Home Normen ✦ AI Offerte →
HomeNormen → NIST CSF 2.0

NIST CSF 2.0 — Cybersecurityraamwerk

Het NIST Cybersecurity Framework (CSF) 2.0 is het toonaangevende raamwerk voor cyberrisicobeheer, ontwikkeld door het National Institute of Standards and Technology. Versie 2.0 (februari 2024) voegt de nieuwe Govern-functie toe en breidt de toepassing uit naar alle organisatietypen — niet meer alleen kritieke infrastructuur.

NIST CSF 2.0 Cyberrisicobeheer 6 functies Alle sectoren

Wat is NIST CSF 2.0?

Het NIST Cybersecurity Framework (CSF) is een vrijwillig raamwerk dat organisaties helpt bij het begrijpen, beheren en verminderen van cybersecurityrisico’s. Oorspronkelijk ontwikkeld voor Amerikaanse kritieke infrastructuur, wordt het nu wereldwijd gebruikt door organisaties van elke omvang en sector.

Versie 2.0, gepubliceerd in februari 2024, introduceert de zesde kernfunctie “Govern” en benadrukt het belang van cybersecurity-governance op bestuursniveau. Het raamwerk is nu expliciet bedoeld voor alle organisaties, niet alleen kritieke infrastructuur.

De 6 kernfuncties van NIST CSF 2.0

  • Govern (nieuw): Cybersecurity-governance, risicomanagementstrategie, rollen en verantwoordelijkheden, beleid en toezicht
  • Identify: Inventarisatie van bedrijfsmiddelen, risicobeoordelinge en kwetsbaarheidsbeheer
  • Protect: Beschermingsmaatregelen waaronder toegangsbeheer, bewustwording, gegevensbeveiliging en platformbeveiliging
  • Detect: Detectie van cybersecurity-incidenten via continue monitoring en analyse
  • Respond: Incidentrespons, analyse, communicatie en mitigatie
  • Recover: Herstel van diensten en activiteiten na een incident

Wie heeft NIST CSF nodig?

  • Organisaties met activiteiten in de VS of klanten in de VS-markt
  • Kritieke infrastructuurbedrijven (energie, transport, gezondheidszorg)
  • Organisaties die een risicogebaseerd cybersecuritykader willen
  • Bedrijven die moeten voldoen aan overheidscontracteisen
  • Organisaties die NIST CSF als basis gebruiken voor ISO 27001 of SOC 2

NIST CSF 2.0 — Wat is nieuw?

  • Nieuwe Govern-functie met focus op bestuurlijke verantwoordelijkheid
  • Toepassing uitgebreid naar alle organisatietypen en -groottes
  • Verbeterde supply chain risicomanagement-categorieën
  • Nieuwe CSF 2.0 Reference Tool voor implementatiebegeleiding
  • Betere afstemming op internationale normen, waaronder ISO 27001

Het BALTUM-proces: stap voor stap

  • Stap 1 — Current Profile: Beoordeling van de huidige cybersecurity-situatie ten opzichte van NIST CSF 2.0-categorieën en subcategorieën.
  • Stap 2 — Target Profile: Vaststelling van het gewenste cybersecurity-niveau op basis van bedrijfsdoelstellingen en risicobereidheid.
  • Stap 3 — Gap-analyse en roadmap: Identificatie van gaps tussen huidige en gewenste situatie, prioritering van verbeteracties.
  • Stap 4 — Implementatie: Invoering van beheersmaatregelen, beleids- en proceduredocumentatie.
  • Stap 5 — Continue verbetering: Periodieke herbeoordeling, bijwerking van profielen en aanpassing aan nieuwe dreigingen.

Typische doorlooptijd

3–6 maanden voor een volledige NIST CSF 2.0-implementatie. Organisaties die al ISO 27001-gecertificeerd zijn, hebben doorgaans al een groot deel van het raamwerk gedekt en kunnen in 1–3 maanden een volledig profiel realiseren.

Integratie met andere normen

  • NIST CSF + ISO 27001 (Raamwerk en certificeerbaar managementsysteem)
  • NIST CSF + SOC 2 (Raamwerk en assurance-rapport)
  • NIST CSF + PCI DSS (Cyberrisico en betaalbeveiliging)
  • NIST CSF + Cyber Essentials (VS en VK-raamwerken gecombineerd)