NIST Cybersecurity Framework

Das NIST Cybersecurity Framework ist ein Leitfaden des National Institute of Standards and Technology zur systematischen Steuerung von Cybersicherheitsrisiken. Die Version 2.0 (veröffentlicht Februar 2024) führt die neue Kernfunktion Govern ein und erweitert den Anwendungsbereich über kritische Infrastrukturen hinaus auf alle Organisationstypen. Das Framework besteht nun aus sechs Kernfunktionen: Govern, Identify, Protect, Detect, Respond und Recover. Ergänzend definiert es vier Reifegradstufen (Tiers) und organisatorische Profile zur individuellen Anpassung.

Das NIST CSF verfolgt einen risikobasierten Ansatz, der flexibler ist als der kontrollbasierte Aufbau von ISO 27001. Es lässt sich branchenübergreifend einsetzen, ist kostenlos verfügbar und bietet eine klare Struktur zur Priorisierung von Maßnahmen. Zudem lässt es sich nahtlos mit ISO 27001, BSI IT-Grundschutz und regulatorischen Anforderungen wie DORA und NIS 2 kombinieren. ADVISORI empfiehlt häufig einen integrierten Ansatz, bei dem das NIST CSF als strategischer Rahmen dient und ISO 27001 die operativen Kontrollen liefert.

Die Implementierung folgt fünf Phasen: Zunächst führen wir ein Assessment der aktuellen Cybersicherheitslage durch und erstellen ein Ist-Profil. Im zweiten Schritt definieren wir gemeinsam das Ziel-Profil und priorisieren die Lücken anhand einer risikobasierten Gap-Analyse. Danach implementieren wir die Maßnahmen über alle sechs Kernfunktionen. Abschließend etablieren wir ein kontinuierliches Monitoring und eine regelmäßige Überprüfung zur fortlaufenden Verbesserung des Reifegrads.

Die sechs Kernfunktionen sind: Govern (Steuerung der Cybersicherheitsstrategie und -richtlinien), Identify (Erkennung und Bewertung von Risiken), Protect (Umsetzung von Schutzmaßnahmen), Detect (Erkennung von Sicherheitsereignissen), Respond (Reaktion auf erkannte Vorfälle) und Recover (Wiederherstellung betroffener Dienste). Govern ist neu in Version 2.0 und stellt sicher, dass Cybersicherheit als unternehmensweites Governance-Thema verankert wird.

Mit CSF 2.0 richtet sich das NIST Framework an Organisationen jeder Größe und Branche – nicht nur an Betreiber kritischer Infrastrukturen. Besonders relevant ist es für Finanzdienstleister (Ergänzung zu DORA), KRITIS-Betreiber (Ergänzung zu NIS2), international tätige Unternehmen und Organisationen, die mehrere Compliance-Anforderungen effizient unter einem Dach bündeln möchten.

Das NIST CSF dient als übergreifender Rahmen, der sich auf bestehende regulatorische Anforderungen abbilden lässt. ADVISORI erstellt Cross-Framework-Mappings, die Überschneidungen zwischen NIST CSF, ISO 27001, DORA und NIS 2 aufzeigen. So vermeiden Sie Doppelarbeit bei Audits und schaffen eine einheitliche Governance-Struktur. Die sechs Kernfunktionen decken die wesentlichen Anforderungen aller genannten Frameworks ab.

Die Kosten richten sich nach Unternehmensgröße, Komplexität der IT-Landschaft und dem angestrebten Reifegrad. Eine initiale Gap-Analyse dauert in der Regel zwei bis vier Wochen. Die vollständige Implementierung erstreckt sich je nach Ausgangslage über drei bis zwölf Monate. ADVISORI bietet eine kostenfreie 30-Minuten-Erstberatung, um den individuellen Aufwand einzuschätzen und eine realistische Roadmap zu erstellen.