ENISA Technology and Innovation Radar: Was die Methodik für CRA-Hersteller bedeutet

ENISA veröffentlichte im April 2026 die Methodik des Technology and Innovation Radar (TIR) (ISBN 978-92-9204-790-0, DOI 10.2824/2390334). Noch bevor die erste Ausgabe des Radars erscheint, ist das vollständige Bewertungsrahmenwerk öffentlich zugänglich. Es beschreibt genau, wie ENISA jede Cybersicherheitstechnologie auf einer Fünf-Zonen-Skala einordnet, von „Erkennen" (noch nicht für den Einsatz geeignet) bis „Umsetzen" (jetzt einsetzen und skalieren).

Für CRA-Hersteller ist das direkt relevant. Artikel 13 des Cyber Resilience Act verpflichtet Sie, Produkte über ihren gesamten Lebenszyklus sicher zu halten und dabei den Stand der Technik zu berücksichtigen. Der TIR wird zur nächsten offiziellen EU-Übersicht darüber, wie „state of the art"-Sicherheit in der Praxis aussieht. Wenn Sie die Bewertungslogik kennen, bevor die erste Ausgabe erscheint, sind Sie frühzeitig vorbereitet.

Hier ist, was die Methodik enthält und was Sie verstehen müssen.

Was ENISA unter einem „Signal" versteht

Ein Signal ist in der Vorausschaupraxis eine greifbare Manifestation von Neuartigkeit: ein beobachtbarer Indikator, dass etwas entsteht oder sich verändert. Der ENISA-TIR verfolgt keine breiten Kategorien wie „künstliche Intelligenz" oder „Zero Trust". Er verfolgt spezifische, benannte technologische Anwendungen auf einer definierten Abstraktionsebene.

Die Methodik nutzt eine vierstufige Taxonomie, um jedes Kandidatensignal zu klassifizieren, bevor es in die Bewertungspipeline eintritt. Signale, die keiner dieser vier Kategorien zugeordnet werden können, werden als zu unspezifisch markiert und zur Überarbeitung zurückgegeben.

Werkzeuge sind konkrete Softwareprodukte oder Hilfsprogramme, die eine spezifische Aufgabe innerhalb eines Entwicklungs- oder Betriebslebenszyklus erfüllen. Ein Netzwerkprotokollanalysator ist ein Werkzeug.

Plattformen sind grundlegende Ökosysteme oder Laufzeitumgebungen, die Infrastruktur, Dienste und Integrationsmöglichkeiten für den Aufbau, die Bereitstellung und die Skalierung von Anwendungen bereitstellen. Security Orchestration, Automation and Response (SOAR)-Systeme sind Plattformen.

Techniken sind systematische Methoden, Muster oder Ansätze zur Gestaltung, Prüfung und Weiterentwicklung von Softwaresystemen. Post-Quanten-Kryptografie ist eine Technik.

Trends sind entstehende Verschiebungen in Cybersicherheitsparadigmen, Rahmenwerken oder Ökosystempraktiken, die beeinflussen, wie Technologien angewendet werden. Zero-Trust-Architektur ist ein Trend.

Ein Signal, das als zu breit eingestuft wird, muss neu formuliert werden, bevor es weiterverarbeitet werden kann. „KI in der Cybersicherheit" ist zu unspezifisch. „Maschinelles Lernen zur verhaltensbasierten Bedrohungserkennung" ist spezifisch genug für eine Bewertung. ENISA wendet einen Entscheidungsbaum mit vier Fragen an, um jedes Signal einzuordnen: Kann eine Organisation es konkret einsetzen? Erfüllt es eine spezifische Aufgabe oder stellt es ein grundlegendes Ökosystem bereit? Ist es eine strukturierte Vorgehensweise und kein Produkt? Repräsentiert es eine breite Sicherheitsphilosophie? Die Antworten führen zu einer der vier Kategorien oder zum Ergebnis „zu vage: überarbeiten".

