Cybersecurity en privacy: NIST-kader krijgt facelift

Cybersecurity en privacy: het NIST-kader krijgt een facelift

Door Dan Raywood • 29 May 2025

NIST heeft onlangs plannen aangekondigd om zijn privacykader te vernieuwen en het meer een organisch en minder statisch aanbod te maken. Zijn professionals hier baat bij? Dan Raywood onderzoekt de redenen voor de verandering.

Vorig jaar werd de tweede versie van de NIST geïntroduceerd Cyberbeveiligingskader, een update van de versie uit 2014 om het gebruik van het raamwerk te verbreden, de richtlijnen voor de implementatie te verbeteren en het belang van governance te benadrukken.

Cybersecurity en privacy gaan uiteraard hand in hand. Twaalf maanden na het herziene Cybersecurity Framework kondigde NIST in april 12 een evaluatieperiode van twee maanden aan waarin nieuwe toevoegingen en herzieningen in het Privacy Framework worden overwogen.

Beheer privacyrisico's

Vorig jaar zag de eerste aankondiging van de herzieningen van versie 1.1, met de concept papier uitgebracht in juni 2024 vóór de Eerste openbare ontwerp dat in april werd gepubliceerd.

Volgens NIST zijn er wijzigingen in het Privacy Framework nodig vanwege de relatie met het Cybersecurity Framework: de twee frameworks hebben dezelfde algemene structuur, waardoor ze eenvoudig samen kunnen worden gebruikt.

Julie Chua, directeur van de afdeling Toegepaste Cybersecurity van NIST, noemde de update "bescheiden maar belangrijk". Ze zei: "Het Privacy Framework kan op zichzelf worden gebruikt om privacyrisico's te beheersen, maar we hebben de compatibiliteit met Cybersecurity Framework 2.0 behouden, zodat organisaties ze samen kunnen gebruiken om het volledige spectrum aan privacy- en cyberbeveiligingsrisico's te beheersen."

Kleine update

Meghan Anderson, strateeg voor privacyrisico's bij het Privacy Engineering Program van NIST, legt uit dat dit geen grote revisie is, maar eerder "een heel lichte, kleine update".

In een gesprek met ISMS.online zegt Anderson dat het privacykader "een levend instrument is dat zich moet ontwikkelen om te voldoen aan de behoeften van onze stakeholders." In de vijf jaar sinds de publicatie van het eerste privacykader hebben deze stakeholders gebieden kunnen identificeren waar gerichte verbeteringen mogelijk waren en technologische veranderingen kunnen overwegen.

Ze bagatelliseerde het belang van de herzieningen van versie 1.1 en noemde ze ‘slechts kleine herzieningen of herstructurering van de categorieën in subcategorieën’.

Ze erkende echter wel dat het na vijf jaar van de originele versie tijd was voor verandering. "Het was zoiets van: 'Dit is een mijlpaal, laten we het updaten'", zegt ze.

Anderson zegt specifiek dat, aangezien het privacyframework is gemodelleerd naar het cybersecurityframework, er een verbinding moet blijven bestaan tussen beide frameworks. "Ik denk dat het meest geweldige aan het privacyframework is dat het zeer flexibel is. Veel organisaties of stakeholders die het framework gebruiken, kunnen het aanpassen aan hun behoeften, privacyresultaten en -doelen."

Nieuwe elementen

Een van de belangrijkste wijzigingen in deze herziening is het creëren van een online versie van het raamwerk. Dit betekent niet alleen dat het op de website staat, maar ook dat NIST tijdige en relevante updates kan publiceren als reactie op de behoeften van gebruikers. Anderson zegt dat sectie drie is verplaatst, waar richtlijnen te vinden zijn over het gebruik van het privacyraamwerk.

"Onze hoop is dat het op die manier wat interactiever wordt en dat we het wat vaker kunnen bijwerken dan in een pdf-document dat stilstaat", zegt ze. "Op die manier kunnen we het directer op de website aanbieden dan in de pdf, waar het even duurt om het bij te werken, te herzien en opnieuw te publiceren."

Ze zegt ook dat er regelmatig feedback werd gegeven op nieuwe trends, zoals AI. Daarom zijn er aanvullende richtlijnen toegevoegd over de relatie tussen AI en privacyrisicobeheer. Het is nu een nieuwe sectie in de eerste openbare versie van het privacykader.

In het eerste openbare ontwerp wordt beweerd dat het herziene kader "organisaties kan helpen bij het identificeren en beheren van privacyrisico's die kunnen voortvloeien uit gegevensverwerking binnen AI-systemen gedurende de gehele AI-levenscyclus." Dit omvat privacyrisico's die ontstaan wanneer AI-systemen worden getraind met gegevens die zonder toestemming van individuen worden verzameld of wanneer er ontbrekende of ontoereikende privacywaarborgen zijn.

In sommige gevallen kan AI-technologie "de belangrijkste factor zijn in het creëren van privacyrisico's" en privacyproblemen veroorzaken voor individuen en groepen. AI kan "de privacy van individuen en groepen aantasten, met aanzienlijke gevolgen voor organisaties, variërend van omzetverlies tot reputatieschade."

Organisaties kunnen het nieuwe raamwerk daarom gebruiken om ‘AI-privacyrisico’s effectief te beheren en ervoor te zorgen dat de privacywaarden van de organisatie worden weerspiegeld in de ontwikkeling en het gebruik van AI-systemen.’

Essentiële evolutie

Het is geen complete oplossing, maar het is zeker een stap vooruit. Hoe zit het vanuit het perspectief van de professional? Is dit voldoende om de moderne uitdagingen het hoofd te bieden?

Tarun Samtani, lid van de adviesraad van het IAPP, zei in een interview met ISMS.online dat de voorgestelde herziening "een essentiële evolutie vertegenwoordigt" en hij prijst de afstemming ervan op het Cybersecurity Framework van vorig jaar.

Hij zei dat de herziening "kritieke operationele hiaten tussen beveiliging en privacy overbrugt – een pijnpunt dat ik herhaaldelijk heb gezien."

Samtani stelt met name dat het huidige raamwerk een solide theorie biedt, maar moeite heeft met de praktische toepassing. Kijkend naar de conceptversie van versie 1.1 prijst hij de introductie van het aanpakken van opkomende AI-risico's, maar zegt: "Het mist praktische implementatiemogelijkheden voor organisaties met beperkte middelen."

Onvoldoende niet verouderd

Vindt hij vanuit een praktijkperspectief deze herziening nodig, en waren de richtlijnen van de versie uit 2020 met name verouderd? Hij zegt dat ze niet verouderd zijn, maar dat ze steeds minder voldoen. "Sinds de release van versie 1.0 in 2020 hebben we een explosieve groei gezien in het gebruik van AI-systemen en geautomatiseerde besluitvorming, wat nieuwe privacyrisico's met zich meebrengt", zegt hij.

De voorgestelde PFW 1.1 integreert op een verstandige manier opkomende AI-overwegingen en verwerkt tegelijkertijd lessen uit de rijpende regelgeving. Deze tijdige update erkent dat privacyrisicobeheer nu verder reikt dan traditionele gegevensverwerking en zich richt op algoritmische transparantie.

Samtani was daarentegen niet geheel lovend over de daaropvolgende herzieningen. Volgens hem heeft het ontwerp duidelijkere statistieken nodig die verder gaan dan alleen volwassenheidsniveaus, en meer prescriptieve benaderingen voor kleinere ondernemingen die zich door het huidige uitdagende data- en AI-landschap moeten bewegen.

Hij zegt: "De structurele verbeteringen van PFW 1.1 kunnen wellicht een aantal bruikbaarheidsproblemen oplossen, maar zonder gestructureerde implementatierichtlijnen kan naleving lastig blijven, vooral voor organisaties die niet over volwassen privacyprogramma's beschikken."

Hij beweert dat de voorgestelde structurele afstemming tussen PFW 1.1 en CSF 2.0 de operationele frictie aanpakt, die hij heeft waargenomen tijdens het adviseren van multinationale organisaties. Hij adviseerde drie praktische aanvullingen om de bruikbaarheid voor professionals te verbeteren:

Ten eerste, geïntegreerde implementatiehandboeken die gelijktijdige operationalisering demonstreren.
Ten tweede, gestandaardiseerde raamwerkoverschrijdende metrische gegevens voor consistente rapportage.
Ten derde, technologiespecifieke profielen voor veelvoorkomende scenario's zoals AI-implementaties.

"Deze verbeteringen zouden frameworks transformeren van referentiedocumenten naar operationele tools die meetbare verbeteringen in privacy governance stimuleren", concludeert hij.

Anderson zegt dat alle opmerkingen over de herziening van versie 1.1 welkom zijn.

Het herzien van zoiets brengt uitdagingen met zich mee, en de technologische veranderingen van de afgelopen vijf jaar maken deze herziening noodzakelijk. Vanuit het oogpunt van compliance en naleving zou de nieuwe versie niet al te lastig moeten zijn, aangezien de wijzigingen niet al te ingrijpend zijn en bedrijven in staat zouden moeten stellen de kloof tussen cybersecurity- en privacykaders te overbruggen.

Voor velen zullen deze veranderingen welkom zijn, maar kleinere organisaties met minder middelen kunnen moeite hebben zonder duidelijke implementatietrajecten. Juist daar zou de overstap naar een dynamischere, online versie van het raamwerk het meest waardevol kunnen blijken. NIST kan hierdoor sneller reageren op opkomende problemen en meer praktische, evoluerende begeleiding bieden. Hoewel het raamwerk niet meteen aan ieders behoeften zal voldoen, markeert deze stap naar een levende, responsieve bron een zinvolle stap voorwaarts.

Dan Raywood

Dan Raywood schrijft sinds 2008 over IT-beveiliging en is voormalig analist in de informatiebeveiligingspraktijk bij 451 Research. Hij heeft gesproken op shows als 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, en heeft ook geschreven voor een aantal blogs van leveranciers en presentaties gegeven op webcasts.

Lees meer van Dan Raywood

Cyber security 30 September 2025

Zal de Grok-inbreuk leiden tot grote veiligheidsproblemen?

Zal het Grok-inbreuk leiden tot zorgen over de beveiliging van GenAI?

Een recent incident heeft geleid tot zorgen over de manier waarop GenAI-tools met data omgaan. Is het tijd om ervoor te zorgen dat uw data niet in hun...

Dan Raywood

Cyber security 21 januari 2025

zero day kwetsbaarheden hoe kunt u zich voorbereiden op de onverwachte banner

Zero-Day-kwetsbaarheden: hoe kunt u zich voorbereiden op het onverwachte?

Waarschuwingen van internationale cybersecurity-instanties lieten zien hoe kwetsbaarheden vaak worden uitgebuit als zero-days. Gezien de onvoorspelbaarheid...

Dan Raywood

Data Privacy 8 augustus 2024

is onderhandelen uw beste strategie als het gaat om ransomware-banner

Is onderhandelen uw beste strategie als het om ransomware gaat?

In plaats van alleen een bedrag te betalen om uit een ransomware-probleem te komen, zou u er met de juiste stappen en vaardigheden wel uit kunnen komen? Dan Raywoo...

Dan Raywood