ENISA NCAF 2.0 : ce que la mise à jour d'avril 2026 change pour les fabricants CRA
ENISA a publié le NCAF 2.0 en avril 2026. Trois nouveaux objectifs, 871 questions de maturité et des références explicites au CRA modifient la manière dont les gouvernements évaluent leur cybersécurité.
Dans cet article
- Résumé
- Ce que le NCAF évalue et comment
- Les trois objectifs qui n'existaient pas en 2020
- Où le CRA apparaît dans le NCAF 2.0
- 871 questions : comment fonctionne l'évaluation en pratique
- Le cluster 4 : un nouveau regroupement réglementaire qui s'aligne directement sur le CRA
- Questions fréquentes
- Prochaines étapes
ENISA a publié le National Capabilities Assessment Framework 2.0 (NCAF 2.0) en avril 2026. C'est la première mise à jour depuis la version originale de décembre 2020. Le document est passé de 90 à 126 pages et intègre trois objectifs stratégiques qui n'existaient pas auparavant. Il cite désormais explicitement le Règlement sur la cyberrésilience dans ses questions de maturité. Si vos produits entrent dans le champ d'application du CRA, ce cadre décrit comment votre gouvernement évaluera sa propre capacité à le soutenir et à l'appliquer.
Résumé
- Trois nouveaux objectifs sans équivalent en 2020 : l'évaluation nationale des risques (Objectif 12), une politique nationale de divulgation coordonnée des vulnérabilités (Objectif 19) et la protection cyber active (Objectif 20)
- 871 questions sur les capacités en matière de cybersécurité font désormais partie du cadre. Aucune question structurée n'existait en 2020.
- Le CRA est cité explicitement dans l'introduction et dans les questions de maturité de l'Objectif 1, qui porte sur la résilience cyber du secteur privé et l'hygiène numérique pour les entités essentielles et importantes
- L'Objectif 19 (politique CVD) fixe un objectif national pour que les gouvernements mettent en place des processus structurés de signalement des vulnérabilités aux fabricants. C'est l'infrastructure en amont dont dépend l'Article 14 du CRA.
- Les noms des niveaux de maturité ont changé : les cinq niveaux s'appellent désormais Fondation, En développement, Établi, Mature et Avancé. Le niveau 1 suppose désormais qu'un pays a adopté une NCSS, ce qui est une exigence NIS2. En 2020, le niveau 1 décrivait un pays sans aucune approche définie.
- Le NCAF 2.0 peut être utilisé pour les examens entre pairs au titre de l'Article 19 de NIS2. ENISA a ajouté ce cas d'usage à la Section 1.7 du nouveau document.
- 14 États membres ont répondu à l'enquête qui a façonné la mise à jour. La Grèce, l'Italie et le Luxembourg ont piloté le premier projet.
- L'objectif autonome sur les partenariats public-privé a disparu. Le partage d'informations et l'assistance mutuelle constituent désormais deux objectifs distincts évalués séparément.
Source : ENISA NCAF 2.0, avril 2026. Nombre d'objectifs et de questions : Section 3, p. 33. Nombre d'États interrogés : Section 1.2.3, p. 12.
Ce que le NCAF évalue et comment
Le NCAF est un outil d'auto-évaluation pour les gouvernements nationaux. Plus précisément, pour les décideurs et les responsables qui conçoivent et mettent en œuvre la stratégie nationale de cybersécurité (NCSS) de leur pays. Il est volontaire. Les résultats d'un pays ne sont pas publiés sauf si ce pays choisit de le faire.
Le cadre mesure une chose : la maturité des capacités en matière de cybersécurité d'un État membre, sur 20 objectifs stratégiques. Pour chaque objectif, un pays répond à un ensemble de questions et reçoit deux scores. Le premier est un score de niveau de maturité, qui reflète le niveau le plus élevé où toutes les questions obligatoires reçoivent une réponse positive. Le second est un taux de couverture, qui comptabilise toutes les réponses positives quel que soit le niveau. Ensemble, ils donnent une image de la profondeur et de l'étendue des capacités.
ENISA a ajouté dans le NCAF 2.0 un cas d'usage absent de la version 2020 : le cadre peut désormais servir de base aux examens entre pairs volontaires prévus par l'Article 19 de NIS2. Les États membres qui souhaitent se comparer disposent d'un outil structuré pour le faire. L'EU Cybersecurity Index (EU-CSI) utilise déjà certaines questions du NCAF, et ENISA a indiqué à la Section 1.7 que l'EU-CSI pourrait évoluer vers une meilleure alignement avec le NCAF.
Pour les fabricants, le cadre est un signal. Un pays qui obtient un score faible à l'Objectif 1 (résilience cyber du secteur privé), à l'Objectif 17 (chaîne d'approvisionnement) ou à l'Objectif 19 (politique CVD) vous dit quelque chose sur l'environnement d'application dans lequel vos produits vont opérer.
Les trois objectifs qui n'existaient pas en 2020
Consolider les évaluations des risques sectoriels pour construire une vue nationale des actifs critiques et des menaces. Lié à l'Article 7 de NIS2 et à la directive sur la résilience des entités critiques (CER).
Mettre en place un processus national structuré de signalement des vulnérabilités aux fabricants et prestataires de services. Promouvoir la clarté juridique pour les chercheurs de bonne foi, notamment des exemptions de responsabilité civile ou pénale.
Intégrer la protection cyber active (ACP) dans la NCSS. Promouvoir des politiques ACP proactives dans le cadre d'une stratégie de défense plus large. L'ACP est définie au Considérant 57 de NIS2. Promouvoir des capacités ACP internes et, dans le meilleur des cas, externes.
Objectif 12 : l'évaluation nationale des risques
En 2020, l'évaluation des risques constituait le contexte de fond de tous les autres objectifs. Ce n'était pas un élément évaluable en tant que tel. Le NCAF 2.0 en fait un objectif noté avec trois buts spécifiques issus de la Section 2.3.
- Établir un mécanisme de consolidation des évaluations des risques sectoriels, « garantissant une vue nationale des actifs critiques et des menaces, conformément aux exigences existantes de NIS2 et de la directive sur la résilience des entités critiques (CER) ».
- Aligner les objectifs de la stratégie de cybersécurité sur les besoins de sécurité nationale via une évaluation nationale complète des risques.
- Faciliter des évaluations des risques sectoriels pour traiter les risques pesant sur les secteurs critiques.
L'évaluation nationale des risques alimente la classification sectorielle au titre de NIS2. Les secteurs des Annexes I et II de NIS2 déterminent quelles entités sont essentielles ou importantes, ce qui détermine la densité d'application autour des produits achetés par ces entités. Un pays qui n'a pas réalisé d'évaluation nationale des risques opère sans une vision claire de ses propres actifs critiques.
Objectif 19 : politique de divulgation coordonnée des vulnérabilités
La CVD apparaissait dans le NCAF 2020 une seule fois, en note de bas de page 18 dans la section sur la chaîne d'approvisionnement. C'est désormais un objectif noté à part entière avec trois sous-buts issus de la Section 2.3.
- Établir un processus CVD « décrivant une approche structurée pour le signalement des vulnérabilités aux fabricants et prestataires de services ».
- Développer une politique nationale pour faciliter la CVD et fournir un cadre de gestion des signalements de vulnérabilités.
- Promouvoir la clarté juridique pour la recherche de bonne foi sur les vulnérabilités, « notamment, le cas échéant, des exemptions ou des sauvegardes à l'égard de la responsabilité civile ou pénale, conformément aux cadres juridiques nationaux ».
L'Article 14 oblige les fabricants à signaler les vulnérabilités activement exploitées au CSIRT national dans les 24 heures suivant la prise de connaissance. Ce chemin de signalement dépend de l'existence d'une infrastructure CVD nationale fonctionnelle du côté récepteur. Un gouvernement qui obtient le niveau 1 ou 2 à l'Objectif 19 n'a pas encore construit cette infrastructure. Les fabricants de ce pays sont invités à signaler dans un système encore en construction. La France est en position favorable sur ce point : le CERT-FR, opéré par l'ANSSI, fait partie des processus CVD les plus développés de l'UE. Il offre aux fabricants français un canal de signalement opérationnel bien avant que d'autres États membres aient atteint un niveau de maturité équivalent.
Objectif 20 : protection cyber active
La protection cyber active n'apparaissait nulle part dans le NCAF 2020. ENISA définit l'ACP par référence au Considérant 57 de NIS2. La note de bas de page 15 de la Section 2.3 y renvoie explicitement. Le cadre fixe quatre buts.
- Intégrer l'ACP dans la NCSS.
- Promouvoir des politiques sur les mesures ACP proactives dans le cadre d'une stratégie de défense plus large.
- Promouvoir la mise en œuvre de capacités ACP internes et, dans le meilleur des cas, externes pour prévenir, détecter, surveiller et atténuer les violations de la sécurité des réseaux.
- Promouvoir l'utilisation d'outils et de services ACP pour le partage de renseignements sur les menaces.
Aucun autre objectif n'utilise le terme « capacités externes » ni ne formule le partage de renseignements sur les menaces comme une cible de politique nationale à ce niveau de précision. L'Objectif 20 reflète le débat post-2022 sur la défense active dans la politique de l'UE, aligné sur le Cyber Solidarity Act.
Où le CRA apparaît dans le NCAF 2.0
Le NCAF 2.0 fait référence au CRA dans deux sections et une banque de questions. Voici les cinq emplacements.
Cité aux côtés de DORA comme loi UE clé qu'ENISA aide les États membres à adopter : « le Cyber Resilience Act (CRA) et le Digital Operational Resilience Act (DORA) ».
Listé comme document réglementaire UE primaire examiné lors de la construction du cadre mis à jour. Le CRA a directement influencé la conception des questions de maturité.
Demande si les normes obligatoires sont « alignées sur les cadres au niveau UE (ex. le CRA, le schéma UE de services cloud) ». Les gouvernements de niveau 4 doivent comparer les normes du secteur privé avec le CRA par son nom.
Les buts incluent « mettre en œuvre des mesures à l'état de l'art pour traiter la cybersécurité de la chaîne d'approvisionnement pour les produits et services TIC utilisés par les entités essentielles et importantes ». C'est le cœur du champ d'application des produits CRA.
Fixe une approche structurée pour le signalement des vulnérabilités « aux fabricants et prestataires de services ». Les fabricants sont la partie que l'Article 14 du CRA tient pour responsable du traitement des vulnérabilités et du signalement sous 24 heures.
Pour les fabricants, le schéma compte autant que toute référence individuelle. Les gouvernements de niveau 4 à l'Objectif 1 sont notés sur l'alignement de leurs exigences normatives avec le CRA par son nom. Les gouvernements de niveau 1 ou 2 à l'Objectif 19 n'ont pas encore construit l'infrastructure CVD nationale dont dépend le signalement au titre de l'Article 14 du CRA.
871 questions : comment fonctionne l'évaluation en pratique
Le NCAF 2020 décrivait 17 objectifs et associait à chacun une liste de buts. Les pays s'auto-évaluaient par rapport à ces buts. Il n'existait ni questions standardisées, ni tableaux de notation, ni banque de questions. Le NCAF 2.0 ajoute cette structure : 871 questions sur les capacités en matière de cybersécurité, réparties sur 20 objectifs et cinq niveaux de maturité.
Lecture d'un identifiant de question
Chaque question possède un identifiant en trois parties : le numéro d'objectif, le niveau de maturité et le numéro de question dans ce niveau. La question 14.2.5 est la cinquième question au niveau de maturité 2 pour l'Objectif 14 (établir des mesures de gestion des risques en matière de cybersécurité).
En plus des 871 questions sur les capacités, il existe cinq questions génériques par niveau par objectif. Ces questions sont identiques pour les 20 objectifs : elles demandent si l'objectif figure dans la NCSS, si un plan d'action existe et si les progrès sont suivis. Les 871 questions sur les capacités constituent la couche technique spécifique à l'objectif, au-dessus de ces questions génériques.
Obligatoire et non obligatoire
Chaque question sur les capacités est taguée 1 (obligatoire) ou 0 (non obligatoire) :
Toutes les questions obligatoires doivent recevoir une réponse positive avant qu'un pays puisse prétendre à ce niveau de maturité. Une seule réponse négative à une question obligatoire plafonne le score au niveau précédent, quel que soit le nombre de questions correctement répondues par ailleurs.
Comptent dans le taux de couverture mais ne bloquent pas la progression de niveau. Un pays peut atteindre un niveau avec des lacunes non obligatoires ; celles-ci apparaissent dans le taux de couverture plutôt que dans le score de niveau de maturité.
Comment les scores sont calculés
La notation produit deux chiffres par objectif, puis les fait la moyenne au niveau du cluster et sur l'ensemble des 20 objectifs pour le score global.
Le niveau le plus élevé où toutes les questions obligatoires reçoivent une réponse positive. C'est le niveau officiel atteint par le pays pour cet objectif. La progression au sein d'un niveau (répondre à certaines questions obligatoires mais pas toutes) ne fait pas bouger ce chiffre.
La proportion de réponses positives sur l'ensemble des questions d'un objectif, quel que soit le niveau. Un pays peut être au niveau 3 en maturité mais afficher 80 % de couverture sur les questions de niveau 4 ; le taux de couverture capture cette progression partielle.
Les cinq niveaux de maturité
Les cinq niveaux ont été renommés et leurs descriptions réécrites. Le changement clé : le niveau 1 en 2026 suppose qu'un État membre a déjà adopté une stratégie nationale de cybersécurité. En 2020, le niveau 1 décrivait un pays sans aucune approche définie.
| Niveau | Nom 2020 | Nom 2026 | Ce qui a changé |
|---|---|---|---|
| 1 | Initial / Ad Hoc | Fondation | Suppose désormais que la NCSS est adoptée (minimum NIS2). La version 2020 partait de zéro. |
| 2 | Définition initiale | En développement | Plans d'action en place et parties prenantes identifiées. |
| 3 | Établissement | Établi | Structures de gouvernance en place, ressources allouées, mise en œuvre cohérente de l'objectif. |
| 4 | Optimisation | Mature | Législation à long terme, financement national dédié, agences nationales établies et opérationnelles. |
| 5 | Adaptabilité | Avancé | Dynamique et adaptatif. Explicitement aspirationnel : le NCAF 2.0 indique que très peu de pays devraient atteindre ce niveau pour tous les objectifs. |
Le cluster 4 : un nouveau regroupement réglementaire qui s'aligne directement sur le CRA
Le NCAF 2020 comptait quatre clusters : gouvernance et normes de cybersécurité, renforcement des capacités et sensibilisation, cadre juridique et réglementaire, et coopération. Le NCAF 2.0 conserve quatre clusters mais les renomme et les restructure entièrement. Le changement structurel le plus important pour les fabricants CRA est la création du cluster 4.
Cluster 4 : cadres réglementaires et politiques. Cinq objectifs qui ne formaient pas de regroupement réglementaire cohérent en 2020 :
Équilibrer sécurité et vie privée. Déplacé de l'ancien cluster « cadre juridique et réglementaire ». Désormais un instrument réglementaire nommé aux côtés de la chaîne d'approvisionnement et de la CVD.
Améliorer la cybersécurité de la chaîne d'approvisionnement. En 2020, il côtoyait la vie privée et le signalement d'incidents. Il est désormais ancré dans son propre cluster réglementaire avec un périmètre NIS2 et marchés publics explicite.
Protéger les secteurs critiques. Élargi de la terminologie NIS1 (OES/DSP) au périmètre NIS2 couvrant les Annexes I et II, les câbles sous-marins et le cœur public d'internet.
Établir une politique CVD. Une note de bas de page en 2020. Désormais un objectif noté à part entière avec trois sous-buts : l'infrastructure nationale en amont dont dépend le signalement au titre de l'Article 14 du CRA.
Promouvoir la protection cyber active. N'existait pas en 2020. Reflète la politique de défense active post-2022 alignée sur le Considérant 57 de NIS2 et le Cyber Solidarity Act.
Les scores d'un gouvernement sur le cluster 4 indiquent lesquels de ces instruments sont en place. Ce sont les cinq leviers politiques que les gouvernements utiliseront pour mettre en œuvre et appliquer les exigences CRA au niveau national.
Téléchargez le NCAF 2.0 depuis la page des publications ENISA et vérifiez lesquels des 20 objectifs la NCSS actuelle de votre pays couvre. Un pays dont la NCSS n'inclut pas un objectif obtiendra un score de zéro à cet objectif par défaut. Cela vous indique exactement quels instruments politiques ne sont pas encore en place sur votre marché.
Le NCAF 2.0 inclut un avertissement explicite à la Section 2.1 : « Le niveau 5 est considéré comme extrêmement élevé et très peu de pays, si tant est qu'il en existe, devraient atteindre ce niveau pour tous les objectifs. » La version 2020 ne comportait pas une telle réserve. C'est un choix de cadrage délibéré pour que le cadre soit utile comme outil de suivi des progrès sur une plage réaliste.
Questions fréquentes
Le NCAF 2.0 crée-t-il de nouvelles obligations pour les fabricants de produits ?
Non. Le NCAF 2.0 est un outil d'auto-évaluation pour les gouvernements nationaux, pas un règlement pour les fabricants. Il ne crée pas d'obligations légales. Mais il vous indique quelles capacités votre gouvernement s'est engagé à construire et à quel niveau de maturité il opère actuellement. Le score d'un gouvernement à l'Objectif 19 (politique CVD) vous dit si l'infrastructure nationale de signalement des vulnérabilités dont dépend l'Article 14 du CRA est en place. Pour vos propres obligations CVD en tant que fabricant au titre du CRA, consultez notre modèle de politique CVD.