Jeder Signaleintrag im zentralisierten Repository von ENISA muss einen Mindestsatz an Metadaten enthalten:

• Signalname und Kurzbeschreibung
• Technology Readiness Level (TRL), entweder aus der Quelle oder durch bestmögliche Schätzung abgeleitet
• Aktuelles Adoptionsniveau (Innovatoren, frühe Anwender, frühe Mehrheit, späte Mehrheit, Nachzügler)
• Quellentyp (Marktbericht, Grundlagenpapier, Whitepaper, Experteninterview)
• Titel des Dokuments oder Name des interviewten Experten
• Veröffentlichungs- oder Interviewdatum
• Autor, veröffentlichende Organisation oder Expertenzugehörigkeit
• Fachgebiet und Sektor, sofern angegeben

Diese strukturierten Metadaten machen die Bewertung reproduzierbar und nachprüfbar über verschiedene Ausgaben hinweg.

Warum die Taxonomie für Anhang VII relevant ist

Diese Klassifizierung ist kompatibel mit der Art und Weise, wie die CRA-Technikdokumentation die Produktsicherheitsarchitektur beschreibt. Wenn Sie Ihre Sicherheitsmaßnahmen unter Anhang VII dokumentieren und sie nach Signaltyp ordnen (welche Werkzeuge Sie nutzen, auf welchen Plattformen sie laufen, welche Techniken Ihre Entwicklung leiten und welche Architekturtrends Sie verfolgen), entsteht ein Vokabular, das direkt auf den Rahmen abbildbar ist, den ENISA im Radar verwenden wird. Diese Ausrichtung erleichtert es, auf den Radar zu verweisen, wenn er erscheint. Lesen Sie unseren Leitfaden zur technischen Dokumentation nach Anhang VII für die spezifischen Anforderungen.

Wie ENISA seine Signalliste aufbaut und bereinigt

Vor jeder Bewertung führt ENISA einen zweiphasigen Sammel- und Bereinigungsprozess durch.

Primäre Signalerhebung greift auf maßgebliche Quellen zurück. ENISA wendet vier Kriterien bei der Quellenauswahl an: Reputation und Unparteilichkeit (die Stelle sollte weithin für Fachwissen und Unabhängigkeit anerkannt sein), methodische Strenge (Berichte sollten die Verwendung analytischer oder empirischer Methoden nachweisen), Aktualität (nur Berichte aus den letzten ein bis zwei Jahren) und Transparenz (die Quelle sollte klar über die verwendeten Daten oder Belege informieren).

ENISA identifiziert zehn Arten maßgeblicher Quellen für den TIR:

Ergänzende Signalerhebung nutzt Expertenbeiträge über Online-Einreichungsformulare via EU Survey und moderierte Gruppenworkshops mit Breakout-Gruppen von 10 bis 20 Teilnehmern. ENISA plant die Einrichtung einer Ad-hoc-Arbeitsgruppe (AHWG) von bis zu 30 Experten, die durch einen offenen Aufruf ausgewählt werden, und die Technologieanbieter, Integratoren, Servicebetreiber, Endnutzer, Vertreter kritischer Infrastruktur, Konformitätsbewertungsstellen, Prüfer und Prüflabore abdeckt.

Signalbereinigung folgt der Erhebung. Jeder Eintrag im zentralisierten Repository wird überprüft, um Duplikate zu beseitigen und Mehrdeutigkeiten aufzulösen. Nahezu identische Anwendungen, die in unterschiedlichen Formulierungen ausgedrückt werden, wie „Zero-Trust-Sicherheit" und „Zero-Trust-Architektur", werden zu einer einzigen harmonisierten Formulierung zusammengefasst. Herstellerspezifische Signale werden ausgeschlossen, sofern sie nicht zu einer weit verbreiteten Technologieklasse verallgemeinert werden können. Vage oder zu breite Einträge werden markiert und entweder überarbeitet oder entfernt.

Signalgruppierung ordnet die bereinigten Signale auf zwei Ebenen. Die erste und obligatorische Ebene weist jedem Signal einen der vier Abstraktionstypen zu (Werkzeug, Plattform, Technik, Trend). Die zweite, optionale Ebene ordnet Signale nach Fachgebiet oder Sektor mithilfe der JRC Cybersecurity Taxonomy zu, die von der Europäischen Kommission 2022 veröffentlicht wurde. ENISA weist auch darauf hin, dass alternativ die ECSO-Taxonomie und das NIST Cybersecurity Framework verwendet werden können, empfiehlt aber, zu Beginn einen Standard auszuwählen und ihn konsequent über alle Ausgaben hinweg anzuwenden, um Längsschnittvergleiche zu ermöglichen.

Wie ENISA jedes Signal bewertet: Stärke und Momentum

Jedes Signal, das die erste Expertenvalidierung besteht, wird auf zwei zusammengesetzten Dimensionen bewertet.

Stärke misst, wie reif und etabliert eine Technologie ist. Sie spiegelt sowohl Entwicklungsbereitschaft (TRL) als auch Anerkennung über maßgebliche Quellen, akademische Forschung, die Patentlandschaft und Medienberichterstattung wider. Die Formel lautet:

TRL trägt die Hälfte des Gesamtgewichts, da es am direktesten widerspiegelt, ob eine Technologie einsetzbar ist, nicht nur diskutiert wird. TRL 1 bis 2 repräsentiert experimentelle Forschung und ergibt einen Score von 1. TRL 9, ausgereifte Technologie mit nachgewiesener Leistung unter Betriebsbedingungen, ergibt 5. TRL 5 bis 6, in Tests validierte Technologie, ergibt 3. Die vier unterstützenden Indikatoren werden auf Perzentilbänder über den gesamten Signaldatensatz normiert: Werte im unteren 20. Perzentil erhalten 1, Werte über dem 80. Perzentil erhalten 5.

Momentum misst, wie schnell eine Technologie an Aufmerksamkeit gewinnt, und erfasst die Geschwindigkeit, nicht das Volumen. Die Formel lautet:

Das aktuelle Adoptionsniveau verankert das Momentum bei 50%, parallel zur Rolle des TRL in der Stärke. Jahreswachstumsschwellen bestimmen die verbleibenden Scores: 20% oder mehr Jahreswachstum ergibt 5. Wachstum zwischen 11% und 20% ergibt 4. Wachstum zwischen 6% und 10% ergibt 3. Wachstum zwischen 0% und 5% ergibt 2. Negatives Wachstum ergibt 1.

Die zwei Scores ordnen jedes Signal in eine von vier Makrokategorien auf einer Stärke-Momentum-Matrix ein:

Die Methodik stellt ausdrücklich fest, dass die Bewertungsschwellen nicht willkürlich zwischen Ausgaben geändert werden dürfen, es sei denn, es liegen substanzielle Rückmeldungen vor oder es entstehen kontextspezifische Anforderungen. Das bewahrt die Vergleichbarkeit im Jahresvergleich und ermöglicht es ENISA, einen Längsschnittdatensatz aufzubauen, der zeigt, wie sich Technologien im Laufe der Zeit über die Matrix bewegen.

Die fünf Radarzonen für starke Signale

Starke Signale durchlaufen eine Adoptionswahrscheinlichkeitsbewertung, bevor sie auf dem Radar platziert werden. ENISA verwendet ein Umfrageinstrument, das auf dem UTAUT-Rahmen basiert, angepasst für drei verschiedene Befragtengruppen: Technologienutzer (Bewertung der Auswirkungen auf Sicherheitsabläufe und KPIs), Technologieanbieter und Forschungs- und Entwicklungseinheiten (Bewertung von Implementierungsaufwand, Kundennachfrage und Marktabsicht) sowie institutionelle Akteure wie Regulierungsbehörden und Normierungsorganisationen (Bewertung von Governance-Durchführbarkeit, Politikausrichtung und gesellschaftlichem Wert).

Jede Gruppe bewertet fünf Konstrukte auf einer fünfstufigen Likert-Skala.

Leistungserwartung: Hilft der Einsatz dieser Technologie dabei, Sicherheitsziele zu erreichen? Erleichtert sie die Erfüllung von KPIs?

Aufwandserwartung: Wie einfach ist sie ohne große technische Herausforderungen oder umfangreiche Schulungen umzusetzen?

Sozialer Einfluss: Setzen Wettbewerber und wichtige Partner sie bereits ein oder empfehlen sie?

Rahmenbedingungen: Sind Budget, Infrastruktur, Regulierungsrahmen und Mitarbeiterkompetenzen vorhanden?

Verhaltensabsicht: Plant die Organisation, die Investitionen in diese Technologie fortzusetzen oder auszubauen?

Die 15 Punkte pro Gruppe tragen gleichwertig zu einem Gruppen-Adoptionswahrscheinlichkeits-Score bei. Die drei Gruppen-Scores werden zu einem Gesamt-Adoptionswahrscheinlichkeits-Score gemittelt. Dieser Komposit-Score positioniert jedes starke Signal in einer von fünf konzentrischen Zonen auf dem Radar-Diagramm:

Das Radar-Diagramm unterteilt Signale in vier Quadranten nach Abstraktionstyp: Werkzeug, Plattform, Technik und Trend. Die fünf konzentrischen Zonen verlaufen vom äußersten Ring (Erkennen) zum innersten (Umsetzen). Eine Technologie im Umsetzen-Ring des Technik-Quadranten teilt Ihnen auf einen Blick mit, dass es sich um eine ausgereifte, systematisch anwendbare Methode handelt, die das europäische Cybersicherheitsökosystem als bereit für den breiten Einsatz erachtet.

Frühe Technologien verfolgen: der Ansatz bei schwachen Signalen

Schwache Signale sind Technologien, die niedrig in der Stärke liegen, aber mittelfristig bis langfristig disruptives Potenzial haben können. Sie erscheinen nicht auf dem Haupt-Radar-Diagramm. Stattdessen positioniert ENISA sie auf einem separaten Vorausschau-Diagramm entlang zweier Dimensionen.

Entwicklungsgeschwindigkeit nutzt den Technological Innovation Systems (TIS)-Rahmen von Markard und Truffer (2008). Expertengremien bewerten sieben Funktionen, die widerspiegeln, ob sich aktiv ein Innovationsökosystem rund um die Technologie bildet:

1. Wissensentwicklung und -verbreitung: Entsteht neue Forschung und wird sie durch Publikationen, Konferenzen oder Kooperationen geteilt?
2. Unternehmerische Experimente: Testen Start-ups, Unternehmen oder Institutionen die Technologie in realen Umgebungen, mit Piloten, Prototypen oder frühen Anwendungsfällen?
3. Entwicklung positiver externer Effekte: Erzeugt das Signal Netzwerkeffekte oder Synergien mit anderen Technologien oder Sektoren?
4. Lenkung der Suche: Erscheint es in strategischen Dokumenten, Richtlinien oder organisationalen Fahrplänen?
5. Marktbildung: Bilden sich frühe Märkte oder Nischenanwendungen, auch wenn breitere Adoptionsbarrieren bestehen?
6. Ressourcenmobilisierung: Stehen finanzielle Unterstützung, qualifizierte Arbeitskräfte oder Infrastruktur zur Verfügung, um seine Entwicklung aufrechtzuerhalten?
7. Legitimationsschaffung: Bewerten institutionelle Akteure das Signal positiv, und wächst die breite Akzeptanz?

Jede Funktion erzielt einen Score von 1 bis 5. Der zusammengesetzte Entwicklungsgeschwindigkeits-Score ist das arithmetische Mittel aller sieben.

Marktpotenzial wird auf drei Unterdimensionen bewertet: Sektordurchdringung (bleibt das Signal in einem Sektor oder breitet es sich breit über viele aus?), Domänennützlichkeit (wie viele der 15 Cybersicherheitsfunktionen der JRC European Cybersecurity Taxonomy deckt es ab?) und Adoptertyp (nur hochspezialisierte Akteure oder auch für KMU und die breite Öffentlichkeit zugänglich?).

Das ergibt ein 2x2-Vorausschau-Diagramm mit vier Quadranten:

• Exploration: geringe Entwicklungsgeschwindigkeit und geringes Marktpotenzial. Spekulative Signale mit begrenzten aktuellen Belegen, aber potenziellem visionärem Wert.
• Marktkonsolidierung: hohes Marktpotenzial, aber geringere Entwicklungsgeschwindigkeit. Frühe Anwender beginnen, das Signal zu erkunden. Strukturiertere Entwicklung und Unterstützung kann folgen.
• Tech-Konsolidierung: hohe Entwicklungsgeschwindigkeit, aber noch begrenzte Marktakzeptanz. Fortschritte in Forschung und Experimenten, aber kommerzielle Verbreitung bleibt unsicher.
• Transition Ready: hoch auf beiden Dimensionen. Am nächsten daran, zu starken Signalen zu werden. Technologische Grundlagen konsolidieren sich und das sektorübergreifende Interesse nimmt sichtbar zu. Frühe politische Diskussionen können dabei helfen, ihre Auswirkungen und Integration vorherzusehen.

