ENISA NCAF 2.0: Qué significa la actualización de abril de 2026 para los fabricantes bajo el CRA
ENISA publicó el NCAF 2.0 en abril de 2026. Tres nuevos objetivos, 871 preguntas de madurez y referencias explícitas al CRA cambian cómo los gobiernos miden su preparación.
En este artículo
ENISA publicó el National Capabilities Assessment Framework 2.0 (NCAF 2.0) en abril de 2026. Es la primera actualización desde que el marco original salió en diciembre de 2020. El documento creció de 90 a 126 páginas y añadió tres objetivos estratégicos que no existían antes. Ahora nombra explícitamente el Reglamento de Ciberresiliencia en sus preguntas de madurez. Si tus productos están en el ámbito del CRA, este marco describe cómo tu gobierno va a medir su propia preparación para apoyarlo y hacerlo cumplir.
Resumen
- Tres nuevos objetivos sin equivalente en 2020: evaluación de riesgos a escala nacional (Objetivo 12), una política de divulgación coordinada de vulnerabilidades (Objetivo 19) y protección cibernética activa (Objetivo 20)
- 871 preguntas de capacidad en ciberseguridad forman ahora parte del marco. En 2020 no existía ninguna pregunta estructurada.
- El CRA aparece nombrado explícitamente en la introducción y en las preguntas de madurez del Objetivo 1, que cubre la resiliencia cibernética del sector privado para entidades esenciales e importantes
- El Objetivo 19 (política de divulgación de vulnerabilidades) fija un objetivo nacional para que los gobiernos establezcan procesos estructurados para notificar vulnerabilidades a los fabricantes. Esa es la infraestructura de la que depende Article 14 del CRA.
- Los nombres de los niveles de madurez han cambiado: los cinco niveles son ahora Fundación, En desarrollo, Establecido, Maduro y Avanzado. El nivel 1 ya presupone que el país ha adoptado una NCSS, requisito mínimo de NIS2. En 2020, el nivel 1 describía un país sin ningún enfoque definido.
- El NCAF 2.0 puede usarse en las revisiones entre pares del Article 19 de NIS2. ENISA añadió este uso en la Sección 1.7 del nuevo documento.
- 14 Estados miembros completaron la encuesta que orientó la actualización. Grecia, Italia y Luxemburgo pilotaron el primer borrador.
- El objetivo independiente de colaboración público-privada ha desaparecido. El intercambio de información y la asistencia mutua son ahora dos objetivos puntuados por separado.
Fuente: ENISA NCAF 2.0, abril de 2026. Objetivos y recuento de preguntas: Sección 3, p. 33. Recuento de la encuesta: Sección 1.2.3, p. 12.
Qué mide el NCAF y qué evalúa
El NCAF es una herramienta de autoevaluación para gobiernos nacionales. Concretamente, para los responsables políticos y funcionarios que diseñan e implementan la estrategia nacional de ciberseguridad (NCSS) de un país. Es voluntario. Los resultados de un país no se publican salvo que ese país decida hacerlo.
El marco mide una cosa: el grado de madurez de las capacidades de ciberseguridad de un Estado miembro en 20 objetivos estratégicos. Para cada objetivo, el país responde un conjunto de preguntas y obtiene dos puntuaciones. La primera es la puntuación de nivel de madurez, que refleja el nivel más alto donde todas las preguntas obligatorias tienen respuesta positiva. La segunda es el ratio de cobertura, que cuenta todas las respuestas positivas independientemente del nivel. Juntas ofrecen una imagen tanto de profundidad como de amplitud.
ENISA añadió en el NCAF 2.0 un caso de uso que no existía en la versión de 2020: el marco puede servir ahora como base para las revisiones voluntarias entre pares del Article 19 de NIS2. Los Estados miembros que quieran compararse entre sí disponen de una herramienta estructurada para hacerlo. El Índice de Ciberseguridad de la UE (EU-CSI) ya utiliza algunas preguntas del NCAF, y ENISA señaló en la Sección 1.7 que el EU-CSI puede evolucionar hacia una mayor alineación con el NCAF.
Para los fabricantes, el marco es una señal. Un país que obtiene una puntuación baja en el Objetivo 1 (resiliencia cibernética del sector privado), en el Objetivo 17 (cadena de suministro) o en el Objetivo 19 (política de divulgación de vulnerabilidades) te dice algo sobre el entorno de cumplimiento en el que operarán tus productos.
