Het NIST Cybersecurity Framework (CSF)

is een vrijwillig en flexibel raamwerk dat organisaties helpt bij het begrijpen, beheren en verminderen van hun cyberbeveiligingsrisico’s.

Het biedt richtlijnen en best practices, oorspronkelijk ontwikkeld voor kritieke infrastructuren, maar nu wereldwijd gebruikt door organisaties van elke omvang en in elke sector.

Kernfuncties van NIST CSF 2.0

Het raamwerk is opgebouwd rond zes kernfuncties, die samen een levenscyclus vormen voor proactief cyberbeveiligingsbeheer:

1. Govern (Besturen): Deze functie, nieuw in versie 2.0, zorgt ervoor dat cyberbeveiligingsstrategieën, -beleid en -processen worden afgestemd op de algemene bedrijfsdoelstellingen en risicotolerantie van de organisatie.
2. Identify (Identificeren): Gericht op het ontwikkelen van een organisatorisch begrip van de risico’s voor systemen, activa, gegevens en capaciteiten. Dit omvat onder andere assetmanagement, risicobeoordelingen en supply chain risicobeheer.
3. Protect (Beschermen): Richt zich op het implementeren van passende maatregelen om de levering van kritieke diensten te waarborgen en de impact van een cyberbeveiligingsincident te beperken. Voorbeelden zijn toegangscontrole, training van personeel, en gegevensbeveiliging (zoals encryptie).
4. Detect (Detecteren): Definieert de activiteiten om het optreden van een cyberbeveiligingsgebeurtenis tijdig te ontdekken. Dit omvat continue monitoring en het analyseren van afwijkingen en incidenten.
5. Respond (Reageren): Omvat de activiteiten die moeten worden ondernomen na een gedetecteerd incident om de impact ervan te minimaliseren. Dit behelst onder andere responsplanning, communicatie, analyse en mitigatie.
6. Recover (Herstellen): Biedt richtlijnen voor het tijdig herstellen van aangetaste activa en operaties om terug te keren naar de normale bedrijfsvoering. Focus ligt op herstelplanning, verbeteringen en communicatie.

Belangrijkste Componenten

Naast de kernfuncties bestaat het raamwerk uit twee andere belangrijke componenten:

• Implementatieniveaus (Tiers): Karakteriseren de mate van nauwkeurigheid en integratie van het risicobeheerproces in de organisatie, variërend van ‘Partial’ (Ad-hoc) tot ‘Adaptive’ (voortdurend verbeterend). Dit is goed vergelijkbaar met volwassenheidsniveaus zoals die in het NBA/LIO-NOREA Volwassenheidsmodel worden gebruikt.
• Profielen (Profiles): Een ‘huidig profiel’ en een ‘doelprofiel’ worden gebruikt om de huidige en gewenste cyberbeveiligingshouding van een organisatie vast te stellen, waarna een actieplan kan worden opgesteld om de hiaten te dichten.

Het NIST CSF is geen verplichting (voor de meeste organisaties), maar wordt algemeen erkend als een gouden standaard voor het bouwen van een robuust en veerkrachtig cyberbeveiligingsprogramma.