ENISA NCAF 2.0: cosa cambia per i fabbricanti CRA con l'aggiornamento di aprile 2026
ENISA ha pubblicato NCAF 2.0 ad aprile 2026, primo aggiornamento in sei anni. Tre nuovi obiettivi, 871 domande di maturità e riferimenti espliciti al CRA cambiano come i governi valutano la prontezza in materia di cibersicurezza.
In questo articolo
ENISA ha pubblicato il National Capabilities Assessment Framework 2.0 (NCAF 2.0) ad aprile 2026. È il primo aggiornamento dal dicembre 2020, quando uscì la versione originale. Il documento è passato da 90 a 126 pagine e include tre obiettivi strategici che non esistevano in precedenza. Cita ora esplicitamente il Cyber Resilience Act nelle domande di maturità. Se i Suoi prodotti rientrano nell'ambito di applicazione del CRA, questo quadro descrive come il Suo governo valuterà la propria prontezza a sostenerlo e a applicarlo.
Sintesi
- Tre nuovi obiettivi senza equivalente nel 2020: valutazione nazionale del rischio (Obiettivo 12), una politica nazionale per la divulgazione coordinata delle vulnerabilità (Obiettivo 19) e la protezione attiva cibernetica (Obiettivo 20)
- 871 domande sulla capacità di cibersicurezza sono ora parte del quadro. Nel 2020 non esisteva nessuna domanda strutturata.
- Il CRA è citato esplicitamente nell'introduzione e nelle domande di maturità per l'Obiettivo 1, che riguarda la resilienza cibernetica del settore privato e le pratiche di igiene informatica per le entità essenziali e importanti
- L'Obiettivo 19 (politica CVD) fissa un obiettivo nazionale: i governi devono stabilire processi strutturati per segnalare le vulnerabilità ai fabbricanti. Questa è l'infrastruttura a monte da cui dipende l'Articolo 14 del CRA.
- I nomi dei livelli di maturità sono cambiati: i cinque livelli si chiamano ora Foundation, Developing, Established, Mature e Advanced. Il Livello 1 presuppone oggi che un paese abbia adottato una NCSS, requisito minimo di NIS2. Nel 2020 il Livello 1 descriveva un paese privo di qualsiasi approccio definito.
- NCAF 2.0 può essere utilizzato per le revisioni tra pari ai sensi dell'Articolo 19 di NIS2. ENISA ha aggiunto questo caso d'uso nella Sezione 1.7 del nuovo documento.
- 14 Stati membri hanno completato il sondaggio che ha orientato l'aggiornamento. Grecia, Italia e Lussemburgo hanno condotto il test sul primo schema.
- L'obiettivo autonomo sul partenariato pubblico-privato è scomparso. La condivisione delle informazioni e l'assistenza reciproca sono ora due obiettivi separati e valutati in modo indipendente.
Fonte: ENISA NCAF 2.0, aprile 2026. Obiettivi e numero di domande: Sezione 3, p. 33. Numero di sondaggi: Sezione 1.2.3, p. 12.
Cosa misura il NCAF e come funziona
Il NCAF è uno strumento di autovalutazione per i governi nazionali. Più precisamente, per i responsabili politici e i funzionari che progettano e attuano la strategia nazionale di cibersicurezza (NCSS) di un paese. È volontario. I risultati di un paese non vengono pubblicati a meno che quel paese non scelga di farlo.
Il quadro misura una sola cosa: il grado di maturità delle capacità di cibersicurezza di uno Stato membro attraverso 20 obiettivi strategici. Per ciascun obiettivo, un paese risponde a una serie di domande e riceve due punteggi. Il primo è un punteggio di livello di maturità, che riflette il livello più alto per cui tutte le domande obbligatorie ricevono risposta positiva. Il secondo è un rapporto di copertura, che conta tutte le risposte positive indipendentemente dal livello. Insieme offrono un quadro sia della profondità che dell'ampiezza.
ENISA ha aggiunto un caso d'uso in NCAF 2.0 che non era presente nella versione 2020: il quadro può ora servire come base per le revisioni volontarie tra pari ai sensi dell'Articolo 19 di NIS2. Gli Stati membri che vogliono confrontarsi tra loro dispongono di uno strumento strutturato per farlo. L'EU Cybersecurity Index (EU-CSI) utilizza già alcune domande NCAF, e ENISA ha indicato nella Sezione 1.7 che l'EU-CSI potrebbe evolvere verso un maggiore allineamento con il NCAF.
Per i fabbricanti, il quadro è un segnale. Un paese che ottiene un punteggio basso sull'Obiettivo 1 (resilienza cibernetica del settore privato), l'Obiettivo 17 (catena di approvvigionamento) o l'Obiettivo 19 (politica CVD) le sta dicendo qualcosa sull'ambiente di applicazione in cui i suoi prodotti opereranno.
I tre obiettivi che non esistevano nel 2020
Consolidare le valutazioni del rischio tra i settori per costruire una visione nazionale delle risorse critiche e delle minacce. Collegato all'Articolo 7 di NIS2 e alla Direttiva sulla resilienza delle entità critiche (CER).
Creare un processo nazionale strutturato per segnalare le vulnerabilità ai fabbricanti e ai fornitori di servizi. Promuovere la chiarezza giuridica per i ricercatori in buona fede, comprese le esenzioni dalla responsabilità civile o penale.
Integrare la protezione attiva cibernetica (ACP) nella NCSS. Promuovere politiche ACP proattive come parte di una strategia di difesa più ampia. L'ACP è definita nel Considerando 57 di NIS2. Promuovere capacità ACP sia interne che, nella migliore delle ipotesi, esterne.
Obiettivo 12: valutazione del rischio a livello nazionale
Nel 2020 la valutazione del rischio era lo sfondo di ogni altro obiettivo. Non era un elemento valutabile di per sé. NCAF 2.0 ne fa un obiettivo con punteggio, con tre traguardi specifici tratti dalla Sezione 2.3.
- Stabilire un meccanismo per consolidare le valutazioni del rischio tra i settori, «garantendo una visione a livello nazionale delle risorse critiche e delle minacce, in linea con i requisiti esistenti di NIS2 e della Direttiva sulla resilienza delle entità critiche (CER)».
- Allineare gli obiettivi della strategia di cibersicurezza alle esigenze di sicurezza nazionale attraverso una valutazione nazionale del rischio.
- Favorire valutazioni del rischio specifiche per settore al fine di affrontare i rischi per i settori critici.
La valutazione nazionale del rischio alimenta la classificazione dei settori in base a NIS2. I settori degli Allegati I e II di NIS2 determinano quali entità sono essenziali o importanti, il che determina la densità di applicazione normativa intorno ai prodotti che tali entità acquistano. Un paese che non ha completato una valutazione nazionale del rischio opera senza un quadro chiaro delle proprie risorse critiche.
Obiettivo 19: politica di divulgazione coordinata delle vulnerabilità
La CVD appariva nel NCAF 2020 una sola volta, come nota a piè di pagina n. 18 nella sezione sulla catena di approvvigionamento. È ora un obiettivo con punteggio a livello principale, con tre sotto-obiettivi tratti dalla Sezione 2.3.
- Stabilire un processo CVD «che delinei un approccio strutturato per segnalare le vulnerabilità ai fabbricanti e ai fornitori di servizi».
- Sviluppare una politica nazionale per favorire la CVD e fornire un quadro di gestione delle segnalazioni di vulnerabilità.
- Promuovere la chiarezza giuridica per la ricerca in buona fede sulle vulnerabilità, «comprese, ove opportuno, esenzioni o salvaguardie dalla responsabilità civile o penale, in linea con i quadri giuridici nazionali».
