance of digital infrastructure, cross-border data flows and emerging technologies has led the EU to develop a more integrated cybersecurity governance model.

A key component of this transformation is the strengthening of the European Union Agency for Cybersecurity (ENISA). With the adoption of the Cybersecurity Act (Regulation EU 2019/881), the institutional role of ENISA has been significantly expanded and the agency has been granted a permanent mandate.

The same legislation also introduced the European Cybersecurity Certification Framework, designed to create a harmonised cybersecurity certification system across the European Union.

Strengthening the Institutional Role of ENISA

ENISA was originally established in 2004 to support network and information security across the European Union. For many years the agency operated under temporary mandates that required periodic renewal.

This institutional limitation was removed with the adoption of the Cybersecurity Act in 2019. The regulation granted ENISA a permanent institutional mandate and expanded its responsibilities within the European cybersecurity ecosystem.

Under the new regulatory framework, ENISA supports the implementation of EU cybersecurity policies and facilitates cooperation among Member States. Its tasks include promoting cybersecurity capacity building, assisting in the coordination of responses to large-scale cyber incidents and contributing to the development of cybersecurity certification schemes.

Through these expanded responsibilities ENISA has evolved from a primarily advisory body into a central actor within the European cybersecurity governance structure.

Establishment of the European Cybersecurity Certification Framework

One of the most significant innovations introduced by the Cybersecurity Act is the creation of the European Cybersecurity Certification Framework.

Before the adoption of this framework, several Member States operated their own national cybersecurity certification schemes. This regulatory fragmentation created obstacles for companies operating across the EU digital market.

The new certification framework seeks to address this challenge by establishing a unified system that allows cybersecurity certificates issued in one Member State to be recognised throughout the European Union.

The framework aims to strengthen trust in digital products and services while supporting the smooth functioning of the EU digital single market.

Assurance Levels within the Certification System

The certification framework follows a risk-based approach and defines three different assurance levels.

The Basic level applies to products and services that require fundamental cybersecurity controls.

The Substantial level is intended for systems that face a higher level of cybersecurity risk and therefore require more advanced security measures.

The High level is designed for critical infrastructures and systems where a high degree of cybersecurity assurance is necessary.

This tiered structure allows certification requirements to be adapted to the specific risk profile of different technologies and use cases.

ENISA’s Role in the Certification Architecture

Within the European certification framework ENISA plays a central role in the development of cybersecurity certification schemes.

The agency is responsible for preparing the technical groundwork for certification schemes, coordinating with national certification authorities and supporting the European Commission in the development of certification policies.

Certification schemes developed with ENISA’s technical expertise are subsequently adopted by the European Commission and implemented across the European Union.

Through this mechanism the EU aims to create a more coherent and harmonised cybersecurity certification landscape.

Significance for European Cybersecurity Governance

The strengthening of ENISA and the creation of a common certification framework represent a significant step in the evolution of EU cybersecurity governance.

These reforms contribute to reducing regulatory fragmentation within the digital single market and promote greater trust in digital technologies. At the same time, the enhanced institutional capacity of ENISA improves coordination among Member States and strengthens the EU’s collective ability to respond to cybersecurity threats.

In an increasingly interconnected digital environment, such institutional developments are expected to play a crucial role in shaping the future of European cybersecurity policy.

Legal Disclaimer: This article is for general informational and academic assessment purposes. Interpretation of international law may change based on developments and does not constitute definitive legal opinion.

Denetleyici Kurumun Güçlendirilmesi: ENISA’nın Kalıcı Yetkisi ve Avrupa Siber Güvenlik Sertifikasyon Çerçevesi

Avrupa Birliği’nin dijital ekonomi politikaları geliştikçe siber güvenlik alanındaki kurumsal kapasitenin güçlendirilmesi stratejik bir öncelik haline gelmiştir. Dijital altyapıların giderek daha kritik hale gelmesi, sınır ötesi veri akışının artması ve teknoloji sektörünün hızlı büyümesi, Avrupa Birliği’ni daha bütünleşik bir siber güvenlik yönetişimi modeline yöneltmiştir.

Bu dönüşümün merkezinde Avrupa Birliği Siber Güvenlik Ajansı olan ENISA bulunmaktadır. 2019 yılında kabul edilen Cybersecurity Act (Regulation EU 2019/881) ile birlikte ENISA’nın kurumsal statüsü önemli ölçüde güçlendirilmiş, ajansa kalıcı bir yetki verilmiş ve Avrupa çapında uygulanacak yeni bir siber güvenlik sertifikasyon sistemi oluşturulmuştur.

Bu düzenleme, Avrupa Birliği’nin siber güvenlik alanındaki parçalı ulusal düzenlemeleri uyumlaştırma ve dijital iç pazarda güveni artırma hedefinin önemli bir parçası olarak değerlendirilmektedir.

ENISA’nın Kurumsal Yapısının Güçlendirilmesi

ENISA ilk olarak 2004 yılında Avrupa ağ ve bilgi güvenliği alanında teknik destek sağlamak amacıyla kurulmuştur. Kurumun yetkisi uzun yıllar boyunca sınırlı sürelerle yenilenen geçici düzenlemelere dayanıyordu. Bu durum, ajansın uzun vadeli politika geliştirme kapasitesini sınırlayan bir unsur olarak görülmekteydi.

2019 yılında kabul edilen Cybersecurity Act ile birlikte bu durum köklü biçimde değiştirilmiştir. Yeni düzenleme kapsamında ENISA’ya kalıcı bir kurumsal yetki tanınmış ve ajansın görev alanı önemli ölçüde genişletilmiştir.

Söz konusu düzenleme ile birlikte ENISA’nın görevleri şu alanlarda güçlendirilmiştir:

• Avrupa Birliği siber güvenlik politikalarının uygulanmasına destek sağlamak
• üye devletler arasında teknik iş birliğini geliştirmek
• büyük ölçekli siber saldırılar sırasında koordinasyon mekanizmalarını desteklemek
• siber güvenlik kapasite geliştirme çalışmalarını yürütmek
• Avrupa çapında siber güvenlik sertifikasyon sisteminin geliştirilmesine katkı sağlamak

Bu gelişmeler sonucunda ENISA yalnızca danışmanlık yapan teknik bir kurum olmaktan çıkarak Avrupa Birliği’nin siber güvenlik yönetişiminde merkezi bir aktör haline gelmiştir.

Avrupa Siber Güvenlik Sertifikasyon Çerçevesinin Oluşturulması

Cybersecurity Act ile getirilen en önemli yeniliklerden biri Avrupa Siber Güvenlik Sertifikasyon Çerçevesinin oluşturulmasıdır. Bu sistem, Avrupa Birliği genelinde ICT ürünleri, hizmetleri ve süreçleri için ortak bir sertifikasyon mekanizması oluşturmayı amaçlamaktadır.

Daha önce Avrupa Birliği’nde farklı üye devletler kendi ulusal sertifikasyon sistemlerini uygulamaktaydı. Bu durum özellikle teknoloji şirketleri açısından düzenleyici parçalanmaya ve ek maliyetlere yol açıyordu.

Yeni sertifikasyon çerçevesi bu sorunu gidermeyi amaçlamaktadır. Sistem sayesinde bir üye devlette verilen siber güvenlik sertifikasının Avrupa Birliği genelinde geçerli olması mümkün hale gelmektedir.

Sertifikasyon sisteminin temel hedefleri şu şekilde özetlenebilir:

• dijital ürün ve hizmetlerde güven seviyesinin artırılması
• Avrupa dijital iç pazarında standartların uyumlaştırılması
• şirketlerin farklı ulusal sertifikasyon sistemleri ile karşılaşmasının önlenmesi
• kullanıcıların ürünlerin güvenlik seviyesini daha kolay değerlendirebilmesi

Bu yönüyle sertifikasyon sistemi yalnızca teknik bir standart mekanizması değil, aynı zamanda Avrupa dijital ekonomisinde güven oluşturmayı amaçlayan bir politika aracıdır.

