NIST's Cybersecurity Framework 2.0: wat is er nieuw en hoe u aan de slag kunt

NIST's Cybersecurity Framework 2.0: wat is er nieuw en hoe u aan de slag kunt gaan

Door Phil Muncaster • 3 oktober 2023

Cyberrisicobeheer kan niet in een vacuüm leven. En hoewel best practices op hoog niveau over een periode van jaren grotendeels hetzelfde kunnen blijven, zijn zowel het dreigingslandschap als de uitdagingen waarmee compliance-teams worden geconfronteerd de afgelopen tien jaar aanzienlijk geëvolueerd. Daarom krijgt een van de meest populaire richtlijnen een vernieuwing.

Het Nationaal Instituut voor Standaarden en Technologie (NIST) Cyberbeveiligingskader (CSF) werd voor het eerst gepubliceerd in 2014 na een uitvoerend bevel van de toenmalige president Barack Obama. De eerste belangrijke vernieuwing is nu gepubliceerd. De hoop is dat het mondiale organisaties zal helpen de uitdagingen van vandaag en morgen het hoofd te bieden, terwijl het eenvoudiger te gebruiken is dan het oorspronkelijke CSF. Er is veel om optimistisch over te zijn.

Een achtergrond van het KSF

Het CSF is vrijwillig en was in eerste instantie bedoeld voor kritische nationale infrastructuurorganisaties (CNI). De duidelijkheid en grondigheid waarmee het de beste praktijken op het gebied van cyberbeveiliging onder de aandacht brengt, maakte het echter tot een van de meest populaire raamwerken onder Amerikaanse en mondiale organisaties, ongeacht hun sector.

Het is opgebouwd rond vijf sleutelfuncties:

Identificeren:

Maak een overzicht van de hardware, software en gegevensmiddelen van de organisatie. Publiceer een beleidsmaatregelen waarin de rollen en verantwoordelijkheden worden uiteengezet voor iedereen met toegang tot kritieke gegevens, inclusief partners en leveranciers. Creëer ook een procedure voor incidentrespons en herstel.

Beschermen:

Fysieke en technische controles voor het beschermen van kritieke activa. Het kan gaan om back-ups, gebruikerseducatie, encryptie, toegangscontrole en regelmatige updates.

Detecteren:

Controleer op ongeoorloofde toegang en ongebruikelijke netwerkactiviteit.

Reageren:

Stel een plan op voor het melden van incidenten (aan klanten, toezichthouders, aandeelhouders, etc.), bedrijfscontinuïteit en incidentonderzoek. Dit plan moet regelmatig worden getest.

Herstellen:

Repareer en herstel getroffen activa/diensten na een inbreuk en houd werknemers en klanten op de hoogte. Verbeter de cyberveerkracht door te leren.

Als onderdeel van het raamwerk creëerde NIST ook vier niveaus om bedrijven te helpen hun volwassenheid te meten bij de implementatie van het KSF (Gedeeltelijk, Risico-geïnformeerd, Herhaalbaar, Adaptief). En het bevatte een stapsgewijze handleiding voor het maken van een risicobeheer programma. In grote lijnen gaat dit als volgt:

Reik het project af en stel prioriteiten vast
Oriënteer u op het begrijpen van relevante brancheregelgeving en cyberdreigingen
Maak een profiel aan om te illustreren hoe momenteel met risico's wordt omgegaan in de organisatie
Voer een risicobeoordeling uit om inzicht te krijgen in de waarschijnlijkheid en ernst van een cyberbeveiligingsgebeurtenis die gevolgen kan hebben voor de organisatie
Maak een doelprofiel aan dat als einddoel van het beveiligingsteam zal dienen
Identificeer de hiaten tussen het huidige en het beoogde profiel om een actieplan op te stellen, inclusief de benodigde middelen
Voer het actieplan uit

Wat is er nieuw voor 2024?

Uitgebracht in augustus 2023, maakt de conceptversie van de CSF (v 2.0) verschillende belangrijke updates van het originele document. De belangrijkste hiervan zijn pogingen om het gebruik van het raamwerk te verbreden, de begeleiding bij de implementatie te verbeteren en het belang van governance te benadrukken:

Een nieuwe regeringspijler

Dit omvat de organisatorische context; risicobeheerstrategie; cyberbeveiliging supply chain risico beheer; rollen, verantwoordelijkheden en bevoegdheden; beleid, processen en procedures; en toezicht. Daarnaast wordt er begeleiding geboden over het integreren van de CSF met het NIST Privacy Framework en NIST IR 8286.

Uitgebreide gebruiksrichtlijnen

CSF 2.0 introduceert meer voorbeelden van implementatie. Het herziet ook raamwerkprofielen om het gebruik ervan tijdens projecten te vergemakkelijken. Er zijn theoretische sjablonen opgenomen, die organisaties kunnen gebruiken of aanpassen om profielen en actieplannen te maken.

Verbreding van het CB

De officiële titel is gewijzigd van Framework for Improving Critical Infrastructure Cybersecurity naar het meer algemeen gebruikte CSF. De reikwijdte is bijgewerkt om het gebruik door alle organisaties weer te geven, niet alleen door degenen die CNI exploiteren.

Bovendien wordt er meer nadruk gelegd op de beveiliging van de toeleveringsketen, met nieuwe koppelingen naar NIST SP 800-55. Het belang van continue verbetering krijgt ook meer gewicht via een nieuwe categorie ‘verbetering’ onder de pijler Identificeren.

Een stap in de goede richting

Deskundigen zijn over het algemeen blij met de vernieuwing van het CSF. Joseph Carson, Chief Security Scientist en Advisory CISO bij Delinea, vertelt ISMS.online dat na bijna tien jaar een nieuwe versie nodig was om rekening te houden met veranderingen in het dreigingslandschap.

“Het uitbreiden ervan naar meer organisaties is de juiste aanpak om de veerkracht te vergroten tegen het brede scala aan cyberbedreigingen waarmee ze worden geconfronteerd”, voegt hij eraan toe. Het vereenvoudigen van het CSF zal het ook gemakkelijker maken om het raamwerk te adopteren, waardoor meer organisaties hun niveau van beveiligingsbescherming kunnen verhogen.”
De CEO van Netography, Martin Roesch, prijst ook de nieuwe “Govern”-pijler.

“Het toevoegen van governance aan het NIST Cybersecurity Framework is een belangrijke stap om organisaties te helpen het bewijs te leveren dat hun infrastructuur op elk moment in lijn is met hun beleid, en het geeft beveiligingsteams een manier om te meten hoe effectief hun systeem werkt”, vertelt hij. ISMS.online.

“Door de reikwijdte van het CSF uit te breiden en de implementatierichtlijnen te verbeteren, biedt NIST een groter aantal organisaties een sterke routekaart voor het bereiken van succes op het gebied van informatiebeveiliging en risicobeheer, ongeacht de omvang of branche.”

Tegelijkertijd betoogt Roesch echter dat sommige organisaties moeite kunnen hebben om governanceprincipes toe te passen op hun omgeving, “vooral als ze over diverse technologieën, systemen en processen beschikken.” Hij waarschuwt ook dat beperkte middelen de voortdurende monitoring kunnen belemmeren die nodig is om “een robuust cyberbeveiligingsbeheer tot stand te brengen en te behouden” tegen de achtergrond van snel evoluerende netwerkbeveiligingsarchitecturen. Hij beschrijft het bestuur van sociale media in het bijzonder als een ‘Pandora’s Box’ vol uitdagingen op het gebied van privacy en veiligheid.

Het implementeren van zelfs een gestroomlijnd, gebruiksvriendelijker CSF kan dus voor sommige organisaties een uitdaging zijn. Maar een managementsysteem voor informatiebeveiliging (ISMS) zou kunnen helpen, zegt Carson van Delinea.

“Het kan voorbeelden geven van hoe je de CSF 2.0-referentietool en inzicht geven in hoe implementaties in de echte wereld eruit zien”, zegt hij. “Naarmate meer organisaties zien hoe hun collega’s het CSF met succes implementeren en implementeren, en hoe zij het referentie-instrument gebruiken, zal dit anderen aanmoedigen om snel te volgen.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster