Das NIST Cybersecurity Framework setzt in Version 2.0 neue Fokuspunkte. Das National Institute of Standards and Technology hat sein Cybersecurity Framework auf mehreren Ebenen weiterentwickelt. Foto: Wilm Ihlenfeld | shutterstock.comDas National Institute of Standards and Technology (NIST) hat nach zweijähriger Arbeitsphase die Version 2.0 seines weithin referenzierten Cybersecurity Framework (CSF) veröffentlicht. Dabei verlagert das CSF 2.0 seinen Schwerpunkt vom Schutz kritischer Infrastrukturen auf alle Branchen, Sektoren und Organisationen.Im Vergleich zu den beiden bisherigen CSF-Versionen aus den Jahren 2015 und 2018 handelt es sich bei Version 2.0 weniger um eine statische Ressource. Vielmehr ist es ein Ressourcen-Bundle, das dabei unterstützt, das Rahmenwerk zu implementieren, wie NIST-Direktorin Laurie E. Locascio erklärt: “Bei CSF 2.0, das auf den vorherigen Versionen aufbaut, geht es nicht nur um ein Dokument. Es stellt eine ganze Reihe von Ressourcen zur Verfügung, die sich individuell anpassen lassen und entweder einzeln oder in Kombination verwendet werden können, wenn sich die Cybersecurity-Bedürfnisse einer Organisation verändern und sich ihre Fähigkeiten weiterentwickeln.”NIST CSF 2.0: Die wichtigsten ÄnderungenDie wichtigste strukturelle Änderung, die das CSF 2.0 mit sich bringt: Die bisherigen fünf Funktionen (Identify, Protect, Detect, Respond und Recover) bekommen Zuwachs: “Govern” soll als sechste Funktion Organisationen künftig dabei unterstützen, Risikomanagement im Bereich Cybersicherheit in umfassendere Risk-Management-Initiativen einzubinden. Dazu präsentiert die Funktion “Outcomes” respektive “gewünschte Stati”, die darüber informieren, welche Maßnahmen Organisationen treffen können, um die anderen fünf Funktionen umzusetzen. Das Ziel: sämtliche Cybersecurity-Risikomanagement-Initiativen auf Vorstands- und Aufsichtsratsebene zu befördern. Die neue Govern-Funktion im CSF 2.0. Foto: NIST Darüber hinaus erweitert das NIST Cybersecurity Framework 2.0 auch die in CSF 1.1 enthaltenen Supply Chain Risk Management (SCRM)-Maßnahmen. Das Gros wird unter der neuen Funktion zusammengefasst. Wie die NIST-Experten betonen, sei SCRM angesichts der komplexen und vernetzten Beziehungen im Lieferketten-Ökosystem für Unternehmen essenziell. Dabei stelle Cybersecurity SCRM (C-SCRM) einen systematischen Prozess dar, um die Risikoexponierung im Cybersicherheitsbereich über Supply Chains hinweg zu managen und angemessene Reaktions-Strategien, -Policies und -Prozesse zu entwickeln.Supply Chain Risk Management in die Govern-Funktion zu integrieren, ist laut Padraic O’Reilly, Gründer und Chief Innovation Officer beim Softwareanbieter Cybersaint, ein erster Schritt in die richtige Richtung: “Lieferketten sind das pure Chaos – vor allem, weil sie komplex sind. Es muss deutlich mehr getan werden, um Supply Chains ‘von oben’ zu managen. Im Moment gibt es zwar einige Methoden, die halbwegs funktionieren, aber eben nur einen Teil der Probleme in diesem Bereich abdecken.”Cybersecurity Framework 2.0: Mehr Ressourcen und IntegrationenTeil des CSF 2.0 sind außerdem auch aktualisierte “Informative References”. Diese sollen zum Verständnis der technischen Details des CSF beitragen und Organisationen dabei unterstützen, die 23 Kategorien und 106 Unterkategorien die an den sechs Hauptfunktionen “hängen”, umzusetzen. Ein Blick auf die Struktur: Ein Blick auf die Kernstruktur des NIST Cybersecurity Framework. Foto: NISTZudem stellt das US-Pendant zum Bundesamts für Sicherheit in der Informationstechnik auch etliche “Quick Start Guides” zu verschiedenen Themenbereichen zur Verfügung. Zum Beispiel, wenn es darum geht:CSF-Profile und -Tiers zu erstellen,Community-Profile aufzusetzen odererste Schritte in Sachen SCRM zu gehen.Noch mehr Praxisunterstützung versprechen die Implementierungsbeispiele in CSF 2.0. Diese formulieren die passiv geschriebenen “Outcomes” in aktive, umsetzbare Schritte um. Das soll Organisationen erleichtern, das Framework zu adaptieren. Mit CSF 2.0 wird auch die Integration mit anderen, verbreiteten NIST-Ressourcen optimiert, die mit Enterprise- und IT-Risikomanagement in Zusammenhang stehen. Dabei handelt es sich um: SP 800-221, Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio;SP 800-221A, Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT-Risk-Management-Programs Within an Enterprise Risk Portfolio;SP 800-37, Risk Management Framework for Information Systems and Organizations;SP 800-30, Guide for Conducting Risk Assessments from the NIST Risk Management Framework (RMF). ?? @NIST #Cyberframework ALERT – Yesterday we shared the CSF 2.0 & supplementary resources! These can be used by organizations to understand, assess, prioritize, & communicate #cybersecurity risk. Explore it all: https://t.co/pHcS62W1A2 pic.twitter.com/yOrCBV2P9p— Cybersecurity @ NIST (@NISTcyber) February 27, 2024 Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.Jetzt CSO-Newsletter sichern (fm)Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren