ENISA NCAF 2.0: vad april 2026-uppdateringen innebär för CRA-tillverkare
ENISA publicerade NCAF 2.0 i april 2026, den första uppdateringen på sex år. Tre nya mål, 871 mognadsfrågor och explicita CRA-referenser förändrar hur regeringar bedömer sin cybersäkerhetsberedskap.
I denna artikel
ENISA publicerade National Capabilities Assessment Framework 2.0 (NCAF 2.0) i april 2026. Det är den första uppdateringen sedan det ursprungliga ramverket kom ut i december 2020. Dokumentet växte från 90 till 126 sidor och tillförde tre strategiska mål som inte existerade tidigare. Nu nämner det uttryckligen cyberresiliensförordningen i sina mognadsfrågor. Om dina produkter omfattas av CRA beskriver det här ramverket hur din regering bedömer sin egen beredskap att stödja och verkställa den.
MSB (Myndigheten för samhällsskydd och beredskap) och NCSC Sverige har per april 2026 inte publicerat CRA-specifik vägledning för svenska tillverkare. Det innebär att NCAF 2.0 för närvarande är det tydligaste offentliga signalsystemet om vart det nationella genomförandet är på väg.
Sammanfattning
- Tre nya mål utan motsvarighet i 2020: nationell riskbedömning (Mål 12), en nationell policy för samordnad sårbarhetshantering (Mål 19) och aktivt cyberskydd (Mål 20)
- 871 cybersäkerhetskapacitetsfrågor ingår nu i ramverket. Noll strukturerade frågor existerade 2020.
- CRA nämns uttryckligen i inledningen och i mogandsfrågorna för Mål 1, som täcker privatsektorns cyberresiliens och cyberhygien för väsentliga och viktiga entiteter
- Mål 19 (CVD-policy) sätter ett nationellt mål för regeringar att upprätta strukturerade processer för att rapportera sårbarheter till tillverkare. Det är den uppströmsinfrastruktur som Artikel 14 i CRA är beroende av.
- Mognadsniåvåernas namn har förändrats: de fem nivåerna heter nu Foundation, Developing, Established, Mature och Advanced. Nivå 1 förutsätter nu att ett land har antagit en NCSS, vilket är ett NIS2-krav. År 2020 beskrev Nivå 1 ett land helt utan definierad strategi.
- NCAF 2.0 kan användas för frivilliga NIS2 Artikel 19-kollegiala granskningar. ENISA lade till detta användningsfall i avsnitt 1.7 i det nya dokumentet.
- 14 medlemsstater deltog i undersökningen som formade uppdateringen. Grekland, Italien och Luxemburg genomförde pilottester av det första utkastet.
- Det fristående målet om offentlig-privat samverkan är borttaget. Informationsdelning och ömsesidigt stöd är nu två separata bedömda mål i stället.
Källa: ENISA NCAF 2.0, april 2026. Mål och frågetal: avsnitt 3, s. 33. Antal deltagande länder: avsnitt 1.2.3, s. 12.
Vad NCAF är och vad det mäter
NCAF är ett självbedömningsverktyg för nationella regeringar. Mer specifikt för de beslutsfattare och tjänstemän som utformar och genomför ett lands nationella cybersäkerhetsstrategi (NCSS). Det är frivilligt. Ett lands resultat publiceras inte om inte landet självt väljer att publicera dem.
Ramverket mäter en sak: hur mogna ett medlemslands cybersäkerhetskapaciteter är inom 20 strategiska mål. För varje mål besvarar ett land en uppsättning frågor och får två poäng. Det första är ett mognadsnivåpoäng, som återspeglar den högsta nivå där alla obligatoriska frågor besvaras positivt. Det andra är en täckningskvot, som räknar alla positiva svar oavsett nivå. Tillsammans ger de en bild av både djup och bredd.
ENISA lade till ett användningsfall i NCAF 2.0 som inte fanns i 2020-versionen: ramverket kan nu fungera som underlag för frivilliga NIS2 Artikel 19-kollegiala granskningar. Medlemsstater som vill jämföra sig med varandra har ett strukturerat verktyg för det. EU Cybersecurity Index (EU-CSI) använder redan en del NCAF-frågor, och ENISA noterade i avsnitt 1.7 att EU-CSI kan komma att utvecklas mot tätare anpassning till NCAF.
För tillverkare är ramverket en signal. Ett land som får lågt betyg på Mål 1 (privatsektorns cyberresiliens), Mål 17 (leveranskedja) eller Mål 19 (CVD-policy) säger dig något om det verkställighetsklimat dina produkter verkar i.
De tre mål som inte existerade 2020
Konsolidera riskbedömningar över sektorer för att skapa en nationell bild av kritiska tillgångar och hot. Knutet till NIS2 Artikel 7 och direktivet om kritiska entiteters motståndskraft (CER).
Skapa en strukturerad nationell process för att rapportera sårbarheter till tillverkare och tjänsteleverantörer. Verka för rättslig klarhet för välmenande säkerhetsforskare, inklusive undantag från civil- och straffrättsligt ansvar.
Integrera ACP i NCSS. Verka för proaktiva ACP-policyer som en del av en bredare försvarsstrategis. ACP definieras i NIS2 skäl 57. Verka för både interna och, i bästa fall, externa ACP-förmågor.
Mål 12: nationell riskbedömning
År 2020 var riskbedömning bakgrundskontext för alla andra mål. Det var inte ett bedömningsbart objekt i sig. NCAF 2.0 gör det till ett bedömt mål med tre specifika delmål från avsnitt 2.3.
- Upprätta en mekanism för att konsolidera riskbedömningar över sektorer, "för att säkerställa en nationell bild av kritiska tillgångar och hot, i linje med befintliga krav under NIS2 och direktivet om kritiska entiteters motståndskraft (CER)".
- Anpassa cybersäkerhetsstrategins mål till nationella säkerhetsbehov genom en övergripande nationell riskbedömning.
- Underlätta sektorsspecifika riskbedömningar för att ta itu med risker mot kritiska sektorer.
Den nationella riskbedömningen matar sektorsklassificeringen under NIS2. Sektorerna i NIS2 bilagorna I och II avgör vilka entiteter som är väsentliga eller viktiga, vilket avgör verkställighetstätheten kring de produkter de entiteterna köper. Ett land som inte har genomfört en nationell riskbedömning saknar en klar bild av sina egna kritiska tillgångar.
Mål 19: samordnad policy för sårbarhetspublicering
CVD nämndes i 2020 års NCAF en gång, som fotnot 18 under leveranskedjesektionen. Det är nu ett förstklassigt bedömt mål med tre delmål från avsnitt 2.3.
- Upprätta en CVD-process "som beskriver ett strukturerat tillvägagångssätt för att rapportera sårbarheter till tillverkare och tjänsteleverantörer".
- Utveckla en nationell policy för att underlätta CVD och tillhandahålla ett ramverk för hantering av sårbarhetssrapporter.
- Verka för rättslig klarhet för välmenande sårbarhetsforskning, "inklusive, där så är lämpligt, undantag eller skyddsåtgärder från civil- och straffrättsligt ansvar, i linje med nationella rättsliga ramar".
Artikel 14 kräver att tillverkare rapporterar aktivt utnyttjade sårbarheter till det nationella CSIRT inom 24 timmar från att de blivit medvetna om dem. Den rapporteringsvägen förutsätter att ett land har en fungerande CVD-infrastruktur på mottagarsidan. En regering som bedöms på Nivå 1 eller 2 på Mål 19 har inte byggt den infrastrukturen ännu. Tillverkare i det landet uppmanas rapportera till ett system som fortfarande byggs.
Mål 20: aktivt cyberskydd
Aktivt cyberskydd förekom inte någonstans i 2020 års NCAF. ENISA definierar ACP med hänvisning till NIS2 skäl 57. Fotnot 15 i avsnitt 2.3 pekar dit uttryckligen. Ramverket sätter fyra mål.
- Integrera ACP i NCSS.
- Verka för policyer om proaktiva ACP-åtgärder som en del av en bredare försvarsstrategis.
- Verka för genomförandet av interna och, i bästa fall, externa ACP-förmågor för att förebygga, upptäcka, övervaka och begränsa nätverkssäkerhetsöverträdelser.
- Verka för användningen av ACP-verktyg och -tjänster för att dela hotinformation.
Inget annat mål använder frasen "externa förmågor" eller ramar in hotinformationsdelning som ett nationellt policymål på denna specificitetsnivå. Mål 20 återspeglar den post-2022 aktiva försvarsdebatten i EU-politik, i linje med cybersolidaritetsakten.
Var CRA förekommer i NCAF 2.0
NCAF 2.0 refererar till CRA i två sektioner och en frågebank. Dessa är de fem platserna.
Namngiven vid sidan av DORA som en viktig EU-lag ENISA stöder medlemsstater i att anta: "cyberresiliensförordningen (CRA) och direktivet om digital operativ motståndskraft (DORA)".
Listad som ett primärt EU-regeldokument som granskades vid utformningen av det uppdaterade ramverket. CRA påverkade direkt utformningen av mogandsfrågorna.
Frågar om obligatoriska standarder är "i linje med EU-ramar (t.ex. CRA, EU:s molntjänstschema)". Nivå 4-regeringar måste jämföra privatsektornsstandarder mot CRA med namn.
Mål inkluderar "genomföra toppmoderna åtgärder för att hantera cybersäkerheten i leveranskedjan för IKT-produkter och IKT-tjänster som används av väsentliga och viktiga entiteter". Det är kärnan i CRA:s produktomfång.
Sätter ett strukturerat tillvägagångssätt för att rapportera sårbarheter "till tillverkare och tjänsteleverantörer". Tillverkare är den part Artikel 14 i CRA håller ansvarig för sårbarhantering och 24-timmarsrapportering.
För tillverkare är mönstret lika viktigt som varje enskild referens. Regeringar på Nivå 4 på Mål 1 bedöms utifrån om deras privatsektornsstandardkrav är i linje med CRA med namn. Regeringar på Nivå 1 eller 2 på Mål 19 har ännu inte byggt den nationella CVD-infrastruktur som Artikel 14-rapportering i CRA är beroende av.
871 frågor: hur bedömningen fungerar i praktiken
2020 års NCAF beskrev 17 mål och gav vart och ett en lista med delmål. Länder bedömde sig själva mot dessa mål. Det fanns inga standardfrågor, inga poängtabeller och ingen frågebank. NCAF 2.0 tillför den strukturen: 871 cybersäkerhetskapacitetsfrågor fördelade på 20 mål och fem mognadsnivåer.
Läsa ett fråge-ID
Varje fråga har en tredelsidentifierare: målnummer, mognadsnivå och frågenummer inom den nivån. Fråga 14.2.5 är den femte frågan på mognadsnivå 2 för Mål 14 (upprätta cybersäkerhetsriskhanteringsåtgärder).
Vid sidan av de 871 kapacitetsfrågorna finns fem generella strategifrågor per nivå per mål. Dessa är identiska för alla 20 mål och frågar om målet framgår av NCSS, om en handlingsplan finns och om framsteg övervakas. De 871 kapacitetsfrågorna är det målspecifika tekniska lagret ovanpå det.
Obligatoriska vs icke-obligatoriska
Varje kapacitetsfråga är märkt 1 (obligatorisk) eller 0 (icke-obligatorisk):
Måste alla besvaras positivt innan ett land kan hävda den mognadsnivån. Ett enda negativt obligatoriskt svar begränsar poängen till föregående nivå, oavsett hur många andra frågor besvaras korrekt.
Räknas mot täckningskvoten men blockerar inte nivåprogression. Ett land kan nå en nivå med icke-obligatoriska luckor. Dessa luckor syns i täckningskvoten snarare än i mognadsnivåpoänget.
Hur poäng beräknas
Poängsättningen producerar två tal per mål och tar sedan genomsnittet på klusternivå och för alla 20 mål för den totala poängen.
Den högsta nivå där alla obligatoriska frågor besvaras positivt. Det är den officiella nivå ett land har nått för det målet. Framsteg inom en nivå (att besvara en del men inte alla obligatoriska frågor) påverkar inte detta tal.
Andelen positiva svar för alla frågor för ett mål, oavsett nivå. Ett land kan vara på Nivå 3 på mognad men visa 80 % täckning på Nivå 4-frågor. Täckningskvoten fångar upp dessa partiella framsteg.
De fem mognadsnivåerna
Alla fem nivåer döptes om och deras beskrivningar skrevs om. Den viktigaste förändringen: Nivå 1 år 2026 förutsätter att en medlemsstat redan har antagit en nationell cybersäkerhetsstrategi. Nivå 1 år 2020 beskrev ett land helt utan definierat tillvägagångssätt.
| Nivå | Namn 2020 | Namn 2026 | Vad som förändrats |
|---|---|---|---|
| 1 | Initial / Ad Hoc | Foundation | Förutsätter nu att NCSS är antagen (NIS2-minimum). 2020-versionen började från noll. |
| 2 | Early Definition | Developing | Handlingsplaner på plats och intressenter identifierade. |
| 3 | Establishment | Established | Styrningsstrukturer på plats, resurser tilldelade, konsekvent genomförande av målet. |
| 4 | Optimisation | Mature | Långsiktig lagstiftning, dedikerad nationell finansiering, nationella myndigheter etablerade och i drift. |
| 5 | Adaptiveness | Advanced | Dynamisk och adaptiv. Uttryckligen ambitiös: NCAF 2.0 anger att mycket få länder förväntas nå denna nivå för alla mål. |
Kluster 4 är en ny regulatorisk gruppering som direkt kartlägger mot CRA
2020 års NCAF hade fyra kluster: Cybersäkerhetsstyrning och standarder, Kapacitetsuppbyggnad och medvetenhet, Juridik och regelverk, och Samarbete. NCAF 2.0 behåller fyra kluster men döper om och omstrukturerar alla. Den viktigaste strukturförändringen för CRA-tillverkare är skapandet av Kluster 4.
Kluster 4: Regulatoriska och politiska ramverk. Fem mål som inte bildade en sammanhängande regulatorisk gruppering 2020:
Balansera säkerhet med integritet. Flyttad från det gamla klustret "Juridik och regelverk". Nu ett namngivet regulatoriskt instrument vid sidan av leveranskedja och CVD.
Förbättra leveranskedjans cybersäkerhet. År 2020 låg detta bredvid integritet och incidentrapportering. Nu förankrat i ett eget regulatoriskt kluster med uttryckligt NIS2- och upphandlingsomfång.
Skydda kritiska sektorer. Utökat från NIS1-terminologi (OES/DSP) till NIS2-omfång som täcker bilagorna I och II, undervattenskablar och det offentliga kärnan av internet.
Upprätta en CVD-policy. En fotnot 2020. Nu ett förstklassigt bedömt mål med tre delmål: den uppströms nationella infrastruktur som Artikel 14-rapportering i CRA är beroende av.
Verka för aktivt cyberskydd. Existerade inte 2020. Återspeglar post-2022 aktiv försvarspolitik i linje med NIS2 skäl 57 och cybersolidaritetsakten.
En regerings poäng för Kluster 4 berättar vilka av dessa instrument som finns på plats. Det är de fem politiska styrmedel regeringar kommer att använda för att genomföra och verkställa CRA-krav nationellt.
Ladda ned NCAF 2.0 från ENISA:s publikationssida och kontrollera vilka av de 20 målen ditt lands nuvarande NCSS täcker. Ett land vars NCSS inte inkluderar ett mål får noll poäng på det målet per definition. Det berättar exakt vilka politiska instrument som ännu inte finns på plats på din marknad.
NCAF 2.0 innehåller ett uttryckligt meddelande i avsnitt 2.1: "Nivå 5 anses extremt hög och mycket få länder, om ens något, förväntas nå denna nivå för alla mål." 2020-versionen innehöll ingen sådan reservation. Det är ett avsiktligt val för att göra ramverket användbart som ett verktyg för uppföljning av framsteg inom ett realistiskt intervall.
Vanliga frågor
Skapar NCAF 2.0 nya skyldigheter för produkttillverkare?
Nej. NCAF 2.0 är ett självbedömningsverktyg för nationella regeringar, inte en förordning för tillverkare. Det skapar inga rättsliga skyldigheter. Men det berättar vilka förmågor din regering har åtagit sig att bygga och på vilken mognadsnivå den för närvarande arbetar. En regerings poäng på Mål 19 (CVD-policy) berättar om den nationella sårbarhetshanteringsinfrastruktur som Artikel 14 i CRA är beroende av finns på plats. För dina egna CVD-skyldigheter som tillverkare under CRA, se vår CVD-policymall.
Hur kopplar Mål 19 (CVD-policy) till Artikel 14 i CRA?
Artikel 14 i CRA kräver att tillverkare rapporterar aktivt utnyttjade sårbarheter till det nationella CSIRT inom 24 timmar från att de blivit medvetna om dem. Den rapporteringsvägen kräver en fungerande nationell CVD-infrastruktur på mottagarsidan. Mål 19 i NCAF 2.0 bedömer om den infrastrukturen finns: en strukturerad CVD-process, en nationell policy för att hantera sårbarhetssrapporter och rättsligt skydd för välmenande forskare. Ett land på Nivå 1 på Mål 19 har inget av detta på plats. Tillverkare i det landet rapporterar till ett system som fortfarande byggs. För hur du strukturerar din egen CVD-procedur, se vår guide om ENISA:s 24-timmarskrav på sårbarhetssrapportering.
Är NCAF samma sak som NIS2-efterlevnadsbedömning?
Nej. NCAF mäter mognad i nationell cybersäkerhetsstrategi, inte enhetsnivå-efterlevnad av NIS2. En regering kan score bra på NCAF och ändå ha luckor i hur den övervakar väsentliga entiteter under NIS2. Kopplingen är att flera NCAF-mål är direkt bundna till NIS2-krav: Mål 13 (stärka nationell cybersäkerhetsstyrning) täcker de samordningsmekanismer NIS2 kräver, och Mål 14 (upprätta cybersäkerhetsriskhanteringsåtgärder) kartlägger mot NIS2 Artikel 21. NCAF 2.0 kan också användas som verktyg vid frivilliga NIS2 Artikel 19-kollegiala granskningar mellan medlemsstater. För hur NIS2- och CRA-skyldigheter överlappar för tillverkare, se guiden om NIS2 och CRA-överlapp.
Kan vi använda NCAF 2.0 för att jämföra vår egen produktsäkerhet?
Inte direkt. NCAF 2.0 är utformat för nationella regeringar som bedömer sin NCSS. "Du" i NCAF-frågorna avser medlemsstaten. Men delmålen och mogandsfrågorna för Mål 1 (privatsektorns cyberresiliens, inklusive SME:er) beskriver vad ett moget nationellt cybersäkerhetsprogram förväntar sig av privatsektorsaktörer. Att läsa Nivå 3- och Nivå 4-frågorna för Mål 1 berättar vad en regering på den mognadsnivån förväntar sig att din organisation ska kunna visa. För en direkt bedömning av dina produkter mot CRA-krav, använd CRA-tillämplighetskontrollen.
När börjar regeringar använda NCAF 2.0?
ENISA publicerade NCAF 2.0 i april 2026 som ett frivilligt verktyg regeringar kan använda från och med nu. Det finns inget obligatoriskt startdatum. Grekland, Italien och Luxemburg genomförde pilottester av det första utkastet. Luxemburg lyfte fram NCAF:s värde för strukturerad NCSS-förberedelse och behovet av förenkling. Italien noterade att det ger användbar strategisk input för den kommande policycykeln och bidrar till att stödja prioritering och jämförelse mot EU Cybersecurity Index. Grekland underströk anpassningen till NIS2 och ramverkets användbarhet för att kartlägga nationella policyer och identifiera luckor. Dessa är de observationer pilotländerna delade under utvecklingen, enligt avsnitt 1.2.6 i NCAF 2.0.
Vad hände med 2020-årets "framtida hänsyn"-mål?
2020 års NCAF listade fem mål som studerades men uteslöts, flaggade som möjliga framtida tillägg: sektorsspecifika cybersäkerhetsstrategier, bekämpning av desinformationskampanjer, säkring av banbrytande teknik (5G, AI, kvantteknik), säkerställande av datasuveränitet och incitament för cyberförsäkringsbranschen. Ingen av dessa fem förekommer i NCAF 2.0 som fristående mål. AI och post-kvantkryptografi förekommer inom delmålen för Mål 4 (främja FoU och innovation) som namngivna exempel, men inte som separata bedömda objekt. Versionen 2.0 tar också bort den bilaga som listade dessa 2020-årets framtida hänsyn.
Nästa steg
Denna artikel är endast för informationsändamål och utgör inte juridisk rådgivning. För specifik vägledning om efterlevnad, konsultera behörig juridisk rådgivare.
Relaterade artiklar
Gäller CRA för din produkt?
Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.
Redo att uppnå CRA-efterlevnad?
Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.