Los tres objetivos que no existían en 2020
Consolidar las evaluaciones de riesgo entre sectores para construir una visión nacional de los activos críticos y las amenazas. Vinculado al Article 7 de NIS2 y a la Directiva de Resiliencia de Entidades Críticas (CER).
Crear un proceso nacional estructurado para notificar vulnerabilidades a fabricantes y proveedores de servicios. Promover claridad jurídica para investigadores de buena fe, incluidas exenciones de responsabilidad civil o penal.
Integrar la ACP en la NCSS. Promover políticas de ACP proactivas como parte de una estrategia de defensa más amplia. La ACP se define en el Considerando 57 de NIS2. Promover tanto capacidades internas como, en el mejor caso, externas de ACP.
Objetivo 12: evaluación de riesgos a escala nacional
En 2020, la evaluación de riesgos era contexto de fondo para todos los demás objetivos. No era un elemento evaluable por sí mismo. El NCAF 2.0 lo convierte en un objetivo puntuado con tres metas específicas de la Sección 2.3.
- Establecer un mecanismo para consolidar las evaluaciones de riesgo entre sectores, «garantizando una visión nacional de los activos críticos y las amenazas, en consonancia con los requisitos existentes en virtud de NIS2 y la Directiva de Resiliencia de Entidades Críticas (CER)».
- Alinear los objetivos de la estrategia de ciberseguridad con las necesidades de seguridad nacional mediante una evaluación de riesgos nacional exhaustiva.
- Facilitar evaluaciones de riesgo sectoriales para abordar los riesgos en los sectores críticos.
La evaluación de riesgos nacional alimenta la clasificación sectorial en NIS2. Los sectores de los Anexos I y II de NIS2 determinan qué entidades son esenciales o importantes, lo que determina la densidad de supervisión en torno a los productos que esas entidades compran. Un país que no ha completado una evaluación de riesgos nacional opera sin un panorama claro de sus propios activos críticos.
Objetivo 19: política de divulgación coordinada de vulnerabilidades
La divulgación de vulnerabilidades apareció en el NCAF de 2020 una sola vez, como nota al pie 18 bajo la sección de cadena de suministro. Ahora es un objetivo puntuado de primer nivel con tres sub-metas de la Sección 2.3.
- Establecer un proceso de divulgación de vulnerabilidades «que describa un enfoque estructurado para notificar vulnerabilidades a fabricantes y proveedores de servicios».
- Desarrollar una política nacional que facilite la divulgación de vulnerabilidades y proporcione un marco para gestionar los informes de vulnerabilidades.
- Promover claridad jurídica para la investigación de vulnerabilidades de buena fe, «incluyendo, cuando proceda, exenciones o salvaguardas frente a la responsabilidad civil o penal, de conformidad con los marcos jurídicos nacionales».
Article 14 exige a los fabricantes notificar las vulnerabilidades explotadas activamente al CSIRT nacional en un plazo de 24 horas desde que tienen conocimiento de ellas. Ese canal de notificación depende de que el país tenga una infraestructura de divulgación de vulnerabilidades en funcionamiento en el extremo receptor. Un gobierno que obtiene el nivel 1 o 2 en el Objetivo 19 aún no ha construido esa infraestructura. Los fabricantes de ese país deben notificar en un sistema que todavía se está construyendo.
España cuenta con INCIBE y CCN-CERT como organismos de referencia en ciberseguridad nacional. El CCN-CERT gestiona la respuesta a incidentes en el sector público y en operadores de servicios esenciales, mientras que INCIBE cubre el tejido empresarial privado. La Estrategia Nacional de Ciberseguridad de España de 2019 ya incluía la divulgación coordinada de vulnerabilidades como línea de acción, lo que sitúa al país en una posición de partida sólida frente al Objetivo 19 del NCAF 2.0.
Objetivo 20: protección cibernética activa
La protección cibernética activa no aparecía en ningún lugar del NCAF de 2020. ENISA define la ACP con referencia al Considerando 57 de NIS2. La nota al pie 15 de la Sección 2.3 apunta allí explícitamente. El marco fija cuatro metas.
- Integrar la ACP en la NCSS.
- Promover políticas sobre medidas de ACP proactivas como parte de una estrategia de defensa más amplia.
- Promover la implementación de capacidades de ACP internas y, en el mejor caso, externas para prevenir, detectar, monitorizar y mitigar las brechas de seguridad en redes.
- Promover el uso de herramientas y servicios de ACP para compartir inteligencia sobre amenazas.
Ningún otro objetivo usa la expresión «capacidades externas» ni enmarca el intercambio de inteligencia sobre amenazas como objetivo de política nacional con este nivel de detalle. El Objetivo 20 refleja el debate sobre defensa activa en la política de la UE posterior a 2022, alineado con la Ley de Solidaridad Cibernética.
Dónde aparece el CRA en el NCAF 2.0
El NCAF 2.0 referencia el CRA en dos secciones y un banco de preguntas. Estas son las cinco ubicaciones.
Nombrado junto a DORA como una ley clave de la UE para cuya adopción ENISA apoya a los Estados miembros: «el Reglamento de Ciberresiliencia (CRA) y el Reglamento de Resiliencia Operativa Digital (DORA)».
Figura como documento regulatorio primario de la UE revisado al construir el marco actualizado. El CRA influyó directamente en el diseño de las preguntas de madurez.
Pregunta si los estándares obligatorios están «alineados con marcos a nivel de la UE (por ejemplo, el CRA, el esquema de servicios en la nube de la UE)». Los gobiernos de nivel 4 deben comparar los estándares del sector privado con el CRA por su nombre.
Las metas incluyen «implementar medidas de vanguardia para abordar la ciberseguridad de la cadena de suministro de productos TIC y servicios TIC utilizados por entidades esenciales e importantes». Ese es el núcleo del ámbito de producto del CRA.
Fija un enfoque estructurado para notificar vulnerabilidades «a fabricantes y proveedores de servicios». Los fabricantes son la parte que Article 14 del CRA considera responsable de la gestión de vulnerabilidades y la notificación en 24 horas.
Para los fabricantes, el patrón importa tanto como cualquier referencia individual. Los gobiernos en el nivel 4 del Objetivo 1 son puntuados por si sus estándares del sector privado se alinean con el CRA por su nombre. Los gobiernos en el nivel 1 o 2 del Objetivo 19 aún no han construido la infraestructura nacional de divulgación de vulnerabilidades de la que depende la notificación del Article 14 del CRA.
871 preguntas: cómo funciona la evaluación en la práctica
El NCAF de 2020 describía 17 objetivos y daba a cada uno una lista de metas. Los países se autoevaluaban frente a esas metas. No había preguntas estándar, tablas de puntuación ni banco de preguntas. El NCAF 2.0 añade esa estructura: 871 preguntas de capacidad en ciberseguridad distribuidas en 20 objetivos y cinco niveles de madurez.
Cómo leer un identificador de pregunta
Cada pregunta tiene un identificador de tres partes: número de objetivo, nivel de madurez y número de pregunta dentro de ese nivel. La pregunta 14.2.5 es la quinta pregunta en el nivel de madurez 2 para el Objetivo 14 (establecer medidas de gestión de riesgos de ciberseguridad).
Junto a las 871 preguntas de capacidad, hay cinco preguntas genéricas de estrategia por nivel por objetivo. Son idénticas en los 20 objetivos y preguntan si el objetivo aparece en la NCSS, si existe un plan de acción y si se monitoriza el progreso. Las 871 preguntas de capacidad son la capa técnica específica de cada objetivo.
Preguntas requisito y no requisito
Cada pregunta de capacidad está etiquetada como 1 (requisito) o 0 (no requisito):
Todas deben responderse positivamente antes de que un país pueda reclamar ese nivel de madurez. Una sola respuesta negativa en una pregunta requisito limita la puntuación al nivel anterior, independientemente de cuántas otras preguntas se respondan correctamente.
Cuentan para el ratio de cobertura pero no bloquean la progresión de nivel. Un país puede alcanzar un nivel con lagunas en preguntas no requisito. Esas lagunas aparecerán en el ratio de cobertura en lugar de en la puntuación de nivel de madurez.
Cómo se calculan las puntuaciones
La puntuación produce dos números por objetivo, que luego se promedian a nivel de clúster y en los 20 objetivos para obtener la puntuación global.
El nivel más alto donde todas las preguntas requisito se responden positivamente. Es el nivel oficial que un país ha alcanzado para ese objetivo. El progreso dentro de un nivel (responder algunas pero no todas las preguntas requisito) no mueve este número.
La proporción de respuestas positivas en todas las preguntas de un objetivo, independientemente del nivel. Un país puede estar en el nivel 3 de madurez pero mostrar un 80% de cobertura en las preguntas del nivel 4. El ratio de cobertura captura ese progreso parcial.
