Amerykański NIST opublikował niedawno projekt drugiej wersji opracowanego przez siebie narzędzia Cybersecurity Framework. Aktualizacja związana jest ze zwiększającą się dynamiką obszaru cyberbezpieczeństwa, zarówno ze strony regulacyjnej i standaryzacyjnej, jak i ze strony cyberzagrożeń. Ze względu na istotną rolę NIST, aktualizacja frameworku ma duże znaczenie dla całego sektora cyberbezpieczeństwa.

8 sierpnia 2023 r. amerykański National Institute of Standards and Technology (NIST) opublikował draft nowej wersji (2.0) narzędzia Cybersecurity Framework (CSF). Dokument ma na celu dostarczenie organizacjom ogólnych ram działania w zakresie identyfikacji, oceny i zarządzaniu ryzykiem cybernetycznym. Od czasu swojego pierwszego wydania w 2014 roku, CSF stał się jednym z podstawowych narzędzi, z których korzystają podmioty na całym świecie, dążąc do zwiększenia swojej odporności na cyberzagrożenia.

Cybersecurity Framework jest narzędziem wysokiego poziomu – określa ogólne ramy, które mają pomóc organizacjom w identyfikacji, ocenie i zarządzaniu ryzykiem w zakresie cyberbezpieczeństwa. Celem CSF jest dostarczenie zorganizowanego i spójnego zestawu najlepszych praktyk, wytycznych i standardów, które mogą być dostosowane do specyficznych potrzeb różnych sektorów i organizacji. W związku z tym zawiera on odesłania do standardów i wytycznych szczegółowych, zarówno tych opracowanych przez NIST, jak również Międzynarodową Organizację Normalizacyjną (ISO).

Jakie są najważniejsze zmiany w nowej wersji frameworku?

  • Rozszerzony i zaktualizowany zakres–nowa wersja CSF rozszerza zakres ram o nowe, obowiązujące standardy i wytyczne, co czyni narzędzie bardziej aktualnym i kompletnym.
  • Ułatwienia dla wdrażających – CSF 2.0 dostarcza także ulepszonych wskazówek dotyczących jego obsługi w praktyce, co ma znacząco ułatwić jego stosowanie.

Należy podkreślić, że rozwój narzędzi, standardów oraz wytycznych w zakresie cyberbezpieczeństwa ma bardzo istotne znaczenie dla praktyki obrotu. Pełnią one bowiem kluczową rolę tzw. soft law, tj. stanowią realne uzupełnienie przepisów prawa stanowionego. Prawodawcy, mając świadomość długiego procesu legislacyjnego, często nienadążającego za bardzo dynamicznym rozwojem technologii, niejednokrotnie tworzą regulacje prawne, które zawierają właśnie ogólne odesłania do norm i wytycznych o charakterze technicznym. Przykładem jest chociażby dyrektywa NIS 2, która w zakresie środków zarządzania ryzykiem w cyberbezpieczeństwie odwołuje się m.in. do „najnowszego stanu wiedzy” oraz „norm europejskich i międzynarodowych”.

W związku z tym zarówno prywatne jak i publiczne podmioty powinny dążyć do wdrożenia u siebie norm i standardów z zakresu cyberbezpieczeństwa w celu zapewnienia nie tylko zwiększonej odporności na cyberzagrożenia, ale także zgodności z regulacjami. W praktyce najczęściej są to właśnie standardy opracowane przez NIST oraz ISO. Dlatego warto zweryfikować obowiązujące w organizacji procedury oraz zasady i ocenić, czy nie warto ich zaktualizować, kiedy nowa, właściwa wersja CFS zostanie opublikowana.