NIST brengt uitgebreide versie 2.0 uit van Landmark Cybersecurity Framework om organisaties met kritieke infrastructuur te helpen

Het National Institute of Standards and Technology (NIST) heeft versie 2.0 van zijn Cybersecurity Framework (CSF) onthuld en markeert een belangrijke mijlpaal in de cyberbeveiligingsstrategie. Oorspronkelijk op maat gemaakt voor kritieke infrastructuurorganisaties, heeft het CSF een wijdverbreide acceptatie gekregen buiten het beoogde bereik, wat NIST ertoe heeft aangezet de toepasbaarheid ervan in diverse sectoren en organisatiegroottes te vergroten. Het bijgewerkte raamwerk, gebaseerd op feedback op het concept ervan, breidt de kernrichtlijnen uit en introduceert de cruciale ‘regeringsfunctie’, waarmee lacunes in het risicobeheer worden aangepakt.

Het nieuwe raamwerk, dat al zo'n tien jaar niet is bijgewerkt, komt op een kritiek moment waarop organisaties met kritieke infrastructuur te maken krijgen met ernstige cyberaanvallen die de dagelijkse functies binnen veel facetten van het leven kunnen verlammen. Sommige aanvallen hebben operaties voor kritieke zorg in gezondheidszorggroepen en vele andere sectoren ontworteld , wat het nieuwe raamwerk wil helpen dwarsbomen.

Robert Booker, Chief Strategy Officer bij HITRUST, onderstreepte het belang van de Govern-functie en benadrukte de cruciale rol ervan in het risicobeheer binnen het cyberbeveiligingslandschap. Met name biedt CSF 2.0 gebruikers op maat gemaakte implementatievoorbeelden en snelstartgidsen, waardoor de praktische toepassing ervan wordt vergemakkelijkt. Bovendien bevat het een doorzoekbare catalogus met referenties, waardoor de afstemming met meer dan 50 cyberbeveiligingsdocumenten wordt gestroomlijnd.

NIST-directeur Laurie E. Locascio benadrukte het dynamische karakter van CSF 2.0 en portretteerde het als een reeks aanpasbare bronnen die kunnen worden aangepast aan de veranderende behoeften op het gebied van cyberbeveiliging en organisatorische capaciteiten. Katherine Ledesma van het industriële cybersecuritybedrijf Dragos benadrukte de implicaties van het raamwerk voor organisaties met industriële controlesystemen (ICS) en operationele technologiesystemen (OT). Ze benadrukte een verschuiving in de perceptie en positioneerde investeringen in cyberbeveiliging niet alleen als een kostenpost, maar ook als een strategische factor voor bedrijfsactiviteiten, vooral van cruciaal belang voor sectoren als productie en nutsvoorzieningen.

Ledesma benadrukte ook het belang van het maken van onderscheid tussen IT- en OT-omgevingen binnen het CSF-framework, en voorzag in een genuanceerde aanpak voor het beschermen van ICS/OT-systemen. Ze benadrukte de noodzaak van voortdurende updates en gespecialiseerde begeleiding om de unieke risico’s aan te pakken die aan deze systemen zijn verbonden, en pleitte voor de integratie van OT-specifieke overwegingen in bredere cyberbeveiligingsplanning en begeleidingsdocumenten.

Over het geheel genomen markeert de release van CSF 2.0 een aanzienlijke vooruitgang in de cyberbeveiligingsstrategie, die een alomvattend raamwerk biedt dat kan worden aangepast aan diverse organisatorische contexten en de nadruk legt op de cruciale rol van cyberbeveiliging bij het ondersteunen van de veerkracht en continuïteit van het bedrijf.