Los cinco niveles de madurez
Todos los niveles fueron renombrados y sus descripciones reescritas. El cambio clave: el nivel 1 en 2026 presupone que un Estado miembro ya ha adoptado una estrategia nacional de ciberseguridad. El nivel 1 en 2020 describía un país sin ningún enfoque definido.
| Nivel | Nombre en 2020 | Nombre en 2026 | Qué cambió |
|---|---|---|---|
| 1 | Inicial / Ad Hoc | Fundación | Ahora presupone que la NCSS está adoptada (mínimo de NIS2). La versión de 2020 partía de cero. |
| 2 | Definición inicial | En desarrollo | Planes de acción en marcha y partes interesadas identificadas. |
| 3 | Establecimiento | Establecido | Estructuras de gobernanza en marcha, recursos asignados, implementación consistente en el objetivo. |
| 4 | Optimización | Maduro | Legislación a largo plazo, financiación nacional dedicada, agencias nacionales establecidas y en funcionamiento. |
| 5 | Adaptabilidad | Avanzado | Dinámico y adaptativo. Explícitamente aspiracional: el NCAF 2.0 señala que muy pocos países llegarán a este nivel en todos los objetivos. |
El clúster 4 es una nueva agrupación regulatoria que mapea directamente al CRA
El NCAF de 2020 tenía cuatro clústeres: gobernanza y estándares de ciberseguridad, desarrollo de capacidades y concienciación, legal y regulatorio, y cooperación. El NCAF 2.0 mantiene cuatro clústeres pero los renombra y reorganiza todos. El cambio estructural más relevante para los fabricantes bajo el CRA es la creación del Clúster 4.
Clúster 4: Marcos regulatorios y de política. Cinco objetivos que en 2020 no formaban una agrupación regulatoria coherente:
Equilibrar seguridad y privacidad. Trasladado del antiguo clúster «Legal y regulatorio». Ahora es un instrumento regulatorio nombrado junto a la cadena de suministro y la divulgación de vulnerabilidades.
Mejorar la ciberseguridad de la cadena de suministro. En 2020 estaba junto a privacidad y notificación de incidentes. Ahora anclado en su propio clúster regulatorio con ámbito explícito de NIS2 y contratación pública.
Proteger los sectores críticos. Ampliado desde la terminología de NIS1 (OES/DSP) al ámbito de NIS2, que cubre los Anexos I y II, los cables submarinos y el núcleo público de internet.
Establecer una política de divulgación de vulnerabilidades. Una nota al pie en 2020. Ahora es un objetivo puntuado de primer nivel con tres sub-metas: la infraestructura nacional que necesita la notificación del Article 14 del CRA.
Promover la protección cibernética activa. No existía en 2020. Refleja la política de defensa activa posterior a 2022, alineada con el Considerando 57 de NIS2 y la Ley de Solidaridad Cibernética.
Las puntuaciones de un gobierno en el Clúster 4 indican cuáles de estos instrumentos están en marcha. Estos son los cinco mecanismos de política que los gobiernos usarán para implementar y hacer cumplir los requisitos del CRA en cada mercado nacional.
Descarga el NCAF 2.0 desde la página de publicaciones de ENISA y comprueba cuáles de los 20 objetivos cubre la NCSS actual de tu país. Un país cuya NCSS no incluya un objetivo obtendrá cero puntos en ese objetivo por defecto. Eso indica exactamente qué instrumentos de política todavía no están en marcha en tu mercado.
El NCAF 2.0 incluye un aviso explícito en la Sección 2.1: «El nivel 5 se considera extremadamente alto y muy pocos países, si es que alguno, alcanzarán este nivel en todos los objetivos». La versión de 2020 no incluía ningún aviso de ese tipo. Es una elección deliberada de encuadre para que el marco sea útil como herramienta de seguimiento del progreso en un rango realista.
Preguntas frecuentes
¿Crea el NCAF 2.0 nuevas obligaciones para los fabricantes de productos?
No. El NCAF 2.0 es una herramienta de autoevaluación para gobiernos nacionales, no un reglamento para fabricantes. No crea obligaciones legales. Pero te indica qué capacidades se ha comprometido a construir tu gobierno y a qué nivel de madurez opera actualmente. La puntuación de un gobierno en el Objetivo 19 (política de divulgación de vulnerabilidades) revela si la infraestructura nacional de notificación de vulnerabilidades de la que depende Article 14 del CRA está en marcha. Para tus propias obligaciones de divulgación como fabricante bajo el CRA, consulta nuestra plantilla de política de divulgación de vulnerabilidades.
¿Cómo conecta el Objetivo 19 (política de divulgación de vulnerabilidades) con Article 14 del CRA?
Article 14 del CRA exige a los fabricantes notificar las vulnerabilidades explotadas activamente al CSIRT nacional en un plazo de 24 horas desde que tienen conocimiento de ellas. Ese canal de notificación requiere una infraestructura nacional de divulgación de vulnerabilidades en funcionamiento en el extremo receptor. El Objetivo 19 del NCAF 2.0 puntúa si esa infraestructura existe: un proceso de divulgación estructurado, una política nacional para gestionar los informes de vulnerabilidades y protecciones legales para los investigadores de buena fe. Un país en el nivel 1 del Objetivo 19 no tiene ninguno de esos elementos en marcha. Los fabricantes de ese país están notificando en un sistema que aún se está construyendo. Para saber cómo estructurar tu propio procedimiento de divulgación, consulta nuestra guía sobre los requisitos de notificación de vulnerabilidades en 24 horas de ENISA.
¿Es el NCAF lo mismo que la evaluación de cumplimiento de NIS2?
No. El NCAF mide la madurez de la estrategia nacional de ciberseguridad, no el cumplimiento de NIS2 a nivel de entidad. Un gobierno puede obtener una buena puntuación en el NCAF y aun así tener carencias en cómo supervisa a las entidades esenciales bajo NIS2. La conexión está en que varios objetivos del NCAF están vinculados directamente a los requisitos de NIS2: el Objetivo 13 (reforzar la gobernanza nacional de ciberseguridad) cubre los mecanismos de coordinación que exige NIS2, y el Objetivo 14 (establecer medidas de gestión de riesgos de ciberseguridad) se corresponde con el Article 21 de NIS2. El NCAF 2.0 también puede usarse como herramienta en las revisiones voluntarias entre pares del Article 19 de NIS2. Para ver cómo se solapan las obligaciones de NIS2 y el CRA para los fabricantes, consulta la guía sobre el solapamiento entre NIS2 y el CRA.
¿Podemos usar el NCAF 2.0 para comparar nuestra propia seguridad de producto?
No directamente. El NCAF 2.0 está diseñado para que los gobiernos nacionales evalúen su NCSS. El «sujeto» en las preguntas del NCAF es el Estado miembro. Dicho esto, las metas y preguntas de madurez del Objetivo 1 (resiliencia cibernética del sector privado, incluidas las pymes) describen qué espera un programa nacional de ciberseguridad maduro de las entidades del sector privado. Leer las preguntas de los niveles 3 y 4 del Objetivo 1 te indica qué esperará un gobierno en ese nivel de madurez que tu organización demuestre. Para una evaluación directa de tus productos frente a los requisitos del CRA, usa la herramienta de verificación de aplicabilidad del CRA.
¿Cuándo empezarán los gobiernos a usar el NCAF 2.0?
ENISA publicó el NCAF 2.0 en abril de 2026 como herramienta voluntaria que los gobiernos pueden usar desde ahora. No hay una fecha de inicio obligatoria. Grecia, Italia y Luxemburgo pilotaron el primer borrador. Luxemburgo destacó el valor del NCAF para la preparación estructurada de la NCSS y la necesidad de simplificación. Italia señaló que aporta orientación estratégica útil para el próximo ciclo de política y ayuda a priorizar y comparar con el Índice de Ciberseguridad de la UE. Grecia subrayó su alineación con NIS2 y su utilidad para mapear políticas nacionales e identificar carencias. Estas son las observaciones que compartieron los países piloto durante el desarrollo, tal como se recogen en la Sección 1.2.6 del NCAF 2.0.
¿Qué ocurrió con los objetivos de «consideraciones futuras» de 2020?
El NCAF de 2020 enumeró cinco objetivos que fueron estudiados pero excluidos, señalados como posibles adiciones futuras: estrategias de ciberseguridad sectoriales, lucha contra campañas de desinformación, seguridad de tecnologías emergentes (5G, IA, computación cuántica), garantía de la soberanía de datos e incentivos para el sector de seguros de ciberriesgos. Ninguno de esos cinco aparece en el NCAF 2.0 como objetivo independiente. La IA y la criptografía poscuántica aparecen dentro de las metas del Objetivo 4 (fomentar la I+D y la innovación) como ejemplos concretos, pero no como elementos puntuados por separado. La versión 2.0 también elimina el anexo que enumeraba esas consideraciones futuras de 2020.
Próximos pasos
Este artículo es solo para fines informativos y no constituye asesoramiento jurídico. Para orientación específica sobre cumplimiento normativo, consulta con un abogado cualificado.
Artículos Relacionados
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.