Wat is NIST-conformiteit? Een praktische gids voor IT-teams en MSP’s

De term „NIST“ wordt gebruikt om naar verschillende zaken te verwijzen, vaak door elkaar en niet altijd even nauwkeurig. Het agentschap. Het Cybersecurity Framework. De speciale publicaties uit de 800-serie. Het Risk Management Framework. Het Privacy Framework. Weten over welke „NIST“ er in een bepaald gesprek wordt gesproken, en welke daadwerkelijk relevant is voor een specifieke nalevingsverplichting, is de eerste praktische stap bij het werken met NIST-richtlijnen.

NIST-conformiteit betekent in de breedste zin van het woord het naleven van de richtlijnen voor cyberbeveiliging en risicobeheer die zijn gepubliceerd door het National Institute of Standards and Technology. In de praktijk betekent dit meestal dat men zich moet richten op een of meer specifieke NIST-publicaties, zoals het Cybersecurity Framework (CSF), SP 800-53, SP 800-171 of andere, afhankelijk van de regelgevende context, de sector en wat de klanten, toezichthouders of verzekeraars van de organisatie vragen.

Deze gids dient als inleiding. Hierin wordt uitgelegd wat NIST als organisatie inhoudt, welke relevante kaders en publicaties er zijn, wanneer naleving van NIST-richtlijnen vrijwillig of verplicht is, en hoe deze aansluiten bij andere kaders waarmee IT-teams en MSP’s te maken krijgen. Voor een diepgaande analyse op praktijkniveau van het meest gebruikte NIST-kader, zie de gids over het NIST Cybersecurity Framework voor CSF 2.0.

Wat is NIST?

Het NIST is een federaal agentschap dat deel uitmaakt van het Amerikaanse Ministerie van Handel. Het werd in 1901 opgericht als het National Bureau of Standards, kreeg in 1988 een nieuwe naam en houdt zich bezig met meetwetenschap, industriële normen en een breed scala aan technologische gebieden, waaronder cyberbeveiliging, geavanceerde productie en kunstmatige intelligentie.

De cyberbeveiligingstaken waarmee de meeste IT-teams en MSP’s te maken krijgen, vallen onder het Information Technology Laboratory van het NIST, dat het Cybersecurity Framework, het Risk Management Framework, het Privacy Framework en diverse speciale publicaties opstelt waarin specifieke maatregelen, processen en beoordelingsmethodieken worden beschreven. De richtlijnen van het NIST zijn bewust niet dwingend wat betreft de te gebruiken tools. Ze geven aan welke resultaten moeten worden bereikt, niet welk product moet worden aangeschaft.

De reden waarom de NIST-richtlijnen zo’n groot gewicht in de schaal leggen – afgezien van hun directe toepasbaarheid op Amerikaanse federale systemen – is dat ze door middel van verwijzing zijn opgenomen in een lange reeks andere regelgevingskaders en commerciële kaders. CMMC voor defensiecontractanten is gebaseerd op SP 800-171. Staatswetten inzake gegevensbescherming verwijzen in hun beveiligingsnormen vaak naar NIST. Cyberverzekeraars eisen steeds vaker dat organisaties aan de NIST-normen voldoen als voorwaarde voor dekking. Zelfs organisaties die geen directe NIST-verplichting hebben, merken vaak dat ze toch naar NIST toewerken, omdat hun grootste klant, hun verzekeraar of hun toezichthouder dit als referentiepunt gebruikt.

De NIST-reeks van richtlijnen op het gebied van cyberbeveiliging

De cyberbeveiligingsportfolio van het NIST bestaat uit een klein aantal overkoepelende kaders en een groter aantal gedetailleerde publicaties.

Het NIST Cybersecurity Framework (CSF) is het meest gebruikte raamwerk. Het werd oorspronkelijk in 2014 geïntroduceerd voor kritieke infrastructuur. De huidige versie is CSF 2.0 (februari 2024), waarin het toepassingsgebied is uitgebreid naar alle organisaties, een nieuwe functie ‘Govern’ is toegevoegd naast de oorspronkelijke vijf (Identify, Protect, Detect, Respond, Recover), en de richtlijnen voor risicobeheer in de toeleveringsketen aanzienlijk zijn uitgebreid. CSF is het raamwerk waarop de meeste organisaties hun beveiligingsprogramma baseren. Voor een praktische uitleg van de zes functies, niveaus en profielen van CSF 2.0, zie de speciale CSF 2.0-gids.

