ENISA NCAF 2.0: Was das April-2026-Update für CRA-Hersteller bedeutet

ENISA veröffentlichte NCAF 2.0 im April 2026, das erste Update seit sechs Jahren. Drei neue Ziele, 871 Reifegradfragen und direkte CRA-Verweise ändern die staatliche Cybersicherheitsbewertung.

CRA Evidence-Team Veröffentlicht 24. April 2026
ENISA NCAF 2.0 Rahmendiagramm: 20 strategische Ziele in vier Clustern, veröffentlicht April 2026
In diesem Artikel

ENISA veröffentlichte den National Capabilities Assessment Framework 2.0 (NCAF 2.0) im April 2026. Es ist das erste Update seit der ursprünglichen Version aus Dezember 2020. Das Dokument wuchs von 90 auf 126 Seiten und fügte drei strategische Ziele hinzu, die es vorher nicht gab. Der Cyber Resilience Act wird darin nun namentlich in den Reifegradfragen genannt. Wenn Ihre Produkte in den Anwendungsbereich des CRA fallen, beschreibt dieser Rahmen, wie Ihre Regierung ihre eigene Bereitschaft zur Unterstützung und Durchsetzung bewertet.

Zusammenfassung

  • Drei neue Ziele ohne Entsprechung in 2020: nationale Risikobewertung (Ziel 12), eine koordinierte Richtlinie zur Schwachstellenoffenlegung (Ziel 19) und aktiver Cyberschutz (Ziel 20)
  • 871 Cybersicherheitskapazitätsfragen sind jetzt Teil des Rahmens. Im Jahr 2020 gab es null strukturierte Fragen.
  • Der CRA wird ausdrücklich genannt in der Einleitung und in den Reifegradfragen für Ziel 1, das die private Cyberresilienz und -hygiene für wesentliche und wichtige Einrichtungen abdeckt
  • Ziel 19 (CVD-Richtlinie) setzt ein nationales Ziel für Regierungen, strukturierte Prozesse zur Meldung von Schwachstellen an Hersteller einzurichten. Das ist die vorgelagerte Infrastruktur, von der Artikel 14 des CRA abhängt.
  • Die Bezeichnungen der Reifegrade haben sich geändert: Die fünf Stufen heißen jetzt Foundation, Developing, Established, Mature und Advanced. Stufe 1 setzt voraus, dass ein Land eine nationale Cybersicherheitsstrategie (NCSS) verabschiedet hat, was eine NIS2-Anforderung ist. Im Jahr 2020 beschrieb Stufe 1 noch ein Land ohne jeglichen definierten Ansatz.
  • NCAF 2.0 kann für freiwillige Peer-Reviews nach Artikel 19 NIS2 genutzt werden. ENISA hat diesen Anwendungsfall in Abschnitt 1.7 des neuen Dokuments ergänzt.
  • 14 Mitgliedstaaten haben die Umfrage abgeschlossen, die das Update geprägt hat. Griechenland, Italien und Luxemburg pilotierten den ersten Entwurf.
  • Das eigenständige Ziel zur öffentlich-privaten Partnerschaft entfällt. Informationsaustausch und gegenseitige Unterstützung sind jetzt zwei separate bewertete Ziele an seiner Stelle.
20
Strategische Ziele
gegenüber 17 im Jahr 2020
871
Kapazitätsfragen
null davon existierten 2020
5
Reifegrade
alle umbenannt, Beschreibungen neu gefasst
14
Befragte Mitgliedstaaten
während der Rahmenenwicklungsprüfung

Quelle: ENISA NCAF 2.0, April 2026. Ziele und Fragenanzahl: Abschnitt 3, S. 33. Umfrageanzahl: Abschnitt 1.2.3, S. 12.

Was NCAF ist und was bewertet wird

NCAF ist ein Selbstbewertungsinstrument für nationale Regierungen. Konkret für die Entscheidungsträger und Beamten, die die nationale Cybersicherheitsstrategie (NCSS) eines Landes gestalten und umsetzen. Die Teilnahme ist freiwillig. Die Ergebnisse eines Landes werden nicht veröffentlicht, es sei denn, das Land entscheidet sich dafür.

