NIST släpper utökad version 2.0 av Landmark Cybersecurity Framework för att hjälpa kritiska infrastrukturorganisationer

National Institute of Standards and Technology (NIST) har avslöjat version 2.0 av sitt Cybersecurity Framework (CSF), vilket markerar en viktig milstolpe i cybersäkerhetsstrategin. CSF, som ursprungligen var skräddarsydd för organisationer med kritisk infrastruktur, har fått en bred användning utanför dess avsedda omfattning, vilket fick NIST att förbättra dess tillämpbarhet inom olika sektorer och organisationsstorlekar. Det uppdaterade ramverket, baserat på feedback på utkastet, utökar den centrala vägledningen och introducerar den avgörande "Govern"-funktionen, som tar itu med luckor i riskhanteringen.

Det nya ramverket, som inte har uppdaterats på cirka 10 år, kommer vid en kritisk tidpunkt där kritiska infrastrukturorganisationer möter allvarliga cyberattacker som kan lamslå dagliga funktioner inom många aspekter av livet. Vissa attacker har ryckt upp operationer för intensivvård i hälsogrupper och många andra branscher, vilket det nya ramverket syftar till att hjälpa till att motverka.

Robert Booker, Chief Strategy Officer på HITRUST, betonade betydelsen av Govern-funktionen och betonade dess centrala roll i riskhantering inom cybersäkerhetslandskapet. I synnerhet ger CSF 2.0 användarna skräddarsydda implementeringsexempel och snabbstartsguider, vilket underlättar den praktiska tillämpningen. Dessutom innehåller den en sökbar katalog med referenser, vilket effektiviserar anpassningen med över 50 cybersäkerhetsdokument.

NIST-direktör Laurie E. Locascio betonade den dynamiska karaktären hos CSF 2.0 och framställde den som en svit av anpassningsbara resurser som kan anpassas till utvecklande cybersäkerhetsbehov och organisatoriska kapaciteter. Katherine Ledesma, från det industriella cybersäkerhetsföretaget Dragos, lyfte fram ramverkets implikationer för organisationer med industriella kontrollsystem (ICS) och operations technology (OT) system. Hon betonade en förändring i uppfattning och positionerade investeringar i cybersäkerhet som inte bara ett kostnadsställe utan en strategisk möjliggörare för affärsverksamhet, särskilt kritiskt för industrier som tillverkning och allmännyttiga företag.

Ledesma betonade också vikten av att skilja mellan IT- och OT-miljöer inom CSF-ramverket, och förutser ett nyanserat tillvägagångssätt för att skydda ICS/OT-system. Hon betonade behovet av fortlöpande uppdateringar och specialiserad vägledning för att hantera de unika riskerna som är förknippade med dessa system, och förespråkade integrering av OT-specifika överväganden i bredare cybersäkerhetsplanering och vägledningsdokument.

Sammantaget markerar lanseringen av CSF 2.0 ett betydande framsteg inom cybersäkerhetsstrategin, som erbjuder ett omfattande ramverk som kan anpassas till olika organisatoriska sammanhang och betonar cybersäkerhetens avgörande roll för att stödja affärsresiliens och kontinuitet.