ENISA NCAF 2.0: wat de update van april 2026 betekent voor CRA-fabrikanten
ENISA publiceerde NCAF 2.0 in april 2026: drie nieuwe doelstellingen, 871 volwassenheidsvragen en expliciete CRA-verwijzingen veranderen hoe overheden gereedheid beoordelen.
In dit artikel
ENISA publiceerde het National Capabilities Assessment Framework 2.0 (NCAF 2.0) in april 2026. Het is de eerste update sinds het oorspronkelijke raamwerk uitkwam in december 2020. Het document groeide van 90 naar 126 pagina's en voegde drie strategische doelstellingen toe die er voorheen niet waren. Het Cyberweerbaarheidsverordening wordt nu expliciet benoemd in de volwassenheidsvragen. Als uw producten binnen de reikwijdte van de CRA vallen, beschrijft dit raamwerk hoe uw overheid haar eigen gereedheid beoordeelt om de CRA te ondersteunen en te handhaven.
Samenvatting
- Drie nieuwe doelstellingen zonder equivalent in 2020: nationale risicoanalyse (Doelstelling 12), een gecoördineerd beleid voor kwetsbaarheidsopenbaarmaking (Doelstelling 19) en actieve cyberbescherming (Doelstelling 20)
- 871 cyberveiligheidscapaciteitsvragen maken nu deel uit van het raamwerk. In 2020 bestonden er geen gestructureerde vragen.
- De CRA wordt expliciet benoemd in de inleiding en in de volwassenheidsvragen voor Doelstelling 1, die betrekking heeft op cyberweerbaarheid en cyberhygiëne van de private sector voor essentiële en belangrijke entiteiten
- Doelstelling 19 (CVD-beleid) stelt een nationaal doel voor overheden om gestructureerde processen in te richten voor het melden van kwetsbaarheden aan fabrikanten. Dat is de bovenstrooms liggende infrastructuur waarvan CRA Artikel 14 afhankelijk is.
- De namen van de volwassenheidsniveaus zijn gewijzigd: de vijf niveaus heten nu Foundation, Developing, Established, Mature en Advanced. Niveau 1 gaat er nu van uit dat een land een nationale cyberveiligheidsstrategie heeft aangenomen, wat een NIS2-vereiste is. In 2020 beschreef Niveau 1 een land zonder enige vastgestelde aanpak.
- NCAF 2.0 kan worden gebruikt voor vrijwillige NIS2 Artikel 19 peer reviews. ENISA voegde dit toepassingsscenario toe in Paragraaf 1.7 van het nieuwe document.
- 14 lidstaten voltooiden de enquête die de basis vormde voor de update. Griekenland, Italië en Luxemburg testten het eerste concept.
- De afzonderlijke doelstelling voor publiek-private samenwerking is vervallen. Informatie-uitwisseling en wederzijdse bijstand zijn nu twee afzonderlijk gescoorde doelstellingen.
Bron: ENISA NCAF 2.0, april 2026. Doelstellingen en aantal vragen: Paragraaf 3, p. 33. Aantal deelnemers enquête: Paragraaf 1.2.3, p. 12.
Wat NCAF is en wat het beoordeelt
NCAF is een zelfevaluatie-instrument voor nationale overheden. Specifiek voor de beleidsmakers en ambtenaren die de nationale cyberveiligheidsstrategie (NCSS) van een land ontwerpen en uitvoeren. Het is vrijwillig. De resultaten van een land worden niet gepubliceerd tenzij dat land zelf kiest dit te doen.
Het raamwerk meet één ding: hoe volwassen de cyberveiligheidscapaciteiten van een lidstaat zijn op 20 strategische doelstellingen. Voor elke doelstelling beantwoordt een land een reeks vragen en ontvangt het twee scores. De eerste is een volwassenheidsniveauscore, die het hoogste niveau weergeeft waarop alle vereiste vragen positief zijn beantwoord. De tweede is een dekkingsratio, die alle positieve antwoorden telt ongeacht het niveau. Samen geven ze een beeld van zowel diepte als breedte.
ENISA voegde één toepassingsscenario toe aan NCAF 2.0 dat niet in de versie van 2020 stond: het raamwerk kan nu dienen als basis voor vrijwillige NIS2 Artikel 19 peer reviews. Lidstaten die zich willen vergelijken hebben nu een gestructureerd instrument. De EU Cybersecurity Index (EU-CSI) maakt al gebruik van een aantal NCAF-vragen, en ENISA merkte in Paragraaf 1.7 op dat de EU-CSI zich kan ontwikkelen naar nauwere afstemming met NCAF.
Voor fabrikanten is het raamwerk een signaal. Een land dat laag scoort op Doelstelling 1 (cyberweerbaarheid private sector), Doelstelling 17 (toeleveringsketen) of Doelstelling 19 (CVD-beleid) zegt u iets over de handhavingsomgeving waarin uw producten worden ingezet.
De drie doelstellingen die in 2020 niet bestonden
Risicoanalyses over sectoren heen consolideren om een nationaal beeld van kritieke activa en dreigingen op te bouwen. Gekoppeld aan NIS2 Artikel 7 en de richtlijn veerkracht van kritieke entiteiten (CER).
Een gestructureerd nationaal proces inrichten voor het melden van kwetsbaarheden aan fabrikanten en dienstverleners. Juridische duidelijkheid bevorderen voor onderzoekers te goeder trouw, inclusief vrijstellingen van civiele of strafrechtelijke aansprakelijkheid.
ACP integreren in de NCSS. Proactief ACP-beleid bevorderen als onderdeel van een bredere verdedigingsstrategie. ACP is gedefinieerd in NIS2 Overweging 57. Zowel interne als, in het beste geval, externe ACP-capaciteiten bevorderen.
Doelstelling 12: nationale risicoanalyse
In 2020 was risicoanalyse de achtergrondcontext voor elke andere doelstelling. Het was geen afzonderlijk te beoordelen onderdeel. NCAF 2.0 maakt er een gescoorde doelstelling van met drie specifieke subdoelen uit Paragraaf 2.3.
- Een mechanisme instellen om risicoanalyses over sectoren heen te consolideren, "waardoor een nationaal beeld van kritieke activa en dreigingen ontstaat, in lijn met de bestaande vereisten onder NIS2 en de richtlijn veerkracht van kritieke entiteiten (CER)."
- De doelstellingen van de cyberveiligheidsstrategie afstemmen op nationale veiligheidsbehoeften via een integrale nationale risicoanalyse.
- Sectorspecifieke risicoanalyses faciliteren om de risico's voor kritieke sectoren aan te pakken.
De nationale risicoanalyse voedt de sectorclassificatie onder NIS2. De sectoren in NIS2 Bijlagen I en II bepalen welke entiteiten essentieel of belangrijk zijn, wat vervolgens bepaalt hoe intensief de handhaving is rondom de producten die die entiteiten inkopen. Een land dat geen nationale risicoanalyse heeft afgerond, werkt zonder een helder beeld van zijn eigen kritieke activa.
Doelstelling 19: gecoördineerd beleid voor kwetsbaarheidsopenbaarmaking
CVD verscheen in de NCAF 2020 één keer, als voetnoot 18 onder de paragraaf over de toeleveringsketen. Het is nu een doelstelling op het hoogste niveau met drie subdoelen uit Paragraaf 2.3.
- Een CVD-proces instellen "dat een gestructureerde aanpak beschrijft voor het melden van kwetsbaarheden aan fabrikanten en dienstverleners."
- Een nationaal beleid ontwikkelen om CVD te faciliteren en een kader te bieden voor het beheer van kwetsbaarheidsmeldingen.
- Juridische duidelijkheid bevorderen voor kwetsbaarheidsonderzoek te goeder trouw, "inclusief, waar passend, vrijstellingen of waarborgen tegen civiele of strafrechtelijke aansprakelijkheid, in lijn met nationale rechtsstelsels."
