ENISA NCAF 2.0: Co aktualizacja z kwietnia 2026 r. oznacza dla producentów objętych CRA
ENISA opublikowała NCAF 2.0 w kwietniu 2026 r. Trzy nowe cele, 871 pytań i jawne odwołania do CRA zmieniają ocenę gotowości państw.
W tym artykule
ENISA opublikowała Ramy Oceny Zdolności Krajowych w wersji 2.0 (NCAF 2.0) w kwietniu 2026 r. To pierwsza aktualizacja od czasu wydania pierwotnych ram w grudniu 2020 r. Dokument rozrósł się z 90 do 126 stron i objął trzy cele strategiczne, które wcześniej nie istniały. Wprost wymienia w pytaniach oceny dojrzałości akt o cyberodporności. Jeśli Twoje produkty mieszczą się w zakresie CRA, ten dokument opisuje, jak rząd Twojego kraju będzie oceniał własną gotowość do jego wdrożenia i egzekwowania.
Podsumowanie
- Trzy nowe cele bez odpowiednika z 2020 r.: krajowa ocena ryzyka (Cel 12), polityka skoordynowanego ujawniania podatności (Cel 19) i aktywna ochrona cybernetyczna (Cel 20)
- 871 pytań dotyczących zdolności w zakresie cyberbezpieczeństwa wchodzi teraz w skład ram. W 2020 r. żadnych ustrukturyzowanych pytań nie było.
- CRA jest wymienione wprost we wstępie i w pytaniach oceny dojrzałości dla Celu 1, który obejmuje odporność cybernetyczną sektora prywatnego oraz higienę podmiotów kluczowych i ważnych
- Cel 19 (polityka CVD) wyznacza krajowy cel dla rządów: stworzenie ustrukturyzowanych procesów zgłaszania podatności producentom. To infrastruktura wyższego rzędu, od której zależy Artykuł 14 CRA.
- Nazwy poziomów dojrzałości uległy zmianie: pięć poziomów nosi teraz nazwy Fundament, Rozwijający się, Ustabilizowany, Dojrzały i Zaawansowany. Poziom 1 zakłada teraz, że kraj przyjął Krajową Strategię Cyberbezpieczeństwa, co jest wymogiem NIS2. W 2020 r. Poziom 1 opisywał kraj bez żadnego zdefiniowanego podejścia.
- NCAF 2.0 może być stosowany do dobrowolnych przeglądów partnerskich z Artykułu 19 NIS2. ENISA dodała ten przypadek użycia w Sekcji 1.7 nowego dokumentu.
- 14 państw członkowskich wypełniło ankietę stanowiącą podstawę aktualizacji. Grecja, Włochy i Luksemburg pilotowały pierwszą wersję roboczą.
- Autonomiczny cel partnerstwa publiczno-prywatnego znikł. Wymiana informacji i wzajemna pomoc to teraz dwa odrębne oceniane cele.
Źródło: ENISA NCAF 2.0, kwiecień 2026 r. Liczba celów i pytań: Sekcja 3, s. 33. Liczba ankietowanych: Sekcja 1.2.3, s. 12.
Czym jest NCAF i co ocenia
NCAF to narzędzie samooceny dla rządów krajowych. Konkretnie: dla decydentów i urzędników projektujących i wdrażających krajową strategię cyberbezpieczeństwa (NCSS). Udział jest dobrowolny. Wyniki kraju nie są publikowane, chyba że kraj zdecyduje się je ujawnić.
Ramy mierzą jedną rzecz: dojrzałość zdolności cyberbezpieczeństwa państwa członkowskiego w odniesieniu do 20 celów strategicznych. Dla każdego celu kraj odpowiada na zestaw pytań i otrzymuje dwa wyniki. Pierwszy to wynik poziomu dojrzałości, który odzwierciedla najwyższy poziom, na którym wszystkie wymagane pytania uzyskały odpowiedź pozytywną. Drugi to wskaźnik pokrycia, który zlicza wszystkie pozytywne odpowiedzi niezależnie od poziomu. Razem dają obraz zarówno głębokości, jak i szerokości działań.
ENISA dodała w NCAF 2.0 jeden przypadek użycia, który nie istniał w wersji z 2020 r.: ramy mogą teraz służyć jako podstawa dobrowolnych przeglądów partnerskich z Artykułu 19 NIS2. Państwa członkowskie, które chcą oceniać się na tle innych, mają do dyspozycji ustrukturyzowane narzędzie. Europejski Indeks Cyberbezpieczeństwa (EU-CSI) korzysta już z niektórych pytań NCAF, a ENISA odnotowała w Sekcji 1.7, że EU-CSI może ewoluować w kierunku ściślejszego powiązania z NCAF.
Dla producentów ramy stanowią sygnał. Kraj z niskim wynikiem na Celu 1 (odporność cybernetyczna sektora prywatnego), Celu 17 (łańcuch dostaw) lub Celu 19 (polityka CVD) mówi coś o środowisku egzekwowania prawa, w którym działają Twoje produkty.
Trzy cele, których nie było w 2020 r.
Konsolidacja ocen ryzyka w sektorach w celu zbudowania krajowego obrazu krytycznych aktywów i zagrożeń. Powiązany z Artykułem 7 NIS2 i Dyrektywą o odporności podmiotów krytycznych (CER).
Stworzenie ustrukturyzowanego krajowego procesu zgłaszania podatności producentom i dostawcom usług. Promowanie jasności prawnej dla badaczy działających w dobrej wierze, w tym wyłączeń z odpowiedzialności cywilnej lub karnej.
Integracja aktywnej ochrony cybernetycznej (ACP) z NCSS. Promowanie proaktywnych polityk ACP jako części szerszej strategii obronnej. ACP zdefiniowano w Motywie 57 NIS2. Promowanie zarówno wewnętrznych, jak i zewnętrznych zdolności ACP.
Cel 12: krajowa ocena ryzyka
W 2020 r. ocena ryzyka stanowiła kontekst tła dla każdego innego celu. Nie była samodzielnym elementem oceny. NCAF 2.0 czyni z niej oceniany cel z trzema konkretnymi założeniami z Sekcji 2.3.
- Ustanowienie mechanizmu konsolidacji ocen ryzyka w sektorach, „zapewniającego krajowy obraz krytycznych aktywów i zagrożeń, zgodnie z obowiązującymi wymogami NIS2 i Dyrektywy o odporności podmiotów krytycznych (CER)."
- Dostosowanie celów strategii cyberbezpieczeństwa do potrzeb bezpieczeństwa narodowego poprzez kompleksową krajową ocenę ryzyka.
- Ułatwienie sektorowych ocen ryzyka w celu zidentyfikowania ryzyk w sektorach krytycznych.
Krajowa ocena ryzyka zasila klasyfikację sektorową na podstawie NIS2. Sektory z Załączników I i II NIS2 wyznaczają, które podmioty są kluczowe lub ważne, co z kolei określa intensywność egzekwowania przepisów wobec produktów kupowanych przez te podmioty. Kraj, który nie przeprowadził krajowej oceny ryzyka, działa bez jasnego obrazu własnych aktywów krytycznych.
Cel 19: polityka skoordynowanego ujawniania podatności
CVD pojawiało się w NCAF 2020 raz, jako przypis 18 w sekcji dotyczącej łańcucha dostaw. Teraz jest samodzielnym ocenianym celem z trzema pod-założeniami z Sekcji 2.3.
- Ustanowienie procesu CVD „określającego ustrukturyzowane podejście do zgłaszania podatności producentom i dostawcom usług."
- Opracowanie krajowej polityki ułatwiającej CVD i zapewniającej ramy zarządzania zgłoszeniami podatności.
- Promowanie jasności prawnej dla badaczy podatności działających w dobrej wierze, „w tym, w stosownych przypadkach, wyłączeń lub zabezpieczeń przed odpowiedzialnością cywilną lub karną, zgodnie z krajowymi ramami prawnymi."
Artykuł 14 zobowiązuje producentów do zgłaszania aktywnie wykorzystywanych podatności do krajowego CSIRT w ciągu 24 godzin od uzyskania wiedzy o nich. Ta ścieżka zgłaszania wymaga funkcjonującej krajowej infrastruktury CVD po stronie odbiorcy. Rząd z wynikiem Poziomu 1 lub 2 na Celu 19 tej infrastruktury jeszcze nie zbudował. Producenci w tym kraju są proszeni o zgłaszanie do systemu, który nadal jest tworzony.
W Polsce za krajową infrastrukturę CVD odpowiada CERT Polska, działający w ramach NASK. Cel 17 (łańcuch dostaw) jest dla polskich producentów najistotniejszym kątem obserwacji: wymagania dotyczące bezpieczeństwa łańcucha dostaw dla produktów ICT stosowanych przez podmioty kluczowe i ważne to rdzeń zakresu produktowego CRA. Wypełnienie Celu 17 na poziomie Dojrzałym sygnalizuje, że polskie organy nadzoru rynku będą stawiać wysokie wymagania dostawcom wchodzącym do przetargów publicznych.
Cel 20: aktywna ochrona cybernetyczna
Aktywna ochrona cybernetyczna nie pojawiała się nigdzie w NCAF 2020. ENISA definiuje ACP z odwołaniem do Motywu 57 NIS2. Przypis 15 w Sekcji 2.3 wskazuje tam wprost. Ramy wyznaczają cztery założenia.
- Integracja ACP z NCSS.
- Promowanie polityk dotyczących proaktywnych środków ACP jako części szerszej strategii obronnej.
- Promowanie wdrożenia wewnętrznych i zewnętrznych zdolności ACP do zapobiegania naruszeniom bezpieczeństwa sieci, ich wykrywania, monitorowania i ograniczania.
- Promowanie stosowania narzędzi i usług ACP do wymiany informacji o zagrożeniach.
Żaden inny cel nie używa pojęcia „zewnętrzne zdolności" ani nie formułuje wymiany informacji o zagrożeniach jako krajowego celu politycznego na tym poziomie szczegółowości. Cel 20 odzwierciedla dyskusję o aktywnej obronie w polityce UE po 2022 r., zgodną z Aktem o solidarności cybernetycznej.
Gdzie CRA pojawia się w NCAF 2.0
NCAF 2.0 odwołuje się do CRA w dwóch sekcjach i jednym banku pytań. Poniżej pięć miejsc.
CRA wymieniony obok DORA jako kluczowe prawo UE, którego wdrożenie ENISA wspiera państwa członkowskie: „akt o cyberodporności (CRA) i akt o operacyjnej odporności cyfrowej (DORA)."
Wymieniony jako główny dokument regulacyjny UE przeglądany przy budowie zaktualizowanych ram. CRA bezpośrednio kształtował projekt pytań dotyczących dojrzałości.
Pyta, czy obowiązkowe normy są „zgodne z ramami UE (np. CRA, unijnym systemem certyfikacji usług chmurowych)." Rządy na Poziomie 4 muszą oceniać normy sektora prywatnego w odniesieniu do CRA z nazwy.
Cele obejmują „wdrożenie najnowocześniejszych środków w celu zwalczania ryzyk cyberbezpieczeństwa w łańcuchu dostaw produktów ICT i usług ICT stosowanych przez podmioty kluczowe i ważne." To rdzeń zakresu produktowego CRA.
Wyznacza ustrukturyzowane podejście do zgłaszania podatności „producentom i dostawcom usług." Producenci to strona, którą Artykuł 14 CRA obarcza odpowiedzialnością za obsługę podatności i 24-godzinne zgłaszanie.
Dla producentów wzorzec ma równie duże znaczenie jak każde pojedyncze odwołanie. Rządy na Poziomie 4 Celu 1 są oceniane pod kątem tego, czy ich wymagania dotyczące norm sektora prywatnego są zgodne z CRA z nazwy. Rządy na Poziomie 1 lub 2 Celu 19 nie zbudowały jeszcze krajowej infrastruktury CVD, od której zależy zgłaszanie na podstawie Artykułu 14 CRA.
871 pytań: jak przebiega ocena w praktyce
NCAF 2020 opisywał 17 celów i dla każdego podawał listę założeń. Kraje dokonywały samooceny w odniesieniu do tych założeń. Nie było standardowych pytań, tabel punktacji ani banku pytań. NCAF 2.0 dodaje tę strukturę: 871 pytań dotyczących zdolności w zakresie cyberbezpieczeństwa, ujętych w 20 celach i pięciu poziomach dojrzałości.
Odczytywanie identyfikatora pytania
Każde pytanie ma trójczęściowy identyfikator: numer celu, poziom dojrzałości i numer pytania w danym poziomie. Pytanie 14.2.5 to piąte pytanie na poziomie dojrzałości 2 dla Celu 14 (ustanowienie środków zarządzania ryzykiem cyberbezpieczeństwa).
Obok 871 pytań zdolnościowych, na każdym poziomie każdego celu obowiązuje pięć ogólnych pytań strategicznych. Są one identyczne dla wszystkich 20 celów: pytają, czy cel jest uwzględniony w NCSS, czy istnieje plan działania i czy monitoruje się postępy. 871 pytań zdolnościowych to specyficzna dla celów warstwa techniczna na tym fundamencie.
Pytania obowiązkowe i nieobowiązkowe
Każde pytanie zdolnościowe jest oznaczone 1 (obowiązkowe) lub 0 (nieobowiązkowe):
Wszystkie muszą uzyskać odpowiedź pozytywną, zanim kraj będzie mógł zatwierdzić dany poziom dojrzałości. Jedna negatywna odpowiedź na pytanie obowiązkowe ogranicza wynik do poprzedniego poziomu, niezależnie od liczby poprawnie udzielonych odpowiedzi na inne pytania.
Wliczają się do wskaźnika pokrycia, ale nie blokują przejścia do kolejnego poziomu. Kraj może osiągnąć dany poziom z lukami w pytaniach nieobowiązkowych. Te luki pojawią się we wskaźniku pokrycia, a nie w wynikach poziomu dojrzałości.
Sposób obliczania wyników
Punktacja daje dwa wyniki na cel, które są następnie uśredniane na poziomie klastra i dla wszystkich 20 celów w ramach wyniku ogólnego.
Najwyższy poziom, na którym wszystkie obowiązkowe pytania uzyskały odpowiedź pozytywną. To oficjalny poziom, jaki kraj osiągnął dla danego celu. Postęp w ramach poziomu (odpowiedź na część pytań obowiązkowych) nie zmienia tej liczby.
Odsetek pozytywnych odpowiedzi na wszystkie pytania dotyczące celu, niezależnie od poziomu. Kraj może być na Poziomie 3 dojrzałości, ale wykazywać 80% pokrycie pytań Poziomu 4. Wskaźnik pokrycia rejestruje ten częściowy postęp.
Pięć poziomów dojrzałości
Wszystkie pięć poziomów zostało przemianowanych, a ich opisy przepisane. Kluczowa zmiana: Poziom 1 w 2026 r. zakłada, że państwo członkowskie przyjęło już krajową strategię cyberbezpieczeństwa. Poziom 1 w 2020 r. opisywał kraj bez żadnego zdefiniowanego podejścia.
| Poziom | Nazwa 2020 | Nazwa 2026 | Co się zmieniło |
|---|---|---|---|
| 1 | Wstępny / Doraźny | Fundament | Zakłada teraz przyjęcie NCSS (minimum NIS2). Wersja z 2020 r. zaczynała od zera. |
| 2 | Wczesna definicja | Rozwijający się | Plany działania są wdrażane, interesariusze zidentyfikowani. |
| 3 | Ustanowienie | Ustabilizowany | Struktury zarządzania wdrożone, zasoby przydzielone, spójna realizacja celu. |
| 4 | Optymalizacja | Dojrzały | Wieloletnie ustawodawstwo, dedykowane finansowanie krajowe, agencje krajowe ustanowione i działające. |
| 5 | Adaptywność | Zaawansowany | Dynamiczny i adaptywny. Jawnie aspiracyjny: NCAF 2.0 stwierdza, że bardzo niewiele krajów spodziewa się osiągnąć ten poziom dla wszystkich celów. |
Klaster nr 4: nowe grupowanie regulacyjne bezpośrednio odwzorowane na CRA
NCAF 2020 obejmował cztery klastry: zarządzanie cyberbezpieczeństwem i normy, budowanie zdolności i świadomości, prawne i regulacyjne oraz współpraca. NCAF 2.0 zachowuje cztery klastry, ale przemianowuje i przetasowuje wszystkie. Najważniejsza zmiana strukturalna dla producentów objętych CRA to utworzenie Klastra nr 4.
Klaster nr 4: Ramy regulacyjne i polityczne. Pięć celów, które w 2020 r. nie tworzyły spójnego grupowania regulacyjnego:
Równoważenie bezpieczeństwa z prywatnością. Przeniesiony ze starego klastra „Prawne i regulacyjne". Teraz nazwany instrument regulacyjny obok łańcucha dostaw i CVD.
Poprawa cyberbezpieczeństwa łańcucha dostaw. W 2020 r. znajdował się obok prywatności i zgłaszania incydentów. Teraz zakotwiczony we własnym klastrze regulacyjnym z wyraźnym odniesieniem do NIS2 i zamówień publicznych.
Ochrona sektorów krytycznych. Rozszerzony z terminologii NIS1 (OES/DSP) na zakres NIS2 obejmujący Załączniki I i II, podmorskie kable i publiczny rdzeń internetu.
Ustanowienie polityki CVD. Przypis w 2020 r. Teraz samodzielny oceniany cel z trzema pod-założeniami: nadrzędna infrastruktura krajowa, od której zależy zgłaszanie na podstawie Artykułu 14 CRA.
Promowanie aktywnej ochrony cybernetycznej. Nie istniał w 2020 r. Odzwierciedla politykę aktywnej obrony po 2022 r. zgodną z Motywem 57 NIS2 i Aktem o solidarności cybernetycznej.
Wyniki kraju w Klastrze nr 4 pokazują, które z tych instrumentów są wdrożone. To pięć dźwigni politycznych, które rządy będą stosować do krajowego wdrożenia i egzekwowania wymogów CRA.
Pobierz NCAF 2.0 ze strony publikacji ENISA i sprawdź, które z 20 celów obejmuje aktualna NCSS Twojego kraju. Kraj, którego NCSS nie uwzględnia danego celu, domyślnie uzyska zero punktów za ten cel. To wskazuje dokładnie, które instrumenty polityczne nie są jeszcze wdrożone na danym rynku.
NCAF 2.0 zawiera wyraźną informację w Sekcji 2.1: „Poziom 5 jest uważany za niezwykle wysoki i bardzo niewiele krajów, jeśli w ogóle jakiekolwiek, spodziewa się osiągnąć ten poziom dla wszystkich celów." Wersja z 2020 r. nie zawierała takiego zastrzeżenia. To celowy wybór, aby ramy pozostały użyteczne jako narzędzie śledzenia postępów w realistycznym zakresie.
Często zadawane pytania
Czy NCAF 2.0 wprowadza nowe obowiązki dla producentów?
Nie. NCAF 2.0 jest narzędziem samooceny dla rządów krajowych, nie regulacją skierowaną do producentów. Nie tworzy obowiązków prawnych. Informuje jednak, jakie zdolności rząd zobowiązał się budować i na jakim poziomie dojrzałości aktualnie działa. Wynik kraju na Celu 19 (polityka CVD) wskazuje, czy krajowa infrastruktura zgłaszania podatności, od której zależy Artykuł 14 CRA, jest wdrożona. W przypadku własnych obowiązków CVD jako producenta na podstawie CRA, zapoznaj się z naszym szablonem polityki CVD.
Jak Cel 19 (polityka CVD) łączy się z Artykułem 14 CRA?
Artykuł 14 CRA zobowiązuje producentów do zgłaszania aktywnie wykorzystywanych podatności do krajowego CSIRT w ciągu 24 godzin od uzyskania wiedzy o nich. Ścieżka ta wymaga funkcjonującej krajowej infrastruktury CVD po stronie odbiorcy. W Polsce rolę tę pełni CERT Polska (NASK). Cel 19 w NCAF 2.0 ocenia, czy ta infrastruktura istnieje: ustrukturyzowany proces CVD, krajowa polityka zarządzania zgłoszeniami podatności oraz ochrona prawna dla badaczy działających w dobrej wierze. Kraj na Poziomie 1 Celu 19 nie ma żadnego z tych elementów. Producenci w tym kraju zgłaszają podatności do systemu, który nadal jest tworzony. Informacje na temat struktury procedury CVD znajdziesz w przewodniku po 24-godzinnych wymogach ENISA dotyczących zgłaszania podatności.
Czy NCAF jest tożsamy z oceną zgodności z NIS2?
Nie. NCAF mierzy dojrzałość krajowej strategii cyberbezpieczeństwa, a nie zgodność podmiotów z NIS2. Kraj może uzyskać dobry wynik NCAF i nadal mieć luki w nadzorze nad podmiotami kluczowymi na podstawie NIS2. Powiązanie polega na tym, że kilka celów NCAF jest bezpośrednio powiązanych z wymogami NIS2: Cel 13 (wzmocnienie krajowego zarządzania cyberbezpieczeństwem) obejmuje mechanizmy koordynacji wymagane przez NIS2, a Cel 14 (ustanowienie środków zarządzania ryzykiem cyberbezpieczeństwa) odpowiada Artykułowi 21 NIS2. NCAF 2.0 może być też stosowany w dobrowolnych przeglądach partnerskich NIS2 między państwami członkowskimi. Informacje o nakładaniu się obowiązków NIS2 i CRA dla producentów znajdziesz w przewodniku po nakładaniu się NIS2 i CRA.
Czy NCAF 2.0 można stosować do analizy porównawczej bezpieczeństwa własnych produktów?
Nie bezpośrednio. NCAF 2.0 jest zaprojektowany dla rządów krajowych oceniających swoje NCSS. „Podmiot" w pytaniach NCAF oznacza państwo członkowskie. Niemniej cele i pytania Celu 1 (odporność cybernetyczna sektora prywatnego, w tym MŚP) opisują, czego dojrzały krajowy program cyberbezpieczeństwa oczekuje od podmiotów sektora prywatnego. Lektura pytań Poziomu 3 i 4 Celu 1 pokazuje, co rząd na tym poziomie dojrzałości będzie wymagał od organizacji do wykazania. Do bezpośredniej oceny produktów pod kątem wymogów CRA skorzystaj z narzędzia do sprawdzania zakresu stosowania CRA.
Kiedy rządy zaczną stosować NCAF 2.0?
ENISA opublikowała NCAF 2.0 w kwietniu 2026 r. jako dobrowolne narzędzie, z którego rządy mogą korzystać od teraz. Nie ma obowiązkowej daty rozpoczęcia. Grecja, Włochy i Luksemburg pilotowały pierwszą wersję roboczą. Luksemburg podkreślił wartość NCAF dla ustrukturyzowanego przygotowania NCSS i potrzebę uproszczenia. Włochy odnotowały, że narzędzie dostarcza przydatnych danych strategicznych dla nadchodzącego cyklu politycznego i pomaga wspierać priorytetyzację. Grecja podkreśliła zgodność z NIS2 i przydatność w mapowaniu polityk krajowych. To obserwacje podzielone przez kraje pilotażowe podczas opracowywania, odnotowane w Sekcji 1.2.6 NCAF 2.0.
Co stało się z celami „przyszłościowymi" z 2020 r.?
NCAF 2020 wymieniał pięć celów zbadanych, ale wykluczonych, oznaczonych jako potencjalne przyszłe uzupełnienia: sektorowe strategie cyberbezpieczeństwa, zwalczanie dezinformacji, zabezpieczanie technologii przyszłości (5G, AI, obliczenia kwantowe), zapewnienie suwerenności danych i zachęty dla branży ubezpieczeń cybernetycznych. Żaden z tych pięciu nie pojawia się w NCAF 2.0 jako samodzielny cel. AI i kryptografia post-kwantowa są wymienione w celach Celu 4 (wspieranie badań, rozwoju i innowacji) jako nazwane przykłady, lecz nie jako oddzielne oceniane pozycje. Wersja 2.0 usuwa też aneks wymieniający te „przyszłościowe" pozycje z 2020 r.
Kolejne kroki
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.
Powiązane artykuły
Czy CRA dotyczy Twojego produktu?
Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.
Gotowy na osiągnięcie zgodności z CRA?
Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.