Comment l'Objectif 19 (politique CVD) est-il lié à l'Article 14 du CRA ?
L'Article 14 du CRA oblige les fabricants à signaler les vulnérabilités activement exploitées au CSIRT national dans les 24 heures suivant la prise de connaissance. Ce chemin de signalement nécessite une infrastructure CVD nationale fonctionnelle du côté récepteur. L'Objectif 19 du NCAF 2.0 note si cette infrastructure existe : un processus CVD structuré, une politique nationale de gestion des signalements de vulnérabilités et des protections juridiques pour les chercheurs de bonne foi. Un pays de niveau 1 à l'Objectif 19 n'a aucun de ces éléments en place. Les fabricants de ce pays signalent dans un système encore en construction. Pour structurer votre propre procédure CVD, consultez notre guide sur les exigences ENISA de signalement des vulnérabilités sous 24 heures.
Le NCAF est-il identique à l'évaluation de la conformité NIS2 ?
Non. Le NCAF mesure la maturité de la stratégie nationale de cybersécurité, pas la conformité NIS2 des entités. Un gouvernement peut obtenir un bon score au NCAF et avoir encore des lacunes dans la supervision des entités essentielles au titre de NIS2. Le lien est que plusieurs objectifs du NCAF sont directement liés aux exigences de NIS2 : l'Objectif 13 (renforcer la gouvernance nationale en cybersécurité) couvre les mécanismes de coordination requis par NIS2, et l'Objectif 14 (établir des mesures de gestion des risques en matière de cybersécurité) correspond à l'Article 21 de NIS2. Le NCAF 2.0 peut aussi être utilisé dans les examens entre pairs volontaires de l'Article 19 de NIS2. Pour l'intersection des obligations NIS2 et CRA pour les fabricants, consultez le guide sur le chevauchement NIS2 et CRA.
Peut-on utiliser le NCAF 2.0 pour évaluer la sécurité de nos propres produits ?
Pas directement. Le NCAF 2.0 est conçu pour les gouvernements nationaux qui évaluent leur NCSS. Le « vous » dans les questions du NCAF désigne l'État membre. Cela dit, les buts et questions de maturité de l'Objectif 1 (résilience cyber du secteur privé, y compris les PME) décrivent ce qu'un programme national de cybersécurité mature attend des entités du secteur privé. Lire les questions de niveau 3 et 4 de l'Objectif 1 vous indique ce qu'un gouvernement à ce niveau de maturité attendra de votre organisation. Pour une évaluation directe de vos produits par rapport aux exigences CRA, utilisez le vérificateur d'applicabilité CRA.
Quand les gouvernements commenceront-ils à utiliser le NCAF 2.0 ?
ENISA a publié le NCAF 2.0 en avril 2026 comme outil volontaire que les gouvernements peuvent utiliser dès maintenant. Il n'y a pas de date de début obligatoire. La Grèce, l'Italie et le Luxembourg ont piloté le premier projet. Le Luxembourg a souligné la valeur du NCAF pour une préparation structurée de la NCSS et le besoin de simplification. L'Italie a noté qu'il fournit des apports stratégiques utiles pour le prochain cycle de politiques et aide à prioriser et comparer avec l'EU Cybersecurity Index. La Grèce a souligné son alignement avec NIS2 et son utilité pour cartographier les politiques nationales et identifier les lacunes. Ce sont les observations que les pays pilotes ont partagées lors du développement, telles qu'enregistrées à la Section 1.2.6 du NCAF 2.0.
Qu'est-il advenu des objectifs « à étudier » de 2020 ?
Le NCAF 2020 listait cinq objectifs étudiés mais exclus, signalés comme ajouts potentiels futurs : des stratégies de cybersécurité sectorielles, la lutte contre les campagnes de désinformation, la sécurisation des technologies de pointe (5G, IA, informatique quantique), la garantie de la souveraineté des données et des incitations pour le secteur de la cyber-assurance. Aucun de ces cinq thèmes n'apparaît dans le NCAF 2.0 comme objectif autonome. L'IA et la cryptographie post-quantique apparaissent dans les buts de l'Objectif 4 (favoriser la R&D et l'innovation) comme exemples nommés, mais pas comme éléments notés séparément. La version 2.0 supprime également l'annexe qui listait ces pistes 2020 pour l'avenir.
Prochaines étapes
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des orientations spécifiques en matière de conformité, consultez un conseil juridique qualifié.
Articles connexes
Le CRA s'applique-t-il à votre produit ?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du Cyber Resilience Act de l'UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.