NIST CSF 2.0: Die 6 Kernfunktionen – Govern, Identify, Protect, Detect, Respond, Recover

NIST CSF 2.0 definiert sechs Kernfunktionen: Govern (GV), Identify (ID), Protect (PR), Detect (DE), Respond (RS) und Recover (RC). Die Govern-Funktion wurde in Version 2.0 (Februar 2024) als sechste Funktion neu eingeführt und bildet das strategische Zentrum des Frameworks. Zusammen umfassen die sechs Funktionen

22 Kategorien und

106 Unterkategorien, die einen vollständigen Kreislauf für das Cybersicherheitsmanagement abdecken.

Die Govern-Funktion (GV) verankert Cybersicherheits-Governance auf Führungsebene. Sie umfasst

6 Kategorien: Organisationskontext (GV.OC), Risikomanagement-Strategie (GV.RM), Rollen und Verantwortlichkeiten (GV.RR), Richtlinien (GV.PO), Überwachung (GV.OV) und Lieferketten-Risikomanagement (GV.SC). Govern steht im Framework-Rad im Zentrum, weil sie steuert, wie die Organisation alle anderen fünf Funktionen umsetzt.

Die wesentlichen Änderungen: CSF 2.0 fügt Govern als sechste Kernfunktion hinzu, gilt für alle Organisationen (nicht nur kritische Infrastruktur), konsolidiert auf

106 Unterkategorien (statt 108), integriert Supply-Chain-Risikomanagement explizit und verbessert die Verknüpfungen zu internationalen Standards wie ISO 27001 und BSI-Grundschutz. Unternehmen mit bestehender CSF-1.1-Implementierung sollten ein Gap-Assessment durchführen.

Identify umfasst Asset-Management (ID.AM), Risikobewertung (ID.RA) und Verbesserung (ID.IM). Protect deckt Identitätsmanagement und Zugangssteuerung (PR.AA), Sensibilisierung und Schulung (PR.AT), Datensicherheit (PR.DS), Plattformsicherheit (PR.PS) und Technologie-Infrastruktur-Resilienz (PR.IR) ab. Detect besteht aus kontinuierlichem Monitoring (DE.CM) und Analyse adversärer Ereignisse (DE.AE). Jede Kategorie enthält spezifische Unterkategorien mit messbaren Ergebnissen.

Respond (RS) umfasst Vorfallmanagement (RS.MA), Vorfallanalyse (RS.AN), Kommunikation und Berichterstattung (RS.CO) sowie Eindämmung und Schadensbegrenzung (RS.MI). Recover (RC) deckt Recovery-Planung und -Ausführung (RC.RP) sowie Recovery-Kommunikation (RC.CO) ab. Beide Funktionen werden bei Sicherheitsvorfällen aktiviert, während Erkenntnisse aus der Wiederherstellung in die Verbesserung von Protect und Detect einfließen.

NIST CSF 2.0 bietet explizite Mappings zu internationalen Standards. Govern korrespondiert mit DORA-Governance-Anforderungen (Art. 5‑6) und ISO‑27001-Führungsklauseln (Kap. 5). Identify unterstützt die Asset-Inventarisierung gemäß NIS 2 Artikel 21. Detect und Respond decken die DORA-Meldepflichten (Art. 17‑19) ab. Recover adressiert Business-Continuity-Anforderungen aller drei Rahmenwerke. Ein integriertes Compliance-Framework vermeidet Mehrfach-Assessments.

Die Implementierung startet mit einem Maturity-Assessment über alle sechs Funktionen, bei dem der Ist-Zustand anhand der NIST-Implementation-Tiers (Partial, Risk-Informed, Repeatable, Adaptive) bewertet wird. Darauf aufbauend wird ein Current Profile erstellt und mit dem Target Profile abgeglichen. Die Gap-Analyse priorisiert Maßnahmen nach Risiko und Kosten-Nutzen-Verhältnis. Die Umsetzung erfolgt phasenweise, typischerweise beginnend mit Govern und Identify als Grundlage.