Artikel 14 verplicht fabrikanten om actief misbruikte kwetsbaarheden binnen 24 uur na bekendwording te melden bij de nationale CSIRT. Dat meldingspad vereist dat er een functionerende nationale CVD-infrastructuur aan de ontvangende kant is. Een overheid die op Niveau 1 of 2 scoort voor Doelstelling 19 heeft die infrastructuur nog niet opgebouwd. Fabrikanten in dat land worden gevraagd te melden in een systeem dat nog in aanbouw is.
Het NCSC-NL beheert de Gecoördineerde kwetsbaarheidsopenbaarmaking (CVD)-procedure voor Nederland en heeft een van de meest volwassen CVD-beleidskaders in de EU. Nederland loopt voorop: het NCSC-NL biedt fabrikanten een gestructureerd meldingskanaal en juridische duidelijkheid voor onderzoekers te goeder trouw. Doelstelling 19 van NCAF 2.0 is daarmee direct relevant voor Nederlandse fabrikanten: zij kunnen aantonen dat zij opereren in een land met een volwassen CVD-infrastructuur, maar u moet uw eigen Artikel 14-procedure afstemmen op het NCSC-NL-kanaal om van die infrastructuur gebruik te kunnen maken.
Doelstelling 20: actieve cyberbescherming
Actieve cyberbescherming verscheen nergens in de NCAF 2020. ENISA definieert ACP met verwijzing naar NIS2 Overweging 57. Voetnoot 15 in Paragraaf 2.3 verwijst daar expliciet naar. Het raamwerk stelt vier subdoelen.
- ACP integreren in de NCSS.
- Beleid bevorderen voor proactieve ACP-maatregelen als onderdeel van een bredere verdedigingsstrategie.
- De implementatie van interne en, in het beste geval, externe ACP-capaciteiten bevorderen om netwerkinbreuken te voorkomen, detecteren, monitoren en beperken.
- Het gebruik van ACP-tools en -diensten bevorderen om dreigingsinformatie te delen.
Geen andere doelstelling gebruikt de formulering "externe capaciteiten" of formuleert het delen van dreigingsinformatie als nationaal beleidsdoel met dit niveau van specificiteit. Doelstelling 20 weerspiegelt het actieve verdedigingsdebat in EU-beleid na 2022, afgestemd op de Cyber Solidarity Act.
Waar de CRA voorkomt in NCAF 2.0
NCAF 2.0 verwijst naar de CRA in twee paragrafen en één vragenbank. Dit zijn de vijf locaties.
Benoemd naast DORA als een belangrijke EU-wet waarvoor ENISA lidstaten ondersteunt bij de implementatie: "the Cyber Resilience Act (CRA) and the Digital Operational Resilience Act (DORA)."
Vermeld als primair EU-regulerend document dat is beoordeeld bij de opbouw van het bijgewerkte raamwerk. De CRA heeft het ontwerp van de volwassenheidsvragen rechtstreeks beïnvloed.
Vraagt of verplichte normen "zijn afgestemd op EU-kaders (bijv. de CRA, het EU-clouddienstenschema)." Niveau 4-overheden moeten private-sectornormen expliciet toetsen aan de CRA.
Subdoelen omvatten "state-of-the-art maatregelen implementeren om de cyberbeveiliging van de toeleveringsketen voor ICT-producten en ICT-diensten die worden gebruikt door essentiële en belangrijke entiteiten aan te pakken." Dit is de kern van de CRA-productreikwijdte.
Stelt een gestructureerde aanpak vast voor het melden van kwetsbaarheden "aan fabrikanten en dienstverleners." Fabrikanten zijn de partij die CRA Artikel 14 verantwoordelijk houdt voor kwetsbaarheidsafhandeling en melding binnen 24 uur.
Voor fabrikanten is het patroon even belangrijk als elke afzonderlijke verwijzing. Overheden op Niveau 4 voor Doelstelling 1 worden gescoord op de vraag of hun private-sectornormen expliciet aansluiten bij de CRA. Overheden op Niveau 1 of 2 voor Doelstelling 19 hebben de nationale CVD-infrastructuur waarvan CRA Artikel 14-meldingen afhangen nog niet opgebouwd.
871 vragen: hoe de beoordeling in de praktijk werkt
De NCAF 2020 beschreef 17 doelstellingen en gaf elke doelstelling een lijst van subdoelen. Landen evalueerden zichzelf aan de hand van die subdoelen. Er waren geen standaardvragen, geen scoringstabellen en geen vragenbank. NCAF 2.0 voegt die structuur toe: 871 cyberveiligheidscapaciteitsvragen over 20 doelstellingen en vijf volwassenheidsniveaus.
Een vraag-ID lezen
Elke vraag heeft een driedelig identificatienummer: het doelstellingsnummer, het volwassenheidsniveau en het vraagnummer binnen dat niveau. Vraag 14.2.5 is de vijfde vraag op volwassenheidsniveau 2 voor Doelstelling 14 (cybersecurityrisicobeheersmaatregelen instellen).
Naast de 871 capaciteitsvragen zijn er vijf generieke strategievragen per niveau per doelstelling. Deze zijn identiek voor alle 20 doelstellingen en vragen of de doelstelling in de NCSS staat, of er een actieplan bestaat en of de voortgang wordt gevolgd. De 871 capaciteitsvragen vormen de doelstellingsspecifieke technische laag daarboven.
Vereiste versus niet-vereiste vragen
Elke capaciteitsvraag is gemarkeerd als 1 (vereist) of 0 (niet vereist):
Alle vereiste vragen moeten positief worden beantwoord voordat een land dat volwassenheidsniveau kan claimen. Één negatief antwoord op een vereiste vraag begrenst de score op het vorige niveau, ongeacht hoeveel andere vragen correct zijn beantwoord.
Tellen mee voor de dekkingsratio maar blokkeren geen niveau-progressie. Een land kan een niveau bereiken met lacunes in niet-vereiste vragen. Die lacunes zijn zichtbaar in de dekkingsratio, niet in de volwassenheidsniveauscore.
Hoe scores worden berekend
De scoring levert twee cijfers per doelstelling op, die vervolgens worden gemiddeld op clusterniveau en over alle 20 doelstellingen voor de totale score.
Het hoogste niveau waarop alle vereiste vragen positief zijn beantwoord. Dit is het officiële niveau dat een land voor die doelstelling heeft bereikt. Voortgang binnen een niveau, waarbij sommige maar niet alle vereiste vragen positief worden beantwoord, verplaatst dit cijfer niet.
Het aandeel positieve antwoorden op alle vragen voor een doelstelling, ongeacht het niveau. Een land kan op Niveau 3 voor volwassenheid staan maar 80% dekking tonen op Niveau 4-vragen. De dekkingsratio vangt die gedeeltelijke voortgang op.
De vijf volwassenheidsniveaus
Alle vijf niveaus zijn hernoemd en hun beschrijvingen zijn herschreven. De kernverschuiving: Niveau 1 in 2026 gaat ervan uit dat een lidstaat al een nationale cyberveiligheidsstrategie heeft aangenomen. Niveau 1 in 2020 beschreef een land zonder enige vastgestelde aanpak.
| Niveau | Naam 2020 | Naam 2026 | Wat er veranderde |
|---|---|---|---|
| 1 | Initial / Ad Hoc | Foundation | Gaat er nu van uit dat een NCSS is aangenomen (NIS2-minimum). De versie van 2020 startte vanaf nul. |
| 2 | Early Definition | Developing | Actieplannen aanwezig en belanghebbenden geïdentificeerd. |
| 3 | Establishment | Established | Governancestructuren aanwezig, middelen toegewezen, consistente implementatie over de hele doelstelling. |
| 4 | Optimisation | Mature | Langetermijnwetgeving, toegewezen nationale financiering, nationale agentschappen opgericht en operationeel. |
| 5 | Adaptiveness | Advanced | Dynamisch en adaptief. Expliciet ambitieus: NCAF 2.0 stelt dat zeer weinig landen naar verwachting dit niveau voor alle doelstellingen zullen bereiken. |
Cluster 4 is een nieuwe regulatoire groepering die direct aansluit bij de CRA
De NCAF 2020 had vier clusters: Cybersecurity governance en normen, Capaciteitsopbouw en bewustwording, Juridisch en regulerend, en Samenwerking. NCAF 2.0 behoudt vier clusters maar hernoemt en hergroepeert ze volledig. De meest ingrijpende structurele wijziging voor CRA-fabrikanten is de creatie van Cluster 4.
Cluster 4: Regulatoire en beleidsraamwerken. Vijf doelstellingen die in 2020 geen coherente regulatoire groepering vormden:
Beveiliging en privacy in balans brengen. Verplaatst vanuit het oude cluster "Juridisch en regulerend". Nu een benoemd regulatoir instrument naast de toeleveringsketen en CVD.
Cyberbeveiliging van de toeleveringsketen verbeteren. In 2020 stond dit naast privacy en incidentrapportage. Nu verankerd in zijn eigen regulatoire cluster met expliciete NIS2- en aanbestedingsreikwijdte.
Kritieke sectoren beschermen. Uitgebreid van NIS1-terminologie (OES/DSP) naar NIS2-reikwijdte met Bijlagen I en II, onderzeese kabels en de publieke kern van het internet.
Een CVD-beleid instellen. Een voetnoot in 2020. Nu een doelstelling op het hoogste niveau met drie subdoelen: de bovenstrooms liggende nationale infrastructuur waarvan CRA Artikel 14-meldingen afhangen.
Actieve cyberbescherming bevorderen. Bestond niet in 2020. Weerspiegelt het actieve verdedigingsbeleid na 2022, afgestemd op NIS2 Overweging 57 en de Cyber Solidarity Act.
De scores van een overheid op Cluster 4 laten zien welke van deze instrumenten aanwezig zijn. Dit zijn de vijf beleidshefbomen die overheden zullen gebruiken om CRA-vereisten nationaal te implementeren en te handhaven.
Download NCAF 2.0 van de ENISA-publicatiepagina en controleer welke van de 20 doelstellingen de huidige NCSS van uw land dekt. Een land waarvan de NCSS een doelstelling niet omvat, scoort standaard nul op die doelstelling. Zo weet u precies welke beleidsinstrumenten nog niet aanwezig zijn in uw markt.
NCAF 2.0 bevat een expliciete mededeling in Paragraaf 2.1: "Level 5 is considered as extremely high and very few countries, if any, are expected to reach this level for all objectives." De versie van 2020 bevatte een dergelijk voorbehoud niet. Dit is een bewuste keuze om het raamwerk bruikbaar te maken als voortgangsinstrument over een realistische reeks doelstellingen.
Veelgestelde vragen
Schept NCAF 2.0 nieuwe verplichtingen voor productfabrikanten?
Nee. NCAF 2.0 is een zelfevaluatie-instrument voor nationale overheden, geen verordening voor fabrikanten. Het schept geen juridische verplichtingen. Maar het laat wel zien welke capaciteiten uw overheid heeft toegezegd op te bouwen en op welk volwassenheidsniveau zij momenteel opereert. De score van een overheid op Doelstelling 19 (CVD-beleid) vertelt u of de nationale kwetsbaarheidsmeldingsinfrastructuur waarvan CRA Artikel 14 afhankelijk is, aanwezig is. Voor uw eigen CVD-verplichtingen als fabrikant onder de CRA, zie onze CVD-beleidssjabloon.
Hoe verbindt Doelstelling 19 (CVD-beleid) zich met CRA Artikel 14?
CRA Artikel 14 verplicht fabrikanten om actief misbruikte kwetsbaarheden binnen 24 uur na bekendwording te melden bij de nationale CSIRT. Dat meldingspad vereist een functionerende nationale CVD-infrastructuur aan de ontvangende kant. Doelstelling 19 in NCAF 2.0 scoort of die infrastructuur aanwezig is: een gestructureerd CVD-proces, een nationaal beleid voor het beheer van kwetsbaarheidsmeldingen en juridische bescherming voor onderzoekers te goeder trouw. Een land op Niveau 1 voor Doelstelling 19 heeft geen van die elementen aanwezig. Fabrikanten in dat land melden in een systeem dat nog in aanbouw is. Voor hoe u uw eigen CVD-procedure structureert, zie onze gids over de 24-uursvereisten voor kwetsbaarheidsmelding van ENISA.