L'Articolo 14 obbliga i fabbricanti a segnalare al CSIRT nazionale le vulnerabilità attivamente sfruttate entro 24 ore dal momento in cui ne sono venuti a conoscenza. Questo percorso di segnalazione dipende dalla presenza, sul lato ricevente, di un'infrastruttura CVD nazionale funzionante. Un governo che ottiene il Livello 1 o 2 sull'Obiettivo 19 non ha ancora costruito tale infrastruttura. I fabbricanti in quel paese sono chiamati a segnalare in un sistema ancora in costruzione.
Italia come paese pilota: il contributo di ACN e CSIRT Italia
L'Italia è tra i tre paesi che hanno testato il primo schema di NCAF 2.0, insieme a Grecia e Lussemburgo. ACN (Agenzia per la Cybersicurezza Nazionale) e CSIRT Italia hanno partecipato direttamente alla fase pilota. Nella Sezione 1.2.6 del documento, l'Italia ha segnalato che il quadro fornisce un utile contributo strategico per il prossimo ciclo di policy, e ha evidenziato la necessità di scadenze più chiare, criteri di riferimento (benchmark) più precisi e una migliore complementarità con l'EU-CSI. Questi sono i tre punti su cui l'ENISA dovrà lavorare nelle versioni successive per rendere il quadro operativamente utile a livello nazionale.
Obiettivo 20: protezione attiva cibernetica
La protezione attiva cibernetica non compariva da nessuna parte nel NCAF 2020. ENISA definisce l'ACP con riferimento al Considerando 57 di NIS2. La nota 15 della Sezione 2.3 lo indica esplicitamente. Il quadro stabilisce quattro obiettivi.
- Integrare l'ACP nella NCSS.
- Promuovere politiche su misure ACP proattive come parte di una strategia di difesa più ampia.
- Promuovere l'attuazione di capacità ACP interne e, nella migliore delle ipotesi, esterne per prevenire, rilevare, monitorare e attenuare le violazioni della sicurezza delle reti.
- Promuovere l'uso di strumenti e servizi ACP per condividere l'intelligence sulle minacce.
Nessun altro obiettivo usa l'espressione «capacità esterne» né inquadra la condivisione dell'intelligence sulle minacce come obiettivo di politica nazionale a questo livello di specificità. L'Obiettivo 20 riflette il dibattito sulla difesa attiva nella politica UE dopo il 2022, allineato con il Cyber Solidarity Act.
Dove compare il CRA in NCAF 2.0
NCAF 2.0 fa riferimento al CRA in due sezioni e in una banca di domande. Ecco i cinque punti specifici.
Citato insieme a DORA come legge UE fondamentale che ENISA supporta gli Stati membri nell'adozione: «il Cyber Resilience Act (CRA) e il Digital Operational Resilience Act (DORA)».
Elencato come documento normativo UE primario esaminato nella costruzione del quadro aggiornato. Il CRA ha influenzato direttamente la progettazione delle domande di maturità.
Chiede se gli standard obbligatori sono «allineati con i quadri a livello UE (ad esempio il CRA, il regime UE per i servizi cloud)». I governi di Livello 4 devono comparare gli standard del settore privato con il CRA per nome.
Gli obiettivi includono «attuare misure all'avanguardia per affrontare la cibersicurezza della catena di approvvigionamento per prodotti e servizi ICT usati da entità essenziali e importanti». Questo è il cuore dell'ambito di applicazione dei prodotti CRA.
Stabilisce un approccio strutturato per segnalare le vulnerabilità «ai fabbricanti e ai fornitori di servizi». I fabbricanti sono il soggetto che l'Articolo 14 del CRA ritiene responsabile della gestione delle vulnerabilità e della segnalazione entro 24 ore.
Per i fabbricanti, il modello conta quanto qualsiasi singolo riferimento. I governi di Livello 4 sull'Obiettivo 1 sono valutati in base al fatto che i loro requisiti obbligatori di standard siano allineati con il CRA per nome. I governi di Livello 1 o 2 sull'Obiettivo 19 non hanno ancora costruito l'infrastruttura CVD nazionale da cui dipende la segnalazione ai sensi dell'Articolo 14 del CRA.