Der Rahmen misst eine einzige Sache: wie ausgereift die Cybersicherheitsfähigkeiten eines Mitgliedstaats über 20 strategische Ziele hinweg sind. Für jedes Ziel beantwortet ein Land eine Reihe von Fragen und erhält zwei Werte. Der erste ist der Reifegrad-Score, der die höchste Stufe widerspiegelt, bei der alle Pflichtfragen positiv beantwortet werden. Der zweite ist die Abdeckungsquote, die alle positiven Antworten unabhängig von der Stufe zählt. Zusammen ergeben sie ein Bild von Tiefe und Breite.

ENISA hat mit NCAF 2.0 einen Anwendungsfall hinzugefügt, der in der Version 2020 nicht enthalten war: Der Rahmen kann jetzt als Grundlage für freiwillige Peer-Reviews nach Artikel 19 NIS2 dienen. Mitgliedstaaten, die sich gegenseitig benchmarken möchten, haben dafür ein strukturiertes Instrument. Der EU Cybersecurity Index (EU-CSI) nutzt bereits einige NCAF-Fragen, und ENISA hat in Abschnitt 1.7 darauf hingewiesen, dass sich der EU-CSI zu einer engeren Angleichung an NCAF entwickeln kann.

Für Hersteller ist der Rahmen ein Signal. Ein Land, das bei Ziel 1 (private Cyberresilienz), Ziel 17 (Lieferkette) oder Ziel 19 (CVD-Richtlinie) niedrig abschneidet, gibt Ihnen Auskunft über das Durchsetzungsumfeld, in dem Ihre Produkte betrieben werden.

Die drei Ziele, die 2020 noch nicht existierten

Ziel 12 · Nationale Risikobewertung

Risikobewertungen sektorenübergreifend bündeln, um ein nationales Bild kritischer Vermögenswerte und Bedrohungen zu erhalten. Verknüpft mit Artikel 7 NIS2 und der CER-Richtlinie über die Resilienz kritischer Einrichtungen.

Ziel 19 · CVD-Richtlinie

Einen strukturierten nationalen Prozess zur Meldung von Schwachstellen an Hersteller und Dienstleister aufbauen. Rechtssicherheit für gutgläubige Forscher fördern, einschließlich Ausnahmen von der zivil- oder strafrechtlichen Haftung.

Ziel 20 · Aktiver Cyberschutz

ACP in die NCSS integrieren. Proaktive ACP-Maßnahmen als Teil einer umfassenderen Verteidigungsstrategie fördern. ACP ist in Erwägungsgrund 57 der NIS2 definiert. Sowohl interne als auch externe ACP-Fähigkeiten fördern.

Ziel 12: Nationale Risikobewertung

Im Jahr 2020 war die Risikobewertung Hintergrundkontext für alle anderen Ziele. Sie war kein eigenständiger bewertbarer Punkt. NCAF 2.0 macht sie zu einem bewerteten Ziel mit drei konkreten Unterzielen aus Abschnitt 2.3.

  1. Einen Mechanismus zur Bündelung von Risikobewertungen über Sektoren hinweg einrichten, „um eine nationale Sichtweise auf kritische Vermögenswerte und Bedrohungen im Einklang mit den bestehenden Anforderungen nach NIS2 und der CER-Richtlinie sicherzustellen."
  2. Ziele der Cybersicherheitsstrategie durch eine umfassende nationale Risikobewertung an den nationalen Sicherheitsbedürfnissen ausrichten.
  3. Sektorspezifische Risikobewertungen fördern, um Risiken für kritische Sektoren zu behandeln.
Was das für CRA-Hersteller bedeutet

Die nationale Risikobewertung fließt in die Sektoreinstufung nach NIS2 ein. Die Sektoren in den NIS2-Anhängen I und II bestimmen, welche Einrichtungen als wesentlich oder wichtig gelten, was wiederum die Durchsetzungsdichte rund um die Produkte bestimmt, die diese Einrichtungen kaufen. Ein Land, das keine nationale Risikobewertung abgeschlossen hat, handelt ohne klares Bild seiner eigenen kritischen Vermögenswerte.

Ziel 19: Koordinierte Richtlinie zur Schwachstellenoffenlegung

CVD erschien im NCAF 2020 einmal, als Fußnote 18 im Abschnitt zur Lieferkette. Es ist jetzt ein erstrangiges bewertetes Ziel mit drei Unterzielen aus Abschnitt 2.3.

  1. Einen CVD-Prozess einrichten, der „einen strukturierten Ansatz zur Meldung von Schwachstellen an Hersteller und Dienstleister beschreibt."
  2. Eine nationale Richtlinie zur Förderung von CVD und einen Rahmen für die Verwaltung von Schwachstellenmeldungen entwickeln.
  3. Rechtssicherheit für gutgläubige Schwachstellenforschung fördern, „einschließlich, wo angemessen, Ausnahmen oder Schutzmaßnahmen vor der zivil- oder strafrechtlichen Haftung im Einklang mit nationalen Rechtsrahmen."
Direkter Bezug zu Artikel 14 CRA

Artikel 14 verpflichtet Hersteller, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Bekanntwerden an das nationale CSIRT zu melden. Dieser Meldepfad setzt voraus, dass auf der Empfängerseite eine funktionierende CVD-Infrastruktur besteht. Ein Land, das bei Ziel 19 auf Stufe 1 oder 2 liegt, hat diese Infrastruktur noch nicht aufgebaut. Von Herstellern in diesem Land wird verlangt, in ein System zu melden, das noch im Aufbau ist.

Ziel 20: Aktiver Cyberschutz

Aktiver Cyberschutz erschien im NCAF 2020 an keiner Stelle. ENISA definiert ACP mit Verweis auf Erwägungsgrund 57 der NIS2. Fußnote 15 in Abschnitt 2.3 verweist dort ausdrücklich darauf. Der Rahmen setzt vier Ziele.

  1. ACP in die NCSS integrieren.
  2. Richtlinien zu proaktiven ACP-Maßnahmen als Teil einer umfassenderen Verteidigungsstrategie fördern.
  3. Umsetzung interner und, bestenfalls, externer ACP-Fähigkeiten zur Prävention, Erkennung, Überwachung und Eindämmung von Netzwerksicherheitsverletzungen fördern.
  4. Nutzung von ACP-Tools und -Diensten zum Teilen von Bedrohungsinformationen fördern.
Das zukunftsweisendste Ziel im Rahmen

Kein anderes Ziel verwendet die Formulierung „externe Fähigkeiten" oder rahmt das Teilen von Bedrohungsinformationen auf dieser Ebene der Spezifität als nationales Politikziel. Ziel 20 spiegelt die Diskussion über aktive Verteidigung nach 2022 in der EU-Politik wider, abgestimmt auf den Cyber Solidarity Act.

Wo der CRA in NCAF 2.0 erscheint

NCAF 2.0 referenziert den CRA in zwei Abschnitten und einer Fragenbank. Das sind die fünf Fundstellen.

Einleitung · S. 10

Namentlich neben DORA als wichtiges EU-Gesetz genannt, bei dem ENISA Mitgliedstaaten bei der Umsetzung unterstützt: „the Cyber Resilience Act (CRA) and the Digital Operational Resilience Act (DORA)."

Desk-Research · S. 12

Als primäres EU-Regulierungsdokument aufgeführt, das beim Aufbau des aktualisierten Rahmens gesichtet wurde. Der CRA hat das Design der Reifegradfragen direkt beeinflusst.

Ziel 1 · Frage auf Stufe 4

Fragt, ob verbindliche Standards „an EU-Rahmen ausgerichtet sind (z. B. CRA, das EU-Cloud-Services-Schema)." Regierungen auf Stufe 4 müssen private Sektorstandards namentlich am CRA messen.

Ziel 17 · Lieferkettensziele

Ziele umfassen „Umsetzung modernster Maßnahmen zur Behandlung der Cybersicherheit der Lieferkette für IKT-Produkte und IKT-Dienste, die von wesentlichen und wichtigen Einrichtungen genutzt werden." Das ist der Kernbereich des CRA-Produktgeltungsbereichs.

Ziel 19 · CVD-Richtlinienziele

Setzt einen strukturierten Ansatz zur Meldung von Schwachstellen „an Hersteller und Dienstleister." Hersteller sind die Partei, die Artikel 14 CRA für die Schwachstellenbehandlung und die 24-Stunden-Meldung verantwortlich macht.

Für Hersteller ist das Muster genauso wichtig wie jede einzelne Referenz. Regierungen auf Stufe 4 bei Ziel 1 werden daran gemessen, ob ihre privatwirtschaftlichen Standards dem CRA namentlich entsprechen. Regierungen auf Stufe 1 oder 2 bei Ziel 19 haben die nationale CVD-Infrastruktur, von der die Meldung nach Artikel 14 CRA abhängt, noch nicht aufgebaut.

