Radar Technologiczny ENISA: metodologia oceny dojrzałości technologii cyberbezpieczeństwa

ENISA opublikowała metodologię Radaru Innowacji Technologicznych (TIR) w kwietniu 2026 r. (ISBN 978-92-9204-790-0, DOI 10.2824/2390334). Zanim pierwsze wydanie radaru trafi do publikacji, kompletna metodologia punktacji jest już dostępna publicznie. Opisuje dokładnie, jak ENISA będzie klasyfikować każdą technologię cyberbezpieczeństwa w pięciostrefowej skali: od „rozpoznaj" (zbyt niedojrzała do wdrożenia) do „wdrażaj" (wdróż teraz i skaluj).

Dla producentów objętych CRA ma to bezpośrednie znaczenie. Artykuł 13 aktu o cyberodporności zobowiązuje do utrzymania bezpieczeństwa produktów przez cały cykl życia, odzwierciedlając aktualny stan wiedzy technicznej. TIR stanie się najbliżej oficjalnej unijnej mapy tego, jak „stan wiedzy technicznej" w zakresie bezpieczeństwa wygląda w praktyce. Zrozumienie zasad punktacji przed opublikowaniem pierwszych wyników daje rzeczywistą przewagę.

Poniżej zawartość metodologii i to, co producent powinien z niej wynieść.

Co ENISA rozumie przez „sygnał"

Sygnał, w praktyce foresightowej, to namacalna manifestacja nowości: obserwowalny wskaźnik, że coś wyłania się lub ulega zmianie. TIR ENISA nie śledzi szerokich kategorii, takich jak „sztuczna inteligencja" czy „zero trust". Śledzi konkretne, nazwane zastosowania technologiczne na zdefiniowanym poziomie abstrakcji.

Metodologia używa czterpoziomowej taksonomii do klasyfikowania każdego kandydującego sygnału przed wejściem w potok punktacji. Sygnały, których nie można przypisać do jednej z czterech kategorii, są oznaczane jako zbyt ogólne i odsyłane do weryfikacji.

Narzędzia to konkretne oprogramowanie lub narzędzia wykonujące określone zadanie w cyklu życia tworzenia lub operacji. Analizator protokołu sieciowego to narzędzie.

Platformy to fundamentalne ekosystemy lub środowiska uruchomieniowe zapewniające infrastrukturę, usługi i możliwości integracji do budowania, wdrażania i skalowania aplikacji. Systemy SOAR (security orchestration, automation and response) to platformy.

Techniki to systematyczne metody, wzorce lub podejścia stosowane do projektowania, testowania i rozwijania systemów oprogramowania. Kryptografia post-kwantowa to technika.

Trendy to wyłaniające się zmiany w paradygmatach cyberbezpieczeństwa, ramach lub praktykach ekosystemowych, które wpływają na sposób stosowania technologii. Architektura zero trust to trend.

Sygnał zbyt ogólny musi zostać przeformułowany, zanim będzie mógł przejść dalej. „AI w cyberbezpieczeństwie" jest zbyt ogólny. „Uczenie maszynowe do behawioralnego wykrywania zagrożeń" jest wystarczająco konkretne do oceny. ENISA stosuje czteropytaniowe drzewo decyzyjne do przypisania każdego sygnału: czy organizacja może go konkretnie wdrożyć? Czy wykonuje określone zadanie lub dostarcza fundamentalny ekosystem? Czy to ustrukturyzowany sposób robienia czegoś, a nie produkt? Czy reprezentuje szeroką filozofię bezpieczeństwa? Odpowiedzi prowadzą do jednej z czterech kategorii lub do wyniku „zbyt ogólny: do weryfikacji".

Każdy wpis sygnału w centralnym repozytorium ENISA musi zawierać minimalny zestaw metadanych:

• Nazwa sygnału i krótki opis
• Technology Readiness Level (TRL), ze źródła lub wyznaczony przez najlepsze dostępne szacowanie
• Aktualny poziom adopcji (innowatorzy, wcześni użytkownicy, wczesna większość, późna większość, maruderzy)
• Typ źródła (raport rynkowy, dokument polityczny, biała księga, wywiad ekspercki)
• Tytuł dokumentu lub imię i nazwisko eksperta
• Data publikacji lub wywiadu
• Autor, organizacja publikująca lub afiliacja eksperta
• Domena i sektor, jeśli podany

Te ustrukturyzowane metadane sprawiają, że punktacja jest odtwarzalna i audytowalna między wydaniami.

Dlaczego taksonomia ma znaczenie dla Załącznika VII

Ta klasyfikacja jest zgodna ze sposobem, w jaki dokumentacja techniczna CRA opisuje architekturę bezpieczeństwa produktu. Jeśli producent dokumentuje kontrole bezpieczeństwa na podstawie Załącznika VII, organizowanie ich według typów sygnałów (jakich narzędzi używa, na jakich platformach działają, jakie techniki kierują rozwojem i jakie trendy architektoniczne śledzi) tworzy słownictwo bezpośrednio odwzorowujące ramy, których ENISA użyje w radarze. To powiązanie ułatwi odwoływanie się do radaru po jego publikacji. Wymagania szczegółowe opisuje przewodnik po dokumentacji technicznej z Załącznika VII.

Jak ENISA buduje i oczyszcza listę sygnałów

Przed jakąkolwiek punktacją ENISA przeprowadza dwufazowy proces zbierania i oczyszczania danych.

Pierwotna kolekcja sygnałów pochodzi z autorytatywnych źródeł. ENISA stosuje cztery kryteria doboru źródeł: reputacja i bezstronność (podmiot powinien być szeroko uznawany za eksperta w dziedzinie i niezależny), rygor metodologiczny (raporty powinny wykazywać zastosowanie metod analitycznych lub empirycznych), aktualność (tylko raporty opublikowane w ciągu ostatnich jednego do dwóch lat) i przejrzystość (źródło powinno jasno wskazywać bazę danych lub dowodów).

ENISA identyfikuje dziesięć typów autorytatywnych źródeł istotnych dla TIR:

Uzupełniająca kolekcja sygnałów korzysta z ekspertyzy zewnętrznej przez formularze online via EU Survey i moderowane warsztaty grupowe z grupami roboczymi liczącymi od 10 do 20 uczestników. ENISA planuje powołać Doraźną Grupę Roboczą (AHWG) złożoną z maksymalnie 30 ekspertów wybranych w drodze otwartego naboru, obejmującą dostawców technologii, integratorów, operatorów usług, użytkowników końcowych, przedstawicieli infrastruktury krytycznej, jednostki oceny zgodności, audytorów i laboratoria testowe.

Oczyszczanie sygnałów następuje po kolekcji. Każdy wpis w centralnym repozytorium jest weryfikowany pod kątem duplikatów i ujednoznaczniania. Niemal identyczne zastosowania wyrażone inaczej, jak „bezpieczeństwo zero trust" i „architektura zero trust", są konsolidowane w jedną zharmonizowaną formułę. Sygnały specyficzne dla dostawcy są wykluczane, chyba że można je uogólnić do powszechnie adoptowanej klasy technologicznej. Ogólne lub zbyt szerokie wpisy są oznaczane i albo weryfikowane, albo usuwane.

Klastrowanie sygnałów organizuje oczyszczone sygnały na dwóch poziomach. Poziom pierwszy i obowiązkowy przypisuje każdy sygnał do jednego z czterech typów abstrakcji (narzędzie, platforma, technika, trend). Poziom drugi, opcjonalny, przypisuje sygnały według domeny lub sektora przy użyciu Taksonomii Cyberbezpieczeństwa JRC opublikowanej przez Komisję Europejską w 2022 r. ENISA zaznacza, że taksonomia ECSO i ramy NIST Cybersecurity Framework mogą być alternatywnie używane, ale zaleca wybranie jednego standardu na początku i stosowanie go we wszystkich wydaniach w celu umożliwienia porównań podłużnych.

Jak ENISA punktuje każdy sygnał: siła i dynamika

Każdy sygnał, który przejdzie wstępną walidację ekspercką, jest punktowany w dwóch złożonych wymiarach.

Siła mierzy, jak dojrzała i ugruntowana jest technologia. Odzwierciedla zarówno gotowość do wdrożenia (TRL), jak i uznanie w autorytatywnych źródłach, badaniach akademickich, krajobrazie patentowym i zasięgu medialnym. Wzór:

TRL niesie połowę całkowitej wagi, ponieważ najlepiej odzwierciedla, czy technologia jest możliwa do wdrożenia, a nie tylko omawiana. TRL 1 do 2 reprezentuje badania eksperymentalne i otrzymuje wynik 1. TRL 9, dojrzała technologia o udowodnionych wynikach w warunkach operacyjnych, otrzymuje wynik 5. TRL 5 do 6, technologia zwalidowana w testach, otrzymuje wynik 3. Cztery wskaźniki pomocnicze są normalizowane do pasm percentylowych w całym zbiorze sygnałów: wartości w dolnym 20. percentylu otrzymują wynik 1, wartości powyżej 80. percentylu otrzymują wynik 5.

Dynamika mierzy, jak szybko technologia zyskuje uwagę, uchwytując prędkość, a nie wolumen. Wzór:

Aktualny poziom adopcji zakotwicza dynamikę na poziomie 50%, równolegle do roli TRL w sile. Progi wzrostu rok do roku wyznaczają pozostałe wyniki: wzrost o 20% lub więcej rok do roku daje wynik 5. Wzrost od 11% do 20% daje wynik 4. Wzrost od 6% do 10% daje wynik 3. Wzrost od 0% do 5% daje wynik 2. Ujemny wzrost daje wynik 1.

Dwa wyniki umieszczają każdy sygnał w jednej z czterech makrokategorii na macierzy siły/dynamiki:

Metodologia wprost stwierdza, że progi punktacji nie powinny być zmieniane arbitralnie między wydaniami, chyba że otrzymano istotne informacje zwrotne lub pojawiły się specyficzne wymagania kontekstowe. Zachowuje to porównywalność rok do roku i pozwala ENISA budować podłużny zbiór danych pokazujący, jak technologie przemieszczają się po macierzy w czasie.

Pięć stref radaru dla silnych sygnałów

Silne sygnały przechodzą punktację prawdopodobieństwa adopcji przed umieszczeniem na radarze. ENISA stosuje narzędzie ankietowe oparte na ramach UTAUT, dostosowane do trzech odrębnych grup respondentów: użytkowników technologii (oceniających wpływ na przepływy pracy w zakresie bezpieczeństwa i KPI), dostawców technologii i podmiotów R&D (oceniających łatwość wdrożenia, popyt klientów i zamiar rynkowy) oraz aktorów instytucjonalnych, takich jak regulatorzy i organizacje normalizacyjne (oceniających wykonalność zarządzania, zgodność z polityką i wartość społeczną).

Każda grupa ocenia pięć konstruktów w pięciopunktowej skali Likerta.

Oczekiwania dotyczące wyników: czy użycie tej technologii pomaga osiągnąć cele bezpieczeństwa? Czy ułatwia realizację KPI?

Oczekiwania dotyczące wysiłku: jak łatwo ją wdrożyć bez poważnych wyzwań technicznych lub rozległego szkolenia?

Wpływ społeczny: czy konkurenci i kluczowi partnerzy już ją adoptują lub rekomendują?

Warunki ułatwiające: czy budżet, infrastruktura, ramy regulacyjne i możliwości kadrowe są na miejscu?

Zamiar behawioralny: czy organizacja planuje kontynuować lub rozszerzyć inwestycje w tę technologię?

15 pozycji na grupę wnosi równy wkład do wyniku prawdopodobieństwa adopcji grupy. Trzy wyniki grup są uśredniane do ogólnego wyniku prawdopodobieństwa adopcji. Ten złożony wynik umieszcza każdy silny sygnał w jednej z pięciu koncentrycznych stref na wykresie radarowym:

Wykres radarowy dzieli sygnały na cztery ćwiartki według typów abstrakcji: Narzędzie, Platforma, Technika i Trend. Pięć koncentrycznych stref przebiega od zewnętrznego pierścienia (Rozpoznaj) do wewnętrznego (Wdrażaj). Technologia umieszczona w strefie Wdrażaj ćwiartki Technika mówi od razu, że jest to dojrzała, systematycznie możliwa do zastosowania metoda, którą europejski ekosystem cyberbezpieczeństwa uznaje za gotową do szerokiego wdrożenia.

Śledzenie technologii we wczesnych stadiach: podejście słabego sygnału

Słabe sygnały to technologie, które uzyskują niskie wyniki siły, ale mogą nieść potencjał destrukcyjny w perspektywie średnio- lub długoterminowej. Nie pojawiają się na głównym wykresie radarowym. ENISA umieszcza je na oddzielnym wykresie foresightowym wzdłuż dwóch wymiarów.

Tempo rozwoju korzysta z ram Technologicznych Systemów Innowacji (TIS) Markarda i Truffera (2008). Panele eksperckie oceniają siedem funkcji odzwierciedlających, czy ekosystem innowacji aktywnie formuje się wokół technologii:

1. Rozwój i dyfuzja wiedzy: czy pojawia się nowe badanie i jest udostępniane przez publikacje, konferencje lub współprace?
2. Eksperymentowanie przedsiębiorcze: czy start-upy, firmy lub instytucje testują technologię w warunkach rzeczywistych, z pilotażami, prototypami lub wczesnymi przypadkami użycia?
3. Rozwój pozytywnych efektów zewnętrznych: czy sygnał tworzy efekty sieciowe lub synergie z innymi technologiami lub sektorami?
4. Kierowanie poszukiwań: czy pojawia się w dokumentach strategicznych, politykach lub planach działania organizacji?
5. Formowanie rynku: czy tworzą się wczesne rynki lub niszowe zastosowania, nawet jeśli bariery szerszej adopcji pozostają?
6. Mobilizacja zasobów: czy wsparcie finansowe, wykwalifikowana siła robocza lub infrastruktura są dostępne do podtrzymania jego rozwoju?
7. Tworzenie legitymizacji: czy aktorzy instytucjonalni postrzegają sygnał pozytywnie i czy rośnie jego szerokie akceptowanie?

Każda funkcja jest oceniana od 1 do 5. Złożony wynik tempa rozwoju to średnia arytmetyczna wszystkich siedmiu.

Potencjał rynkowy jest oceniany w trzech poddymensjonach: penetracja sektorowa (czy sygnał pozostaje w jednym sektorze, czy rozprzestrzenia się szeroko?), użyteczność domenowa (ile z 15 funkcji cyberbezpieczeństwa z Taksonomii Cyberbezpieczeństwa JRC adresuje?) oraz typ adoptera (wyłącznie wysoce wyspecjalizowani aktorzy, czy dostępny dla MŚP i ogółu społeczeństwa?).

Daje to wykres foresightowy 2x2 z czterema ćwiartkami:

• Eksploracja: niskie tempo rozwoju i niski potencjał rynkowy. Spekulatywne sygnały z ograniczonymi aktualnymi dowodami, ale potencjalną wartością wizjonerską.
• Konsolidacja Rynkowa: wysoki potencjał rynkowy, ale niższe tempo rozwoju. Wcześni użytkownicy zaczynają eksplorować sygnał. Może nastąpić bardziej ustrukturyzowany rozwój i wsparcie.
• Konsolidacja Technologiczna: wysokie tempo rozwoju, ale nadal ograniczona trakcja rynkowa. Postęp w badaniach i eksperymentacji, ale komercyjna adopcja pozostaje niepewna.
• Gotowość do Przejścia: wysoka w obu wymiarach. Najbliżej stania się silnymi sygnałami. Podstawy technologiczne konsolidują się, a zainteresowanie między sektorami wyraźnie rośnie. Wczesne dyskusje polityczne mogą pomóc w przewidywaniu wpływu i integracji.

Słabe sygnały nie pojawiają się na głównej wizualizacji radarowej, ale stanowią ważny wkład dla przyszłych wydań. Sygnały w strefie Gotowości do Przejścia są w szczególności kandydatami do reklasyfikacji jako silne sygnały w następnym cyklu radarowym.

Skąd pochodzi dane

Punktacja ENISA opiera się na trzech głównych ilościowych źródłach danych, dostępnych przez platformę analityczną JRC TIM, zautomatyzowany system eksploracji tekstu i danych opracowany przez Wspólne Centrum Badawcze Komisji Europejskiej.

Scopus, utrzymywany przez Elsevier, obejmuje czasopisma akademickie, preprinty, książki i materiały konferencyjne, w tym ponad 25,5 miliona dokumentów w otwartym dostępie. Dostarcza liczby publikacji akademickich i trendy rok do roku do punktacji siły i dynamiki sygnałów.

PATSTAT zawiera bibliograficzne i prawne dane o zdarzeniach patentowych z państw członkowskich UE, wyodrębnione z bazy Europejskiego Urzędu Patentowego. Dostarcza liczby zgłoszeń patentowych i zmiany rok do roku.

Europe Media Monitor (EMM) gromadzi około 300 000 artykułów dziennie w do 70 językach. Dostarcza liczby artykułów i trendów oraz zmiany rok do roku.

Konstrukcja słów kluczowych napędzająca zapytania do wszystkich trzech baz danych jest kontrolowana przez scentralizowany słownik. Słownik jest weryfikowany przez Główny Zespół Radarowy ENISA i zamrażany dla każdego wydania radaru. Zestaw słów kluczowych dla „Extended Detection and Response" może obejmować terminy takie jak 'XDR', 'Extended Detection and Response' i 'Advanced threat detection platform', połączone z filtrem roku publikacji w strukturze zapytania boolowskiego. Każda przyszła modyfikacja słownika wymaga udokumentowanego uzasadnienia, ponieważ zmiany wpływają na porównywalność wyników między wydaniami.

To podejście sprawia, że punktacja jest odtwarzalna. Producent przeglądający pozycję radaru technologii może ją prześledzić z powrotem do konkretnych słów kluczowych, zapytań do bazy danych i progów normalizacji.

Mechanizm szybkiej ścieżki i cykl życia sygnału

Gdy instytucje UE lub priorytety Komisji wskazują konkretną technologię jako strategicznie pilną, ENISA może aktywować procedurę szybkiej ścieżki. Podmiot wnioskujący dostarcza bazowy zestaw danych: nazwę i opis sygnału, szacowany TRL, aktualny poziom adopcji, klasyfikację poziomu abstrakcji oraz kontekst sektora i domeny. Wewnętrzny zespół przeprowadza następnie wstępny screening w celu sprawdzenia duplikatów i spójności taksonomii.

Jeśli sygnał przejdzie screening, mikropanel złożony z trzech do pięciu ekspertów przeprowadza szybką walidację w ciągu około 10 dni. Eksperci dostarczają ilościowych szacunków siły i dynamiki w skali 1 do 5 oraz jakościowych komentarzy dotyczących wpływu strategicznego. Sygnał przechodzi następnie bezpośrednio do fazy oceny.

Sygnały ze szybkiej ścieżki są oznaczone odrębną etykietą na publicznym pulpicie nawigacyjnym. Pozostają przedmiotem pełnej walidacji w następnym regularnym cyklu aktualizacji. Metodologia jest jednoznaczna co do kompromisu: sygnały ze szybkiej ścieżki nie mają głębi benchmarkingu standardowego procesu i nie można ich bezpośrednio porównywać z sygnałami, które przeszły pełną kwalifikację.

Zarządzanie cyklem życia sygnałów przebiega według równoległej logiki. Każde nowe wydanie weryfikuje wszystkie aktywne sygnały. Sygnały, które nie wykazują już wystarczającej siły i dynamiki, są usuwane, oceniane na trzyletniej podstawie. Sygnały, które osiągnęły dojrzałość technologiczną i powszechną adopcję, są również wycofywane: uznaje się, że wyszły poza zakres foresightowy radaru i są śledzone przez inne mechanizmy operacyjne. Dla producentów, technologia opuszczająca radar jest sygnałem samym w sobie: stała się bazowym oczekiwaniem, a nie wyróżniającą zdolnością.

Publiczny pulpit nawigacyjny będzie towarzyszył szczegółowej nocie metodologicznej, jasno wskazującej, jak każdy sygnał został zidentyfikowany, jak każdy wskaźnik był mierzony lub szacowany, oraz wszelkie ograniczenia lub założenia zastosowane w procesie. Techniczny format pulpitu nawigacyjnego (PowerBI lub odpowiednik) zostanie określony na późniejszym etapie projektu.

Co radar oznacza dla programu zgodności z CRA

TIR nie tworzy nowych obowiązków prawnych. Stanie się jednak autorytatywnym dowodem tego, co UE uznaje za dojrzałe i gotowe do adopcji w ekosystemie cyberbezpieczeństwa. Ma to praktyczne konsekwencje dla trzech obszarów programu zgodności z CRA.

Dokumentacja techniczna na podstawie Załącznika VII. Załącznik VII zobowiązuje producentów do udokumentowania projektu bezpieczeństwa produktu z elementami cyfrowymi, w tym zastosowanych rozwiązań bezpieczeństwa i procesów obsługi podatności. Czterpoziomowa taksonomia sygnałów TIR (narzędzie, platforma, technika, trend) zapewnia ustrukturyzowane słownictwo do opisania architektury bezpieczeństwa. Dokumentowanie, w jakiej strefie radaru znajdowały się krytyczne kontrole bezpieczeństwa w momencie projektowania produktu, tworzy datowany zapis oceny stanu wiedzy technicznej. Szczegóły wymagań zawiera przewodnik po dokumentacji technicznej z Załącznika VII.

Zarządzanie podatnościami na podstawie Artykułu 13. Artykuł 13 ust. 6 zobowiązuje producentów do reagowania na podatności bez zbędnej zwłoki i stosowania łatek lub środków zaradczych w odpowiednim czasie. Radar będzie śledził cykl adopcji narzędzi i technik zarządzania podatnościami. Narzędzie przechodzące ze strefy „Obserwuj" do strefy „Próbuj" w kolejnych wydaniach radaru jest skwantyfikowanym sygnałem, że ekosystem konwerguje wokół niego. Producenci śledzący te ruchy mogą podejmować proaktywne decyzje dotyczące narzędzi zamiast reaktywnych. Obowiązki dotyczące zgłaszania 24-godzinnego opisuje przewodnik po wymogach ENISA dotyczących zgłaszania podatności.

Decyzje o bezpieczeństwie przez projekt. Zasady bezpieczeństwa przez projekt w Poradniku ENISA dotyczącym bezpieczeństwa przez projekt i domyślnie (v0.4, marzec 2026 r.) opisują praktyki, a nie konkretne wybory technologiczne. TIR wypełnia tę lukę, wskazując, które konkretne narzędzia i techniki są gotowe do zastosowania tych praktyk. Producent wdrażający bezpieczny rozruch używałby radaru do oceny dojrzałości konkretnej rozważanej infrastruktury podpisywania oprogramowania układowego. Poradnik ENISA dotyczący bezpieczeństwa przez projekt omawia zasady. TIR obejmie implementacje technologiczne.

Praktyczna uwaga dotycząca harmonogramu. Pierwsze wydanie radaru nie zostało jeszcze opublikowane. Do czasu jego ukazania się, istotne dowody dla ocen stanu wiedzy technicznej pochodzą z tych samych kategorii źródeł, których ENISA używa do zbierania sygnałów: publikacji Gartner, Fraunhofer, ETSI, ECSO, BSI, NCSC i NIST. Metodologia TIR sprawia, że te kategorie źródeł są jasne i zapewnia ramy do ich ważenia.