ENISA Technologie- en Innovatieradar: wat de methodologie betekent voor CRA-fabrikanten

ENISA publiceerde de methodologie van de Technology and Innovation Radar (TIR) in april 2026 (ISBN 978-92-9204-790-0, DOI 10.2824/2390334). Nog voor de eerste editie van de radar verschijnt, is het volledige scoringskader openbaar. Het legt precies uit hoe ENISA elke cybersecuritytechnologie indeelt op een schaal van vijf zones: van "herkennen" (nog niet geschikt voor inzet) tot "implementeren" (nu inzetten en opschalen).

Voor CRA-fabrikanten is dit direct relevant. Artikel 13 van de Cyberweerbaarheidsverordening verplicht u om producten veilig te houden gedurende hun hele levenscyclus, in lijn met de stand der techniek. De TIR wordt het meest gezaghebbende EU-overzicht van wat "stand der techniek" in de praktijk betekent op het gebied van beveiliging. Als u begrijpt hoe de scoring werkt voordat de eerste resultaten verschijnen, staat u voor.

Dit is wat de methodologie bevat en wat u moet weten.

Wat ENISA verstaat onder een "signaal"

Een signaal is in foresight-praktijk een tastbare uiting van iets nieuws: een observeerbare indicator dat iets opkomt of verandert. De TIR van ENISA volgt geen brede categorieën zoals "kunstmatige intelligentie" of "zero trust." Het volgt specifieke, benoemde technologische toepassingen op een gedefinieerd abstractieniveau.

De methodologie gebruikt een taxonomie met vier lagen om elk kandidaat-signaal in te delen voordat het de scoringspijplijn ingaat. Signalen die niet in een van deze vier categorieën passen, worden gemarkeerd als te vaag en teruggestuurd voor herziening.

Tools zijn concrete softwareproducten of hulpmiddelen die een specifieke taak uitvoeren binnen een ontwikkelings- of operationele levenscyclus. Een netwerkprotocolanalyser is een tool.

Platforms zijn fundamentele ecosystemen of runtime-omgevingen die infrastructuur, diensten en integratiemogelijkheden bieden voor het bouwen, inzetten en opschalen van applicaties. Security orchestration, automation and response (SOAR)-systemen zijn platforms.

Technieken zijn systematische methoden, patronen of benaderingen voor het ontwerpen, testen en doorontwikkelen van softwaresystemen. Post-kwantumcryptografie is een techniek.

Trends zijn opkomende verschuivingen in cybersecurityparadigma's, kaders of ecosysteempraktijken die beïnvloeden hoe technologieën worden toegepast. Zero trust-architectuur is een trend.

Een signaal dat te breed is, moet opnieuw worden geformuleerd voordat het verder kan. "AI in cybersecurity" is te vaag. "Machine learning voor gedragsmatige dreigingsdetectie" is specifiek genoeg om te beoordelen. ENISA past een beslisboom met vier vragen toe om elk signaal in te delen: Kan een organisatie het concreet inzetten? Voert het een specifieke taak uit of biedt het een fundamenteel ecosysteem? Is het een gestructureerde manier van werken in plaats van een product? Vertegenwoordigt het een brede beveiligingsfilosofie? De antwoorden leiden tot een van de vier categorieën, of tot het resultaat "te vaag: herziening vereist".

Elk signaalitem in de centrale repository van ENISA moet een minimale set metadata bevatten:

• Signaalnaam en korte beschrijving
• Technology Readiness Level (TRL), afkomstig van de bron of afgeleid via beste schatting
• Huidig adoptieniveau (innovatoren, vroege adopters, vroege meerderheid, late meerderheid, achterblijvers)
• Type bron (marktrapport, beleidsnota, whitepaper, experteninterview)
• Titel van het document of naam van de geïnterviewde expert
• Publicatie- of interviewdatum
• Auteur, publicerende organisatie of expertaffiliatie
• Domein en sector, indien gespecificeerd

Deze gestructureerde metadata maakt de scoring reproduceerbaar en controleerbaar over edities heen.

Waarom de taxonomie relevant is voor Bijlage VII

Deze indeling is verenigbaar met de manier waarop CRA-technische documentatie de beveiligingsarchitectuur van een product beschrijft. Als u uw beveiligingsmaatregelen documenteert onder Bijlage VII en u organiseert ze per signaaltype (welke tools u gebruikt, op welke platforms ze draaien, welke technieken uw ontwikkeling sturen en welke architectuurtendensen u volgt), creëert u een vocabulaire die direct aansluit op het kader dat ENISA in de radar gebruikt. Die aansluiting maakt het straks eenvoudiger om naar de radar te verwijzen zodra deze verschijnt. Zie onze gids over de technische documentatie van Bijlage VII voor de specifieke vereisten.

Hoe ENISA de signaallijst opbouwt en opschoont

Voordat enige scoring plaatsvindt, voert ENISA een tweefasig verzamel- en opschoonproces uit.

Primaire signaalverzameling put uit gezaghebbende bronnen. ENISA hanteert vier criteria bij de bronselectie: reputatie en onpartijdigheid (de entiteit moet breed erkend zijn vanwege vakinhoudelijke expertise en onafhankelijkheid), methodologische strengheid (rapporten moeten het gebruik van analytische of empirische methoden aantonen), recentheid (alleen rapporten gepubliceerd in de afgelopen een tot twee jaar), en transparantie (de bron moet duidelijk zijn over de gebruikte gegevens of evidence).

ENISA onderscheidt tien typen gezaghebbende bronnen die relevant zijn voor de TIR:

Aanvullende signaalverzameling maakt gebruik van expertinbreng via online formulieren via EU Survey en gefaciliteerde groepsworkshops met breakout-groepen van 10 tot 20 deelnemers elk. ENISA is van plan een Ad Hoc Working Group (AHWG) op te richten van maximaal 30 experts geselecteerd via een open oproep, met vertegenwoordiging van technologieleveranciers, integratoren, dienstverleners, eindgebruikers, vertegenwoordigers van kritieke infrastructuur, conformiteitsbeoordelingsorganen, auditors en testlaboratoria.

Signaalopschoning volgt op de verzameling. Elk item in de centrale repository wordt beoordeeld om duplicaten te elimineren en dubbelzinnigheden op te lossen. Nagenoeg identieke toepassingen in verschillende bewoordingen, zoals "zero trust security" en "zero trust architecture", worden samengevoegd tot één geharmoniseerde formulering. Leveranciersspecifieke signalen worden uitgesloten tenzij ze kunnen worden gegeneraliseerd tot een breed geadopteerde technologieklasse. Vage of te brede items worden gemarkeerd en herzien of verwijderd.

Signaalclustering organiseert de opgeschoonde signalen op twee niveaus. Het eerste en verplichte niveau deelt elk signaal in bij een van de vier abstractietypes (tool, platform, techniek, trend). Het tweede, optionele niveau deelt signalen in per domein of sector via de JRC Cybersecurity Taxonomy van de Europese Commissie uit 2022. ENISA merkt ook op dat de ECSO-taxonomie en het NIST Cybersecurity Framework alternatief kunnen worden gebruikt, maar beveelt aan om bij het begin één standaard te kiezen en die consequent toe te passen over alle edities, zodat vergelijkingen in de tijd mogelijk blijven.

Hoe ENISA elk signaal scoort: sterkte en momentum

Elk signaal dat de initiële expertvalidatie doorstaat, wordt gescoord op twee samengestelde dimensies.

Sterkte meet hoe volwassen en gevestigd een technologie is. Het weerspiegelt zowel de ontwikkelingsgereedheid (TRL) als de erkenning in gezaghebbende bronnen, academisch onderzoek, het octrooilandschap en mediadekking. De formule is:

TRL draagt de helft van het totale gewicht omdat het het meest direct weergeeft of een technologie inzetbaar is, niet alleen besproken. TRL 1 tot 2 vertegenwoordigt experimenteel onderzoek en levert een score van 1. TRL 9, volwassen technologie met bewezen prestaties in operationele omstandigheden, levert 5. TRL 5 tot 6, technologie gevalideerd in tests, levert 3. De vier ondersteunende indicatoren worden genormaliseerd naar percentielklassen over de volledige signaaldataset: waarden in het onderste 20e percentiel scoren 1, waarden boven het 80e percentiel scoren 5.

Momentum meet hoe snel een technologie aan aandacht wint en legt snelheid vast, niet volume. De formule is:

Het huidige adoptieniveau verankert het momentum voor 50%, parallel aan de rol van TRL in de sterkte. Jaar-op-jaargroei-drempelwaarden bepalen de overige scores: groei van 20% of meer per jaar levert 5. Groei tussen 11% en 20% levert 4. Groei tussen 6% en 10% levert 3. Groei tussen 0% en 5% levert 2. Negatieve groei levert 1.

De twee scores plaatsen elk signaal in een van vier macrocategorieën op een sterkte/momentum-matrix:

De methodologie stelt expliciet dat de scoringsdrempelwaarden niet willekeurig mogen worden gewijzigd tussen edities, tenzij er substantiële feedback is ontvangen of contextspecifieke vereisten ontstaan. Dit bewaart de vergelijkbaarheid van jaar tot jaar en stelt ENISA in staat een longitudinale dataset op te bouwen die laat zien hoe technologieën zich over de matrix bewegen.

De vijf radarzones voor sterke signalen

Sterke signalen doorlopen een adoptiewaarschijnlijkheidsscore voordat ze op de radar worden geplaatst. ENISA gebruikt een enquête-instrument gebaseerd op het UTAUT-kader, aangepast voor drie afzonderlijke groepen respondenten: technologiegebruikers (beoordeling van impact op beveiligingsworkflows en KPI's), technologieleveranciers en R&D-entiteiten (beoordeling van implementatiegemak, klantvraag en marktintenties), en institutionele actoren zoals toezichthouders en normalisatieorganisaties (beoordeling van bestuurbaarheid, beleidsaansluiting en maatschappelijke waarde).

Elke groep beoordeelt vijf constructen op een vijfpunts Likertschaal.

Prestatieverwachting: helpt het gebruik van deze technologie om beveiligingsdoelstellingen te halen? Maakt het het eenvoudiger om KPI's te halen?

Inspanningsverwachting: hoe eenvoudig is het te implementeren zonder grote technische uitdagingen of uitgebreide training?

Sociale invloed: adopteren of adviseren concurrenten en belangrijke partners de technologie al?

Bevorderende omstandigheden: zijn budget, infrastructuur, regelgevingskaders en personeelscapaciteiten aanwezig?

Gedragsintenties: is de organisatie van plan de investering in deze technologie voort te zetten of uit te breiden?

De 15 items per groep dragen gelijkwaardig bij aan een groepsadoptiewaarschijnlijkheidsscore. De drie groepsscores worden gemiddeld tot een totale adoptiewaarschijnlijkheidsscore. Deze samengestelde score plaatst elk sterk signaal in een van vijf concentrische zones op het radardiagram:

Het radardiagram verdeelt signalen in vier kwadranten per abstractietype: Tool, Platform, Techniek en Trend. De vijf concentrische zones lopen van de buitenste ring (Herkennen) naar de binnenste (Implementeren). Een technologie in de Implementeren-ring van het kwadrant Techniek vertelt u in één oogopslag dat het een volwassen, systematisch toepasbare methode is die het Europese cybersecurity-ecosysteem beschouwt als gereed voor brede inzet.

Vroegstadiumtechnologieën volgen: de zwakkesignaalaanpak

Zwakke signalen zijn technologieën met een lage sterkte, maar met mogelijk disruptief potentieel op de middellange tot lange termijn. Ze verschijnen niet op het hoofdradardiagram. In plaats daarvan positioneert ENISA ze op een afzonderlijk foresight-diagram langs twee dimensies.

Ontwikkelingssnelheid gebruikt het Technological Innovation Systems (TIS)-kader van Markard en Truffer (2008). Expertpanels scoren zeven functies die weerspiegelen of er actief een innovatie-ecosysteem rondom de technologie vormt:

1. Kennisontwikkeling en verspreiding: komt er nieuw onderzoek op en wordt het gedeeld via publicaties, conferenties of samenwerkingsverbanden?
2. Ondernemersexperimentatie: testen start-ups, bedrijven of instellingen de technologie in echte omstandigheden, met pilots, prototypes of vroege toepassingen?
3. Ontwikkeling van positieve externaliteiten: creëert het signaal netwerkeffecten of synergiën met andere technologieën of sectoren?
4. Richting geven aan de zoektocht: verschijnt het in strategische documenten, beleidsplannen of organisationele roadmaps?
5. Marktvorming: ontstaan er vroege markten of niche-toepassingen, ook al blijven bredere adoptiedrempels bestaan?
6. Middelen mobiliseren: zijn financiering, geschoold personeel of infrastructuur beschikbaar om de ontwikkeling te ondersteunen?
7. Legitimiteit creëren: staan institutionele actoren positief tegenover het signaal en groeit de brede acceptatie?

Elke functie scoort 1 tot 5. De samengestelde ontwikkelingssnelheidsscore is het rekenkundig gemiddelde van alle zeven.

Marktpotentieel wordt gescoord op drie subdimensies: sectorpenetratie (blijft het signaal binnen één sector of verspreidt het zich breed over meerdere sectoren?), domeinbruikbaarheid (hoeveel van de 15 cybersecurityfuncties in de JRC European Cybersecurity Taxonomy worden erdoor gedekt?) en type adoptant (sterk gespecialiseerde actoren alleen, of toegankelijk voor het mkb en het grote publiek?).

Dit levert een 2x2 foresight-diagram op met vier kwadranten:

• Verkenning: lage ontwikkelingssnelheid en laag marktpotentieel. Speculatieve signalen met beperkt huidig bewijs maar potentieel visionaire waarde.
• Marktconsolidatie: hoog marktpotentieel maar lagere ontwikkelingssnelheid. Vroege adopters beginnen het signaal te verkennen. Meer gestructureerde ontwikkeling en ondersteuning kan volgen.
• Technologieconsolidatie: hoge ontwikkelingssnelheid maar nog beperkte markttractie. Vordert in onderzoek en experimentatie, maar commerciële adoptie blijft onzeker.
• Transitiegereed: hoog op beide dimensies. Het dichtst bij het worden van sterke signalen. Technologische fundamenten consolideren en sectoroverschrijdende interesse neemt zichtbaar toe. Vroege beleidsdiscussies helpen de impact en integratie te anticiperen.

Zwakke signalen verschijnen niet in de hoofdradarvisualisatie, maar zijn een belangrijke input voor toekomstige edities. Transitiegereed-signalen in het bijzonder zijn kandidaten voor herclassificatie als sterke signalen in de volgende radarcyclus.

Waar de data vandaan komt

De scoring van ENISA vertrouwt op drie primaire kwantitatieve databronnen, allemaal toegankelijk via het JRC TIM-analyseplatform, een geautomatiseerd tekst- en datamining-systeem ontwikkeld door het Gemeenschappelijk Centrum voor Onderzoek van de Europese Commissie.

Scopus, beheerd door Elsevier, dekt academische tijdschriften, preprints, boeken en conferentieverslagen, inclusief meer dan 25,5 miljoen open-access documenten. Het levert aantallen academische publicaties en jaar-op-jaartrends voor de signaalsterkte- en momentumscoring.

PATSTAT bevat bibliografische en juridische eventoctrooigegevens van EU-lidstaten, afkomstig uit de database van het Europees Octrooibureau. Het levert aantallen octrooiaanvragen en jaar-op-jaarwijzigingen.

Europe Media Monitor (EMM) verzamelt circa 300.000 nieuwsartikelen per dag in maximaal 70 talen. Het levert aantallen nieuws- en zoektrends en jaar-op-jaarwijzigingen.

De trefwoordconstructie die alle drie de database-queries stuurt, wordt beheerd via een centraal woordenboek. Het woordenboek wordt gevalideerd door het ENISA Core Radar Team en bevroren voor elke editie van de radar. Een trefwoordset voor "Extended Detection and Response" kan termen omvatten als 'XDR', 'Extended Detection and Response' en 'Advanced threat detection platform', gecombineerd met een filter op publicatiejaar in een Booleaanse querystructuur. Elke toekomstige wijziging van het woordenboek vereist gedocumenteerde onderbouwing, omdat wijzigingen de scorevergelijkbaarheid over edities heen beïnvloeden.

Deze aanpak maakt de scoring reproduceerbaar. Een fabrikant die de radarpositie van een technologie beoordeelt, kan die terugvoeren naar de specifieke trefwoorden, database-queries en normalisatiedrempelwaarden die zijn gebruikt.

Het fast-track-mechanisme en de signaallevenscyclus

Wanneer EU-instellingen of Commissieprioriteiten een specifieke technologie als strategisch urgent aanmerken, kan ENISA een versnelde procedure activeren. De aanvragende entiteit levert een basisdataset: signaalnaam en -beschrijving, een geschatte TRL, huidig adoptieniveau, indeling op abstractieniveau en sector- en domeincontext. Een intern team voert vervolgens een initiële screening uit om duplicatie en taxonomische coherentie te controleren.

Als het signaal de screening doorstaat, voltooit een micropanel van drie tot vijf experts een snelle validatie in circa 10 dagen. Experts geven kwantitatieve sterkte- en momentumschattingen op een schaal van 1 tot 5 en kwalitatieve opmerkingen over strategische impact. Het signaal gaat daarna direct door naar de evaluatiefase.

Versnelde signalen worden op het publieke dashboard gemarkeerd met een apart label. Ze blijven onderworpen aan volledige validatie in de volgende reguliere updatecyclus. De methodologie is expliciet over de afweging: versnelde signalen missen de benchmarkingdiepte van het standaardproces en kunnen niet direct worden vergeleken met signalen die de volledige kwalificatie doorliepen.

Levenscyclusbeheer van signalen volgt een parallelle logica. Elke nieuwe editie beoordeelt alle actieve signalen. Signalen die niet langer voldoende sterkte en momentum vertonen, worden verwijderd, beoordeeld op een basis van drie jaar. Signalen die technologische rijpheid en wijdverbreide adoptie hebben bereikt, worden eveneens uitgefaseerd: ze worden erkend als voorbij de foresight-reikwijdte van de radar te zijn gegaan en worden via andere operationele mechanismen gevolgd. Voor fabrikanten is een technologie die de radar verlaat zelf een signaal: het is een basisverwachting geworden in plaats van een onderscheidende capaciteit.

Het publieke dashboard gaat vergezeld van een gedetailleerde methodologische toelichting, die duidelijk vermeldt hoe elk signaal is geïdentificeerd, hoe elke indicator is gemeten of geschat, en welke beperkingen of aannames zijn toegepast. Het technische format van het dashboard (PowerBI of gelijkwaardig) wordt in een later stadium van het project bepaald.

Wat de radar betekent voor uw CRA-nalevingsprogramma

De TIR schept geen nieuwe juridische verplichtingen. Maar het wordt gezaghebbend bewijs van wat de EU beschouwt als volwassen en adoptiegereed in het cybersecurity-ecosysteem. Dat heeft praktische gevolgen voor drie onderdelen van uw CRA-nalevingswerk.

Technische documentatie onder Bijlage VII. Bijlage VII verplicht fabrikanten de beveiligingsopzet van het product met digitale elementen te documenteren, inclusief de toegepaste beveiligingsoplossingen en de ingevoerde processen voor kwetsbaarheidsafhandeling. De vierdelige signaalentaxonomie van de TIR (tool, platform, techniek, trend) biedt een gestructureerd vocabulaire voor de beschrijving van uw beveiligingsarchitectuur. Door vast te leggen in welke radarzone uw cruciale beveiligingsmaatregelen zich bevonden op het moment van productontwerp, creëert u een tijdgestempeld verslag van uw beoordeling van de stand der techniek. Zie onze gids over de technische documentatie van Bijlage VII.

Kwetsbaarheidsmanagement onder Artikel 13. Artikel 13, lid 6 verplicht fabrikanten kwetsbaarheden zonder onnodige vertraging aan te pakken en patches of mitigaties tijdig toe te passen. De radar volgt de adoptiecyclus van specifiek kwetsbaarheidsmanagementtools en -technieken. Een tool die van "Observeren" naar "Testen" beweegt in opeenvolgende radereditites is een gekwantificeerd signaal dat het ecosysteem erop convergeert. Fabrikanten die deze bewegingen bijhouden, nemen proactieve toolingbeslissingen in plaats van reactieve. Zie onze gids over de 24-uursverplichtingen voor kwetsbaarheidsmelding van ENISA.

Secure by design-beslissingen. De secure by design-principes in het Security by Design and Default Playbook van ENISA (v0.4, maart 2026) beschrijven praktijken, geen specifieke technologiekeuzes. De TIR vult die leemte door te benoemen welke concrete tools en technieken gereed zijn voor die praktijken. Een fabrikant die secure boot implementeert, gebruikt de radar bijvoorbeeld om de rijpheid van de specifieke firmwareondertekeningsinfrastructuur die hij overweegt te beoordelen. Het ENISA Secure by Design-playbook behandelt de principes. De TIR behandelt de technologische implementaties.

Een praktische opmerking over timing. De eerste radaruitgave is nog niet gepubliceerd. Tot die tijd komt het relevante bewijs voor stand-der-techniekbeoordelingen uit dezelfde broncategorieën die ENISA voor signaalverzameling gebruikt: publicaties van Gartner, Fraunhofer, ETSI, ECSO, BSI, NCSC en NIST. De TIR-methodologie maakt die broncategorieën expliciet en biedt een kader voor de weging ervan.

Volgende stappen

Dit artikel is uitsluitend bedoeld voor informatiedoeleinden en vormt geen juridisch advies. Raadpleeg voor specifieke nalevingsbegeleiding een gekwalificeerde juridische adviseur.