Deutschland: BSI und das NIS2-Umsetzungsgesetz

Deutschland ist in der Pilotphase von NCAF 2.0 nicht als Pilotland genannt worden. Griechenland, Italien und Luxemburg haben den ersten Entwurf pilotiert. Das BSI fungiert als notifizierende Behörde und Marktüberwachungsbehörde für den CRA. Das NIS2-Umsetzungsgesetz, das NIS2 in deutsches Recht überführt, schafft die regulatorische Grundlage, auf der die NCAF-Ziele 13, 14 und 17 national umgesetzt werden. Hersteller, die Produkte an wesentliche oder wichtige Einrichtungen in Deutschland liefern, sollten den BSI-Bewertungsstand für Ziel 19 (CVD-Richtlinie) verfolgen, da er direkt bestimmt, wie ausgereift die nationale Meldeinfrastruktur ist, in die Ihre Meldung nach Artikel 14 CRA einfließt.

871 Fragen: Wie die Bewertung in der Praxis funktioniert

Das NCAF 2020 beschrieb 17 Ziele und gab jedem eine Liste von Unterzielen. Länder haben sich selbst gegen diese Unterziele bewertet. Es gab keine standardisierten Fragen, keine Bewertungstabellen, keine Fragenbank. NCAF 2.0 fügt diese Struktur hinzu: 871 Cybersicherheitskapazitätsfragen über 20 Ziele und fünf Reifegrade.

Eine Fragen-ID lesen

Jede Frage hat eine dreiteilige Kennung: Zielnummer, Reifegrad und Fragenummer innerhalb dieser Stufe. Frage 14.2.5 ist die fünfte Frage auf Reifegrad 2 für Ziel 14 (Cybersicherheits-Risikomanagementmaßnahmen einrichten).

Neben den 871 Kapazitätsfragen gibt es fünf allgemeine Strategiefragen pro Stufe und Ziel. Diese sind identisch über alle 20 Ziele hinweg und fragen, ob das Ziel in der NCSS erscheint, ob ein Aktionsplan vorliegt und ob der Fortschritt überwacht wird. Die 871 Kapazitätsfragen bilden die zielspezifische technische Ebene darüber.

Pflicht- vs. Nicht-Pflichtfragen

Jede Kapazitätsfrage ist mit 1 (Pflicht) oder 0 (Nicht-Pflicht) gekennzeichnet:

Pflichtfragen (1)

Müssen alle positiv beantwortet sein, bevor ein Land diesen Reifegrad beanspruchen kann. Eine einzige negative Pflichtantwort begrenzt den Score auf die vorherige Stufe, unabhängig davon, wie viele andere Fragen korrekt beantwortet werden.

Nicht-Pflichtfragen (0)

Fließen in die Abdeckungsquote ein, blockieren aber nicht den Stufenaufstieg. Ein Land kann eine Stufe mit Lücken bei Nicht-Pflichtfragen erreichen. Diese Lücken zeigen sich in der Abdeckungsquote statt im Reifegradscore.

Wie die Scores berechnet werden

Die Bewertung erzeugt zwei Zahlen pro Ziel, die dann auf Cluster-Ebene und über alle 20 Ziele hinweg für den Gesamtscore gemittelt werden.

Reifegradscore

Die höchste Stufe, auf der alle Pflichtfragen positiv beantwortet sind. Das ist die offizielle Stufe, die ein Land für dieses Ziel erreicht hat. Fortschritte innerhalb einer Stufe (Beantwortung einiger, aber nicht aller Pflichtfragen) bewegen diese Zahl nicht.

Abdeckungsquote

Der Anteil positiver Antworten über alle Fragen eines Ziels, unabhängig von der Stufe. Ein Land kann bei der Reife auf Stufe 3 liegen, aber 80 % der Stufe-4-Fragen abdecken. Die Abdeckungsquote erfasst diesen Teilfortschritt.

Die fünf Reifegrade

Alle fünf Stufen wurden umbenannt und ihre Beschreibungen neu gefasst. Die entscheidende Verschiebung: Stufe 1 im Jahr 2026 setzt voraus, dass ein Mitgliedstaat bereits eine nationale Cybersicherheitsstrategie verabschiedet hat. Stufe 1 im Jahr 2020 beschrieb ein Land ohne jeglichen definierten Ansatz.

StufeName 2020Name 2026Was sich geändert hat
1Initial / Ad HocFoundationSetzt jetzt voraus, dass eine NCSS verabschiedet ist (NIS2-Minimum). Die Version 2020 begann bei null.
2Early DefinitionDevelopingAktionspläne vorhanden und Beteiligte identifiziert.
3EstablishmentEstablishedGovernance-Strukturen vorhanden, Ressourcen zugewiesen, konsistente Umsetzung über das Ziel hinweg.
4OptimisationMatureLangfristige Gesetzgebung, dedizierte nationale Finanzierung, nationale Behörden eingerichtet und in Betrieb.
5AdaptivenessAdvancedDynamisch und adaptiv. Ausdrücklich aspirativ: NCAF 2.0 stellt fest, dass sehr wenige Länder dieses Niveau für alle Ziele erreichen dürften.

Cluster Nr. 4 ist eine neue regulatorische Gruppe, die direkt auf den CRA abbildet

Das NCAF 2020 hatte vier Cluster: Cybersicherheits-Governance und Standards, Kapazitätsaufbau und Bewusstsein, Recht und Regulierung sowie Kooperation. NCAF 2.0 behält vier Cluster bei, benennt und ordnet aber alle um. Die bedeutendste strukturelle Änderung für CRA-Hersteller ist die Schaffung von Cluster Nr. 4.

Cluster Nr. 4: Regulierungs- und Politikrahmen. Fünf Ziele, die 2020 keine kohärente regulatorische Gruppe bildeten:

Ziel 16

Sicherheit und Datenschutz in Einklang bringen. Aus dem alten Cluster „Recht und Regulierung" verschoben. Jetzt ein benanntes regulatorisches Instrument neben Lieferkette und CVD.

Ziel 17

Lieferketten-Cybersicherheit verbessern. 2020 stand dieses Ziel neben Datenschutz und Vorfallmeldung. Jetzt in einem eigenen regulatorischen Cluster mit ausdrücklichem NIS2- und Beschaffungsbereich verankert.

Ziel 18

Kritische Sektoren schützen. Von NIS1-Terminologie (OES/DSP) auf den NIS2-Geltungsbereich ausgeweitet, der Anhänge I und II, Unterseekabel und den öffentlichen Kern des Internets abdeckt.

Ziel 19

CVD-Richtlinie einrichten. Im Jahr 2020 eine Fußnote. Jetzt ein erstrangiges bewertetes Ziel mit drei Unterzielen: die vorgelagerte nationale Infrastruktur, von der die Meldung nach Artikel 14 CRA abhängt.

Ziel 20

Aktiven Cyberschutz fördern. 2020 nicht vorhanden. Spiegelt die post-2022-Politik zur aktiven Verteidigung wider, abgestimmt auf Erwägungsgrund 57 der NIS2 und den Cyber Solidarity Act.

Die Scores eines Landes in Cluster Nr. 4 zeigen, welche dieser Instrumente vorhanden sind. Das sind die fünf politischen Hebel, mit denen Regierungen CRA-Anforderungen national umsetzen und durchsetzen werden.

NCAF 2.0 von der ENISA-Publikationsseite herunterladen und prüfen, welche der 20 Ziele die aktuelle NCSS Ihres Landes abdeckt. Ein Land, dessen NCSS ein Ziel nicht enthält, erzielt standardmäßig null Punkte für dieses Ziel. Das zeigt Ihnen genau, welche politischen Instrumente in Ihrem Markt noch nicht vorhanden sind.

Stufe 5 ist bewusst aspirativ

NCAF 2.0 enthält in Abschnitt 2.1 einen ausdrücklichen Hinweis: „Level 5 is considered as extremely high and very few countries, if any, are expected to reach this level for all objectives." Die Version 2020 enthielt keinen solchen Vorbehalt. Das ist eine bewusste Rahmenwahl, um den Rahmen als Fortschritts-Tracking-Instrument über einen realistischen Bereich hinweg nutzbar zu machen.

Häufig gestellte Fragen

Schafft NCAF 2.0 neue Pflichten für Produkthersteller?

Nein. NCAF 2.0 ist ein Selbstbewertungsinstrument für nationale Regierungen, keine Verordnung für Hersteller. Es schafft keine rechtlichen Pflichten. Es zeigt Ihnen aber, welche Fähigkeiten Ihre Regierung sich verpflichtet hat aufzubauen, und auf welchem Reifegrad sie sich aktuell befindet. Ein staatlicher Score bei Ziel 19 (CVD-Richtlinie) zeigt, ob die nationale Infrastruktur für Schwachstellenmeldungen, von der Artikel 14 CRA abhängt, vorhanden ist. Zu Ihren eigenen CVD-Pflichten als Hersteller nach dem CRA lesen Sie unsere CVD-Richtlinienvorlage.

Wie hängt Ziel 19 (CVD-Richtlinie) mit Artikel 14 CRA zusammen?

Artikel 14 CRA verpflichtet Hersteller, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Bekanntwerden an das nationale CSIRT zu melden. Dieser Meldepfad erfordert auf der Empfängerseite eine funktionierende nationale CVD-Infrastruktur. Ziel 19 in NCAF 2.0 bewertet, ob diese Infrastruktur vorhanden ist: ein strukturierter CVD-Prozess, eine nationale Richtlinie für den Umgang mit Schwachstellenmeldungen und rechtlicher Schutz für gutgläubige Forscher. Ein Land auf Stufe 1 bei Ziel 19 hat nichts davon. Hersteller in diesem Land melden in ein System, das noch aufgebaut wird. Zum Aufbau Ihres eigenen CVD-Verfahrens lesen Sie unseren Leitfaden zu den ENISA-24-Stunden-Meldepflichten.

Ist NCAF dasselbe wie eine NIS2-Konformitätsbewertung?

Nein. NCAF misst die Reife der nationalen Cybersicherheitsstrategie, nicht die NIS2-Konformität einzelner Einrichtungen. Eine Regierung kann bei NCAF gut abschneiden und trotzdem Lücken bei der Aufsicht über wesentliche Einrichtungen nach NIS2 aufweisen. Die Verbindung besteht darin, dass mehrere NCAF-Ziele direkt an NIS2-Anforderungen geknüpft sind: Ziel 13 (nationale Cybersicherheits-Governance stärken) deckt die Koordinierungsmechanismen ab, die NIS2 verlangt, und Ziel 14 (Cybersicherheits-Risikomanagementmaßnahmen einrichten) bildet auf Artikel 21 NIS2 ab. NCAF 2.0 kann außerdem als Instrument für freiwillige Peer-Reviews nach Artikel 19 NIS2 zwischen Mitgliedstaaten genutzt werden. Zu den Überschneidungen von NIS2- und CRA-Pflichten für Hersteller lesen Sie den NIS2- und CRA-Überschneidungsleitfaden.

Können wir NCAF 2.0 nutzen, um unsere eigene Produktsicherheit zu benchmarken?

Nicht direkt. NCAF 2.0 ist für nationale Regierungen konzipiert, die ihre NCSS bewerten. Das „Sie" in NCAF-Fragen bezieht sich auf den Mitgliedstaat. Die Ziele und Reifegradfragen für Ziel 1 (private Cyberresilienz, einschließlich KMU) beschreiben jedoch, was ein ausgereiftes nationales Cybersicherheitsprogramm von privatwirtschaftlichen Einrichtungen erwartet. Die Fragen auf Stufe 3 und Stufe 4 für Ziel 1 zeigen, was eine Regierung auf diesem Reifegrad von Ihrer Organisation erwarten wird. Für eine direkte Bewertung Ihrer Produkte gegenüber CRA-Anforderungen nutzen Sie die CRA-Anwendbarkeitsprüfung.

Wann werden Regierungen mit der Nutzung von NCAF 2.0 beginnen?

ENISA veröffentlichte NCAF 2.0 im April 2026 als freiwilliges Instrument, das Regierungen ab sofort nutzen können. Es gibt keinen verpflichtenden Starttermin. Griechenland, Italien und Luxemburg pilotierten den ersten Entwurf. Luxemburg hob den Wert von NCAF für eine strukturierte NCSS-Vorbereitung und den Bedarf an Vereinfachung hervor. Italien stellte fest, dass NCAF nützliche strategische Impulse für den bevorstehenden Politikzyklus liefert und Priorisierung sowie Benchmarking gegenüber dem EU Cybersecurity Index unterstützt. Griechenland unterstrich die Ausrichtung auf NIS2 und die Nützlichkeit bei der Kartierung nationaler Maßnahmen und der Identifizierung von Lücken. Das sind die Beobachtungen, die die Pilotländer während der Entwicklung geteilt haben, wie in Abschnitt 1.2.6 von NCAF 2.0 dokumentiert.

Was ist aus den „zukünftigen Überlegungen"-Zielen von 2020 geworden?

Das NCAF 2020 listete fünf Ziele auf, die untersucht, aber ausgeschlossen wurden und als potenzielle künftige Ergänzungen markiert waren: sektorspezifische Cybersicherheitsstrategien, Bekämpfung von Desinformationskampagnen, Absicherung von Spitzentechnologien (5G, KI, Quantencomputing), Gewährleistung der Datensouveränität und Anreize für die Cyber-Versicherungsbranche. Keines dieser fünf erscheint in NCAF 2.0 als eigenständiges Ziel. KI und Post-Quanten-Kryptografie erscheinen innerhalb der Unterziele für Ziel 4 (F&E und Innovation fördern) als benannte Beispiele, aber nicht als separate bewertete Punkte. Die Version 2.0 streicht außerdem den Anhang, der diese Zukunftsüberlegungen aus 2020 auflistete.

Nächste Schritte

Was Sie jetzt tun sollten

  1. Lesen Sie die drei Unterziele für Ziel 19 (CVD-Richtlinie) in NCAF 2.0 Abschnitt 2.3 und vergleichen Sie sie mit Ihrem aktuellen Verfahren nach Artikel 14 CRA. Die Ziele beschreiben, was eine nationale CVD-Infrastruktur enthalten muss: einen strukturierten Meldeprozess, eine Richtlinie für den Umgang mit Schwachstellenmeldungen und rechtlichen Schutz für Forscher. Ihr internes Verfahren sollte bereit sein, sich daran anzubinden. Beginnen Sie mit unserer CVD-Richtlinienvorlage.
  2. Prüfen Sie die Unterziele von Ziel 17 (Lieferkette) gegenüber Ihrem Lieferanten-Due-Diligence-Prozess. Eines der NCAF 2.0-Unterziele verlangt von Regierungen, sicherzustellen, dass öffentliche Beschaffungsverfahren „klare Cybersicherheitsanforderungen enthalten und die Auswahl vertrauenswürdiger und zuverlässiger Lieferanten bevorzugen." Dieser Maßstab wird auf das angewendet, was Sie kaufen, und auf das, was Ihre Kunden von Ihnen kaufen. Nutzen Sie dazu den Lieferanten-Due-Diligence-Fragebogen.
  3. Wenn Ihre Produkte in kritische Sektoren oder öffentliche Beschaffung fließen, lesen Sie Ziel 18 (kritische Sektoren schützen) aufmerksam. Die Ziele verweisen auf NIS2-Anhänge I und II sowie die CER-Richtlinie. Diese Sektoren sind die Bereiche, in denen die CRA-Durchsetzung am aktivsten sein wird. Zu den Überschneidungen von NIS2 und CRA auf Einrichtungsebene lesen Sie den NIS2- und CRA-Überschneidungsleitfaden.
  4. Lesen Sie die Stufe-4-Fragen für Ziel 1 in NCAF 2.0 Abschnitt 3. Das ist die Stufe, auf der Regierungen bewertet werden, ob ihre verbindlichen Standardanforderungen dem CRA namentlich entsprechen. Diese Fragen beschreiben, was eine reife Regierung von privatwirtschaftlichen Einrichtungen in puncto Cybersicherheit erwartet. Sie sind das deutlichste veröffentlichte Signal dafür, wohin sich die Durchsetzungserwartungen entwickeln.
  5. NCAF 2.0 von der ENISA-Publikationsseite herunterladen und prüfen, welche der 20 Ziele die aktuelle NCSS Ihres Landes abdeckt. Ein Land, dessen NCSS ein Ziel nicht enthält, erzielt standardmäßig null Punkte für dieses Ziel. Das zeigt Ihnen genau, welche politischen Instrumente in Ihrem Markt noch nicht vorhanden sind.

Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsexperten.

CRA ENISA NIS2 Lieferkette Compliance
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyber Resilience Act fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten