NIST Cybersecurity Framework 2.0: 4 Schritte zum Einstieg

Das US-amerikanische National Institute of Standards and Technology (NIST) hat das veröffentlicht neuester Entwurf seines angesehenen Cybersecurity Framework (CSF) Diese Woche müssen Unternehmen darüber nachdenken, wie sich einige wesentliche Änderungen des Dokuments auf ihre Cybersicherheitsprogramme auswirken.

Zwischen der neuen „Govern“-Funktion, die eine stärkere Aufsicht der Geschäftsleitung und des Vorstands über die Cybersicherheit einschließt, und der Ausweitung der Best Practices über die nur für kritische Industrien hinaus werden Cybersicherheitsteams eine Menge Arbeit vor sich haben, sagt Richard Caralli, leitender Cybersicherheitsberater bei Axio, ein Bedrohungsmanagementunternehmen für IT und Betriebstechnologie (OT).

„In vielen Fällen bedeutet dies, dass Organisationen bestehende Bewertungen, identifizierte Lücken und Behebungsmaßnahmen genau unter die Lupe nehmen müssen, um die Auswirkungen der Rahmenänderungen zu bestimmen“, sagt er und fügt hinzu, dass „neue Programmlücken auftauchen werden, die zuvor möglicherweise aufgetreten sind.“ waren nicht anwesend, insbesondere im Hinblick auf die Cybersicherheits-Governance und das Risikomanagement der Lieferkette.“

Das ursprüngliche CSF, das zuletzt vor 10 Jahren aktualisiert wurde, zielte darauf ab, Leitlinien zur Cybersicherheit bereitzustellen Branchen, die für die nationale und wirtschaftliche Sicherheit von entscheidender Bedeutung sinddem „Vermischten Geschmack“. Seine neueste Version erweitert diese Vision erheblich und schafft einen Rahmen für jede Organisation, die ihre Cybersicherheitsreife und -haltung verbessern möchte. Darüber hinaus sind Drittpartner und Lieferanten mittlerweile ein wichtiger Faktor, der im CSF 2.0 berücksichtigt werden muss.

Unternehmen müssen die Cybersicherheit systematischer betrachten, um Vorschriften einzuhalten und die Best Practices aus dem Dokument umzusetzen, sagte Katie Teitler-Santullo, leitende Cybersicherheitsstrategin bei Axonius, in einer Erklärung.

„Um diesen Leitfaden in die Tat umzusetzen, muss es eine Eigeninitiative der Unternehmen sein“, sagte sie. „Anleitung ist nur Anleitung, bis sie zum Gesetz wird. Die leistungsstärksten Unternehmen werden es sich zur Aufgabe machen, einen stärker geschäftsorientierten Ansatz für Cyber-Risiken zu entwickeln.“

Hier sind vier Tipps für die Operationalisierung der neuesten Version des NIST Cybersecurity Framework.

1. Nutzen Sie alle NIST-Ressourcen

Das NIST CSF ist nicht nur ein Dokument, sondern eine Sammlung von Ressourcen, die Unternehmen nutzen können, um das Framework auf ihre spezifische Umgebung und Anforderungen anzuwenden. Organisations- und Community-Profile bieten beispielsweise die Grundlage für Unternehmen, um ihre Cybersicherheitsanforderungen, Vermögenswerte und Kontrollen zu bewerten – oder neu zu bewerten. Um den Einstieg in den Prozess zu erleichtern, hat NIST außerdem QuickStart-Leitfäden für bestimmte Branchensegmente, beispielsweise Kleinunternehmen, und für bestimmte Funktionen, beispielsweise das Cybersecurity Supply Chain Risk Management (C-SCRM), veröffentlicht. 

Die NIST-Ressourcen können Teams dabei helfen, die Veränderungen zu verstehen, sagt Nick Puetz, Geschäftsführer bei Protiviti, einem IT-Beratungsunternehmen.

„Dies können sehr wertvolle Tools sein, die Unternehmen jeder Größe helfen können, aber besonders nützlich für kleinere Organisationen sind“, sagt er und fügt hinzu, dass Teams „sicherstellen sollten, dass Ihr Führungsteam – und sogar Ihr Vorstand – verstehen, welchen Nutzen dies für sie hat.“ Das Programm könnte [aber] kurzfristig zu einigen Inkonsistenzen bei der Reifebewertung [oder] beim Benchmarking führen.“

2. Besprechen Sie die Auswirkungen der „Regierungs“-Funktion auf die Führung

Das NIST CSF 2.0 fügt eine völlig neue Kernfunktion hinzu: Govern. Die neue Funktion ist eine Anerkennung dafür, dass der gesamte organisatorische Ansatz zur Cybersicherheit mit der Strategie des Unternehmens übereinstimmen, an den Abläufen gemessen und von Sicherheitsmanagern, einschließlich des Vorstands, verwaltet werden muss.

Sicherheitsteams sollten auf Asset-Erkennung und Identitätsmanagement achten, um Einblick in die kritischen Komponenten des Geschäfts eines Unternehmens und in die Art und Weise zu erhalten, wie Mitarbeiter und Workloads mit diesen Assets interagieren. Aus diesem Grund stützt sich die Govern-Funktion stark auf andere Aspekte des CSF – insbesondere auf die Funktion „Identifizieren“. Und mehrere Komponenten, wie „Geschäftsumfeld“ und „Risikomanagementstrategie“, werden von „Identität“ auf „Govern“ verlagert, sagt Caralli von Axio.

„Diese neue Funktion unterstützt sich entwickelnde regulatorische Anforderungen, wie z die SEC-Regeln zur Offenlegung von Datenschutzverletzungen„, das im Dezember 2023 in Kraft trat, ist wahrscheinlich ein Hinweis auf die Möglichkeit weiterer regulatorischer Maßnahmen“, sagt er. „Und es unterstreicht die treuhänderische Rolle, die die Führung im Prozess des Cybersicherheitsrisikomanagements spielt.“

3. Berücksichtigen Sie die Sicherheit Ihrer Lieferkette

Das Lieferkettenrisiko gewinnt im CSF 2.0 an Bedeutung. Organisationen können in der Regel Risiken akzeptieren, vermeiden, versuchen, Risiken zu mindern, das Risiko teilen oder das Problem auf eine andere Organisation übertragen. Moderne Hersteller beispielsweise übertragen das Cyberrisiko typischerweise auf ihre Käufer, was bedeutet, dass ein durch einen Cyberangriff auf einen Lieferanten verursachter Ausfall auch Ihr Unternehmen beeinträchtigen kann, sagt Aloke Chakravarty, Partner und Co-Vorsitzender der Untersuchungen, staatliche Strafverfolgung, und Praxisgruppe für Wirtschaftsschutz bei der Anwaltskanzlei Snell & Wilmer.

Sicherheitsteams sollten ein System erstellen, um die Cybersicherheitslage der Lieferanten zu bewerten, potenziell ausnutzbare Schwachstellen zu identifizieren und sicherzustellen, dass das Risiko des Lieferanten nicht auf seine Käufer übertragen wird, sagt Chakravarty. 

„Da die Anbietersicherheit jetzt ausdrücklich hervorgehoben wird, vermarkten sich viele Anbieter möglicherweise als Anbieter, die konforme Praktiken anwenden, aber Unternehmen tun gut daran, diese Darstellungen genau zu prüfen und einem Drucktest zu unterziehen“, sagt er. „Die Suche nach zusätzlichen Prüfberichten und Richtlinien rund um diese Cybersicherheitszusicherungen könnte Teil dieses sich entwickelnden Marktes werden.“

4. Bestätigen Sie, dass Ihre Anbieter CSF 2.0 unterstützen

Unter anderem Beratungsdienste und Produkte zur Verwaltung der Cybersicherheitslage müssen wahrscheinlich neu bewertet und aktualisiert werden, um die neueste CSF zu unterstützen. Herkömmliche Governance-, Risiko- und Compliance-Tools (GRC) sollten beispielsweise angesichts der zunehmenden Betonung, die NIST der Governance-Funktion beimisst, noch einmal überprüft werden, sagt Caralli von Axio.

Darüber hinaus übt CSF 2.0 zusätzlichen Druck auf Supply-Chain-Management-Produkte und -Dienstleistungen aus, um deren Risiken durch Dritte besser zu identifizieren und zu kontrollieren, sagt Caralli.

Er fügt hinzu: „Es ist wahrscheinlich, dass bestehende Tools und Methoden in den Rahmenaktualisierungen Chancen sehen werden, ihre Produkte und Serviceangebote zu verbessern und sich besser an die erweiterte Praxis anzupassen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot-security/nist-cybersecurity-framework-2-0-4-steps-get-started