El Radar de Tecnología e Innovación de ENISA: qué significa la metodología para los fabricantes bajo el CRA

ENISA publicó la metodología de su Radar de Tecnología e Innovación (TIR) en abril de 2026 (ISBN 978-92-9204-790-0, DOI 10.2824/2390334). Antes de que aparezca la primera edición del radar, el marco de puntuación completo ya es público. Explica exactamente cómo ENISA clasificará cada tecnología de ciberseguridad en una escala de cinco zonas, desde «reconocer» (aún no apta para despliegue) hasta «implementar» (despliega ahora y escala).

Para los fabricantes bajo el CRA, esto tiene consecuencias directas. El Artículo 13 del Reglamento de Ciberresiliencia te exige mantener los productos seguros durante todo su ciclo de vida, reflejando el estado del arte. El TIR se convertirá en el mapa oficial más cercano de la UE a lo que «estado del arte» significa en la práctica en materia de seguridad. Conocer cómo funciona la puntuación antes de que se publiquen los primeros resultados te da ventaja.

Esto es lo que contiene la metodología y lo que necesitas entender.

Qué entiende ENISA por «señal»

Una señal, en la práctica de prospectiva, es una manifestación tangible de novedad: un indicador observable de que algo está emergiendo o cambiando. El TIR de ENISA no sigue categorías amplias como «inteligencia artificial» o «confianza cero». Sigue aplicaciones tecnológicas específicas, con nombre, en un nivel de abstracción definido.

La metodología usa una taxonomía de cuatro niveles para clasificar cada señal candidata antes de que entre en el proceso de puntuación. Las señales que no pueden ubicarse en una de estas cuatro categorías se marcan como demasiado vagas y se devuelven para su revisión.

Las herramientas son productos de software concretos o utilidades que realizan una tarea específica dentro de un ciclo de vida de desarrollo u operaciones. Un analizador de protocolos de red es una herramienta.

Las plataformas son ecosistemas fundacionales o entornos de ejecución que proporcionan infraestructura, servicios y capacidades de integración para construir, desplegar y escalar aplicaciones. Los sistemas de orquestación, automatización y respuesta de seguridad (SOAR) son plataformas.

Las técnicas son métodos sistemáticos, patrones o procedimientos usados para diseñar, probar y hacer evolucionar los sistemas de software. La criptografía poscuántica es una técnica.

Las tendencias son cambios emergentes en los paradigmas de ciberseguridad, marcos de trabajo o prácticas del ecosistema que influyen en cómo se aplican las tecnologías. La arquitectura de confianza cero es una tendencia.

Una señal clasificada como demasiado amplia debe reformularse antes de poder avanzar. «IA en ciberseguridad» es demasiado vago. «Aprendizaje automático para la detección conductual de amenazas» es lo suficientemente específico para evaluarse. ENISA aplica un árbol de decisión de cuatro preguntas para asignar cada señal: ¿Puede una organización desplegarla de forma concreta? ¿Realiza una tarea específica o proporciona un ecosistema fundacional? ¿Es una forma estructurada de hacer algo en lugar de un producto? ¿Representa una filosofía de seguridad amplia? Las respuestas llevan a una de las cuatro categorías, o al resultado «demasiado vaga: revisar».

Cada entrada de señal en el repositorio centralizado de ENISA debe incluir un conjunto mínimo de metadatos:

• Nombre de la señal y descripción breve
• Nivel de Madurez Tecnológica (TRL), ya sea del origen o derivado mediante la mejor estimación disponible
• Nivel de adopción actual (innovadores, adoptantes tempranos, mayoría temprana, mayoría tardía, rezagados)
• Tipo de fuente (informe de mercado, documento de política, libro blanco, entrevista con experto)
• Título del documento o nombre del experto entrevistado
• Fecha de publicación o de la entrevista
• Autor, organización editora o afiliación del experto
• Dominio y sector, si se especifica

Estos metadatos estructurados son los que hacen que la puntuación sea reproducible y auditable entre ediciones.

Por qué la taxonomía importa para el Anexo VII

Esta clasificación es compatible con la forma en que la documentación técnica del CRA describe la arquitectura de seguridad del producto. Si documentas tus controles de seguridad bajo el Anexo VII, organizarlos por tipo de señal (qué herramientas usas, en qué plataformas funcionan, qué técnicas guían tu desarrollo y qué tendencias arquitectónicas sigues) crea un vocabulario que se mapea directamente sobre el marco que ENISA usará en el radar. Esa alineación facilitará la referencia al radar cuando se publique. Consulta nuestra guía sobre la documentación técnica del Anexo VII para los requisitos específicos.

Cómo ENISA construye y depura su lista de señales

Antes de que tenga lugar ninguna puntuación, ENISA ejecuta un proceso de recopilación y depuración en dos fases.

La recopilación primaria de señales extrae información de fuentes de autoridad. ENISA aplica cuatro criterios al seleccionar fuentes: reputación e imparcialidad (la entidad debe ser ampliamente reconocida por su especialización y su independencia), rigor metodológico (los informes deben demostrar el uso de métodos analíticos o empíricos), actualidad (solo informes publicados en el último año o dos años) y transparencia (la fuente debe explicar qué datos o evidencias usa).

ENISA identifica diez tipos de fuentes de autoridad relevantes para el TIR:

La recopilación suplementaria de señales usa aportaciones de expertos a través de formularios de envío en línea mediante EU Survey y talleres de grupo facilitados con grupos de trabajo de 10 a 20 participantes cada uno. ENISA planea crear un Grupo de Trabajo Ad Hoc (AHWG) de hasta 30 expertos seleccionados mediante convocatoria abierta, con representación de proveedores de tecnología, integradores, operadores de servicios, usuarios finales, representantes de infraestructuras críticas, organismos de evaluación de la conformidad, auditores y laboratorios de ensayo.

La depuración de señales sigue a la recopilación. Cada entrada en el repositorio centralizado se revisa para eliminar duplicados y resolver ambigüedades. Aplicaciones casi idénticas expresadas con redacción diferente, como «seguridad de confianza cero» y «arquitectura de confianza cero», se consolidan en una formulación única y armonizada. Las señales específicas de proveedores se excluyen salvo que puedan generalizarse a una clase de tecnología ampliamente adoptada. Las entradas vagas o excesivamente amplias se marcan y se revisan o eliminan.

La agrupación de señales organiza las señales depuradas en dos niveles. El primer nivel, obligatorio, asigna cada señal a uno de los cuatro tipos de abstracción (herramienta, plataforma, técnica, tendencia). El segundo nivel, opcional, asigna señales por dominio o sector usando la Taxonomía de Ciberseguridad del JRC publicada por la Comisión Europea en 2022. ENISA también señala que la taxonomía del ECSO y el Marco de Ciberseguridad del NIST pueden usarse como alternativa, pero recomienda elegir uno al principio y aplicarlo en todas las ediciones para permitir comparaciones longitudinales.

Cómo ENISA puntúa cada señal: fortaleza y momento

Cada señal que supera la validación inicial de expertos se puntúa en dos dimensiones compuestas.

La fortaleza mide qué tan madura y consolidada está una tecnología. Refleja tanto la preparación para el desarrollo (TRL) como el reconocimiento en fuentes de autoridad, investigación académica, el panorama de patentes y la cobertura mediática. La fórmula es:

El TRL tiene la mitad del peso total porque refleja de forma más directa si una tecnología es desplegable, no solo si se habla de ella. El TRL 1 a 2 representa investigación experimental y obtiene una puntuación de 1. El TRL 9, tecnología madura con rendimiento demostrado en condiciones operativas, obtiene 5. El TRL 5 a 6, tecnología validada en pruebas, obtiene 3. Los cuatro indicadores de apoyo se normalizan a percentiles del conjunto completo de señales: los valores en el percentil 20 inferior obtienen 1, los valores por encima del percentil 80 obtienen 5.

El momento mide con qué rapidez gana atención una tecnología, captando la velocidad en lugar del volumen. La fórmula es:

El nivel de adopción actual ancla el momento al 50%, de forma paralela al papel del TRL en la fortaleza. Los umbrales de crecimiento interanual determinan las puntuaciones restantes: un crecimiento del 20% o más interanual obtiene 5. El crecimiento entre el 11% y el 20% obtiene 4. El crecimiento entre el 6% y el 10% obtiene 3. El crecimiento entre el 0% y el 5% obtiene 2. El crecimiento negativo obtiene 1.

Las dos puntuaciones sitúan cada señal en una de cuatro macrocategorías en una matriz fortaleza/momento:

La metodología afirma expresamente que los umbrales de puntuación no deben modificarse de forma arbitraria entre ediciones, salvo que se reciban comentarios sustantivos o surjan requisitos específicos del contexto. Esto preserva la comparabilidad interanual y permite a ENISA construir un conjunto de datos longitudinal que muestra cómo las tecnologías se desplazan por la matriz con el tiempo.

Las cinco zonas del radar para las señales fuertes

Las señales fuertes pasan por una puntuación de probabilidad de adopción antes de su ubicación en el radar. ENISA usa un instrumento de encuesta basado en el marco UTAUT, adaptado para cubrir tres grupos distintos de encuestados: usuarios de tecnología (que evalúan el impacto en los flujos de trabajo de seguridad y los KPI), proveedores de tecnología y entidades de I+D (que evalúan la facilidad de despliegue, la demanda de los clientes y la intención de mercado), y actores institucionales como reguladores y organizaciones de desarrollo de normas (que evalúan la viabilidad de gobernanza, el alineamiento con las políticas y el valor social).

Cada grupo valora cinco constructos en una escala Likert de cinco puntos.

Expectativa de rendimiento: ¿usar esta tecnología ayuda a alcanzar los objetivos de seguridad? ¿Facilita el cumplimiento de los KPI?

Expectativa de esfuerzo: ¿qué facilidad tiene para implementarse sin grandes desafíos técnicos o formación extensa?

Influencia social: ¿los competidores y socios clave ya la están adoptando o recomendando?

Condiciones facilitadoras: ¿están disponibles el presupuesto, la infraestructura, los marcos regulatorios y las capacidades del personal?

Intención conductual: ¿la organización planea continuar o ampliar la inversión en esta tecnología?

Los 15 elementos por grupo contribuyen por igual a una puntuación de probabilidad de adopción del grupo. Las tres puntuaciones de grupo se promedian en una puntuación global de probabilidad de adopción. Esta puntuación compuesta sitúa cada señal fuerte en una de cinco zonas concéntricas del gráfico de radar:

El gráfico de radar divide las señales en cuatro cuadrantes por tipo de abstracción: Herramienta, Plataforma, Técnica y Tendencia. Las cinco zonas concéntricas van desde el anillo exterior (Reconocer) al interior (Implementar). Una tecnología ubicada en el anillo Implementar del cuadrante de Técnica indica, de un vistazo, que es un método sistemáticamente aplicable y maduro que el ecosistema europeo de ciberseguridad considera listo para despliegue amplio.

El seguimiento de tecnologías en etapas tempranas: el enfoque de señales débiles

Las señales débiles son tecnologías que puntúan bajo en fortaleza pero que pueden tener potencial disruptivo a medio o largo plazo. No aparecen en el gráfico principal del radar. En su lugar, ENISA las posiciona en un gráfico de prospectiva separado a lo largo de dos dimensiones.

La velocidad de desarrollo usa el marco de Sistemas de Innovación Tecnológica (TIS) de Markard y Truffer (2008). Los paneles de expertos puntúan siete funciones que reflejan si un ecosistema de innovación se está formando activamente en torno a la tecnología:

1. Desarrollo y difusión del conocimiento: ¿está surgiendo nueva investigación y compartiéndose mediante publicaciones, conferencias o colaboraciones?
2. Experimentación empresarial: ¿están las startups, empresas o instituciones probando la tecnología en entornos reales, con pilotos, prototipos o casos de uso tempranos?
3. Desarrollo de externalidades positivas: ¿genera la señal efectos de red o sinergias con otras tecnologías o sectores?
4. Orientación de la búsqueda: ¿aparece en documentos estratégicos, políticas u hojas de ruta organizativas?
5. Formación del mercado: ¿se están formando mercados tempranos o aplicaciones de nicho, aunque persistan barreras más amplias de adopción?
6. Movilización de recursos: ¿existe apoyo financiero, mano de obra cualificada o infraestructura disponible para sostener su desarrollo?
7. Creación de legitimidad: ¿los actores institucionales ven la señal de forma positiva y crece la aceptación amplia?

Cada función puntúa de 1 a 5. La puntuación compuesta de velocidad de desarrollo es la media aritmética de las siete.

El potencial de mercado se puntúa en tres subdimensiones: penetración sectorial (¿la señal se queda en un sector o se extiende ampliamente por muchos?), utilidad de dominio (¿cuántas de las 15 funciones de ciberseguridad de la Taxonomía Europea de Ciberseguridad del JRC aborda?) y tipo de adoptante (¿solo actores muy especializados, o accesible para pymes y el público general?).

Esto produce un gráfico de prospectiva 2x2 con cuatro cuadrantes:

• Exploración: velocidad de desarrollo baja y potencial de mercado bajo. Señales especulativas con evidencia actual limitada pero potencial visionario.
• Consolidación de mercado: alto potencial de mercado pero menor velocidad de desarrollo. Los primeros adoptantes comienzan a explorar la señal. Puede seguir un desarrollo y apoyo más estructurado.
• Consolidación tecnológica: alta velocidad de desarrollo pero tracción de mercado todavía limitada. Avanza en investigación y experimentación, pero la adopción comercial es incierta.
• Transición lista: alta en ambas dimensiones. Las más cercanas a convertirse en señales fuertes. Las bases tecnológicas se consolidan y el interés intersectorial aumenta de forma visible. Los debates de política tempranos pueden anticipar su impacto e integración.

Las señales débiles no aparecen en la visualización principal del radar, pero son una aportación importante para ediciones futuras. Las señales en «Transición lista» son candidatas para ser reclasificadas como señales fuertes en el siguiente ciclo del radar.

De dónde provienen los datos

La puntuación de ENISA se apoya en tres fuentes de datos cuantitativos primarios, todos accesibles a través de la plataforma analítica JRC TIM, un sistema automatizado de minería de texto y datos desarrollado por el Centro Mixto de Investigación de la Comisión Europea.

Scopus, mantenido por Elsevier, cubre revistas académicas, preimpresiones, libros y actas de congresos, incluidos más de 25,5 millones de documentos en acceso abierto. Proporciona recuentos de publicaciones académicas y tendencias interanuales para la puntuación de fortaleza y momento de las señales.

PATSTAT contiene datos bibliográficos y de eventos legales de patentes de los Estados miembros de la UE, extraídos de la base de datos de la Oficina Europea de Patentes. Proporciona recuentos de solicitudes de patentes y variaciones interanuales.

El Europe Media Monitor (EMM) recopila aproximadamente 300.000 artículos de noticias al día en hasta 70 idiomas. Proporciona recuentos de noticias y tendencias de búsqueda y variaciones interanuales.

La construcción de palabras clave que impulsa las tres consultas a bases de datos se controla mediante un diccionario centralizado. El diccionario es validado por el Equipo Central del Radar de ENISA y queda fijado para cada edición del radar. Un conjunto de palabras clave para «Detección y respuesta extendida» podría incluir términos como 'XDR', 'Extended Detection and Response' y 'Advanced threat detection platform', combinados con un filtro de año de publicación en una estructura de consulta booleana. Cualquier modificación futura del diccionario requiere una justificación documentada, porque los cambios afectan a la comparabilidad de las puntuaciones entre ediciones.

Este planteamiento hace que la puntuación sea reproducible. Un fabricante que revisa la posición de una tecnología en el radar puede rastrearla hasta las palabras clave específicas, las consultas a bases de datos y los umbrales de normalización utilizados.

El mecanismo de vía rápida y el ciclo de vida de las señales

Cuando las instituciones de la UE o las prioridades de la Comisión marcan una tecnología específica como urgente desde el punto de vista estratégico, ENISA puede activar un procedimiento de vía rápida. La entidad solicitante proporciona un conjunto de datos de referencia: nombre y descripción de la señal, un TRL estimado, nivel de adopción actual, clasificación del nivel de abstracción y contexto de sector y dominio. Un equipo interno realiza entonces un examen inicial para comprobar si hay duplicados y coherencia taxonómica.

Si la señal supera el examen, un micropanel de tres a cinco expertos completa una validación rápida en aproximadamente 10 días. Los expertos aportan estimaciones cuantitativas de fortaleza y momento en una escala de 1 a 5 y comentarios cualitativos sobre el impacto estratégico. La señal avanza directamente a la fase de evaluación.

Las señales de vía rápida se marcan con una etiqueta distinta en el panel público. Quedan sujetas a validación completa en el siguiente ciclo de actualización regular. La metodología es explícita sobre la compensación: las señales de vía rápida carecen de la profundidad de comparación del proceso estándar y no pueden compararse directamente con las señales que pasaron por la cualificación completa.

La gestión del ciclo de vida de las señales sigue una lógica paralela. Cada nueva edición revisa todas las señales activas. Las señales que ya no muestran fortaleza y momento suficientes se eliminan, evaluadas en una base trienal. Las señales que han alcanzado la madurez tecnológica y la adopción generalizada también se retiran gradualmente: se reconoce que han superado el alcance de prospectiva del radar y se rastrean mediante otros mecanismos operativos. Para los fabricantes, una tecnología que sale del radar es en sí misma una señal: se ha convertido en una expectativa de base más que en una capacidad diferenciadora.

El panel público irá acompañado de una nota metodológica detallada, que indicará claramente cómo se identificó cada señal, cómo se midió o estimó cada indicador y las limitaciones o supuestos aplicados durante el proceso. El formato técnico del panel (PowerBI o equivalente) se definirá en una etapa posterior del proyecto.

Qué significa el radar para tu programa de cumplimiento CRA

El TIR no crea nuevas obligaciones legales. Pero se convertirá en evidencia de autoridad de lo que la UE considera maduro y listo para adopción en todo el ecosistema de ciberseguridad. Eso tiene consecuencias prácticas para tres áreas de tu trabajo de cumplimiento bajo el CRA.

Documentación técnica bajo el Anexo VII. El Anexo VII exige a los fabricantes documentar el diseño de seguridad del producto con elementos digitales, incluidas las soluciones de seguridad aplicadas y los procesos establecidos para la gestión de vulnerabilidades. La taxonomía de señales de cuatro niveles del TIR (herramienta, plataforma, técnica, tendencia) proporciona un vocabulario estructurado para describir tu arquitectura de seguridad. Documentar qué zona del radar ocupaban tus controles de seguridad críticos en el momento del diseño del producto crea un registro con fecha y hora de tu evaluación del estado del arte. Consulta nuestra guía sobre la documentación técnica del Anexo VII.

Gestión de vulnerabilidades bajo el Artículo 13. El Artículo 13(6) exige a los fabricantes abordar las vulnerabilidades sin demora indebida y aplicar parches o mitigaciones de forma oportuna. El radar seguirá el ciclo de vida de adopción de las herramientas y técnicas de gestión de vulnerabilidades específicamente. Una herramienta que pasa de «Observar» a «Probar» en ediciones consecutivas del radar es una señal cuantificada de que el ecosistema está convergiendo en ella. Los fabricantes que siguen estos movimientos pueden tomar decisiones de herramientas de forma proactiva en lugar de reactiva. Consulta nuestra guía sobre las obligaciones de notificación de vulnerabilidades en 24 horas de ENISA.

Decisiones de seguridad por diseño. Los principios de seguridad por diseño del Manual de Seguridad por Diseño y Predeterminación de ENISA (v0.4, marzo de 2026) describen prácticas más que opciones tecnológicas concretas. El TIR llena ese vacío nombrando qué herramientas y técnicas concretas están listas para esas prácticas. Un fabricante que implementa arranque seguro, por ejemplo, usaría el radar para evaluar la madurez de la infraestructura específica de firma de firmware que está considerando. El manual de Seguridad por Diseño de ENISA cubre los principios. El TIR cubrirá las implementaciones tecnológicas.

Una nota práctica sobre el calendario. La primera edición del radar aún no se ha publicado. Hasta que lo haga, la evidencia relevante para las evaluaciones del estado del arte proviene de las mismas categorías de fuentes que ENISA usa para la recopilación de señales: publicaciones de Gartner, Fraunhofer, ETSI, ECSO, BSI, NCSC y NIST. La metodología del TIR hace explícitas esas categorías de fuentes y proporciona un marco para ponderarlas.

Próximos pasos

Este artículo es solo para fines informativos y no constituye asesoramiento jurídico. Para orientación específica sobre cumplimiento normativo, consulta con un abogado cualificado.