Schwache Signale erscheinen nicht auf der Haupt-Radar-Visualisierung, sind aber ein wichtiger Input für zukünftige Ausgaben. Transition-Ready-Signale sind besonders Kandidaten für eine Neueinstufung als starke Signale im nächsten Radar-Zyklus.

Woher die Daten kommen

ENISAs Bewertung stützt sich auf drei primäre quantitative Datenquellen, alle über die JRC TIM Analytics-Plattform abgerufen, ein automatisiertes Text- und Data-Mining-System, das vom Joint Research Centre der Europäischen Kommission entwickelt wurde.

Scopus, gepflegt von Elsevier, deckt wissenschaftliche Zeitschriften, Preprints, Bücher und Konferenzberichte ab, darunter über 25,5 Millionen Open-Access-Dokumente. Es liefert Zählungen akademischer Publikationen und Jahrestrends für die Stärke- und Momentum-Bewertung.

PATSTAT enthält bibliografische und rechtliche Ereignispatentdaten aus EU-Mitgliedstaaten, extrahiert aus der Datenbank des Europäischen Patentamts. Es liefert Patentanmeldezählungen und Jahresveränderungen.

Europe Media Monitor (EMM) sammelt täglich rund 300.000 Nachrichtenartikel in bis zu 70 Sprachen. Er liefert Nachrichten- und Suchtrend-Zählungen sowie Jahresveränderungen.

Die Schlüsselwortgestaltung, die alle drei Datenbankabfragen steuert, wird über ein zentralisiertes Wörterbuch kontrolliert. Das Wörterbuch wird vom ENISA Core Radar Team validiert und für jede Ausgabe des Radars eingefroren. Ein Schlüsselwortsatz für „Extended Detection and Response" könnte Begriffe wie 'XDR', 'Extended Detection and Response' und 'Advanced threat detection platform' umfassen, kombiniert mit einem Publikationsjahresfilter in einer booleschen Abfragestruktur. Jede zukünftige Änderung am Wörterbuch erfordert eine dokumentierte Begründung, da Änderungen die Score-Vergleichbarkeit über Ausgaben hinweg beeinflussen.

Dieser Ansatz macht die Bewertung reproduzierbar. Ein Hersteller, der die Radar-Position einer Technologie prüft, kann sie auf die spezifischen Schlüsselwörter, Datenbankabfragen und Normierungsschwellen zurückverfolgen, die verwendet wurden.

Der Schnellverfahrensmechanismus und der Signal-Lebenszyklus

Wenn EU-Institutionen oder Kommissionsprioritäten eine bestimmte Technologie als strategisch dringend einstufen, kann ENISA ein Schnellverfahren aktivieren. Die anfragende Stelle stellt einen Basisdatensatz bereit: Signalname und -beschreibung, einen geschätzten TRL, das aktuelle Adoptionsniveau, die Abstraktionsniveau-Klassifizierung sowie Sektor- und Domänenkontext. Ein internes Team führt dann eine erste Prüfung auf Duplikate und Taxonomiekonformität durch.

Besteht das Signal die Prüfung, schließt ein Mikrogremium von drei bis fünf Experten in etwa 10 Tagen eine schnelle Validierung ab. Experten liefern quantitative Stärke- und Momentum-Schätzungen auf einer Skala von 1 bis 5 sowie qualitative Kommentare zur strategischen Wirkung. Das Signal gelangt dann direkt in die Bewertungsphase.

Schnellverfahren-Signale werden auf dem öffentlichen Dashboard mit einem eigenen Label versehen. Sie unterliegen weiterhin der vollständigen Validierung im nächsten regulären Update-Zyklus. Die Methodik benennt den Kompromiss ausdrücklich: Schnellverfahren-Signale verfügen nicht über die Benchmarking-Tiefe des Standardprozesses und können nicht direkt mit Signalen verglichen werden, die den vollständigen Qualifizierungsprozess durchlaufen haben.

