NCAF 2.0 constituye una actualización metodológica para evaluar capacidades nacionales de ciberseguridad en Estados miembros de la Unión Europea, en un entorno donde las amenazas digitales se intensifican y el marco normativo europeo exige estrategias nacionales más completas. Desde 2017, todos los Estados miembros cuentan con una estrategia nacional de ciberseguridad, pero su diseño, implementación y evaluación requieren instrumentos que permitan medir avances, detectar vacíos y orientar decisiones de política pública. La actualización responde a cambios regulatorios posteriores a la versión de 2020 y se alinea con NIS2, el Cybersecurity Act, el Cyber Resilience Act y DORA, integrando nuevas exigencias sobre gobernanza, resiliencia, gestión del riesgo, revisión entre pares y protección de sectores críticos. La metodología permite realizar autoevaluaciones voluntarias sobre el nivel de madurez de las capacidades nacionales, sin publicar resultados salvo decisión expresa del Estado miembro. Esta condición favorece un uso interno orientado al aprendizaje, la planificación y la mejora progresiva. La herramienta puede aplicarse al conjunto de objetivos, a un grupo específico o a un solo objetivo, lo que ofrece flexibilidad para países con distintos niveles de avance, prioridades institucionales y disponibilidad de recursos. Sus resultados permiten identificar áreas de mejora, construir capacidades, apoyar la rendición de cuentas de acciones políticas, fortalecer credibilidad ante ciudadanía y socios internacionales, anticipar desafíos y establecer una línea base para discusiones europeas sobre ciberseguridad.
El modelo conserva una escala de cinco niveles de madurez. El nivel 1 corresponde a una base inicial, donde existe una estrategia nacional, pero aún falta un enfoque estructurado y sistemático de construcción de capacidades. El nivel 2 refleja una aproximación en desarrollo, con planes de acción y actividades iniciadas en áreas prioritarias. El nivel 3 implica medidas sistemáticamente implementadas, estructuras de gobernanza operativas, responsabilidades asignadas, recursos definidos y cronogramas establecidos. El nivel 4 representa una madurez mayor, con planeación alineada entre sectores y niveles de gobierno, mecanismos institucionalizados, financiación y evaluación periódica. El nivel 5 plantea una capacidad avanzada, dinámica y adaptativa frente a cambios tecnológicos, geopolíticos y del panorama de amenazas, con decisiones apoyadas en monitoreo continuo, investigación, innovación y cooperación internacional. La estructura de evaluación se organiza en 20 objetivos agrupados en cuatro clústeres. El primero aborda construcción de capacidades y conciencia, incluyendo resiliencia e higiene cibernética del sector privado y pymes, sensibilización, brechas de habilidades, investigación e innovación, y preparación y respuesta ante incidentes. El segundo se concentra en cooperación y colaboración, con objetivos sobre ciberdelito, cooperación internacional, intercambio confiable de información y asistencia mutua. El tercero cubre gobernanza de ciberseguridad, crisis, identidad digital, evaluación nacional de riesgos, gobernanza nacional, gestión del riesgo e incidentes. El cuarto se orienta a marcos regulatorios y de política, incorporando equilibrio entre seguridad y privacidad, ciberseguridad de la cadena de suministro, protección de sectores críticos, divulgación coordinada de vulnerabilidades y protección cibernética activa.
El mecanismo de puntuación combina nivel de madurez y ratio de cobertura. El nivel de madurez se calcula como el nivel más alto para el cual se cumplen todos los requisitos, incluyendo los de niveles anteriores. El ratio de cobertura mide la proporción de indicadores con respuesta positiva frente al total de preguntas de un objetivo, lo que complementa la evaluación jerárquica con una lectura de avance más granular. Estos indicadores pueden calcularse por objetivo, por clúster o a escala global, y diferenciar entre puntajes generales, que consideran todos los objetivos, y puntajes específicos, ajustados a los objetivos seleccionados por cada Estado miembro. La aplicación práctica incorpora investigación documental, revisión de estrategias nacionales y normativas europeas, análisis de modelos de madurez, encuesta a Estados miembros, piloto con Grecia, Italia y Luxemburgo, y sesión de validación con representantes nacionales. La retroalimentación permitió fortalecer la utilidad para planificación estratégica, priorización, asignación de recursos, coordinación interinstitucional y evaluación de brechas. Para sectores como energía, telecomunicaciones, transporte, servicios digitales e infraestructuras críticas, el valor metodológico radica en ordenar capacidades nacionales frente a incidentes, intercambio de información, gestión de riesgos, protección sectorial, cadenas de suministro y cooperación entre autoridades competentes y operadores privados.
Para leer más ingrese a:
https://www.enisa.europa.eu/publications/national-capabilities-assessment-framework-20
Compartir artículo
Para información general sobre la organización: difusion@colombiainteligente.org | Dirección: Edf. TecnoParque Cr 46#56-11 Piso 13 | Medellín – Colombia
Teléfono: +57-4-4441211 Ext. 171 | FAX: +57-4-4440460
Los documentos se clasifican en varios colores tipo semáforo tecnológico que indican el nivel de implementación de la tecnología en el país
Tecnología en investigación que no ha sido estudiado o reglamentado por entidades del sector.
La tecnología se aplica de manera focal y se encuentra en estudio por parte de las entidades del sector.
La tecnología se aplica de manera escalable y se encuentran políticas y regulaciones focales establecidas.
La tecnología se aplica a través de servicios y se encuentran políticas y regulaciones transversales establecidas.
La tecnología se aplica de manera generalizada y se tiene un despliegue masivo de esta.
Para acceder a todos los documentos publicados y descargarlos ingresa aquí