Het NIST-kader voor cyberbeveiliging: een praktische gids voor CSF 2.0 voor IT-teams en MSP’s

NIST CSF 2.0 is het cyberbeveiligingsraamwerk dat steeds meer klanten gebruiken om hun beveiligingsprogramma’s te structureren en de beveiligingsstatus van de IT-teams en MSP’s waarmee ze samenwerken te beoordelen. Het heeft in februari 2024 CSF 1.1 vervangen en vormt de belangrijkste update sinds de oorspronkelijke introductie van het raamwerk in 2014. Voor elke organisatie die haar beveiligingsprogramma op basis van CSF 1.1 heeft opgezet, hebben deze veranderingen belangrijke operationele gevolgen.

De belangrijkste verandering is de nieuwe zesde functie, ‘Govern’. Deze voegt zich bij de oorspronkelijke vijf (Identify, Protect, Detect, Respond, Recover) en vult aan wat in CSF 1.1 onvoldoende was gespecificeerd: wie verantwoordelijk is voor beslissingen op het gebied van cyberbeveiliging, hoe risicobeheer wordt geïntegreerd in de bredere bedrijfsvoering en hoe risico’s in de toeleveringsketen worden beheerd. CSF 2.0 laat ook het oorspronkelijke kader van 'kritieke infrastructuur' vallen en is nu expliciet ontworpen voor organisaties van elke omvang en in elke sector. Dit is een belangrijk verschil voor kleinere IT-teams en MSP-klanten die voorheen de terminologie rond kritieke infrastructuur moesten vertalen naar hun eigen context.

In deze handleiding wordt uitgelegd wat CSF 2.0 in de praktijk inhoudt. De zes functies en wat ze precies inhouden, hoe implementatieniveaus en profielen werken, hoe het raamwerk aansluit bij de andere standaarden waarmee u wellicht al werkt, en hoe MSP's CSF 2.0 kunnen gebruiken als een gestructureerde manier om beveiligingsadviesdiensten te leveren en aan te tonen. Voor de bredere NIST-reeks van richtlijnen, inclusief de SP 800-serie en hoe deze zich verhoudt tot CSF, zie het bijbehorende artikel over wat NIST-compliance is en hoe u hiermee kunt beginnen.

Wat is het NIST-kader voor cyberbeveiliging?

Het NIST Cybersecurity Framework is een vrijwillig raamwerk dat is ontwikkeld door het National Institute of Standards and Technology om organisaties te helpen bij het beheren van cyberbeveiligingsrisico’s. Het raamwerk deelt cyberbeveiligingsactiviteiten in functies, categorieën en subcategorieën in, waardoor organisaties op een gestructureerde manier inzicht krijgen in hun beveiligingsstatus, deze kunnen beoordelen en verbeteren, zonder dat daarbij precies wordt voorgeschreven hoe ze dat moeten doen.

Het raamwerk is bewust technologie-onafhankelijk en resultaatgericht. Het beschrijft wat een organisatie zou moeten kunnen doen, niet met welk hulpmiddel dat moet gebeuren. Juist vanwege die flexibiliteit wordt het CSF zo vaak gecombineerd met meer prescriptieve normen. NIST SP 800-53 biedt een gedetailleerde catalogus van beheersmaatregelen waaraan de subcategorieën van het CSF zijn gekoppeld. CIS Controls v8.1 biedt een implementatiegids met prioriteiten. ISO 27001 biedt een controleerbare managementsysteemstructuur. CSF biedt u het strategische kader, en de andere standaarden vullen de implementatiedetails in.

Voor Amerikaanse federale aannemers wordt de afstemming op NIST-richtlijnen niet langer vrijwillig, maar verplicht. FISMA schrijft voor dat federale instanties de NIST-richtlijnen rechtstreeks moeten volgen. CMMC-niveau 2 sluit aan bij NIST SP 800-171. Organisaties die federale contracten nastreven, of die leveren aan bedrijven die dergelijke contracten hebben, hebben baat bij afstemming op het CSF als strategische basis waarbinnen andere wettelijke vereisten vervolgens kunnen worden ingepast.

Wat is er veranderd in CSF 2.0

Vier updates in CSF 2.0 zijn voor praktijkbeoefenaars het belangrijkst.

De eerste is de nieuwe Govern-functie. CSF 2.0 voegt een zesde functie toe die zich richt op de organisatorische context, risicobeheerstrategie, risico’s in de toeleveringsketen, rollen en verantwoordelijkheden, beleid en toezicht. Deze functie erkent dat cyberbeveiligingsgovernance – wie beslissingen neemt en wie verantwoordelijk is – net zo cruciaal is als de technische beveiligingsmaatregelen zelf. Voor organisaties die CSF 1.1-programma’s hebben uitgevoerd zonder een gedocumenteerde governance-laag, zal dit de belangrijkste lacune zijn die moet worden opgevuld.

Ten tweede is er de expliciete uitbreiding van het toepassingsgebied. CSF 1.1 was bedoeld voor kritieke infrastructuur. CSF 2.0 is expliciet bedoeld voor alle organisaties: kleine bedrijven, grote ondernemingen, overheidsinstanties, scholen, ziekenhuizen en MSP’s. In de documentatie van het raamwerk worden nu voorbeelden gebruikt die aansluiten bij deze bredere doelgroep, in plaats van de terminologie uit de energie-, transport- en watersector die in de oorspronkelijke versie werd gebruikt.

Het derde punt betreft de uitgebreide informatie over risicobeheer in de toeleveringsketen. Aanvallen via de toeleveringsketen zijn sinds de publicatie van CSF 1.1 in 2018 een belangrijke bedreigingsbron geworden, en CSF 2.0 breidt de richtlijnen voor het beoordelen, beheren en contracteren van cyberbeveiligingsrisico’s bij derden aanzienlijk uit. Voor MSP’s, die zelf deel uitmaken van de toeleveringsketen van hun klanten, is dit hoofdstuk verplichte kost.

Ten vierde is er de vernieuwde structuur van categorieën en subcategorieën. Het aantal subcategorieën is gewijzigd, sommige categorieën zijn herschikt en de richtlijnen sluiten beter aan bij actuele praktijkgebieden zoals de beveiliging van operationele technologie en cloudbeveiliging dan CSF 1.1 deed. Organisaties die hun CSF 1.1-programma vernieuwen, moeten hun bestaande beheersmaatregelen in kaart brengen binnen de CSF 2.0-structuur, in plaats van ervan uit te gaan dat deze één op één kunnen worden overgenomen.

De zes functies

De zes functies in CSF 2.0 structureren cyberbeveiligingsactiviteiten op het hoogste niveau. Elke functie is onderverdeeld in categorieën en vervolgens in subcategorieën die specifieke resultaten beschrijven.

Govern (GV). De nieuwe functie in CSF 2.0. Het opstellen en bewaken van de strategie, verwachtingen en het beleid van de organisatie op het gebied van cyberbeveiligingsrisicobeheer. Omvat de organisatorische context, de strategie voor risicobeheer, rollen en verantwoordelijkheden op het gebied van cyberbeveiliging, beleid, toezicht en risicobeheer in de toeleveringsketen.

Identificeren (ID). Krijg inzicht in de cyberbeveiligingsrisico’s voor de systemen, medewerkers, bedrijfsmiddelen, gegevens en capaciteiten van de organisatie. Hier komen bedrijfsmiddelenbeheer, risicobeoordeling en verbeterplannen aan bod.

Beschermen (PR). Implementeer de beveiligingsmaatregelen die ervoor zorgen dat kritieke diensten blijven draaien. Identiteitsbeheer en toegangscontrole, bewustwording en training, gegevensbeveiliging, platformbeveiliging en veerkracht van de technologische infrastructuur.

Detecteren (DE). Het vaststellen van een cyberbeveiligingsincident op het moment dat het zich voordoet. Continue monitoring en analyse van incidenten.

Reageren (RS). Onderneem actie wanneer een cyberbeveiligingsincident wordt gedetecteerd. Incidentbeheer, incidentanalyse, rapportage van de reactie, beperking van de schade en verbeteringen na het incident.

Herstel (RC). Het herstellen van functies of diensten die door een cyberincident zijn verstoord. Uitvoering van het incidentherstelplan en communicatie rondom het incidentherstel.

De meest voorkomende onevenwichtigheid in CSF-programma’s in de praktijk is dat er te veel wordt geïnvesteerd in ‘Bescherming’ ten opzichte van ‘Detectie’ en ‘Reactie’. Organisaties schaffen veel preventieve maatregelen aan en relatief weinig detectie- en reactiecapaciteit, en zijn vervolgens verbaasd wanneer het onvermijdelijke incident meer tijd kost om op te sporen en in te dammen dan zou moeten. CSF 2.0 schrijft geen budgetverdeling voor, maar een geloofwaardig programma laat een min of meer evenwichtige volwassenheid zien over de zes functies heen, en niet een hoge score voor ‘Bescherming’ naast een magere capaciteit voor ‘Detectie’ en ‘Reactie’.

Niveaus en profielen

CSF 2.0 behoudt het model met implementatieniveaus en profielen dat al in CSF 1.1 bestond, met aangescherpte richtlijnen voor het gebruik ervan.

Implementatieniveaus geven de strengheid en het ontwikkelingsniveau weer van de praktijken voor cyberbeveiligingsrisicobeheer van een organisatie, verdeeld over vier niveaus: Niveau 1 (Gedeeltelijk), Niveau 2 (Risicogebaseerd), Niveau 3 (Herhaalbaar) en Niveau 4 (Adaptief). Deze niveaus zijn geen scores voor naleving. Ze geven aan hoe de organisatie risico’s beheert en hoe volwassen haar praktijken zijn, en niet of ze een lijst met criteria heeft afgevinkt. De meeste kleine en middelgrote bedrijven zullen voor het grootste deel van hun programma redelijkerwijs niveau 2 of niveau 3 nastreven, in plaats van over de hele linie niveau 4 te ambiëren.

Profielen zijn de manier waarop een organisatie CSF afstemt op haar specifieke context. Een huidig profiel beschrijft de resultaten op het gebied van cyberbeveiliging die de organisatie op dit moment behaalt. Een streefprofiel beschrijft de resultaten die de organisatie wil behalen, rekening houdend met haar risicobereidheid, het regelgevingsklimaat en de bedrijfsdoelstellingen. De kloof tussen beide vormt het verbeteringsplan. Voor een MSP die beveiligingsadviesdiensten levert, is het opstellen van huidige en streefprofielen voor elke klant een van de duidelijkste manieren om het geleverde werk aan te tonen en een meerjarig traject in kaart te brengen.

Laten we eens bekijken hoe dit in de praktijk uitpakt. Een klant in de professionele dienstverlening met 120 gebruikers valt onder CSF 2.0 omdat zijn grootste klant (een federale aannemer) van zijn leveranciers eist dat zij aantonen dat ze hieraan voldoen. De MSP voert een Current Profile-beoordeling uit en constateert dat de klant zich op het gebied van Identificeren en Beschermen ruwweg op niveau 2 bevindt, op het gebied van Detecteren en Reageren op niveau 1, en dat er helemaal geen gedocumenteerde Govern-functie is. Het Target Profile, afgestemd op de contractuele verplichtingen van de klant, is Tier 3 voor Identify, Protect, Detect, Respond en Recover, en Tier 2 voor Govern. De kloof wordt omgezet in een gestructureerd traject van 18 maanden: basiswerk voor Govern in het eerste kwartaal, Detect/Respond-tools en runbooks in het tweede en derde kwartaal, en continue verbetering gedurende de rest van het programma. CSF verandert wat een vage opdracht als "verbeter onze beveiliging" zou zijn geweest, in een contractuele scope met meetbare voortgangsdoelen.

Hoe CSF 2.0 aansluit bij andere frameworks

CSF wordt zelden op zichzelf toegepast. De meeste organisaties die er gebruik van maken, streven ook naar naleving van andere raamwerkverplichtingen of voldoen daar al aan. Inzicht in de overlappingen voorkomt dubbel werk.

NIST SP 800-53 is de gedetailleerde catalogus van beveiligingsmaatregelen waaraan de subcategorieën van het CSF zijn gekoppeld. Organisaties die het CSF gebruiken voor strategische kadervorming en SP 800-53 voor de praktische uitvoering, krijgen zo een complementair beeld van hetzelfde beveiligingsprogramma op verschillende niveaus van gedetailleerdheid.

NIST SP 800-171 is de subset van de SP 800-53-maatregelen die van toepassing zijn op gecontroleerde, niet-geclassificeerde informatie die wordt bewaard in niet-federale systemen. CMMC-niveau 2 is gebaseerd op SP 800-171, dus een organisatie die zich aanpast aan het CSF en SP 800-171, heeft het grootste deel van het werk voor de CMMC-certificering al gedaan.

CIS Controls v8.1 sluit in grote mate aan bij de functies en categorieën van het CSF. Een organisatie die CIS Controls Implementation Group 2 implementeert, zal merken dat er met relatief weinig extra inspanning een sterke afstemming op het CSF tot stand komt.

ISO 27001 sluit aan bij de risicogebaseerde en resultaatgerichte aanpak van CSF. Veel organisaties passen beide toe: CSF voor de strategische kadervorming en ISO 27001 voor het controleerbare managementsysteem. Certificering betekent niet automatisch dat er sprake is van afstemming op CSF, maar de onderliggende beheersmaatregelen sluiten goed op elkaar aan.

Implementatie van NIST CSF 2.0 voor MSP’s en IT-teams

Het praktische traject voor de implementatie van CSF 2.0 bestaat uit vijf fasen.

Begin met de Govern-functie. Dit is het gebied waarop CSF 1.1-programma’s doorgaans het meeste werk moeten verzetten, en het is ook het gebied waarop de verwachtingen van CSF 2.0 het duidelijkst zijn. Leg vast wie verantwoordelijk is voor cyberbeveiliging, wat de risicobereidheid van de organisatie is, hoe beslissingen over cyberbeveiliging worden geëscaleerd en hoe risico’s in de toeleveringsketen worden beheerd. De Govern-functie vormt het fundament waarop de technische functies rusten. Programma’s die deze functie overslaan, blijven vaak steken op niveau 2.

Voer een Current Profile-beoordeling uit. Neem de categorieën en subcategorieën door en leg vast welke resultaten er op dit moment daadwerkelijk worden behaald op het gebied van cyberbeveiliging. Dit is de maatregel die voor elke organisatie op korte termijn de meeste waarde oplevert, en de beoordeling zelf brengt vaak tekortkomingen in het beheer en blinde vlekken in de detectie aan het licht die nog niet eerder waren gesignaleerd. Voor MSP’s vormt het Current Profile het uitgangspunt voor alle verdere gesprekken.

Stel een haalbaar streefprofiel op. Het streefprofiel moet een afspiegeling zijn van de regelgeving, de contractuele verplichtingen en de risicobereidheid van de organisatie, en mag geen ambitieus streefdoel zijn. Een streefprofiel dat voor alle zes functies op niveau 4 mikt zonder dat daarvoor het benodigde budget beschikbaar is, leidt tot een rapport met een permanente kloof in plaats van een uitvoerbaar stappenplan.

Geef prioriteit aan de lacunes met het hoogste risico. Voor de meeste organisaties liggen de grootste verschillen op het gebied van opsporen, reageren en aansturen, en niet zozeer bij beveiligen. Continu monitoringvermogen, gedocumenteerde draaiboeken voor incidentrespons en formele verantwoordingsplicht op het gebied van governance zorgen voor een onevenredig grote risicoreductie per eenheid inspanning, in vergelijking met aanvullende preventieve maatregelen binnen een reeds volwassen beveiligingsfunctie.

Gebruik de tools van het platform om de technische subcategorieën te implementeren. Het Kaseya 365 sluit in de meeste subcategorieën direct aan op de CSF-implementatie. Kaseya VSA 10 en Datto RMM omvatten assetbeheer en patchbeheer (Identify, Protect). Datto EDR omvat detectie en respons op eindpunten (Detect, Respond). Datto BCDR omvat herstel (Recover). BullPhish ID bewustwordingstraining (Beschermen). Compliance Manager GRC governance, profieltracking en bewijsdocumentatie (Besturen). Compliance Manager GRC bevat een NIST CSF 2.0-beoordelingsworkflow met tracking van het huidige en beoogde profiel en haalt automatisch technisch bewijsmateriaal op uit de andere platformcomponenten. Dit is het verschil tussen het uitvoeren van een CSF-programma in een spreadsheet en het uitvoeren ervan als een operationele dienst.

De organisaties die het meeste uit CSF 2.0 halen, zijn niet degenen met de hoogste scores. Het zijn juist de organisaties die het raamwerk zien als een gestructureerde manier om moeilijke gesprekken te voeren. Over wie verantwoordelijk is voor beslissingen op het gebied van cyberbeveiliging, over waar het programma echt zwak is in plaats van waar het er op papier goed uitziet, over welke controles hun plaats verdienen en welke zijn aangeschaft zonder duidelijke functie. CSF 2.0 vertelt u niet wat u moet doen. Het vertelt u wat u zou moeten kunnen beantwoorden. De organisaties die hier duidelijk antwoord op kunnen geven, zijn degenen waarvan de klanten, auditors en verzekeraars geen vervolgvragen meer stellen.