BitHawk / IT Security

NIST Cybersecurity Framework 2.0 – das ist neu…

Geschrieben von Daniel Kaufmann | 05.03.2024 12:17:33

Das weltweit verbreitete Cybersecurity Framework vom National Institute of Standards and Technology (NIST) wurde einem Update unterzogen und ganz gemäss kontinuierlicher Verbesserung auf aktuelle Themen wie Cloud oder AI angepasst. Am 26. Februar 2024 erschien die finale Version des NIST CSF 2.0. Das Framework steht nun allen Organisationen für die Entwicklung des Reifegrads der Informationssicherheit zur Verfügung. Wichtige Informationen zu den eingeführten Änderungen finden Sie in diesem Blog.

Cybersecurity Frameworks sind bewährte Hilfsmittel, um den Reifegrad der Informationssicherheit in einer Organisation zu identifizieren und eine entsprechende Verbesserungsstrategie zu erarbeiten. Das NIST CSF hat seinen Ursprung in einer Executive Order vom damaligen amerikanischen Präsidenten Obama im Jahr 2014. Der Entwicklungsauftrag an das NIST hat auch beinhaltet, dass sich das Framework an sich ändernden Anforderungen anpassen muss. So erschien bereits im April 2018 die Version 1.1. Diese Version ist schweizweit auch bekannt, weil der aktuelle IKT Minimalstandard des Bundesamtes für wirtschaftliche Landesversorgung (BWL) auf dem NIST Cybersecurity Framework 1.1 basiert (IKT-Minimalstandard (admin.ch)).

Im Februar 2022 begann die Überarbeitungsphase mit verschiedenen Meilensteinen und endete am 26. Februar 2024 mit der Veröffentlichung des NIST CSF Version 2.0.

Quelle: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.ipd.pdf


Was ist neu?

Die markanteste Änderung am Framework ist die Einführung der neuen Funktion «GOVERN». Diese Funktion konsolidiert Governance Themen, die teilweise bereits Bestandteil des bekannten Frameworks und entsprechenden Funktionen wie zum Beispiel «IDENTIFY» waren. Übersicht der Framework Versionen:  

 

Die Funktion «GOVERN» enthält nachfolgende Kategorien mit entsprechenden Subkategorien/Aktivitäten:

  • Organizational Context
  • Risk Management Strategy
  • Roles, Responsibilities, and Authorities
  • Policies
  • Oversight
  • Cybersecurity Supply Chain Risk Management

Die Kategorien verdeutlichen, dass es primär um Aufgabengebiete der Unternehmensführung geht. Diese Anpassung mit einer eigens dafür geschaffenen Funktion verleiht den Themen zusätzlich Priorität und Sichtbarkeit im Reifegrad einer Organisation.  



Das neue Framework verfügt somit neu über 6 Funktionen, 22 Kategorien mit gesamthaft 106 Subkategorien und kann als Framework Core wie folgt zusammengefasst werden:

Im Umfang hat sich das Framework mit zuvor 23 Kategorien und 108 Subkategorien nicht markant verändert. Die Überarbeitung und Neuzuteilung erfolgten, um primär die folgenden Ziele zu erreichen:

  • Breitere und unabhängige Framework-Anwendung über jegliche Sektoren und Branchen hinweg.

  • Konsolidierung von Doppelspurigkeit und Optimierungen in den Beschreibungen und Zugehörigkeit von Kategorien.

  • Priorisierung von wichtigen Themen wie Governance, Supply Chain Risk Management, Einsatz von Cloud und Künstlicher Intelligenz. 
Für das bessere Verständnis der teils abstrakten Beschreibungen sind neu nebst den bekannten und erweiterten Informative References auch Implementation Examples vorhanden. Diese beschreiben, wie die Aktivitäten in der Praxis umgesetzt werden können. 

Beides wird neu auch in einem Online-Katalog bereitgestellt und laufend aktualisiert: Cybersecurity Framework | CSRC (nist.gov). Der Hauptgrund für die Online-Ressource ist die laufende und künftige Einführung von neuen Regulatorien, welche somit einfacher und dynamischer im Framework berücksichtigt werden können.  

 

Kontinuierliche Reifegrad-Entwicklung als Erfolgsrezept 

Heutige Herausforderungen bezüglich Cyberrisiken erfordern, den eigenen Reifegrad zu kennen und kontinuierlich weiterzuentwickeln. Ein Assessment zur Identifizierung des aktuellen Reifegrads (Framework Profiles) ermöglicht es, dem Management notwendige Massnahmen sichtbar zu machen und im Zyklus für eine erfolgreiche Informationssicherheits-Strategie zu berücksichtigen:  

 

BitHawk als starker Partner 

BitHawk ist erfahren in der Einführung und dem Betreiben des NIST Cybersecurity Framework als Informationssicherheits-Management System (ISMS) in unterschiedlichen Organisationen und Branchen. Gerne beraten und unterstützen wir Unternehmen bei einem «NIST Assessment». Dieses Projekt setzen wir mit folgenden Phasen um:

Ablauf des BitHawk Cybersecurity NIST Assessment

1. Initialisierung

  • KickOff
  • Erläuterung Framework
  • Strategische Leitplanken
  • Definition Scope
  • Identifikation wichtige Prozesse, Assets und Risiko-Bereitschaft
  • Management Support

2. Assessment

  • Moderierte Workshops zur Reifegrad-Beurteilung der aktuellen Situation im definierten Scope anhand vom NIST Cybersecurity Framework
  • Identifizierung aktueller Tätigkeiten, Technologien und Prozesse
  • Risiko-Beurteilung (Pain Level)

3. Analyse und Priorisierung

4. Empfehlung

  • Präsentation und Besprechung des Assessments
  • Planung weitere Schritte zur Optimierung von erkannten Schwachstellen

Weitere Neuerungen zum Framework können in der Ankündigung von NIST nachgelesen werden: The NIST Cybersecurity Framework (CSF) 2.0  

Haben Sie weitere Fragen? Zögern Sie nicht und kontaktieren Sie uns. Sie erreichen uns unter Telefon 058 226 01 01 oder schreiben Sie uns eine E-Mail auf marketing@bithawk.ch. Wir helfen Ihnen gerne weiter.

 

Weitere Themen auf unserem Blog

Achtung: QR-Codes locken in die Phishing-Falle
1-Grundlagen: AI & LLMs entmystifiziert – Einsichten für Entscheidungsträger
Mitarbeiter – Ihre beste Waffe gegen Phishing