ENISAs teknik- och innovationsradar: vad metodologin innebär för CRA-tillverkare

ENISA publicerade metodologin för sin teknik- och innovationsradar (TIR) i april 2026 (ISBN 978-92-9204-790-0, DOI 10.2824/2390334). Innan den första radarupplagan publiceras är hela poängsättningsramverket tillgängligt. Det förklarar exakt hur ENISA kommer att klassificera varje cybersäkerhetsteknik på en femzonsskala, från "identifiera" (inte lämplig för driftsättning ännu) till "implementera" (driftsätt nu och skala upp).

För CRA-tillverkare är detta direkt relevant. Artikel 13 i cyberresiliensförordningen kräver att du håller produkter säkra under hela livscykeln, i linje med det aktuella tekniska kunskapsläget. TIR kommer att bli den närmaste EU-officiella kartan över vad "aktuellt tekniskt kunskapsläge" innebär i praktiken. Att förstå hur poängsättningen fungerar innan de första resultaten publiceras ger dig ett försprång.

Här är vad metodologin innehåller och vad du behöver förstå.

Vad ENISA menar med en "signal"

En signal är, inom framsynspraktiken, en konkret manifestation av något nytt: ett observerbart tecken på att något är på väg att förändras. ENISAs TIR följer inte breda kategorier som "artificiell intelligens" eller "nolltillit". Den följer specifika, namngivna tekniska tillämpningar på en definierad abstraktionsnivå.

Metodologin använder en fyrnivåtaxonomi för att klassificera varje kandidatsignal innan den går in i poängsättningspipelinen. Signaler som inte kan placeras i en av dessa fyra kategorier flaggas som alltför vaga och skickas tillbaka för revidering.

Verktyg är konkreta programvaruprodukter eller hjälpmedel som utför en specifik uppgift inom ett livscykeln för utveckling eller drift. En nätverksprotokollanalysator är ett verktyg.

Plattformar är grundläggande ekosystem eller körmiljöer som tillhandahåller infrastruktur, tjänster och integrationsmöjligheter för att bygga, driftsätta och skala applikationer. SOAR-system (Security Orchestration, Automation and Response) är plattformar.

Tekniker är systematiska metoder, mönster eller tillvägagångssätt för att utforma, testa och vidareutveckla programvarusystem. Postkvantkryptografi är en teknik.

Trender är framväxande skiften i cybersäkerhetsparadigm, ramverk eller ekosystempraxis som påverkar hur tekniker tillämpas. Nolltillit-arkitektur är en trend.

En signal som klassificeras som alltför bred måste omformuleras innan den kan behandlas vidare. "AI inom cybersäkerhet" är för vagt. "Maskininlärning för beteendebaserad hotdetektering" är tillräckligt specifikt för att bedöma. ENISA tillämpar ett fyra-frågors beslutsträd för att tilldela varje signal en kategori: Kan en organisation konkret driftsätta den? Utför den en specifik uppgift eller tillhandahåller den ett grundläggande ekosystem? Är den ett strukturerat sätt att göra något snarare än en produkt? Representerar den en bred säkerhetsfilosofi? Svaren leder till en av de fyra kategorierna, eller utfallet "för vagt: granska".

Varje signalpost i ENISAs centraliserade arkiv måste innehålla en minimiuppsättning metadata:

• Signalnamn och kort beskrivning
• Technology Readiness Level (TRL), antingen från källan eller härledd genom bästa tillgängliga uppskattning
• Aktuell adoptionsnivå (innovatörer, tidiga användare, tidig majoritet, sen majoritet, eftersläntare)
• Typ av källa (marknadsrapport, policyrapport, vitbok, expertintervju)
• Titel på dokument eller namn på intervjuad expert
• Publicerings- eller intervjudatum
• Upphovsperson, publicerande organisation eller expertens tillhörighet
• Domän och sektor, om specificerade

Denna strukturerade metadata är det som gör poängsättningen reproducerbar och granskningsbar mellan upplagar.

Varför taxonomin spelar roll för Bilaga VII

Denna klassificering är kompatibel med hur CRA-teknisk dokumentation beskriver produktsäkerhetsarkitektur. Om du dokumenterar dina säkerhetskontroller under Bilaga VII ger det att organisera dem efter signaltyp (vilka verktyg du använder, vilka plattformar de kör på, vilka tekniker som styr din utveckling och vilka arkitekturtrender du följer) ett ordförråd som direkt kartlägger mot det ramverk ENISA kommer att använda i radarn. Den anpassningen gör det lättare att referera till radarn när den publiceras. Se vår guide om Bilaga VII teknisk dokumentation för de specifika kraven.

Hur ENISA bygger och rensar sin signallista

Innan någon poängsättning sker kör ENISA en tvåfasig insamlings- och rensningsprocess.

Primär signalinsamling hämtar från auktoritativa källor. ENISA tillämpar fyra kriterier när de väljer källor: anseende och opartiskhet (enheten bör vara allmänt erkänd för ämneskunskap och oberoende), metodologisk stringens (rapporter bör visa användning av analytiska eller empiriska metoder), aktualitet (bara rapporter publicerade inom de senaste ett till två åren) och transparens (källan bör vara tydlig om sin data eller bevisbas).

ENISA identifierar tio typer av auktoritativa källor relevanta för TIR:

Kompletterande signalinsamling använder expertinput via onlineformulär via EU Survey och faciliterade gruppworkshops med diskussionsgrupper om 10 till 20 deltagare vardera. ENISA planerar att inrätta en Ad Hoc Working Group (AHWG) med upp till 30 experter utvalda via en öppen ansökan, bestående av teknikleverantörer, integratörer, tjänsteoperatörer, slutanvändare, representanter för kritisk infrastruktur, organ för bedömning av överensstämmelse, revisorer och testlaboratorier.

Signalrensning följer insamlingen. Varje post i det centraliserade arkivet granskas för att eliminera dubbletter och lösa tvetydigheter. Nästan identiska tillämpningar uttryckta med olika formuleringar, till exempel "nolltillit-säkerhet" och "nolltillit-arkitektur", konsolideras till en enda harmoniserad formulering. Leverantörsspecifika signaler utesluts såvida de inte kan generaliseras till en brett adopterad teknikklass. Vaga eller alltför breda poster flaggas och antingen revideras eller tas bort.

Signalklustring organiserar de rensade signalerna på två nivåer. Den första och obligatoriska nivån tilldelar varje signal en av de fyra abstraktionstyperna (verktyg, plattform, teknik, trend). Den andra, valfria nivån tilldelar signaler efter domän eller sektor med JRC Cybersecurity Taxonomy publicerad av Europeiska kommissionen 2022. ENISA noterar också att ECSO-taxonomin och NIST Cybersecurity Framework alternativt kan användas, men rekommenderar att välja en standard från början och tillämpa den i alla upplagar för att möjliggöra longitudinella jämförelser.

Hur ENISA poängsätter varje signal: styrka och momentum

Varje signal som passerar initial expertvalidering poängsätts på två sammansatta dimensioner.

Styrka mäter hur mogen och etablerad en teknik är. Den återspeglar både utvecklingsberedskap (TRL) och erkännande i auktoritativa källor, akademisk forskning, patentlandskapet och mediabevak ning. Formeln är:

TRL bär hälften av totalvikten eftersom den mest direkt återspeglar om en teknik är driftsättningsbar, inte bara diskuterad. TRL 1 till 2 representerar experimentell forskning och ger poängen 1. TRL 9, mogen teknik med bevisad prestanda under operativa förhållanden, ger 5. TRL 5 till 6, teknik validerad i tester, ger 3. De fyra stödindikatorn normaliseras till percentilband över hela signaldataset: värden i den lägsta 20:e percentilen ger 1, värden över den 80:e percentilen ger 5.

Momentum mäter hur snabbt en teknik vinner uppmärksamhet och fångar hastighet snarare än volym. Formeln är:

Aktuell adoptionsnivå förankrar momentum vid 50%, parallellt med TRLs roll i styrkan. År-för-år-tillväxttrösklar bestämmer de återstående poängen: 20% eller mer YoY-tillväxt ger 5. Tillväxt mellan 11% och 20% ger 4. Tillväxt mellan 6% och 10% ger 3. Tillväxt mellan 0% och 5% ger 2. Negativ tillväxt ger 1.

De två poängen placerar varje signal i en av fyra makrokategorier i en styrka/momentum-matris:

Metodologin slår fast att poängsättningströsklar inte ska ändras godtyckligt mellan upplagar, såvida inte substantiell återkoppling inkommit eller kontextspecifika behov uppstått. Det bevarar år-för-år-jämförbarhet och låter ENISA bygga ett longitudinellt dataset som visar hur tekniker rör sig i matrisen över tid.

De fem radarzonerna för starka signaler

Starka signaler genomgår adoptionslikelihoodbedömning innan de placeras på radarn. ENISA använder ett undersökningsinstrument grundat i UTAUT-ramverket, anpassat för att täcka tre distinkta respondentgrupper: teknikanvändare (bedömer inverkan på säkerhetsarbetsflöden och KPI:er), teknikleverantörer och FoU-enheter (bedömer driftsättningslätthet, klientefterfrågan och marknadsintention) och institutionella aktörer som regulatorer och standardutvecklingsorganisationer (bedömer styrningsmöjlighet, policyöverensstämmelse och samhällsvärde).

Varje grupp bedömer fem konstrukt på en femgradig Likertskala.

Prestandaförväntning: bidrar användningen av denna teknik till att uppnå säkerhetsmål? Gör den det lättare att uppfylla KPI:er?

Ansträngningsförväntning: hur lätt är den att implementera utan stora tekniska utmaningar eller omfattande utbildning?

Social påverkan: har konkurrenter och nyckelpartners redan adopterat eller rekommenderat den?

Möjliggörande villkor: finns budget, infrastruktur, regulatoriska ramverk och personalkompetenser på plats?

Beteendeintention: planerar organisationen att fortsätta eller utöka investeringen i denna teknik?

De 15 frågorna per grupp bidrar lika till en gruppadoptionslikelihoodpoäng. De tre grupppoängen medelvärdesberäknas till en total adoptionslikelihoodpoäng. Denna sammansatta poäng placerar varje stark signal i en av fem koncentriska zoner på radardiagrammet:

Radardiagrammet delar upp signaler i fyra kvadranter efter abstraktionstyp: Verktyg, Plattform, Teknik och Trend. De fem koncentriska zonerna löper från den yttersta ringen (Identifiera) till den innersta (Implementera). En teknik placerad i Implementera-ringen i Teknik-kvadranten berättar på ett ögonblick att det är en mogen, systematiskt tillämpbar metod som det europeiska cybersäkerhetsekosystemet anser redo för bred driftsättning.

Spårning av tidiga tekniker: metoden för svaga signaler

Svaga signaler är tekniker som poängsätter lågt på styrka men kan bära störningspotential på medellång till lång sikt. De visas inte på det huvud-sakliga radardiagrammet. I stället placerar ENISA dem i ett separat framsynsdiagram längs två dimensioner.

Utvecklingshastighet använder ramverket Technological Innovation Systems (TIS) av Markard och Truffer (2008). Expertpaneler poängsätter sju funktioner som återspeglar om ett innovationsekosystem aktivt formas kring tekniken:

1. Kunskapsutveckling och spridning: uppstår ny forskning och delas den via publikationer, konferenser eller samarbeten?
2. Entrepreneuriell experimentering: testar startups, företag eller institutioner tekniken i verkliga miljöer, med piloter, prototyper eller tidiga användningsfall?
3. Utveckling av positiva externa effekter: skapar signalen nätverkseffekter eller synergi med andra tekniker eller sektorer?
4. Vägledning av sökningen: framgår den i strategiska dokument, policyer eller organisationella vägkartor?
5. Marknadsbildning: håller tidiga marknader eller nischapplikationer på att formas, även om bredare adoptionshinder kvarstår?
6. Resursmobilisering: finns finansiellt stöd, kvalificerad arbetskraft eller infrastruktur tillgängliga för att upprätthålla dess utveckling?
7. Skapande av legitimitet: ser institutionella aktörer positivt på signalen och växer brett acceptans?

Varje funktion poängsätts 1 till 5. Den sammansatta utvecklingshastighetspoängen är det aritmetiska medelvärdet av alla sju.

Marknadspotential poängsätts på tre underdimensioner: sektoriell genomträngning (stannar signalen inom en sektor eller sprider den sig brett över många?), domännytta (hur många av de 15 cybersäkerhetsfunktionerna i JRC European Cybersecurity Taxonomy hanterar den?) och typ av användare (enbart högt specialiserade aktörer eller tillgänglig för SME:er och allmänheten?).

Detta ger ett 2x2-framsynsdiagram med fyra kvadranter:

• Utforskning: låg utvecklingshastighet och låg marknadspotential. Spekulativa signaler med begränsat aktuellt bevis men potentiellt visionärt värde.
• Marknadskonsolidering: hög marknadspotential men lägre utvecklingshastighet. Tidiga användare börjar utforska signalen. Mer strukturerad utveckling och stöd kan följa.
• Teknikkonsolidering: hög utvecklingshastighet men fortfarande begränsad marknadsspridning. Avancerar i forskning och experimentering, men kommersiell adoption är osäker.
• Redo för övergång: hög på båda dimensionerna. Närmast att bli starka signaler. Teknikgrunderna konsolideras och sektorsövergripande intresse ökar påtagligt. Tidiga policydiskussioner kan hjälpa till att förutse deras inverkan och integration.

Svaga signaler visas inte i den huvudsakliga radarvisualiseringen, men de är ett viktigt bidrag till framtida upplagar. Signaler i "Redo för övergång" är i synnerhet kandidater för omklassificering till starka signaler i nästa radarcykel.

Varifrån data kommer

ENISAs poängsättning bygger på tre primära kvantitativa datakällor, alla åtkomliga via JRC TIM-analysplattformen, ett automatiserat text- och dataminingssystem utvecklat av Europeiska kommissionens Joint Research Centre.

Scopus, underhållet av Elsevier, täcker akademiska tidskrifter, preprints, böcker och konferenshandlingar, inklusive över 25,5 miljoner öppet tillgängliga dokument. Det tillhandahåller antal akademiska publikationer och år-för-år-trender för signal styrka och momentum-poängsättning.

PATSTAT innehåller bibliografisk och juridisk patent-händelsedata från EU:s medlemsstater, hämtad från Europeiska patentverkets databas. Det tillhandahåller antal patentansökningar och år-för-år-förändringar.

Europe Media Monitor (EMM) samlar ungefär 300 000 nyhetsartiklar per dag på upp till 70 språk. Det tillhandahåller nyhets- och söktr endantal och år-för-år-förändringar.

Nyckelordskonstruktionen som driver alla tre databasfrågor kontrolleras via ett centraliserat lexikon. Lexikonet valideras av ENISAs Core Radar Team och fryses för varje radarupplaga. En nyckelordsmängd för "Extended Detection and Response" kan inkludera termer som 'XDR', 'Extended Detection and Response' och 'Advanced threat detection platform', kombinerade med ett publikationsår-filter i en boolesk frågestruktur. Varje framtida ändring av lexikonet kräver dokumenterad motivering, eftersom ändringar påverkar poängjämförbarhet mellan upplagar.

Detta tillvägagångssätt gör poängsättningen reproducerbar. En tillverkare som granskar en tekniks radarposition kan spåra den tillbaka till de specifika nyckelorden, databasfrågor och normaliseringstösklar som använts.

Snabbspårsmekanismen och signalens livscykel

När EU-institutioner eller kommissionens prioriteringar flaggar en specifik teknik som strategiskt brådskande kan ENISA aktivera ett snabbspårsförfarande. Den begärande enheten tillhandahåller ett baslinjedataset: signalnamn och beskrivning, en uppskattad TRL, aktuell adoptionsnivå, abstraktionsnivåklassificering och sektor- och domänkontext. Ett internt team genomför sedan en initial granskning för att kontrollera duplicering och taxonomikoherens.

Om signalen passerar granskningen genomför en mikropanel med tre till fem experter en snabbvalidering på ungefär 10 dagar. Experterna lämnar kvantitativa styrke- och momentumuppskattningar på en 1 till 5-skala och kvalitativa kommentarer om strategisk inverkan. Signalen avancerar sedan direkt till utvärderingsfasen.

Snabbspårssignaler markeras med en distinkt etikett på den offentliga instrumentpanelen. De är fortsatt föremål för fullständig validering i nästa ordinarie uppdateringscykel. Metodologin är tydlig med avvägningen: snabbspårssignaler saknar den referensmätningsdjup som standardprocessen ger och kan inte direkt jämföras med signaler som genomgått fullständig kvalificering.

Livscykelhantering av signaler följer en parallell logik. Varje ny upplaga granskar alla aktiva signaler. Signaler som inte längre uppvisar tillräcklig styrka och momentum tas bort, bedömda på en treårsbasis. Signaler som nått teknisk mognad och utbredd adoption fasas också ut: de erkänns ha rört sig bortom radarns framsynsomfång och följs via andra operativa mekanismer i stället. För tillverkare är en teknik som lämnar radarn en signal i sig: den har blivit en baslinjeförväntning snarare än en differentierande förmåga.

Den offentliga instrumentpanelen kommer att åtföljas av en detaljerad metodologisk not som tydligt anger hur varje signal identifierades, hur varje indikator mättes eller uppskattades, och eventuella begränsningar eller antaganden som tillämpades under processen. Det tekniska formatet för instrumentpanelen (PowerBI eller likvärdigt) definieras i ett senare skede av projektet.

Vad radarn innebär för ditt CRA-efterlevnadsprogram

TIR skapar inga nya rättsliga skyldigheter. Men den kommer att bli auktoritativa bevis på vad EU anser moget och adoptionsredo i hela cybersäkerhetsekosystemet. Det har praktiska konsekvenser för tre områden av ditt CRA-efterlevnadsarbete.

Teknisk dokumentation under Bilaga VII. Bilaga VII kräver att tillverkare dokumenterar säkerhetsdesignen för produkten med digitala element, inklusive de säkerhetslösningar som tillämpas och de processer som inrättats för sårbarhetshantering. TIRs fyrnivåsignaltaxonomi (verktyg, plattform, teknik, trend) ger ett strukturerat ordförråd för att beskriva din säkerhetsarkitektur. Att dokumentera vilken radarzon dina kritiska säkerhetskontroller befann sig i vid tidpunkten för produktdesignen skapar en tidstämplad registrering av din bedömning av det aktuella tekniska kunskapsläget. Se vår guide om Bilaga VII teknisk dokumentation.

Sårbarhetshantering under Artikel 13. Artikel 13(6) kräver att tillverkare hanterar sårbarheter utan onödigt dröjsmål och tillämpar patchar eller åtgärder i rätt tid. Radarn kommer att följa adoptionslivscykeln för verktyg och tekniker för sårbarhetshantering specifikt. Ett verktyg som rör sig från "Observera" till "Testa" i på varandra följande radarupplagor är en kvantifierad signal om att ekosystemet konvergerar kring det. Tillverkare som följer dessa rörelser kan fatta proaktiva verktygsbeslut snarare än reaktiva. Se vår guide om ENISAs 24-timmarsskyldigheter för sårbarhetrapportering.

Beslut om Secure by Design. De Secure by Design-principerna i ENISAs Security by Design and Default Playbook (v0.4, mars 2026) beskriver praxis snarare än specifika teknikval. TIR fyller gapet genom att namnge vilka konkreta verktyg och tekniker som är redo för de praxis. En tillverkare som implementerar säker uppstart, till exempel, använder radarn för att bedöma mognaden hos den specifika firmware-signeringsinfrastruktur de överväger. ENISA Secure by Design-spelboken täcker principerna. TIR kommer att täcka teknikimplementeringarna.

En praktisk not om timing. Den första radarupplagan har ännu inte publicerats. Tills den gör det kommer de relevanta bevisen för bedömningar av det aktuella tekniska kunskapsläget från samma källkategorier som ENISA använder för signalinsamling: Gartner, Fraunhofer, ETSI, ECSO, BSI, NCSC och NIST-publikationer. TIR-metodologin gör dessa källkategorier explicita och ger ett ramverk för att vikta dem.

MSB (Myndigheten för samhällsskydd och beredskap) och NCSC Sverige har per april 2026 inte publicerat CRA-specifik vägledning för svenska tillverkare. TIR-metodologin och de källkategorier ENISA listar är den tydligaste tillgängliga referenspunkten för svenska tillverkare när de bedömer teknisk mognad under CRA.