Het NIST Risk Management Framework (RMF) is het gestructureerde proces voor het beheer van beveiligings- en privacyrisico’s gedurende de gehele levenscyclus van systeemontwikkeling. Waar het CSF de beoogde resultaten aangeeft, biedt het RMF het proces om die resultaten te bereiken: systemen categoriseren, beheersmaatregelen selecteren, implementeren, beoordelen, goedkeuren en monitoren. Het RMF is op grond van de FISMA verplicht voor informatiesystemen van de Amerikaanse federale overheid en wordt steeds vaker gebruikt als procesraamwerk voor beveiligingsprogramma’s in de particuliere sector.

Het NIST Privacy Framework is de op privacy gerichte tegenhanger van het CSF. Het is op dezelfde manier opgebouwd (Core, Profiles, Implementation Tiers) en is bedoeld om organisaties te helpen bij het identificeren en beheren van privacyrisico’s, naast hun cyberbeveiligingsrisico’s. Het sluit naadloos aan op het CSF en op AVG, waardoor het nuttig is voor organisaties die in verschillende regelgevingskaders actief zijn.

De NIST Special Publications (SP) -reeks biedt de gedetailleerde technische en procedurele richtlijnen waarnaar in de overkoepelende kaders wordt verwezen. Met name de 800-reeks is degene waarmee IT-teams het vaakst te maken krijgen.

De NIST SP 800-serie: belangrijke publicaties

De 800-serie is omvangrijk (honderden publicaties), maar slechts een klein aantal daarvan vervult het grootste deel van de praktische taken voor de meeste IT-teams en MSP’s.

SP 800-53 is de catalogus van beveiligings- en privacymaatregelen voor federale informatiesystemen. Deze bevat meer dan duizend maatregelen, ingedeeld in 20 categorieën, en dient als het implementatiedocument waarop de subcategorieën van het CSF zijn gebaseerd. De meeste andere Amerikaanse federale cyberbeveiligingsnormen zijn afgeleid van of afgestemd op SP 800-53.

SP 800-171 is de subset van de SP 800-53-maatregelen die van toepassing zijn op gecontroleerde niet-geclassificeerde informatie (CUI) die wordt bewaard in niet-federale systemen. Het bevat 110 beveiligingseisen, verdeeld over 14 categorieën maatregelen. CMMC-niveau 2, het certificeringssysteem voor de Amerikaanse defensie-industrie, is rechtstreeks gebaseerd op SP 800-171. Voor MSP's die defensie-aannemers of onderaannemers bedienen, is SP 800-171 het belangrijkste referentiedocument.

SP 800-30 biedt een methodologie voor het uitvoeren van cyberbeveiligingsrisicobeoordelingen. Terwijl de meeste kaders alleen aangeven dat je een risicobeoordeling moet uitvoeren, legt 800-30 uit hoe je dit concreet op een verantwoorde en controleerbare manier aanpakt.

SP 800-37 is het procedurehandboek voor het risicobeheerkader (RMF). Het behandelt de zes stappen van het RMF (voorbereiden, categoriseren, selecteren, implementeren, beoordelen, goedkeuren, monitoren) en dient als operationele handleiding voor organisaties die een op het RMF afgestemd programma uitvoeren.

SP 800-61 behandelt de afhandeling van computerbeveiligingsincidenten. Het is het referentiedocument voor het opzetten van een incidentresponsprogramma en wordt veelvuldig aangehaald in wettelijke voorschriften die incidentresponscapaciteit verplicht stellen.

SP 800-137 heeft betrekking op de continue monitoring van de informatiebeveiliging. Het biedt een kader voor het voortdurend in kaart brengen van de informatiebeveiligingsstatus, kwetsbaarheden en bedreigingen, en vormt daarmee de discipline die de eenmalige implementatie van beveiligingsmaatregelen omzet in een duurzaam beveiligingsprogramma.

Er zijn nog tientallen andere publicaties uit de 800-serie die specifieke onderwerpen behandelen, variërend van cloud computing (SP 800-144) tot industriële besturingssystemen (SP 800-82) en identiteitsbeheer (SP 800-63). Voor de meeste IT-teams en MSP’s dekken de zes bovengenoemde publicaties het grootste deel van het dagelijkse NIST-referentiewerk, terwijl andere publicaties worden geraadpleegd wanneer zich specifieke vereisten voordoen.

Wanneer naleving van de NIST-normen vrijwillig is in plaats van verplicht

De NIST-normen zijn technisch gezien vrijwillig voor niet-federale organisaties. In de praktijk vervaagt de grens tussen vrijwillig en verplicht al jaren.

De richtlijnen van het NIST zijn krachtens de FISMA (de Federal Information Security Modernization Act) rechtstreeks bindend voor Amerikaanse federale instanties; deze wet verplicht instanties ertoe om informatiebeveiligingsprogramma’s te ontwikkelen, te documenteren en te implementeren die in overeenstemming zijn met de normen en richtlijnen van het NIST.

Dit is verplicht op grond van contractuele doorwerking voor federale aannemers en onderaannemers die omgaan met gecontroleerde niet-geclassificeerde informatie. Het CMMC-programma, dat geleidelijk wordt ingevoerd in contracten van het Ministerie van Defensie, maakt naleving van SP 800-171 een voorwaarde voor deelname aan aanbestedingen voor de meeste defensiecontracten.

Het is in feite verplicht door de invoering van regelgeving in diverse staats- en sectorspecifieke kaders. De Cybersecurity Regulation van het New York Department of Financial Services (23 NYCRR 500), de richtlijnen van de HIPAA Security Rule en diverse staatswetten inzake gegevensbescherming verwijzen allemaal naar NIST-publicaties als gezaghebbende bronnen.

In de commerciële sector wordt dit steeds vaker vereist bij het afsluiten van cyberverzekeringen. Verzekeraars zijn afgestapt van risicobeoordelingen op basis van vragenlijsten en eisen nu bewijs dat men voldoet aan een erkend cyberbeveiligingsraamwerk, waarbij CSF het raamwerk is waar het vaakst om wordt gevraagd. Organisaties die hun cyberdekking in 2026 verlengen, moeten er rekening mee houden dat hen vragen worden gesteld over de mate waarin zij aan CSF voldoen.

Vrijwillige aanpassing is ook de meest gangbare keuze voor organisaties in de particuliere sector die een gestructureerd cyberbeveiligingsprogramma willen, maar niet gebonden zijn aan specifieke regelgeving. De expliciete uitbreiding van CSF 2.0 naar alle organisaties heeft dit eenvoudiger gemaakt. Het raamwerk is niet langer uitsluitend gericht op kritieke infrastructuur en is daadwerkelijk bruikbaar voor kleine bedrijven, middelgrote ondernemingen en MSP’s zelf.

Hoe NIST aansluit bij HIPAA, PCI-DSS, ISO 27001 en CIS Controls

Het NIST-raamwerk overlapt in belangrijke mate met andere raamwerken waarmee een organisatie waarschijnlijk al aan de slag is. De meest voorkomende fout bij de implementatie is dat deze raamwerken worden behandeld als afzonderlijke programma’s die op afzonderlijke beheersmaatregelen draaien.

De HIPAA-beveiligingsregel sluit nauw aan bij de richtlijnen van het NIST. Het ministerie van Volksgezondheid en Human Services verwijst in zijn beveiligingsrichtlijnen expliciet naar publicaties van het NIST, en organisaties die voldoen aan de vereisten van de HIPAA-beveiligingsregel hebben in de gezondheidszorg over het algemeen het grootste deel van het werk voor de afstemming op het CSF al verricht.

PCI-DSS voor de verwerking van betaalkaarten vertoont aanzienlijke overlappingen met NIST SP 800-53 op het gebied van controlemaatregelen, met name wat betreft toegangscontrole, versleuteling, kwetsbaarheidsbeheer en incidentrespons. Een handelaar of dienstverlener die een degelijk PCI-programma hanteert, bevindt zich in een uitstekende positie om dit uit te breiden naar het CSF.

ISO 27001 is de internationale norm voor managementsystemen op het gebied van informatiebeveiliging. Deze norm deelt de risicogebaseerde en resultaatgerichte aanpak van CSF, maar voegt daar een formele managementsysteemstructuur aan toe die kan worden gecontroleerd met het oog op certificering. CSF en ISO 27001 zijn in hoge mate compatibel, en veel organisaties passen beide toe: CSF voor de strategische kadering en ISO 27001 voor het certificeerbare managementsysteem.

CIS Controls v8.1 is een op prioriteit gebaseerde, prescriptieve reeks van 18 beveiligingsmaatregelen die in grote mate aansluit bij de functies en categorieën van het CSF. CIS Controls vormt vaak een laagdrempelige instap voor organisaties die nog niet bekend zijn met gestructureerd beveiligingswerk, omdat het specifieke acties in volgorde van prioriteit biedt, terwijl het CSF resultaten aangeeft zonder concrete acties voor te schrijven. Een organisatie die CIS Controls implementeert, legt daarmee al een aanzienlijk deel van het werk voor de afstemming op het CSF achter de rug.

Het patroon is bij al deze gevallen hetzelfde. Eén onderliggende controlearchitectuur moet meerdere frameworks kunnen ondersteunen. Bij een slimme implementatie worden controles eenmalig afgestemd op de vereisten van het framework en wordt de verzamelde informatie herhaaldelijk hergebruikt, in plaats van parallelle nalevingsprogramma’s te voeren die elk hun eigen administratie vereisen.

Een praktisch NIST-starttraject voor IT-teams en MSP’s

Voor organisaties die net van start gaan, verloopt het werk doorgaans in vijf fasen.

Stel vast wat de daadwerkelijke NIST-verplichting is. Is de organisatie een federale aannemer voor wie de CMMC-voorschriften van toepassing zijn? Een zorginstelling die onder de HIPAA valt? Een financiële dienstverlener die onder NYDFS 500 valt? Een particuliere onderneming die vrijwillig aan de normen wil voldoen met het oog op cyberverzekering of commerciële geloofwaardigheid? De specifieke verplichting bepaalt welke NIST-publicatie de primaire referentie is.

Bepaal het strategische kader. Voor de meeste organisaties is het antwoord NIST CSF 2.0, omdat dit kader sectoroverschrijdend is, de breedste externe erkenning geniet en duidelijk aansluit bij andere verplichtingen. Federale aannemers met CUI-verplichtingen zullen CSF combineren met SP 800-171.

Voer een 'Current Profile'-beoordeling uit aan de hand van het gekozen raamwerk. Leg vast welke resultaten op het gebied van cyberbeveiliging momenteel daadwerkelijk worden behaald, waar de hiaten zitten en welke hiaten het meest van belang zijn voor de wettelijke of commerciële verplichtingen die aan de basis liggen van deze werkzaamheden.

Stel een doelprofiel en een stappenplan op. Bepaal waar de organisatie naartoe moet, wanneer ze daar moet zijn, wat het gaat kosten en wat de prioriteitenvolgorde van de werkzaamheden is.

Kies voor tools die aansluiten bij het raamwerk in plaats van ertegenin te gaan. Het Kaseya 365 implementeert het merendeel van de CSF-subcategorieën rechtstreeks. Kaseya VSA 10 en Datto RMM bieden ondersteuning voor assetbeheer en patchbeheer (Identificeren, Beschermen). Datto EDR biedt ondersteuning voor detectie en respons op eindpunten (Detecteren, Reageren). Datto BCDR biedt ondersteuning voor herstel (Herstellen). BullPhish ID bewustwordingstraining (Beschermen). Compliance Manager GRC omvat governance, profieltracking en bewijsverzameling (Govern), met ingebouwde NIST CSF 2.0-, SP 800-171-, CMMC- en gerelateerde frameworksjablonen die het compliancewerk van een spreadsheetoefening omzetten in een continue operationele dienst.

Als NIST-compliance als een eenmalig project wordt beschouwd, verwordt het tot een stoffige map vol beleidsregels die geen aansluiting hebben bij de praktijk. Als het wordt behandeld als een doorlopende discipline, wordt het het bindweefsel dat de rest van het cyberbeveiligingsprogramma samenbrengt tot een samenhangend geheel, dat standaard klaar is voor audits, verzekeringen en contracten. De organisaties die het meeste uit de NIST-richtlijnen halen, zijn degenen die het niet langer als een regelgevende last beschouwen, maar als de bouwtekening voor hoe hun beveiligingsprogramma hoort te werken.