NIST brengt in het voorjaar van 2024 een vernieuwd Cybersecurity Framework uit. Het maakt nu een voorlopig exemplaar beschikbaar zodat bedrijven feedback kunnen geven.
Het Cybersecurity Framework (CSF) van het NIST legt geen verplichtingen op aan Amerikaanse of Europese bedrijven, maar dient voor veel organisaties wel als hulpmiddel bij het uitzetten van hun cybersecurity-strategie. Volgens cijfers van het instituut zelf is het framework meer dan twee miljard keer gedownload door bedrijven uit meer dan 185 landen.
Het framework bestaat al sinds 2014 en werd toen als een ‘living document’ voorgesteld zodat het framework altijd aanpassingen kon maken op basis van nieuwe omstandigheden.
Breder publiek bedienen
Na tien jaar vindt het National Institute of Standards and Technology (NIST) het tijd om het framework te updaten. Het belangrijkste doel van de update is het uitbreiden van de doelgroep die het framework kan gebruiken. Momenteel ligt de focus op organisaties die zich toespitsten op kritische infrastructuur van een land. Aangezien cybersecurity echter voor alle organisaties belangrijk is, moet het CSF zich nuttig bewijzen voor organisaties groot en klein. Het CSF is daarom de nieuwe en meer inclusieve benaming, aangezien het vorige model eigenlijk “Framework for Improving Critical Infrastructure Cybersecurity’ noemde.
Verder wordt er een zesde actie bijgevoegd. De acties identificeren, beschermen, detecteren, antwoorden en herstellen, worden aangevuld met de ‘bestuursfunctie’. “Die beschrijft hoe een organisatie haar eigen interne beslissingen kan nemen en uitvoeren ter ondersteuning van haar cyberbeveiligingsstrategie”, duidt de aankondiging.
Bron: NIST
Voor en door organisaties
Het vernieuwde framework zal voorgesteld worden in het voorjaar van 2024. Momenteel is er enkel een voorlopige versie beschikbaar. Het is de bedoeling dat bedrijven feedback en kritiek leveren op deze versie, zodat een framework voor de industrie en samen met de industrie kan worden gemaakt. “Met deze update proberen we het huidige gebruik van het Cybersecurity Framework weer te geven en ook te anticiperen op toekomstig gebruik”, zegt Cherilyn Pascoe, de hoofdontwikkelaar van het framework bij NIST. Feedback zal tot 4 november 2023 verzameld worden.
“Veel reacties zeiden dat we de belangrijkste kenmerken van het CSF moeten behouden en erop moeten voortbouwen, inclusief het flexibele en vrijwillige karakter ervan”, zei Pascoe. “Tegelijkertijd vroegen veel van hen om meer begeleiding bij het implementeren van de CSF en ervoor te zorgen dat deze opkomende cyberbeveiligingsproblemen kon aanpakken, zoals risico’s in de toeleveringsketen en de wijdverspreide dreiging van ransomware. Omdat deze problemen veel organisaties treffen, ook kleine bedrijven, realiseerden we ons dat we een tandje bij moesten zetten.”
In het voorstel zijn daarom use-cases opgenomen om voornamelijk kleinere bedrijven te helpen het raamwerk te gebruiken.
NIS in Europa
Het framework is echter niet te verwarren met het NIS in Europa. Dit is een Europese richtlijn die uitzet welke cybersecurity-maatregelen Europese bedrijven verplicht moeten nemen. Eerder dit jaar kreeg deze richtlijn een update en NIS 2 zal ten laatste op 17 oktober 2024 in alle EU-lidstaten gelden.
De verplichtingen vallen echter weg voor kleine organisaties, met minder dan 50 werknemers en een jaarlijkse omzet die onder de tien miljoen euro ligt. De richtlijn wordt echter wel verplicht voor een grotere groep grote organisaties, doordat een uitbreiding van de sectoren in NIS 2.
Voor de kleinere organisaties blijft het wel aangeraden om cybersecurity-maatregelen te nemen. Voornamelijk omdat net mkb’s niet zo eenvoudig lijken te herstellen van een aanval. De Europese richtlijn of het Cybersecurity Framework van het NIST kan dan een handige leidraad zijn.
Het NIST kan in ieder geval gebruikt worden voor bijvoorbeeld het prioriteren van cybersecurity-activiteiten en het behandelen van een mogelijk risico. Er kan een huidig beeld van de staat van cybersecurity worden gemaakt en een toekomstbeeld dat projecteert wat de organisatie hoopt te bereiken. Op basis van het framework kunnen IT-teams dan duidelijk maken aan andere afdelingen en het management welke maatregelen nog essentieel zijn in de organisatie.
Lees ook: Ransomware fataal voor mkb’ers: security steeds serieuzer genomen
1 dag geleden
