NIST Cybersecurity Framework

NIST Cybersecurity Framework (CSF) er et frivilligt rammeværk udviklet af National Institute of Standards and Technology i USA. Selvom det er amerikansk, bruges det globalt, og version 2.0 (udgivet februar 2024) er blevet den de facto standard for cybersikkerhedsstyring.

De seks kernefunktioner (CSF 2.0)

GOVERN (Styr) - Ny i version 2.0. Etabler og overvåg organisationens cybersikkerhedsstrategi, forventninger og politik. Inkluderer risikostyring, roller og ansvar.

IDENTIFY (Identificer) - Forstå din organisation: aktiver, systemer, data, leverandører og risici. Du kan ikke beskytte det, du ikke kender til.

PROTECT (Beskyt) - Implementer sikkerhedsforanstaltninger: adgangskontrol, awareness-træning, datasikkerhed, sikker konfiguration og platformsikkerhed.

DETECT (Detekter) - Opdag cybersikkerhedshændelser rettidigt: kontinuerlig overvågning, anomalidetektion og hændelsesanalyse.

RESPOND (Reagér) - Tag handling ved en hændelse: hændelseshåndtering, kommunikation, analyse, mitigering og forbedring.

RECOVER (Gendan) - Gendan normal drift: genopretningsplanlægning, kommunikation og forbedring baseret på lærdom.

Implementeringsniveauer (Tiers)

Rammeværket definerer fire modenhedsniveauer:

• Tier 1 (Partial): Uformel, reaktiv tilgang
• Tier 2 (Risk Informed): Risikobevidstniveau, men ikke organisationsbredt
• Tier 3 (Repeatable): Formelle politikker, konsistent praksis
• Tier 4 (Adaptive): Kontinuerlig forbedring, proaktiv tilpasning

NIST i en dansk/europæisk kontekst

Selvom NIST CSF er et amerikansk rammeværk, bruger mange danske virksomheder det som supplement til ISO 27001 og NIS2-compliance. Rammeværket er fleksibelt og kan tilpasses europæiske krav. ENISA (EU's cybersikkerhedsagentur) anerkender NIST CSF som et værdifuldt værktøj.

NIST CSF er særligt nyttigt for organisationer, der endnu ikke har et modent sikkerhedsprogram, da det giver en klar struktur at bygge efter.