Il punto di vista di Cyber Academy
NIST CSF è il framework di cybersecurity pubblicato dal National Institute of Standards and Technology statunitense. La revisione 2.0 (2024) ha aggiunto la funzione "Govern" alle cinque funzioni esistenti (Identify, Protect, Detect, Respond, Recover). Non è certificabile; viene utilizzato come riferimento di maturità. Accompagna frequentemente ISO 27001 nelle organizzazioni transatlantiche.
Cos'è il NIST CSF e cosa non è
Il NIST Cybersecurity Framework è un modo strutturato di organizzare un programma di cybersicurezza attorno ai risultati anziché ai prodotti. Non vi dice quale firewall acquistare o quale controllo implementare.
Descrive invece com'è fatto ciò che è buono, raggruppando l'attività di cybersicurezza in un piccolo insieme di funzioni e suddividendo ciascuna funzione in categorie e sottocategorie che si leggono come risultati in linguaggio chiaro: gli asset sono inventariati, gli accessi sono gestiti, le anomalie sono rilevate, i piani di risposta sono eseguiti. Questo orientamento ai risultati è il motivo per cui si adatta così bene a settori e dimensioni diverse.
Un ospedale, un produttore e un fornitore di software possono usare tutti lo stesso vocabolario per descrivere dove si trovano e dove vogliono arrivare.
La cosa più importante da capire è ciò che il framework non è. Non è una norma certificabile. Non esiste un certificato NIST CSF, nessun organismo accreditato che rilasci un esito positivo e nessun audit che si concluda con un marchio registrato sul vostro sito web. È un riferimento volontario che si utilizza per valutare la maturità, fissare obiettivi e comunicare la postura, sia internamente a un consiglio di amministrazione sia esternamente ai partner. Considerate l'affermazione di un fornitore di essere «certificato NIST CSF» come un segnale di allarme, perché tale certificazione non esiste.
Le funzioni: da cinque a sei
Il framework è costruito attorno a funzioni che insieme coprono l'intero ciclo di vita della gestione del rischio cyber. Le cinque originali erano Identify, Protect, Detect, Respond e Recover. La revisione 2.0 pubblicata nel 2024 ha aggiunto Govern, portando il totale a sei e collocando la governance al centro del modello anziché trattarla come un ripensamento. Govern copre il contesto organizzativo, la strategia di gestione del rischio, ruoli e responsabilità, la politica e la supervisione che dovrebbero plasmare il modo in cui le altre cinque funzioni vengono prioritizzate e dotate di risorse. La sua aggiunta ha formalizzato ciò che i programmi maturi già facevano: i controlli tecnici funzionano solo quando qualcuno è responsabile delle decisioni sul rischio che li sottendono.
| Funzione | Cosa copre |
|---|---|
| Govern | Strategia, ruoli, politica e supervisione del rischio cyber |
| Identify | Comprendere gli asset, i fornitori e i rischi che li riguardano |
| Protect | Misure di salvaguardia che limitano o contengono un incidente |
| Detect | Individuare eventi e anomalie nel momento in cui si verificano |
| Respond | Agire su un incidente rilevato per contenerlo |
| Recover | Ripristinare le capacità e i servizi dopo un incidente |
In pratica, un team valuta il proprio stato attuale rispetto a ciascuna categoria, definisce un profilo obiettivo che riflette la propria propensione al rischio e i propri obblighi, e lavora per colmare il divario tra i due. Il framework lascia deliberatamente il come a voi, ed è per questo che si abbina naturalmente a cataloghi prescrittivi come i CIS Controls o NIST 800-53 che forniscono le misure di salvaguardia concrete sotto ciascun risultato.
Perché si colloca accanto a ISO 27001
Il NIST CSF e ISO 27001 non sono concorrenti, e molte organizzazioni transatlantiche utilizzano entrambi. ISO 27001 certifica che gestite un sistema di gestione della sicurezza delle informazioni, con una valutazione del rischio, una dichiarazione di applicabilità e un miglioramento continuo, e produce un certificato verificabile che i clienti riconoscono in tutto il mondo.
Il NIST CSF vi offre un linguaggio di maturità flessibile e un modo per esprimere la postura a un pubblico di orientamento statunitense o per allinearvi alle aspettative federali statunitensi. Uno schema comune consiste nel certificare il sistema di gestione secondo ISO 27001 per ottenere la credenziale, quindi utilizzare il profilo CSF per comunicare la maturità e allinearsi con framework e clienti che si esprimono in termini NIST.
NIST pubblica riferimenti informativi che mappano le sottocategorie del CSF a ISO 27001 e ad altre norme, così che il lavoro raramente debba essere svolto due volte.
Frequently asked questions
01È possibile ottenere una certificazione NIST CSF?
No. Il NIST CSF è un framework volontario, non una norma certificabile, quindi non esiste un certificato accreditato da conseguire o esibire. Le organizzazioni che hanno bisogno di una credenziale verificabile in genere si certificano invece secondo ISO 27001 e utilizzano il CSF come riferimento di maturità.
02Cosa è cambiato nel NIST CSF 2.0?
La revisione 2.0, pubblicata nel 2024, ha aggiunto una sesta funzione, Govern, alle cinque originali di Identify, Protect, Detect, Respond e Recover. Govern colloca la strategia di rischio, i ruoli, la politica e la supervisione al centro del framework. L'ambito della versione 2.0 è stato inoltre ampliato oltre le infrastrutture critiche, includendo organizzazioni di qualsiasi dimensione e settore.
03Quali sono le sei funzioni del NIST CSF?
Govern, Identify, Protect, Detect, Respond e Recover. Govern è l'aggiunta della versione 2.0; le altre cinque erano le funzioni originali e coprono il ciclo di vita della preparazione, del rilevamento, della risposta e del ripristino a fronte degli incidenti.
04In cosa il NIST CSF è diverso da ISO 27001?
ISO 27001 certifica un sistema di gestione della sicurezza delle informazioni e produce un certificato riconosciuto a livello internazionale dopo un audit. Il NIST CSF è un riferimento di maturità volontario senza certificazione. Sono complementari, e molte organizzazioni utilizzano ISO 27001 per la credenziale e il CSF per esprimere la postura e allinearsi alle aspettative orientate agli Stati Uniti.
05Il NIST CSF vi dice quali controlli implementare?
Non direttamente. Descrive risultati anziché misure di salvaguardia specifiche, ed è per questo che di solito viene abbinato a cataloghi prescrittivi come i CIS Controls o NIST 800-53 che forniscono i controlli concreti dietro ciascun risultato.