Die EU-Cybersicherheitsbehörde ENISA hat ihr Bewertungssystem für nationale Sicherheitsstrategien grundlegend überarbeitet. Am 22. April 2026 veröffentlichte die Agentur das National Capabilities Assessment Framework 2.0 (NCAF 2.0) – ein überarbeitetes Instrument, das den Mitgliedsstaaten helfen soll, die Reife ihrer Cybersicherheitsstrategien zu messen. Der Zeitpunkt ist kein Zufall: Die nationalen Regierungen kämpfen mit der Umsetzung der NIS2-Richtlinie und suchen dringend nach standardisierten Methoden, um ihre Abwehrfähigkeiten zu vergleichen.
Neue EU-Vorgaben und steigende Cyberrisiken stellen Unternehmen vor große Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit zukunftssicher aufzustellen. Cyber Security E-Book jetzt kostenlos herunterladen
Mehr Ziele, bessere Bewertung
Das neue Framework geht deutlich detaillierter vor als sein Vorgänger. Statt bisher 17 strategischen Zielen umfasst NCAF 2.0 nun 20 strategische Ziele. Diese decken ein breiteres Spektrum moderner Sicherheitsanforderungen ab – von der Resilienz des Privatsektors über den Schutz kleiner und mittlerer Unternehmen (KMU) bis hin zur Förderung von Cyberhygiene in der gesamten Gesellschaft.
ENISA hat die strategischen Ziele neu gruppiert, um sie besser an die aktuelle europäische Politiklandschaft anzupassen. Nationale Entscheidungsträger können ihre Leistung jetzt auf mehreren Ebenen bewerten: auf der Ebene einzelner Ziele, auf Clusterebene oder als globale Bewertung ihrer gesamten nationalen Strategie.
Begleitend zur Methodik hat ENISA auch das NCAF-Online-Tool aktualisiert. Regierungsbeamte und Cybersicherheitsexperten können dort Daten zu ihren nationalen Strategien eingeben und erhalten eine strukturierte Analyse des Umsetzungsfortschritts. Das Framework nutzt fünf verschiedene Reifegrade, die in der Version 2.0 neu definiert wurden, um die Dynamik moderner Cyberbedrohungen besser abzubilden.
NIS2-Konformität als zentraler Treiber
Der Hauptgrund für die Überarbeitung: Die nationalen Bewertungsinstrumente müssen mit der NIS2-Richtlinie kompatibel sein. Seit der Umsetzungsfrist Ende 2024 suchen die Mitgliedsstaaten nach robusteren Mechanismen, um die Melde- und Aufsichtspflichten der Richtlinie zu erfüllen. NCAF 2.0 unterstützt diese Bemühungen explizit – insbesondere den freiwilligen Peer-Review-Prozess gemäß Artikel 19 der NIS2-Richtlinie.
Der Peer-Review-Mechanismus ist ein Eckpfeiler der EU-Strategie für ein hohes gemeinsames Cybersicherheitsniveau. Mit NCAF 2.0 können Mitgliedsstaaten interne Selbsteinschätzungen durchführen, die dieselben Kriterien verwenden wie ihre europäischen Partner. Das Framework adressiert spezifisch die Anforderungen an nationale Cybersicherheitsstrategien und die Einrichtung zuständiger Behörden – beides Pflichtelemente unter dem aktuellen Regulierungsrahmen.
Darüber hinaus unterstützt das Framework die Umsetzung der Artikel 7, 21 und 23 der NIS2-Richtlinie. Diese Abschnitte befassen sich mit nationalen Cybersicherheitsstrategien, Risikomanagementmaßnahmen und der Meldung von Vorfällen.
Während staatliche Stellen ihre Strategien anpassen, müssen auch Firmen ihre Abwehrmechanismen gegen gezielte Angriffe wie CEO-Fraud verstärken. Das kostenlose Anti-Phishing-Paket liefert eine detaillierte Risikoanalyse und zeigt in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor Cyberkriminalität schützen. Kostenloses Anti-Phishing-Paket sichern
Datengetriebene Politik statt leere Versprechen
Die Veröffentlichung von NCAF 2.0 ist Teil eines breiteren Trends hin zu datengetriebener Cybersicherheits-Governance in der Europäischen Union. Bereits im Sommer 2025 veröffentlichte ENISA technische Leitlinien zu Cybersicherheits-Risikomanagementmaßnahmen, die die Durchführungsverordnung 2024/2690 in praktische, evidenzbasierte Beispiele für Organisationen übersetzten.
NCAF 2.0 setzt diesen Trend fort, indem es sich auf messbare Ergebnisse konzentriert. Das Framework wurde durch umfangreiche Konsultationen mit den Mitgliedsstaaten validiert. Die aktualisierte Methodik ermutigt die Behörden, über die reine Gesetzeseinhaltung hinauszublicken und sich auf die operative Wirksamkeit zu konzentrieren – etwa die Fähigkeit zur grenzüberschreitenden Koordination oder zur Sicherung digitaler öffentlicher Dienstleistungen.
Diese Fokussierung auf operative Reife spiegelt sich auch in aktuellen Evaluierungen des Europäischen Cybersicherheits-Zertifizierungsrahmens wider. Im Januar 2026 veröffentlichte die Europäische Kommission eine Bewertung von ENISAs Mandat und der Wirksamkeit bestehender Zertifizierungssysteme. Die Ergebnisse zeigten den Bedarf an einheitlicheren Instrumenten zur Verringerung der Fragmentierung im Binnenmarkt. NCAF 2.0 adressiert dies, indem es eine einzige, maßgebliche Referenz für die Fähigkeitsentwicklung bietet.
Ausblick: Von der Theorie zur Praxis
In den kommenden Monaten werden die nationalen Behörden das aktualisierte Tool voraussichtlich nutzen, um ihre Sicherheits- und Compliance-Budgets für 2027 zu planen. Durch die Identifizierung spezifischer Lücken – etwa in der Lieferketten-Sicherheit oder der Incident-Response – können Regierungen Mittel und Ressourcen gezielter priorisieren.
Die Integration von NCAF 2.0 in die regelmäßigen Berichtszyklen der NIS-Zusammenarbeitsgruppe dürfte zudem zu häufigeren Benchmarking-Berichten führen. Das verspricht ein klareres Bild der kollektiven Resilienz der Union.
Ob NCAF 2.0 ein Erfolg wird, hängt letztlich davon ab, wie bereitwillig die Mitgliedsstaaten an den freiwilligen Bewertungs- und Peer-Review-Prozessen teilnehmen. Angesichts der zunehmenden Komplexität grenzüberschreitender Bedrohungen und der steigenden Kosten von Cybervorfällen ist der Schritt hin zu einem standardisierten, reifegradbasierten Bewertungsrahmen jedoch überfällig. Mit praktischen, technischen Werkzeugen wie NCAF 2.0 zeigt die EU, dass sie den Übergang von der Politikentwicklung zur aktiven, messbaren Umsetzung ernst nimmt.
