Skip to main content
7 juni 2024
Samenvatting
Het National Institute of Standards and Technology (NIST) bracht dit een nieuwe versie van het Cybersecurity Framework (CSF) uit. What’s new?
Volg qeep

NIST Cybersecurity Framework 2.0

Wat is er nieuw?
7 juni 2024

Eind februari 2024 heeft het National Institute of Standards and Technology (NIST) de nieuwe versie van het Cybersecurity Framework (CSF) uitgebracht. Het framework helpt organisaties bij het verbeteren van hun cybersecurity. Welke veranderingen zien we in de nieuwe versie? In deze blog vat ik het voor je samen.

Het NIST Cybersecurity Framework 1.0

voor het beheren en verminderen van cyberrisico’s

Het CyberSecurity Framework (CSF), dat voor het eerst werd gepubliceerd in februari 2014, is ontwikkeld door het NIST, ofwel het National Institute of Standards and Technology. Het framework biedt een gestructureerde aanpak voor het beheren en verminderen van cyberisico’s. Het is een van de meest bekende en gebruikte raamwerken voor cybersecurity. Het bestaat uit vijf kernfuncties: identificeren, beschermen, detecteren, reageren en herstellen. Organisaties kunnen het NIST Framework als basis gebruiken en aanvullen met specifieke maatregelen en beleid op basis van hun behoeften. Het framework bevat zelf geen maatregelen maar verwijst door naar standaarden. Zie ook mijn eerdere blog ‘Het NIST CyberSecurity Framework als kans?’.

“Het framework biedt een gestructureerde aanpak voor het beheren en verminderen van cyberisico’s. Het is een van de meest bekende en gebruikte raamwerken voor cybersecurity.”

Kernfuncties NIST Framework

Het NIST framework bestaat uit vijf kernfuncties. Deze vijf kernfuncties kunnen worden toegepast door organisaties van elke omvang en in elke sector om hun cybersecurity te verbeteren. De kernfuncties zijn:

  1. Identificeren: Deze eerste en tevens belangrijkste functie omvat het begrijpen van de cyberrisico’s die relevant zijn voor de organisatie. Het gaat hierbij om het identificeren van de assets, systemen en gegevens die moeten worden beschermd, alsook het vaststellen van potentiële bedreigingen en kwetsbaarheden. Het is de basis voor alle andere functies in het framework, want als je niet weet wat je hebt, weet je ook niet wat je moet beveiligen.
  2. Beschermen: Deze functie richt zich op het implementeren van beveiligingsmaatregelen om de systemen en gegevens van de organisatie te beschermen tegen mogelijke cyberdreigingen. Met andere woorden, het gaat hier om maatregelen die tot doel hebben de spreekwoordelijke narigheid buiten de deur te houden. Dit omvat o.a. het implementeren van toegangscontrole, versleuteling en training van medewerkers.
  3. Detecteren: Ondanks de genomen maatregelen kunnen er security-incidenten plaatsvinden, want 100% veiligheid bestaat niet. In dit geval is het belangrijk om deze incidenten te detecteren, zodat je snel actie kunt ondernemen en kan reageren op bedreigingen. Deze functie omvat het implementeren van systemen en processen voor het detecteren van incidenten, zoals het monitoren van systemen en netwerken op verdachte activiteiten en het implementeren van logging en monitoring.
  4. Reageren: Wanneer een securityincident is gedetecteerd, is het belangrijk om snel en effectief te reageren om verdere schade te beperken. Deze functie omvat het ontwikkelen van een incident response plan, het trainen van personeel voor incident response, en het coördineren van (re)acties met relevante partijen.
  5. Herstellen: Nadat je hebt gereageerd op het securityincident, is het belangrijk om de systemen en gegevens van de organisatie weer te herstellen naar een normale staat. Deze functie omvat het herstellen systemen en processen, het evalueren van lessen die zijn geleerd uit het incident, en het aanpassen van processen om toekomstige incidenten te voorkomen of beter te beheren.

Elke functie heeft vervolgens weer subcategorieën die specifieke taken en activiteiten beschrijven die moeten worden uitgevoerd om de functie succesvol te implementeren. Lees voor meer informatie hierover hier verder.

Het NIST Cybersecurity Framework 2.0

bevat o.a. een nieuwe functie: governance

De wereld digitaliseert snel en technologieën en dreigingen veranderen continu. Het NIST Cybersecurity Framework is bedoeld om een levend document te zijn en moet dus worden aangepast om bij te blijven met deze ontwikkelingen. De nieuwe versie van het CSF bouwt voort op het originele 1.0 framework en is het resultaat van discussies en openbare opmerkingen, gericht op het verbeteren van de effectiviteit van het raamwerk. Het nieuwe raamwerk is bedoeld voor gebruik door organisaties van elke omvang en in alle sectoren en niet alleen die in de kritieke infrastructuur, zoals ziekenhuizen of banksystemen (de oorspronkelijke doelgroep). Belangrijk om te benadrukken: het is een aanvulling op, en geen vervanging van het vorige raamwerk.

Een opvallende verandering in het CSF 2.0 is de introductie van een nieuwe kernfunctie: governance. Naast de bestaande functies identificeren, beschermen, detecteren, reageren en herstellen, is governance nu een vast onderdeel van het raamwerk. Deze nieuwe functie gaat over de rol die het hoger management heeft bij het vaststellen en monitoren van de cybersecurityrisicobeheerstrategie, -verwachtingen en -beleid van de organisatie, en is ontworpen om de andere vijf functies te informeren en te ondersteunen. Deze top-down benadering komt ook overeen met de controlevereisten van de nieuwe NIS2-regelgeving. Dit is een waardevolle toevoeging aan het framework, omdat het belang van betrokkenheid van het hoger management bij alle aspecten van risicobeheer wordt benadrukt.

Daarnaast bevat het CFS 2.0 een reeks hulpmiddelen om organisaties te helpen bij het verkennen en implementeren van de nieuwe versie van het framework, zoals implementatievoorbeelden, zodat nieuwe gebruikers kunnen leren van de successen van andere gebruikers, en diverse handleidingen voor specifieke doelgroepen. Het doel van deze handleidingen is om organisaties zonder of met beperkt securitybeleid een leidraad te bieden voor het ontwikkelen van een risicobeheerstrategie op het gebied van cybersecurity.

“Naast de bestaande functies identificeren, beschermen, detecteren, reageren en herstellen, is governance nu een vast onderdeel van het raamwerk.”

Wat is er nog meer nieuw?

Meer integratie met andere frameworks en normen

Andere veranderingen in CSF 2.0 zijn:

  • Er ligt meer nadruk op de integratie met andere frameworks, normen en best practices, zoals de ISO/IEC 27001, NIST SP 800-53 en de Algemene Verordening Gegevensbescherming (AVG). Dit helpt organisaties om bestaande investeringen in cybersecurity te benutten en een integrale aanpak voor het beheren van cybersecurityrisico’s te hebben.
  • Vanuit de nieuwe governance functie is extra aandacht voor het beheren van risico’s in de supply chain, ofwel toeleveringsketen. Omdat leveringsketens steeds meer met elkaar verbonden zijn, biedt het framework richtlijnen voor het beoordelen en mitigeren van risico’s in de toeleveringsketen.
  • Het bevat uitgebreide richtlijnen voor toegangscontrole en identiteitsbeheer. Dit benadrukt het belang van het goed beheren van toegangsrechten en het authenticeren van gebruikersidentiteiten om ongeautoriseerde toegang tot systemen en gegevens te voorkomen.
  • Er zijn betere richtlijnen voor het opsporen en detecteren van bedreigingen, waarbij de nadruk ligt op proactieve detectie- en responsstrategieën om cyberdreigingen tijdig op te sporen en te verminderen.
  • Er is meer aandacht voor privacy en gegevensbescherming, waardoor het framework beter aansluit bij privacyregelgeving en -normen zoals de AVG.
  • Er worden verbeterde richtlijnen gegeven voor het meten en verbeteren van de cybersecurity volwassenheid. Zo kunnen organisaties hun huidige cybersecurityniveau beoordelen en plannen maken voor verbetering.
  • Het framework introduceert een methode om middelen voor cybersecurity te rangschikken en toe te wijzen op basis van de belangrijkheid van de systemen en gegevens van een organisatie.
  • En een nieuwe CSF 2.0 Referentietool maakt het makkelijker voor organisaties om het CSF te gebruiken. Hiermee kunnen gebruikers gegevens en details uit de kernbegeleiding van het CSF bekijken, zoeken en exporteren in leesbare formats.

De kracht van het CSF 2.0

De kracht van het CSF 2.0 voor organisaties ligt in de flexibiliteit en schaalbaarheid, waardoor het toepasbaar is voor alle soorten organisaties, klein en groot. Daarnaast zorgen de updates ervoor dat het framework dichter bij de normen komt die zijn vastgelegd in ISO 27001. Dit maakt het voor organisaties die al ISO 27001-gecertificeerd zijn makkelijker om het NIST Framework toe te passen. Door deze uitbreidingen zou deze stap voor meer organisaties een reden kunnen zijn om het CSF 2.0 te gebruiken.

Benieuwd naar het NIST Cybersecurity Framework 2.0? Je vindt deze hier.


Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl