L’European Union Agency for Cybersecurity (ENISA) è l’Agenzia dell'Unione europea per la cybersicurezza con sede principale ad Atene (altri uffici sono a Heraklion e Bruxelles). Si tratta di un organismo indipendente dell’Unione dotato di personalità giuridica. Istituita nel 2004 sulla base di un mandato temporaneo (Reg. (CE) n. 460/2004), via via esteso nel tempo (Reg. (UE) n. 1007/2008; Reg. (UE) n. 580/2011; Reg. (UE) n. 526/2013), l’Agenzia ha acquisito natura permanente solo nel 2019 con il Regolamento (UE) 2019/889 (Cybersecurity Act).
Circa la sua struttura amministrativa, l’Agenzia è composta dal consiglio di amministrazione; dal comitato esecutivo; dal direttore esecutivo, che risponde al consiglio di amministrazione; da una rete di funzionari nazionali di collegamento e dal gruppo consultivo ENISA, composto da esperti riconosciuti che rappresentano i diversi portatori di interessi.

Il Cybersecurity Act del 2019 ha rafforzato il potere e incrementato le funzioni dell’ENISA, prevedendo anche lo stanziamento di maggiori risorse per il bilancio dell’Agenzia a fronte delle crescenti minacce informatiche in Europa. La missione dell’ENISA è quella creare un clima di fiducia verso l’utilizzo delle tecnologie dell’informazione e della comunicazione e di assicurare un elevato livello di cybersicurezza in tutta l’Unione, contribuendo in tal modo al buon funzionamento del mercato interno. A tal proposito, l'ENISA fornisce supporto tecnico e operativo agli Stati membri e alle istituzioni europee, promuove la collaborazione tra i vari attori del settore e favorisce l'adozione di normative e standard comuni per affrontare le minacce cibernetiche. Con riguardo alla normazione tecnica, spetta all’ENISA promuovere l’uso della certificazione europea di cybersicurezza e contribuire all’istituzione e al mantenimento di un apposito quadro europeo di certificazione in materia (EUCC).

All’Agenzia sono assegnati anche funzioni di assistenza e consulenza per la promozione, lo sviluppo e la revisione delle politiche e delle normative europee di cybersicurezza, nonché di assistenza agli Stati membri nell’attuazione uniforme di tali atti, mediante pareri, orientamenti e consigli.
L’ENISA svolge, inoltre, attività di formazione, ricerca e sensibilizzazione per migliorare le capacità di prevenzione, rilevamento e risposta agli attacchi informatici.

Con l’evoluzione del quadro legislativo europeo in materia di cybersicurezza nuovi e ulteriori sono i compiti assegnati all’ENISA.
Ai sensi della Direttiva NIS 2 (artt. 14 e 16 Direttiva (UE) 2022/2555), l’ENISA è parte del Gruppo di cooperazione, la cui funzione è quella di agevolare la cooperazione strategica e lo scambio di informazioni, svolge la funzione di segretaria della Rete europea delle organizzazioni di collegamento per le crisi informatiche, ed inoltre è responsabile della tenuta e della sicurezza della banca dati europea delle vulnerabilità.
Il Cyber Resilience Act (Regolamento (UE) 2024/2847, artt. 14 e 15) prevede che l’Agenzia sia destinataria delle notifiche da parte di fabbricanti di prodotti ICT relativamente alle “vulnerabilità attivamente sfruttate” contenute nei prodotti con elementi digitali, oppure delle vulnerabilità dei prodotti (non attivamente sfrutturate) notificate su base volontaria. 
Il Cyber Solidarity Act (Regolamento (UE) 2025/38) attribuisce all’ENISA il compito di svolgere analisi di valutazione degli incidenti di cybersicurezza significativi e su vasta scala al termine del quale è tenuta a redigere il relativo rapporto di revisione dell'incidente, in collaborazione con le parti interessate, compresi i rappresentanti del settore privato, degli Stati membri, della Commissione e di altre istituzioni, organi e agenzie pertinenti dell'UE.

Avendo un ruolo di coordinamento e di assistenza, è presumibile che il quadro normativo in materia di cybersicurezza assegni all’Agenzia ulteriori funzioni oltre quelle qui sintetizzate.