ENISA aktualisiert Bewertungsrahmen für nationale Cybersicherheit
Mit NCAF 2.0 stellt die EU-Cybersicherheitsagentur ein überarbeitetes Werkzeug bereit, mit dem Mitgliedstaaten den Reifegrad ihrer nationalen Sicherheitsstrategien prüfen können. Es ist auch auf die NIS2-Richtlinie zugeschnitten.
Die EU-Agentur für Cybersicherheit ENISA hat eine neue Fassung ihres National Capabilities Assessment Framework veröffentlicht. Das als NCAF 2.0 bezeichnete Rahmenwerk soll nationalen Behörden helfen, die Umsetzung ihrer National Cybersecurity Strategies (NCSS) systematisch zu bewerten. Neben dem Dokument selbst stellt die ENISA ein begleitendes Online-Tool bereit. Die erste Version des Frameworks war im Dezember 2020 erschienen.
Reifegradmessung für Strategien und Behörden
Adressaten sind laut ENISA in erster Linie Politikverantwortliche, Fachexperten und Regierungsmitarbeiter, die mit dem Entwurf, der Umsetzung und der Evaluierung nationaler Cybersicherheitsstrategien befasst sind. Über einen strukturierten Bewertungsansatz sollen sie Stärken, Lücken und prioritäre Handlungsfelder identifizieren können. Die in den jeweiligen Strategien verankerten Ziele werden dabei nach ihrem Reifegrad eingestuft – sowohl auf strategischer als auch auf operativer Ebene.
Damit zielt die ENISA auf ein bekanntes Problem: Nationale Cybersicherheitsstrategien existieren in allen Mitgliedstaaten, ihre tatsächliche Umsetzung lässt sich jedoch bislang nur schwer vergleichen. NCAF 2.0 soll hier als gemeinsame Referenz dienen, die wechselseitiges Lernen und den Austausch bewährter Praktiken zwischen den Mitgliedstaaten erleichtert. Die Agentur weist ausdrücklich darauf hin, dass die Bewertung an den jeweiligen nationalen Kontext und individuelle Prioritäten angepasst werden kann.
Anbindung an NIS-2 und Peer Reviews
Das aktualisierte Framework ist nach Angaben der ENISA auf den aktuellen rechtlichen Rahmen der EU abgestimmt, insbesondere auf die NIS-2-Richtlinie. Konkret soll NCAF 2.0 die Mitgliedstaaten auf das in Artikel 19 der Richtlinie vorgesehene freiwillige Peer-Review-Verfahren vorbereiten, in dem sich nationale Behörden gegenseitig in Sachen Cybersicherheit prüfen lassen können.