NIST lanserer utvidet versjon 2.0 av Landmark Cybersecurity Framework for å hjelpe kritiske infrastrukturorganisasjoner

National Institute of Standards and Technology (NIST) har avduket versjon 2.0 av sitt Cybersecurity Framework (CSF), som markerer en viktig milepæl i nettsikkerhetsstrategien. Opprinnelig skreddersydd for kritiske infrastrukturorganisasjoner, har CSF fått utbredt bruk utover det tiltenkte omfanget, noe som har fått NIST til å forbedre sin anvendelighet på tvers av ulike sektorer og organisasjonsstørrelser. Det oppdaterte rammeverket, informert av tilbakemeldinger på utkastet, utvider kjerneveiledningen og introduserer den avgjørende «Govern»-funksjonen, og adresserer hull i risikostyring.

Det nye rammeverket, som ikke har blitt oppdatert på omtrent 10 år, kommer på et kritisk tidspunkt der kritiske infrastrukturorganisasjoner står overfor alvorlige cyberangrep som kan lamme daglige funksjoner innenfor mange fasetter av livet. Noen angrep har rykket opp operasjoner for kritisk omsorg i helsegrupper og mange andre bransjer, som det nye rammeverket skal bidra til å hindre.

Robert Booker, Chief Strategy Officer hos HITRUST, understreket betydningen av Govern-funksjonen, og understreket dens sentrale rolle i risikostyring innenfor cybersikkerhetslandskapet. Spesielt gir CSF 2.0 brukere skreddersydde implementeringseksempler og hurtigstartveiledninger, noe som letter den praktiske anvendelsen. Videre inneholder den en søkbar katalog med referanser, som effektiviserer tilpasningen med over 50 cybersikkerhetsdokumenter.

NIST-direktør Laurie E. Locascio la vekt på den dynamiske naturen til CSF 2.0, og fremstilte den som en pakke med tilpassbare ressurser som kan tilpasses utviklende cybersikkerhetsbehov og organisatoriske evner. Katherine Ledesma, fra det industrielle cybersikkerhetsfirmaet Dragos, fremhevet rammeverkets implikasjoner for organisasjoner med industrielle kontrollsystemer (ICS) og operasjonelle teknologisystemer (OT). Hun la vekt på et skifte i oppfatning, og posisjonerte cybersikkerhetsinvesteringer som ikke bare et kostnadssenter, men en strategisk muliggjører for forretningsdrift, spesielt kritisk for bransjer som produksjon og verktøy.

Ledesma understreket også viktigheten av å skille mellom IT- og OT-miljøer innenfor CSF-rammeverket, og forutsetter en nyansert tilnærming til å sikre ICS/OT-systemer. Hun understreket behovet for løpende oppdateringer og spesialisert veiledning for å håndtere de unike risikoene knyttet til disse systemene, og tok til orde for integrering av OT-spesifikke hensyn i bredere cybersikkerhetsplanlegging og veiledningsdokumenter.

Totalt sett markerer utgivelsen av CSF 2.0 et betydelig fremskritt innen cybersikkerhetsstrategi, og tilbyr et omfattende rammeverk som kan tilpasses ulike organisatoriske kontekster og understreker den kritiske rollen til cybersikkerhet for å støtte forretningsresiliens og kontinuitet.