Het National Institute of Standards and Technology (NIST) heeft onlangs de 2.0-versie van het veelgebruikte Cybersecurity Framework (CSF) gepubliceerd, een richtlijn die ontworpen is om het risico op cyberdreigingen te verminderen. Deze nieuwe editie van het CSF is gericht op een breed publiek, variërend van de kleinste bedrijven en non-profitorganisaties tot de grootste overheidsinstellingen en concerns, ongeacht hun niveau van cyberbeveiligingskennis.
Naar aanleiding van de vele reacties op de conceptversie heeft het NIST de kernrichtlijnen van het CSF uitgebreid en aanvullende middelen ontwikkeld om gebruikers te helpen het maximale uit het framework te halen. Deze middelen bieden verschillende doelgroepen op maat gemaakte toegangspunten tot het CSF en vereenvoudigen de implementatie ervan.
Volgens Kevin Stine, hoofd van NIST’s Applied Cybersecurity Division, is deze update ontwikkeld in nauwe samenwerking met stakeholders en weerspiegelt het de meest recente uitdagingen en managementpraktijken op het gebied van cyberbeveiliging. Het doel is om het framework nog relevanter te maken voor een breder internationaal publiek.
Het CSF, dat in 2014 voor het eerst werd gepubliceerd naar aanleiding van een presidentieel executive order, is nu georganiseerd rond zes kernfuncties: Identificeren, Beschermen, Detecteren, Reageren en Herstellen, met de nieuw toegevoegde functie Besturen. Deze functies bieden een alomvattende kijk op de levenscyclus voor het beheer van cyberbeveiligingsrisico’s.
De bijgewerkte versie van het framework houdt rekening met organisaties die met uiteenlopende behoeften en ervaringsniveaus in cyberbeveiliging naar het CSF komen. Nieuwe gebruikers kunnen leren van de successen van anderen en hun interessegebied selecteren uit een nieuwe set implementatievoorbeelden en snelstartgidsen, ontworpen voor specifieke gebruikerstypes, zoals kleine bedrijven, risicomanagers van ondernemingen en organisaties die hun toeleveringsketens willen beveiligen.
Een nieuw CSF 2.0-referentiehulpmiddel vereenvoudigt de implementatie van het CSF voor organisaties, door gebruikers in staat te stellen de kernrichtlijnen van het CSF te doorzoeken, te bekijken en te exporteren in formaten die zowel voor mensen als machines leesbaar zijn. Daarnaast biedt CSF 2.0 een doorzoekbare catalogus van informatieve referenties die laat zien hoe huidige acties zich verhouden tot het CSF.
Organisaties kunnen ook het Cybersecurity and Privacy Reference Tool (CPRT) raadplegen, dat een onderling gerelateerde, doorzoekbare en downloadbare set NIST-richtlijndocumenten bevat. Dit hulpmiddel plaatst de CSF en andere populaire bronnen in context en biedt communicatiemethoden voor zowel technische experts als het hoger management, zodat alle niveaus binnen een organisatie gecoördineerd blijven.
Het CSF wordt wereldwijd gebruikt; versies 1.1 en 1.0 zijn vertaald in 13 talen en NIST verwacht dat ook CSF 2.0 door vrijwilligers over de hele wereld zal worden vertaald. Deze vertalingen zullen worden toegevoegd aan NIST’s groeiende portfolio van CSF-middelen. Door samen te werken met de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) heeft NIST geholpen meerdere cybersecuritydocumenten op elkaar af te stemmen. NIST is van plan deze internationale afstemming voort te zetten in samenwerking met ISO/IEC.
