Het Cybersecurity Framework van het National Institute of Standards and Technology (NIST) biedt een uitgebreide set richtlijnen om beveiligingsrisico’s binnen organisaties aan te pakken. Hoewel het naleven ervan vrijwillig is, dient het framework als krachtig hulpmiddel om krachtige systemen te ontwerpen die digitale dreigingen minimaliseren en de integriteit van netwerken en gegevens beschermen. Onlangs is een nieuwe versie van het framework, NIST 2.0, uitgebracht. Wat kan dit framework je bieden? En wat zijn de belangrijkste verschillen tussen de nieuwe- en de vorige versie?
Het NIST Cybersecurity Framework begrijpen
Het NIST Cybersecurity Framework, afkomstig uit de Verenigde Staten en uitgebracht op 12 februari 2014, overstijgt geografische grenzen dankzij de universele toepasbaarheid. Het framework evolueert continu dankzij feedback van diverse belanghebbenden, waaronder bedrijven, overheidsinstanties en academische instellingen, wat zorgt voor voortdurende verfijning en relevantie.
Dit framework is een waardevol preventiemiddel, en preventie is cruciaal om het aanvalsoppervlak van jouw bedrijf te verkleinen. Dit bespaart uiteindelijk waardevolle middelen en geld door potentiële aanvallen te voorkomen. Hoewel het begrijpelijk is om terughoudend te zijn tegenover nog meer richtlijnen en regels – zeker als deze vrijwillig zijn – is het belangrijk om de lange termijn voordelen ervan in overweging te nemen.
Introductie van NIST 2.0: verbeterd governance en beheersing van risico's in de supply chain
In 2024 is de nieuwe versie van het NIST-framework geïntroduceerd. Een belangrijke toevoeging in versie 2.0 is de nieuwe functie "Govern". Hiermee wordt het belang van governance binnen cybersecurity benadrukt, waarmee het wordt erkend als een kritisch bedrijfsrisico dat even belangrijk is als financiën en reputatie.
Deze functie, die eerder verspreide rollen en verantwoordelijkheden samenbrengt, vereenvoudigt de structuur van het framework. Het aantal kerntaken bedraagt nu zes: Identificeren, Beschermen, Detecteren, Reageren, Herstellen en nu ook Governance. Bovendien is er meer aandacht voor de taken Reageren en Herstellen om eerdere lacunes aan te pakken. Met de toename van aanvallen op supply chains sinds de lancering van het framework in 2014, legt NIST in deze nieuwste versie een sterkere nadruk op Cybersecurity Supply Chain Risk Management (SCRM).
Het officiële e-book van het NIST Cybersecurity Framework 2.0 beschrijft de zes kerntaken van het framework:
- Govern: De strategie, verwachtingen en het beleid voor risicobeheer van de organisatie worden vastgesteld, gecommuniceerd en bewaakt.
- Identify: De huidige cybersecurityrisico's van de organisatie worden begrepen.
- Protect: Er worden maatregelen getroffen om de cybersecurityrisico's van de organisatie te beheersen.
- Detect: Mogelijke cybersecurityaanvallen en compromissen worden gevonden en geanalyseerd.
- Respond: Er worden acties ondernomen bij een gedetecteerde cybersecurity-incident.
- Recover: Aangetaste activa en operaties worden hersteld na een cybersecurity-incident.
Bron: NIST E-book
Praktische implementatie: het aanpassen van NIST-richtlijnen aan de behoeften van jouw bedrijf
Een goed startpunt is de webpagina die gewijd is aan informatieve referenties. Het is belangrijk te begrijpen dat zowel jij als jouw bedrijf niet verplicht zijn om alle referenties na te leven. Bepaalde maatregelen zijn mogelijk niet op jouw bedrijf van toepassing, of je beschikt al over effectieve protocollen. Kies simpelweg wat bij jouw behoeften past en negeer de rest.
Bij het toepassen van de referenties kun je beoordelen tot welke implementatielaag van het framework je behoort, op basis van hoe je de individuele principes volgt en mogelijke cybersecurityrisico's bekijkt. Ook moet je jouw frameworkprofiel definiëren. Hiermee kun je de hiaten identificeren en een prioritaire implementatieplanning opstellen.
Daarnaast kun je ervoor kiezen om de NIST Framework Roadmap te volgen, die 14 categorieën bevat waaraan je aandacht moet besteden:
- Vertrouwensmechanismen
- Cyber-aanvalslevenscyclus
- Cybersecurity-personeel
- Cyberrisicobeheer in de supply chain
- Afstemming op federale cybersecurityrichtlijnen
- Governance en risicobeheer binnen de onderneming
- Identiteitsbeheer
- Internationale aspecten en afstemming
- Cybersecurity meten
- Privacy-engineering
- Referentietechnieken
- Middelen en bewustwording voor kleine bedrijven
- Internet of Things (IoT)
- Veilige softwareontwikkeling
Misschien denk je dat jouw bedrijf te klein is om van zo’n groot systeem van richtlijnen te profiteren. Maar zelfs als je een klein bedrijf bent, kun je baat hebben bij NIST-naleving. Door preventieve maatregelen toe te passen, kun je veel hogere kosten in de toekomst voorkomen door een aanval te voorkomen voordat deze schade kan aanrichten. Voor kleine bedrijven heeft NIST een speciale webpagina opgesteld die uitlegt wat te doen en hoe te beginnen.
Weet je nog steeds niet waar je moet beginnen?
Voor organisaties of individuen die het NIST Cybersecurity Framework (CSF) te complex vinden om te implementeren, kunnen de Center for Internet Security (CIS) Controls een toegankelijker startpunt zijn. De CIS Controls bieden een reeks geprioriteerde acties met specifieke en praktische richtlijnen om de cybersecurity te verbeteren. Deze controles bieden een stapsgewijze benadering van cybersecurity die kan dienen als basis voordat u overstapt naar het uitgebreidere NIST CSF.
Eén van de grootste voordelen van het framework is de aanpasbaarheid aan de unieke behoeften en methodologieën van elk bedrijf. De aanbevelingen vullen uw bestaande digitale beveiligingsprogramma en risicobeheerstrategieën aan door gebieden voor verbetering aan te wijzen of geheel nieuwe stappen te suggereren waar nodig. Bovendien is het een waardevol hulpmiddel voor gesprekken met senior management over digitale beveiliging en de bijbehorende risico's.
Cybersecurity compliance met ESET
De oplossingen van ESET sluiten aan op industriële frameworks, zodat je met vertrouwen kunt vertrouwen op de veilige, efficiënte en conforme werking van jouw bedrijf. Ontdek de regelgeving waaraan de oplossingen van ESET je kunnen helpen voldoen.