Das Signal-Lebenszyklusmanagement folgt einer parallelen Logik. Jede neue Ausgabe überprüft alle aktiven Signale. Signale, die nicht mehr ausreichend Stärke und Momentum aufweisen, werden auf einer Drei-Jahres-Basis entfernt. Signale, die technologische Reife und weit verbreitete Adoption erreicht haben, werden ebenfalls ausgemustert: Sie werden als über den Vorausschaubereich des Radars hinausgewachsen anerkannt und stattdessen durch andere Betriebsmechanismen verfolgt. Für Hersteller ist eine Technologie, die den Radar verlässt, selbst ein Signal: Sie ist zu einer Basiserwartung geworden, nicht mehr zu einer differenzierenden Fähigkeit.

Das öffentliche Dashboard wird von einer detaillierten Methodiknote begleitet, die klar angibt, wie jedes Signal identifiziert wurde, wie jeder Indikator gemessen oder geschätzt wurde und welche Einschränkungen oder Annahmen während des Prozesses angewendet wurden. Das technische Format des Dashboards (PowerBI oder äquivalent) wird in einer späteren Projektphase festgelegt.

Was der Radar für Ihr CRA-Konformitätsprogramm bedeutet

Der TIR schafft keine neuen rechtlichen Verpflichtungen. Aber er wird zu einem maßgeblichen Nachweis dafür, was die EU als ausgereift und adoptionsbereit im Cybersicherheitsökosystem betrachtet. Das hat praktische Konsequenzen für drei Bereiche Ihrer CRA-Konformitätsarbeit.

Technische Dokumentation nach Anhang VII. Anhang VII verpflichtet Hersteller, die Sicherheitsarchitektur des Produkts mit digitalen Elementen zu dokumentieren, einschließlich der angewendeten Sicherheitslösungen und der eingerichteten Prozesse für den Umgang mit Schwachstellen. Die vierstufige Signal-Taxonomie des TIR (Werkzeug, Plattform, Technik, Trend) bietet ein strukturiertes Vokabular zur Beschreibung Ihrer Sicherheitsarchitektur. Die Dokumentation, in welcher Radar-Zone sich Ihre kritischen Sicherheitsmaßnahmen zum Zeitpunkt des Produktdesigns befanden, erstellt einen zeitgestempelten Nachweis Ihrer Stand-der-Technik-Bewertung. Lesen Sie unseren Leitfaden zur technischen Dokumentation nach Anhang VII.

Schwachstellenmanagement nach Artikel 13. Artikel 13 Absatz 6 verpflichtet Hersteller, Schwachstellen ohne unnötige Verzögerung anzugehen und Patches oder Abhilfemaßnahmen zeitnah anzuwenden. Der Radar wird den Adoptionslebenszyklus von Schwachstellenmanagement-Werkzeugen und -techniken speziell verfolgen. Ein Werkzeug, das in aufeinanderfolgenden Radar-Ausgaben von „Beobachten" auf „Testen" rückt, ist ein quantifiziertes Signal, dass das Ökosystem darauf zusteuert. Hersteller, die diese Bewegungen verfolgen, können proaktive Tooling-Entscheidungen treffen statt reaktive. Lesen Sie unseren Leitfaden zu ENISAs 24-Stunden-Schwachstellenmeldepflichten.

Secure-by-Design-Entscheidungen. Die Secure-by-Design-Prinzipien im ENISA Security by Design and Default Playbook (v0.4, März 2026) beschreiben Praktiken, keine spezifischen Technologieentscheidungen. Der TIR füllt die Lücke, indem er benennt, welche konkreten Werkzeuge und Techniken für diese Praktiken bereit sind. Ein Hersteller, der Secure Boot umsetzt, würde den Radar nutzen, um die Reife der spezifischen Firmware-Signaturinfrastruktur zu beurteilen, die er in Betracht zieht. Das ENISA Secure by Design Playbook deckt die Prinzipien ab. Der TIR wird die Technologieumsetzungen abdecken.

Ein praktischer Hinweis zum Timing. Die erste Radar-Ausgabe ist noch nicht erschienen. Bis dahin kommen die relevanten Belege für Stand-der-Technik-Bewertungen aus denselben Quellkategorien, die ENISA für die Signalerhebung nutzt: Gartner, Fraunhofer, ETSI, ECSO, BSI, NCSC und NIST-Publikationen. Die TIR-Methodik macht diese Quellkategorien explizit und bietet einen Rahmen für ihre Gewichtung.