871 domande: come funziona la valutazione in pratica
Il NCAF 2020 descriveva 17 obiettivi e forniva per ciascuno un elenco di traguardi. I paesi si autovalutavano rispetto a quei traguardi. Non esistevano domande standard, tabelle di punteggio né una banca di domande. NCAF 2.0 aggiunge questa struttura: 871 domande sulla capacità di cibersicurezza su 20 obiettivi e cinque livelli di maturità.
Leggere un identificativo di domanda
Ogni domanda ha un identificativo in tre parti: numero dell'obiettivo, livello di maturità e numero della domanda all'interno di quel livello. La domanda 14.2.5 è la quinta domanda al livello di maturità 2 per l'Obiettivo 14 (stabilire misure di gestione del rischio di cibersicurezza).
Accanto alle 871 domande sulla capacità esistono cinque domande generiche sulla strategia per livello per obiettivo. Sono identiche per tutti i 20 obiettivi: chiedono se l'obiettivo appare nella NCSS, se esiste un piano d'azione e se i progressi vengono monitorati. Le 871 domande sulla capacità sono il livello tecnico specifico per obiettivo sovrapposto a queste domande generiche.
Requisiti obbligatori e non obbligatori
Ogni domanda sulla capacità è contrassegnata con 1 (obbligatoria) o 0 (non obbligatoria):
Devono ricevere tutte risposta positiva prima che un paese possa dichiarare quel livello di maturità. Una singola risposta negativa a una domanda obbligatoria blocca il punteggio al livello precedente, indipendentemente da quante altre domande abbiano ricevuto risposta corretta.
Contribuisce al rapporto di copertura ma non blocca la progressione di livello. Un paese può raggiungere un livello con lacune nelle domande non obbligatorie: queste lacune risulteranno nel rapporto di copertura piuttosto che nel punteggio di livello di maturità.
Come vengono calcolati i punteggi
La valutazione produce due numeri per obiettivo, quindi li fa la media a livello di cluster e su tutti i 20 obiettivi per il punteggio complessivo.
Il livello più alto per cui tutte le domande obbligatorie ricevono risposta positiva. È il livello ufficiale che un paese ha raggiunto per quell'obiettivo. I progressi all'interno di un livello (rispondere ad alcune ma non a tutte le domande obbligatorie) non spostano questo numero.
La proporzione di risposte positive su tutte le domande per un obiettivo, indipendentemente dal livello. Un paese può essere al Livello 3 per la maturità ma mostrare una copertura dell'80% sulle domande di Livello 4: il rapporto di copertura registra questo progresso parziale.
I cinque livelli di maturità
Tutti i cinque livelli sono stati rinominati e le loro descrizioni riscritte. Il cambiamento principale: il Livello 1 nel 2026 presuppone che uno Stato membro abbia già adottato una strategia nazionale di cibersicurezza. Il Livello 1 nel 2020 descriveva un paese privo di qualsiasi approccio definito.
| Livello | Nome 2020 | Nome 2026 | Cosa è cambiato |
|---|---|---|---|
| 1 | Initial / Ad Hoc | Foundation | Presuppone ora l'adozione della NCSS (minimo NIS2). Nel 2020 si partiva da zero. |
| 2 | Early Definition | Developing | Piani d'azione in vigore e parti interessate identificate. |
| 3 | Establishment | Established | Strutture di governance attive, risorse allocate, attuazione coerente dell'obiettivo. |
| 4 | Optimisation | Mature | Legislazione di lungo periodo, finanziamento nazionale dedicato, agenzie nazionali istituite e operative. |
| 5 | Adaptiveness | Advanced | Dinamico e adattivo. Esplicitamente aspirazionale: NCAF 2.0 dichiara che pochissimi paesi raggiungeranno questo livello per tutti gli obiettivi. |
Il Cluster 4: un nuovo raggruppamento normativo che mappa direttamente il CRA
Il NCAF 2020 aveva quattro cluster: governance e standard di cibersicurezza, sviluppo delle capacità e sensibilizzazione, legale e normativo, cooperazione. NCAF 2.0 mantiene quattro cluster ma li rinomina e rimescola tutti. Il cambiamento strutturale più significativo per i fabbricanti CRA è la creazione del Cluster 4.
Cluster 4: quadri normativi e di policy. Cinque obiettivi che nel 2020 non formavano un raggruppamento normativo coerente:
Bilanciare sicurezza e privacy. Trasferito dal vecchio cluster «legale e normativo». Ora è uno strumento normativo nominato accanto alla catena di approvvigionamento e alla CVD.
Migliorare la cibersicurezza della catena di approvvigionamento. Nel 2020 era affiancato a privacy e segnalazione degli incidenti. Ora è ancorato nel proprio cluster normativo con ambito esplicito NIS2 e appalti.
Proteggere i settori critici. Ampliato dalla terminologia NIS1 (OES/DSP) all'ambito NIS2, che copre gli Allegati I e II, i cavi sottomarini e il nucleo pubblico di internet.
Stabilire una politica CVD. Una nota a piè di pagina nel 2020. Ora un obiettivo principale con punteggio e tre sotto-obiettivi: l'infrastruttura nazionale a monte da cui dipende la segnalazione ai sensi dell'Articolo 14 del CRA.
Promuovere la protezione attiva cibernetica. Non esisteva nel 2020. Riflette la politica di difesa attiva post-2022 allineata con il Considerando 57 di NIS2 e il Cyber Solidarity Act.
I punteggi di un governo nel Cluster 4 indicano quali di questi strumenti sono in vigore. Sono le cinque leve di policy che i governi useranno per attuare e applicare i requisiti CRA a livello nazionale.
Scarichi NCAF 2.0 dalla pagina delle pubblicazioni ENISA e verifichi quali dei 20 obiettivi copre la NCSS attuale del Suo paese. Un paese la cui NCSS non include un obiettivo otterrà per default zero su quell'obiettivo. Questo le dice esattamente quali strumenti di policy non sono ancora in vigore nel Suo mercato.
NCAF 2.0 include un avviso esplicito nella Sezione 2.1: «Il Livello 5 è considerato estremamente elevato e pochissimi paesi, se non nessuno, sono attesi al raggiungimento di questo livello per tutti gli obiettivi». La versione 2020 non conteneva questa avvertenza. È una scelta deliberata per rendere il quadro utile come strumento di monitoraggio del progresso in un intervallo realistico.
Domande frequenti
NCAF 2.0 crea nuovi obblighi per i fabbricanti di prodotti?
No. NCAF 2.0 è uno strumento di autovalutazione per i governi nazionali, non un regolamento per i fabbricanti. Non crea obblighi giuridici. Indica però quali capacità il Suo governo si è impegnato a costruire e a quale livello di maturità opera attualmente. Il punteggio di un governo sull'Obiettivo 19 (politica CVD) le dice se l'infrastruttura nazionale di segnalazione delle vulnerabilità da cui dipende l'Articolo 14 del CRA è in vigore. Per gli obblighi CVD del fabbricante ai sensi del CRA, consulti il nostro modello di politica CVD.
Come si collega l'Obiettivo 19 (politica CVD) all'Articolo 14 del CRA?
L'Articolo 14 del CRA obbliga i fabbricanti a segnalare al CSIRT nazionale le vulnerabilità attivamente sfruttate entro 24 ore dal momento in cui ne sono venuti a conoscenza. Tale percorso di segnalazione richiede un'infrastruttura CVD nazionale funzionante sul lato ricevente. L'Obiettivo 19 in NCAF 2.0 valuta se tale infrastruttura esiste: un processo CVD strutturato, una politica nazionale per la gestione delle segnalazioni di vulnerabilità e protezioni legali per i ricercatori in buona fede. Un paese di Livello 1 sull'Obiettivo 19 non dispone di nulla di tutto ciò. I fabbricanti in quel paese inviano segnalazioni in un sistema ancora in costruzione. Per strutturare la propria procedura CVD, consulti la nostra guida sui requisiti di segnalazione delle vulnerabilità entro 24 ore di ENISA.
