NIST CSF NIST Cybersecurity Framework.

NIST CSF is the cybersecurity framework published by the US National Institute of Standards and Technology. The 2.0 revision (2024) added "Govern" to the existing five functions (Identify, Protect, Detect, Respond, Recover). Not certifiable; used as a maturity reference. Common companion to ISO 27001 in transatlantic organisations.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

Die Einschätzung der Cyber Academy

NIST CSF is the cybersecurity framework published by the US National Institute of Standards and Technology. The 2.0 revision (2024) added "Govern" to the existing five functions (Identify, Protect, Detect, Respond, Recover). Not certifiable; used as a maturity reference. Common companion to ISO 27001 in transatlantic organisations.

Was das NIST CSF ist und was es nicht ist

Das NIST Cybersecurity Framework ist eine strukturierte Methode, um ein Cybersicherheitsprogramm um Ergebnisse statt um Produkte herum zu organisieren. Es sagt Ihnen nicht, welche Firewall Sie kaufen oder welche Maßnahme Sie einführen sollen.

Stattdessen beschreibt es, wie ein guter Zustand aussieht, indem es die Cybersicherheitsaktivität in eine kleine Gruppe von Funktionen gliedert und jede Funktion in Kategorien und Unterkategorien aufteilt, die sich als Ergebnisse in klarer Sprache lesen: Assets sind inventarisiert, Zugriffe werden verwaltet, Anomalien werden erkannt, Reaktionspläne werden ausgeführt. Diese Ergebnisorientierung ist der Grund, warum es sich so gut über Branchen und Größen hinweg übertragen lässt.

Ein Krankenhaus, ein Hersteller und ein Softwareanbieter können alle dasselbe Vokabular nutzen, um zu beschreiben, wo sie stehen und wohin sie wollen.

Das Wichtigste, was es zu verstehen gilt, ist, was das Framework nicht ist. Es ist keine zertifizierbare Norm. Es gibt kein NIST-CSF-Zertifikat, keine akkreditierte Stelle, die ein Bestehen ausstellt, und kein Audit, das mit einem eingetragenen Siegel auf Ihrer Website endet. Es ist eine freiwillige Referenz, die Sie nutzen, um die Reife zu bewerten, Ziele festzulegen und die Sicherheitslage zu kommunizieren, sowohl intern gegenüber einem Vorstand als auch extern gegenüber Partnern. Behandeln Sie die Behauptung eines Anbieters, „NIST CSF zertifiziert“ zu sein, als Warnsignal, denn eine solche Zertifizierung existiert nicht.

Die Funktionen: von fünf auf sechs

Das Framework ist um Funktionen herum aufgebaut, die zusammen den gesamten Lebenszyklus des Managements von Cyberrisiken abdecken. Die ursprünglichen fünf waren Identify, Protect, Detect, Respond und Recover. Die 2024 veröffentlichte Revision 2.0 fügte Govern hinzu, womit sich die Gesamtzahl auf sechs erhöhte und die Governance in den Mittelpunkt des Modells gestellt wurde, statt sie als nachträglichen Gedanken zu behandeln.

Govern umfasst den organisatorischen Kontext, die Risikomanagementstrategie, Rollen und Verantwortlichkeiten, Richtlinien und Aufsicht, die bestimmen sollten, wie die anderen fünf Funktionen priorisiert und mit Ressourcen ausgestattet werden. Die Aufnahme formalisierte, was reife Programme bereits taten: Technische Maßnahmen funktionieren nur, wenn jemand die dahinterstehenden Risikoentscheidungen verantwortet.

Die sechs Funktionen des NIST CSF 2.0
FunktionWas sie abdeckt
GovernStrategie, Rollen, Richtlinien und Aufsicht über das Cyberrisiko
IdentifyAssets, Lieferanten und die damit verbundenen Risiken verstehen
ProtectSchutzmaßnahmen, die einen Vorfall begrenzen oder eindämmen
DetectEreignisse und Anomalien erkennen, während sie auftreten
RespondAuf einen erkannten Vorfall reagieren, um ihn einzudämmen
RecoverFähigkeiten und Dienste nach einem Vorfall wiederherstellen

In der Praxis bewertet ein Team seinen aktuellen Zustand anhand jeder Kategorie, definiert ein Zielprofil, das seine Risikobereitschaft und seine Pflichten widerspiegelt, und arbeitet daran, die Lücke zwischen beiden zu schließen. Das Framework überlässt das Wie bewusst Ihnen, weshalb es sich auf natürliche Weise mit präskriptiven Katalogen wie den CIS Controls oder NIST 800-53 kombinieren lässt, die die konkreten Schutzmaßnahmen unter jedem Ergebnis liefern.

Warum es neben ISO 27001 steht

Das NIST CSF und ISO 27001 sind keine Konkurrenten, und viele transatlantische Organisationen nutzen beide. ISO 27001 bescheinigt, dass Sie ein Informationssicherheits-Managementsystem betreiben, mit einer Risikobewertung, einer Erklärung zur Anwendbarkeit und kontinuierlicher Verbesserung, und es erbringt ein auditierbares Zertifikat, das Kunden weltweit anerkennen.

Das NIST CSF gibt Ihnen eine flexible Reifesprache und eine Möglichkeit, die Sicherheitslage gegenüber einem US-orientierten Publikum auszudrücken oder sich an US-bundesstaatlichen Erwartungen auszurichten. Ein gängiges Muster besteht darin, das Managementsystem für den Nachweis nach ISO 27001 zu zertifizieren und dann das CSF-Profil zu nutzen, um die Reife zu kommunizieren und sich mit Frameworks und Kunden abzustimmen, die in NIST-Begriffen sprechen.

NIST veröffentlicht informative Referenzen, die CSF-Unterkategorien auf ISO 27001 und andere Normen abbilden, sodass die Arbeit selten zweimal erledigt werden muss.

Frequently asked questions

01Kann man sich im NIST CSF zertifizieren lassen?

Nein. Das NIST CSF ist ein freiwilliges Framework, keine zertifizierbare Norm, daher gibt es kein akkreditiertes Zertifikat zu erwerben oder vorzuweisen. Organisationen, die einen auditierbaren Nachweis benötigen, zertifizieren sich in der Regel stattdessen nach ISO 27001 und nutzen das CSF als Reifereferenz.

02Was hat sich im NIST CSF 2.0 geändert?

Die 2024 veröffentlichte Revision 2.0 fügte den ursprünglichen fünf Funktionen Identify, Protect, Detect, Respond und Recover eine sechste Funktion, Govern, hinzu. Govern stellt Risikostrategie, Rollen, Richtlinien und Aufsicht in den Mittelpunkt des Frameworks. Der Anwendungsbereich der Version 2.0 wurde zudem über kritische Infrastrukturen hinaus auf Organisationen jeder Größe und Branche erweitert.

03Was sind die sechs Funktionen des NIST CSF?

Govern, Identify, Protect, Detect, Respond und Recover. Govern ist die Ergänzung in Version 2.0; die anderen fünf waren die ursprünglichen Funktionen und decken den Lebenszyklus der Vorbereitung auf, der Erkennung von, der Reaktion auf und der Wiederherstellung nach Vorfällen ab.

04Wie unterscheidet sich das NIST CSF von ISO 27001?

ISO 27001 zertifiziert ein Informationssicherheits-Managementsystem und erbringt nach einem Audit ein international anerkanntes Zertifikat. Das NIST CSF ist eine freiwillige Reifereferenz ohne Zertifizierung. Sie ergänzen sich, und viele Organisationen nutzen ISO 27001 für den Nachweis und das CSF, um die Sicherheitslage auszudrücken und sich an US-orientierten Erwartungen auszurichten.

05Sagt Ihnen das NIST CSF, welche Maßnahmen Sie umsetzen sollen?

Nicht direkt. Es beschreibt Ergebnisse statt konkreter Schutzmaßnahmen, weshalb es üblicherweise mit präskriptiven Katalogen wie den CIS Controls oder NIST 800-53 kombiniert wird, die die konkreten Maßnahmen hinter jedem Ergebnis liefern.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.