Het NIST Cybersecurity Framework 2.0, gepubliceerd op 26 februari 2024, is het meest gebruikte beveiligingsraamwerk ter wereld — en hoewel het afkomstig is van een Amerikaans agentschap, is het vrijwillig, gratis en leveranciersonafhankelijk, waardoor het een uitstekende ruggengraat vormt voor Europese kmo’s. De echte waarde zit in de structuur: het biedt een gemeenschappelijke taal om beveiligingswerk te organiseren en een heldere manier om uw programma te koppelen aan regelgevende kaders zoals NIS2 en ISO 27001.
Samenvatting
- CSF 2.0 heeft zes functies: Govern, Identify, Protect, Detect, Respond, Recover.
- Govern is de nieuwe functie — die cybersecurity verheft tot een strategisch risicoonderwerp voor het bestuur.
- Het toepassingsgebied is uitgebreid van kritieke infrastructuur naar alle organisaties, ongeacht hun omvang.
- Gebruik niveaus (Tiers) (1–4) om volwassenheid te meten en profielen om de huidige → doelstatus te plannen.
- Het is vrijwillig maar sluit naadloos aan op NIS2-verplichtingen en ISO 27001-beheersmaatregelen.
De zes functies
De kern van CSF 2.0 organiseert uitkomsten in zes functies. De belangrijkste wijziging ten opzichte van versie 1.1 is de toevoeging van Govern, die de andere vijf omsluit.
| Functie | Wat het omvat |
|---|---|
| Govern (GV) | Strategie, rollen, beleid, risicobereidheid, risico in de toeleveringsketen — cybersecurity als bedrijfsrisico dat wordt gedragen door het management. |
| Identify (ID) | Ken uw assets, data, leveranciers en risico’s. U kunt niet beschermen wat u niet in kaart heeft gebracht. |
| Protect (PR) | Beveiligingsmaatregelen: toegangscontrole, bewustwording, gegevensbeveiliging, veilige configuratie, onderhoud. |
| Detect (DE) | Anomalieën en incidenten snel opsporen via monitoring en analyse. |
| Respond (RS) | Beheersen, analyseren, communiceren en mitigeren tijdens een incident. |
| Recover (RC) | Diensten herstellen en lessen trekken, zodat het volgende incident minder schade aanricht. |
De introductie van Govern is de strategisch belangrijkste update: cybersecurity wordt formeel een kwestie van governance en verantwoordelijkheid, wat precies aansluit bij wat NIS2 en DORA nu van bestuursorganen verlangen.
Niveaus (Tiers) en profielen — hoe u het raamwerk in de praktijk gebruikt
Twee instrumenten vertalen de functies naar een programma. Niveaus (Tiers) (1 Partieel, 2 Risico-geïnformeerd, 3 Herhaalbaar, 4 Adaptief) beschrijven hoe rigoureus en consistent uw risicobeheer is — het zijn maturiteitsindicatoren, geen scores om te maximaliseren. Profielen zijn waar het echte werk plaatsvindt: u legt een huidig profiel vast (wat u vandaag doet) en een doelprofiel (wat uw risico’s en verplichtingen vereisen), en de kloof daartussen wordt uw geprioriteerde routekaart.
Een praktisch implementatiepad voor een kmo
- Stel de Govern-basis vast. Wijs een verantwoordelijke aan, schrijf een beknopt cyberrisicobeleidsplan, definieer de risicobereidheid en zet het risico in de toeleveringsketen op de agenda.
- Bouw het huidig profiel op. Loop de zes functies door en leg eerlijk vast wat er bestaat. Een externe beveiligingsaudit versnelt dit proces.
- Definieer het doelprofiel op basis van uw risico’s en regelgevende verplichtingen (NIS2, DORA, klantcontracten).
- Prioriteer de kloven op basis van risicoreductie per euro — doorgaans eerst de basisaspecten van Identify en Protect.
- Voer uit en hermeet in een cyclus; verhoog uw niveau alleen waar het risico dat rechtvaardigt.
CSF 2.0 koppelen aan Europese verplichtingen
Het CSF is geen conformiteitscertificaat, maar het vormt een uitstekende organisatielaag daaronder. De uitkomsten sluiten goed aan op de risicobeheersmaatregelen van NIS2 en op de beheersmaatregelen van ISO 27001 Bijlage A, zodat één CSF-gebaseerd programma meerdere verplichtingen tegelijk kan bedienen.
| CSF 2.0 | NIS2 | ISO 27001 |
|---|---|---|
| Govern | Governance & verantwoordelijkheid van het management | Clausules 4–6 (context, leiderschap, planning) |
| Identify | Risicoanalyse, asset- & toeleveringsketenbeheer | Risicobeoordeling; A.5 organisatorische beheersmaatregelen |
| Protect | Beveiligingsmaatregelen, toegangscontrole, cryptografie | Beheersmaatregelen A.5–A.8 |
| Detect / Respond | Incidentbeheer & meldplicht | A.5.24–A.5.28 incidentbeheer |
| Recover | Bedrijfscontinuïteit & crisisbeheersing | A.5.29–A.5.30 continuïteit |
Behandel de koppelingen als leidraad, niet als juridische gelijkstelling: NIS2 en ISO 27001 leggen specificaties op die het CSF niet dekt. Maar als manier om eenmalig te bouwen en meerdere verplichtingen te vervullen, is CSF 2.0 moeilijk te overtreffen — en dat is precies hoe wij het gebruiken.
Algemene informatie, geen juridisch advies. ICTLAB gebruikt NIST CSF 2.0 om beveiligingsprogramma’s te structureren die ook voldoen aan NIS2 en ISO 27001 voor Belgische organisaties — bekijk onze beveiligingsaudit dienst of praat met ons team.