Das weltweit verbreitete Cybersecurity Framework vom National Institute of Standards and Technology (NIST) wurde einem Update unterzogen und ganz gemäss kontinuierlicher Verbesserung auf aktuelle Themen wie Cloud oder AI angepasst. Am 26. Februar 2024 erschien die finale Version des NIST CSF 2.0. Das Framework steht nun allen Organisationen für die Entwicklung des Reifegrads der Informationssicherheit zur Verfügung. Wichtige Informationen zu den eingeführten Änderungen finden Sie in diesem Blog.
Cybersecurity Frameworks sind bewährte Hilfsmittel, um den Reifegrad der Informationssicherheit in einer Organisation zu identifizieren und eine entsprechende Verbesserungsstrategie zu erarbeiten. Das NIST CSF hat seinen Ursprung in einer Executive Order vom damaligen amerikanischen Präsidenten Obama im Jahr 2014. Der Entwicklungsauftrag an das NIST hat auch beinhaltet, dass sich das Framework an sich ändernden Anforderungen anpassen muss. So erschien bereits im April 2018 die Version 1.1. Diese Version ist schweizweit auch bekannt, weil der aktuelle IKT Minimalstandard des Bundesamtes für wirtschaftliche Landesversorgung (BWL) auf dem NIST Cybersecurity Framework 1.1 basiert (IKT-Minimalstandard (admin.ch)).
Im Februar 2022 begann die Überarbeitungsphase mit verschiedenen Meilensteinen und endete am 26. Februar 2024 mit der Veröffentlichung des NIST CSF Version 2.0.
Quelle: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.ipd.pdf
Was ist neu?
Die markanteste Änderung am Framework ist die Einführung der neuen Funktion «GOVERN». Diese Funktion konsolidiert Governance Themen, die teilweise bereits Bestandteil des bekannten Frameworks und entsprechenden Funktionen wie zum Beispiel «IDENTIFY» waren. Übersicht der Framework Versionen:
Die Funktion «GOVERN» enthält nachfolgende Kategorien mit entsprechenden Subkategorien/Aktivitäten:
- Organizational Context
- Risk Management Strategy
- Roles, Responsibilities, and Authorities
- Policies
- Oversight
- Cybersecurity Supply Chain Risk Management
Die Kategorien verdeutlichen, dass es primär um Aufgabengebiete der Unternehmensführung geht. Diese Anpassung mit einer eigens dafür geschaffenen Funktion verleiht den Themen zusätzlich Priorität und Sichtbarkeit im Reifegrad einer Organisation.
Das neue Framework verfügt somit neu über 6 Funktionen, 22 Kategorien mit gesamthaft 106 Subkategorien und kann als Framework Core wie folgt zusammengefasst werden:
Im Umfang hat sich das Framework mit zuvor 23 Kategorien und 108 Subkategorien nicht markant verändert. Die Überarbeitung und Neuzuteilung erfolgten, um primär die folgenden Ziele zu erreichen:
- Breitere und unabhängige Framework-Anwendung über jegliche Sektoren und Branchen hinweg.
- Konsolidierung von Doppelspurigkeit und Optimierungen in den Beschreibungen und Zugehörigkeit von Kategorien.
- Priorisierung von wichtigen Themen wie Governance, Supply Chain Risk Management, Einsatz von Cloud und Künstlicher Intelligenz.
Beides wird neu auch in einem Online-Katalog bereitgestellt und laufend aktualisiert: Cybersecurity Framework | CSRC (nist.gov). Der Hauptgrund für die Online-Ressource ist die laufende und künftige Einführung von neuen Regulatorien, welche somit einfacher und dynamischer im Framework berücksichtigt werden können.
Kontinuierliche Reifegrad-Entwicklung als Erfolgsrezept
Heutige Herausforderungen bezüglich Cyberrisiken erfordern, den eigenen Reifegrad zu kennen und kontinuierlich weiterzuentwickeln. Ein Assessment zur Identifizierung des aktuellen Reifegrads (Framework Profiles) ermöglicht es, dem Management notwendige Massnahmen sichtbar zu machen und im Zyklus für eine erfolgreiche Informationssicherheits-Strategie zu berücksichtigen:
BitHawk als starker Partner
BitHawk ist erfahren in der Einführung und dem Betreiben des NIST Cybersecurity Framework als Informationssicherheits-Management System (ISMS) in unterschiedlichen Organisationen und Branchen. Gerne beraten und unterstützen wir Unternehmen bei einem «NIST Assessment». Dieses Projekt setzen wir mit folgenden Phasen um:
Ablauf des BitHawk Cybersecurity NIST Assessment
1. Initialisierung |
|
2. Assessment |
|
3. Analyse und Priorisierung |
|
4. Empfehlung |
|
Weitere Neuerungen zum Framework können in der Ankündigung von NIST nachgelesen werden: The NIST Cybersecurity Framework (CSF) 2.0
Haben Sie weitere Fragen? Zögern Sie nicht und kontaktieren Sie uns. Sie erreichen uns unter Telefon 058 226 01 01 oder schreiben Sie uns eine E-Mail auf marketing@bithawk.ch. Wir helfen Ihnen gerne weiter.