Leitfaden zum Framework

Was ist das NIST Cybersecurity
Framework 2.0

Der weltweit führende Leitfaden zum Schutz Ihres Unternehmens vor Cyberbedrohungen, veröffentlicht vom National Institute of Standards and Technology der Vereinigten Staaten.

Wer ist das NIST

Das NIST (National Institute of Standards and Technology) ist eine Behörde des US-Handelsministeriums, die 1901 gegründet wurde. Es entwickelt Standards, Richtlinien und Best Practices, die weltweit für Technologie, Sicherheit und Innovation genutzt werden.

Das Cybersecurity Framework (CSF) wurde erstmals 2014 auf Anforderung der US-Bundesregierung veröffentlicht, um Organisationen bei der strukturierten Verwaltung von Cyberrisiken zu unterstützen. Die Version 2.0, die im Februar 2024 veröffentlicht wurde, stellt das bedeutendste Update seit seiner Erstellung dar.

Heute wird das NIST CSF von Tausenden von Organisationen weltweit eingesetzt — private Unternehmen, öffentliche Einrichtungen, kritische Infrastrukturen — und gilt als der internationale Referenzstandard für das Cybersecurity-Management.

Warum es für Ihr Unternehmen wichtig ist

Cyberangriffe nehmen stetig zu und treffen Unternehmen jeder Größe. Ransomware, Phishing, Datenverletzungen und Betriebsunterbrechungen können schwerwiegende wirtschaftliche Schäden verursachen und die Unternehmensreputation gefährden.

Das NIST CSF 2.0 bietet einen praxisnahen und strukturierten Ansatz um:

  • Ihr eigenes Cyberrisiko-Niveau zu verstehen
  • Lücken im Unternehmensschutz zu identifizieren
  • Evidenzbasierte Handlungsprioriäten zu definieren
  • Den Stand der Cybersecurity an das Management und die Stakeholder zu kommunizieren
  • Sich an Vorschriften wie die NIS2-Richtlinie, die DSGVO und die Standards ISO/IEC 27001 anzupassen

Die 6 Funktionen des Frameworks

Das NIST CSF 2.0 organisiert die Cybersecurity in 6 grundlegende Funktionen, die den gesamten Lebenszyklus des Risikomanagements abdecken.

GV

GOVERN — Steuern

Definiert die Cybersecurity-Strategie der Organisation: Richtlinien, Rollen, Verantwortlichkeiten, Risikomanagement in der Lieferkette und Aufsicht auf Führungsebene. Dies ist die in Version 2.0 eingeführte Funktion und repräsentiert die Governance-Ebene der Sicherheit.

ID

IDENTIFY — Identifizieren

Umfasst die Unternehmens-Assets (Hardware, Software, Daten, Personen), den Betriebskontext und die damit verbundenen Risiken. Beinhaltet die Ressourceninventur, die Schwachstellenbewertung und die Analyse der Geschäftsauswirkungen.

PR

PROTECT — Schützen

Implementiert die Sicherheitsmaßnahmen: Zugriffskontrolle, Schulung des Personals, Datenschutz, Sicherheit der technologischen Plattformen und Resilienz der Infrastruktur.

DE

DETECT — Erkennen

Gewährleistet die kontinuierliche Überwachung der Infrastruktur zur Erkennung von Anomalien, verdächtigen Ereignissen und potenziellen Verletzungen. Umfasst Erkennungssysteme, Log-Analysen und die Korrelation von Sicherheitsereignissen.

RS

RESPOND — Reagieren

Definiert die Verfahren zur Reaktion auf Vorfälle: Management, Analyse, Eindämmung, interne und externe Kommunikation sowie Schadensbegrenzung. Ein wirksamer Reaktionsplan reduziert die Auswirkungen eines Angriffs erheblich.

RC

RECOVER — Wiederherstellen

Betrifft die Wiederherstellung von Aktivitäten und Diensten nach einem Sicherheitsvorfall. Umfasst Geschäftskontinuitätspläne, Backup-Wiederherstellung, Stakeholder-Kommunikation und Lessons Learned zur Verbesserung der zukünftigen Resilienz.

22 Kategorien, 106 Kontrollen

Jede Funktion gliedert sich in spezifische Kategorien. Unser Assessment deckt alle 106 Subkategorien des Frameworks ab und ermöglicht eine vollständige und detaillierte Bewertung der Cyber-Reife Ihrer Organisation.

GOVERN (6 Kategorien)

  • Organisatorischer Kontext
  • Risikomanagement-Strategie
  • Rollen, Verantwortlichkeiten und Befugnisse
  • Richtlinien
  • Aufsicht
  • Cybersecurity-Lieferkette

IDENTIFY (3 Kategorien)

  • Asset-Management
  • Risikobewertung
  • Kontinuierliche Verbesserung

PROTECT (5 Kategorien)

  • Identitätsmanagement und Zugriffskontrolle
  • Bewusstsein und Schulung
  • Datensicherheit
  • Plattformsicherheit
  • Infrastruktur-Resilienz

DETECT (2 Kategorien)

  • Kontinuierliche Überwachung
  • Analyse von Sicherheitsereignissen

RESPOND (4 Kategorien)

  • Vorfallmanagement
  • Vorfallanalyse
  • Meldung und Kommunikation
  • Schadensbegrenzung

RECOVER (2 Kategorien)

  • Durchführung des Wiederherstellungsplans
  • Kommunikation zur Wiederherstellung

Was sich in Version 2.0 ändert

Die Version 2.0, vom NIST im Februar 2024 veröffentlicht, führt bedeutende Änderungen ein:

GV

Neue Funktion GOVERN

Führt die Cybersecurity-Governance als eigenständige Funktion ein und stärkt die Rolle der Unternehmensführung.

Universelle Anwendbarkeit

Nicht mehr nur für kritische Infrastrukturen: Das Framework ist für Organisationen jeder Art und Größe konzipiert.

Lieferkette

Stärkerer Fokus auf das Management von Cyberrisiken entlang der gesamten Lieferkette.

Kontinuierliche Verbesserung

Das Framework integriert das Konzept der regelmäßigen Bewertung und schrittweisen Verbesserung der Sicherheitslage.

Wie unser Assessment funktioniert

Unser Online-Tool ermöglicht es Ihnen, kostenlos den Cybersecurity-Reifegrad Ihrer Organisation anhand aller 106 Subkategorien des NIST CSF 2.0 zu bewerten.

1

Beantworten Sie die Fragen

Geben Sie für jede Kontrolle an, ob sie vollständig, teilweise oder nicht umgesetzt ist.

2

Erhalten Sie den Score

Sie erhalten sofort eine Gesamtbewertung und eine Bewertung für jede NIST-Funktion mit Interpretation der Ergebnisse.

3

Identifizieren Sie Prioritäten

Erkennen Sie die kritischsten Bereiche und erhalten Sie Empfehlungen für Verbesserungsmaßnahmen.

Bewerten Sie die Cybersecurity Ihres Unternehmens

Kostenlos, sofort verfügbar, basierend auf dem internationalen Standard NIST CSF 2.0.

Assessment starten