Is NCAF hetzelfde als een NIS2-nalevingsbeoordeling?
Nee. NCAF meet de volwassenheid van de nationale cyberveiligheidsstrategie, niet de NIS2-naleving op entiteitsniveau. Een overheid kan goed scoren op NCAF en toch lacunes hebben in hoe zij essentiële entiteiten onder NIS2 toezicht houdt. De koppeling is dat verscheidene NCAF-doelstellingen direct verbonden zijn aan NIS2-vereisten: Doelstelling 13 (nationale cybersecurity-governance versterken) dekt de coördinatiemechanismen die NIS2 vereist, en Doelstelling 14 (cybersecurityrisicobeheersmaatregelen instellen) sluit aan bij NIS2 Artikel 21. NCAF 2.0 kan ook worden ingezet als instrument bij vrijwillige NIS2 Artikel 19 peer reviews tussen lidstaten. Voor de overlap van NIS2- en CRA-verplichtingen voor fabrikanten, zie de gids over de overlap tussen NIS2 en CRA.
Kunnen we NCAF 2.0 gebruiken om onze eigen productbeveiliging te benchmarken?
Niet rechtstreeks. NCAF 2.0 is ontworpen voor nationale overheden die hun NCSS beoordelen. Het "u" in NCAF-vragen verwijst naar de lidstaat. Toch beschrijven de subdoelen en volwassenheidsvragen voor Doelstelling 1 (cyberweerbaarheid private sector, inclusief het mkb) wat een volwassen nationaal cyberveiligheidsprogramma van private-sector-entiteiten verwacht. De Niveau 3- en Niveau 4-vragen voor Doelstelling 1 laten zien wat een overheid op dat volwassenheidsniveau van uw organisatie zal verwachten aan te tonen. Gebruik voor een directe beoordeling van uw producten aan de hand van CRA-vereisten de CRA-toepasselijkheidscheck.
Wanneer gaan overheden NCAF 2.0 gebruiken?
ENISA publiceerde NCAF 2.0 in april 2026 als vrijwillig instrument dat overheden vanaf nu kunnen gebruiken. Er is geen verplichte startdatum. Griekenland, Italië en Luxemburg testten het eerste concept. Luxemburg benadrukte de waarde van NCAF voor gestructureerde NCSS-voorbereiding en de behoefte aan vereenvoudiging. Italië merkte op dat het nuttige strategische input biedt voor de komende beleidscyclus en helpt bij prioritering en benchmarking ten opzichte van de EU Cybersecurity Index. Griekenland onderstreepte de afstemming op NIS2 en de bruikbaarheid voor het in kaart brengen van nationaal beleid en het identificeren van lacunes. Dit zijn de observaties die de pilotlanden deelden tijdens de ontwikkeling, zoals vastgelegd in Paragraaf 1.2.6 van NCAF 2.0.
Wat is er gebeurd met de "toekomstige overwegingen"-doelstellingen uit 2020?
De NCAF 2020 vermeldde vijf doelstellingen die waren bestudeerd maar uitgesloten, aangeduid als mogelijke toekomstige toevoegingen: sectorspecifieke cyberveiligheidsstrategieën, bestrijding van desinformatiecampagnes, beveiliging van geavanceerde technologieën (5G, AI, kwantumcomputing), waarborging van datasouvereiniteit en prikkels voor de cyberverzekeringsmarkt. Geen van die vijf verschijnt in NCAF 2.0 als afzonderlijke doelstelling. AI en post-kwantumcryptografie komen voor in de subdoelen voor Doelstelling 4 (R&D en innovatie bevorderen) als genoemde voorbeelden, maar niet als afzonderlijk gescoorde onderdelen. De versie 2.0 verwijdert ook de bijlage met die toekomstige overwegingen uit 2020.
Volgende stappen
Dit artikel is uitsluitend bedoeld voor informatiedoeleinden en vormt geen juridisch advies. Raadpleeg voor specifieke nalevingsbegeleiding een gekwalificeerde juridische adviseur.
Gerelateerde artikelen
Is de CRA van toepassing op uw product?
Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.
Klaar om CRA-conformiteit te bereiken?
Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.