NIST veröffentlicht erweiterte Version 2.0 des Landmark Cybersecurity Framework zur Unterstützung kritischer Infrastrukturorganisationen

Das National Institute of Standards and Technology (NIST) hat Version 2.0 seines Cybersecurity Framework (CSF) vorgestellt und markiert damit einen wichtigen Meilenstein in der Cybersicherheitsstrategie. Ursprünglich auf Organisationen mit kritischer Infrastruktur zugeschnitten, hat das CSF über seinen beabsichtigten Umfang hinaus breite Akzeptanz gefunden, was NIST dazu veranlasste, seine Anwendbarkeit in verschiedenen Sektoren und Organisationsgrößen zu verbessern. Das aktualisierte Rahmenwerk, das auf Rückmeldungen zu seinem Entwurf basiert, erweitert die Kernleitlinien und führt die entscheidende „Govern“-Funktion ein, um Lücken im Risikomanagement zu schließen.

Das neue Rahmenwerk, das seit etwa zehn Jahren nicht mehr aktualisiert wurde, kommt zu einem kritischen Zeitpunkt, an dem kritische Infrastrukturorganisationen schwerwiegenden Cyberangriffen ausgesetzt sind, die alltägliche Funktionen in vielen Bereichen des Lebens lahmlegen könnten. Einige Angriffe haben den Betrieb der Intensivpflege in Gesundheitsgruppen und vielen anderen Branchen lahmgelegt , was mit dem neuen Rahmenwerk verhindert werden soll.

Robert Booker, Chief Strategy Officer bei HITRUST, unterstrich die Bedeutung der Regierungsfunktion und betonte ihre zentrale Rolle beim Risikomanagement in der Cybersicherheitslandschaft. Insbesondere stellt das CSF 2.0 den Benutzern maßgeschneiderte Implementierungsbeispiele und Schnellstartanleitungen zur Verfügung und erleichtert so die praktische Anwendung. Darüber hinaus enthält es einen durchsuchbaren Referenzkatalog, der den Abgleich mit über 50 Cybersicherheitsdokumenten optimiert.

NIST-Direktorin Laurie E. Locascio betonte den dynamischen Charakter von CSF 2.0 und stellte es als eine Reihe anpassbarer Ressourcen dar, die an sich entwickelnde Cybersicherheitsanforderungen und organisatorische Fähigkeiten angepasst werden können. Katherine Ledesma vom industriellen Cybersicherheitsunternehmen Dragos betonte die Auswirkungen des Rahmenwerks auf Organisationen mit industriellen Kontrollsystemen (ICS) und Betriebstechnologiesystemen (OT). Sie betonte einen Wandel in der Wahrnehmung und positionierte Cybersicherheitsinvestitionen nicht nur als Kostenstelle, sondern als strategischen Faktor für den Geschäftsbetrieb, der insbesondere für Branchen wie Fertigung und Versorgungsunternehmen von entscheidender Bedeutung ist.

Ledesma betonte außerdem die Bedeutung der Unterscheidung zwischen IT- und OT-Umgebungen innerhalb des CSF-Rahmens und sah einen differenzierten Ansatz zum Schutz von ICS/OT-Systemen vor. Sie betonte die Notwendigkeit fortlaufender Aktualisierungen und spezieller Leitlinien, um den einzigartigen Risiken dieser Systeme zu begegnen, und plädierte für die Integration OT-spezifischer Überlegungen in umfassendere Planungs- und Leitfäden zur Cybersicherheit.

Insgesamt stellt die Veröffentlichung von CSF 2.0 einen bedeutenden Fortschritt in der Cybersicherheitsstrategie dar, da es ein umfassendes Rahmenwerk bietet, das an verschiedene organisatorische Kontexte angepasst werden kann und die entscheidende Rolle der Cybersicherheit bei der Unterstützung der Widerstandsfähigkeit und Kontinuität von Unternehmen hervorhebt.