Sertifikasyon Sisteminde Güven Seviyeleri

Avrupa Siber Güvenlik Sertifikasyon Çerçevesi risk temelli bir yaklaşım benimsemektedir. Bu kapsamda sertifikasyon sistemi üç farklı güven seviyesine dayanmaktadır:

Temel güven seviyesi (Basic)
Düşük risk içeren ürün ve hizmetler için uygulanır ve temel güvenlik kontrollerini kapsar.

Orta güven seviyesi (Substantial)
Daha gelişmiş güvenlik gereksinimlerini içeren ve orta düzey risk barındıran sistemler için kullanılır.

Yüksek güven seviyesi (High)
Kritik altyapılar veya yüksek güvenlik gereksinimi olan sistemler için öngörülmektedir.

Bu yapı sayesinde farklı teknoloji türleri ve kullanım alanları için uygun güvenlik düzeylerinin belirlenmesi mümkün hale gelmektedir.

ENISA’nın Sertifikasyon Sürecindeki Rolü

Yeni düzenleyici çerçeve kapsamında ENISA, Avrupa siber güvenlik sertifikasyon sisteminin geliştirilmesinde merkezi bir rol üstlenmektedir.

Ajansın bu alandaki başlıca görevleri şunlardır:

• Avrupa siber güvenlik sertifikasyon şemalarının teknik hazırlığını yapmak
• ulusal sertifikasyon otoriteleri ile koordinasyon sağlamak
• sertifikasyon sistemine ilişkin teknik rehberler geliştirmek
• sertifikasyon süreçleri hakkında kamuoyunu bilgilendirmek

ENISA tarafından hazırlanan sertifikasyon şemaları daha sonra Avrupa Komisyonu tarafından kabul edilmekte ve Avrupa Birliği genelinde uygulanabilir hale gelmektedir.

Bu mekanizma sayesinde Avrupa Birliği, siber güvenlik sertifikasyonunda parçalı ulusal yaklaşımlar yerine daha uyumlu ve koordineli bir düzenleyici model oluşturmayı hedeflemektedir.

Avrupa Siber Güvenlik Politikası Açısından Önemi

ENISA’nın güçlendirilmesi ve sertifikasyon çerçevesinin oluşturulması Avrupa Birliği’nin siber güvenlik politikasında önemli bir kurumsal dönüşümü temsil etmektedir.

Bu reformlar üç temel hedefe hizmet etmektedir.

İlk olarak, Avrupa dijital iç pazarında düzenleyici parçalanmanın azaltılması amaçlanmaktadır. Ortak sertifikasyon sistemi sayesinde teknoloji şirketlerinin farklı ulusal düzenlemelere uyum sağlama yükü azaltılmaktadır.

İkinci olarak, siber güvenlik sertifikaları aracılığıyla dijital ürün ve hizmetlerde güven artırılmaktadır. Bu durum özellikle kullanıcıların ve işletmelerin dijital teknolojilere duyduğu güven açısından önemli bir rol oynamaktadır.

Üçüncü olarak ise ENISA’nın kurumsal kapasitesinin güçlendirilmesi, Avrupa Birliği’nin sınır ötesi siber tehditlere karşı daha koordineli bir müdahale kapasitesi geliştirmesine katkı sağlamaktadır.

Dijital altyapıların kritik hale geldiği günümüzde bu tür kurumsal düzenlemeler Avrupa siber güvenlik yönetişiminin temel unsurlarından biri olarak değerlendirilmektedir.

Yasal Uyarı: Bu yazı genel bilgilendirme ve akademik değerlendirme amaçlıdır. Uluslararası hukuk yorumu, olayların gelişimine göre değişebilir ve kesin hukuki görüş niteliği taşımaz.