Il NCAF equivale alla valutazione della conformità NIS2?
No. Il NCAF misura la maturità della strategia nazionale di cibersicurezza, non la conformità NIS2 a livello di entità. Un governo può ottenere buoni risultati nel NCAF e avere comunque lacune nel modo in cui supervisiona le entità essenziali ai sensi di NIS2. Il collegamento è che diversi obiettivi NCAF sono direttamente legati ai requisiti NIS2: l'Obiettivo 13 (rafforzare la governance nazionale della cibersicurezza) copre i meccanismi di coordinamento richiesti da NIS2, e l'Obiettivo 14 (stabilire misure di gestione del rischio di cibersicurezza) mappa l'Articolo 21 di NIS2. NCAF 2.0 può essere usato anche come strumento nelle revisioni volontarie tra pari ai sensi dell'Articolo 19 di NIS2 tra Stati membri. Per il modo in cui NIS2 e obblighi CRA si sovrappongono per i fabbricanti, consulti la guida alle sovrapposizioni tra NIS2 e CRA.
Si può usare NCAF 2.0 per confrontare la sicurezza dei propri prodotti?
Non direttamente. NCAF 2.0 è progettato per i governi nazionali che valutano la propria NCSS. Il soggetto nelle domande NCAF è lo Stato membro. Gli obiettivi e le domande di maturità per l'Obiettivo 1 (resilienza cibernetica del settore privato, comprese le PMI) descrivono ciò che un programma nazionale di cibersicurezza maturo si attende dalle entità del settore privato. Leggere le domande di Livello 3 e Livello 4 per l'Obiettivo 1 indica cosa un governo a quel livello di maturità si aspetterà che la Sua organizzazione dimostri. Per una valutazione diretta dei propri prodotti rispetto ai requisiti CRA, utilizzi il controllo di applicabilità CRA.
Quando i governi inizieranno a usare NCAF 2.0?
ENISA ha pubblicato NCAF 2.0 ad aprile 2026 come strumento volontario che i governi possono usare da subito. Non esiste una data di avvio obbligatoria. Grecia, Italia e Lussemburgo hanno condotto il test sul primo schema. Il Lussemburgo ha evidenziato il valore del NCAF per la preparazione strutturata della NCSS e la necessità di semplificazione. L'Italia ha rilevato che fornisce un utile contributo strategico per il prossimo ciclo di policy, aiuta a definire le priorità e offre parametri di riferimento rispetto all'EU Cybersecurity Index. La Grecia ha sottolineato l'allineamento con NIS2 e l'utilità nella mappatura delle politiche nazionali e nell'identificazione delle lacune. Queste sono le osservazioni che i paesi pilota hanno condiviso durante lo sviluppo, come riportato nella Sezione 1.2.6 di NCAF 2.0.
Cosa è successo agli obiettivi «futuri» del 2020?
Il NCAF 2020 elencava cinque obiettivi studiati ma esclusi, segnalati come potenziali aggiunte future: strategie di cibersicurezza specifiche per settore, contrasto alle campagne di disinformazione, sicurezza delle tecnologie all'avanguardia (5G, AI, informatica quantistica), garanzia della sovranità dei dati e incentivi per il settore delle assicurazioni cyber. Nessuno di questi cinque compare in NCAF 2.0 come obiettivo autonomo. AI e crittografia post-quantistica compaiono all'interno degli obiettivi per l'Obiettivo 4 (promuovere R&S e innovazione) come esempi nominati, ma non come elementi valutati separatamente. La versione 2.0 rimuove anche l'allegato che elencava tali considerazioni future del 2020.
Prossimi passi
Questo articolo ha scopo puramente informativo e non costituisce consulenza legale. Per una guida specifica sulla conformità, si rivolga a un consulente legale qualificato.
Articoli correlati
Il CRA si applica al tuo prodotto?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.