Cyber Security Framework 2 – americká obdoba NIS2 a ISO 27001?

Cyber Security Framework 2

V posledním lednovém týdnu byla zveřejněná nová verze konceptu CSF2 (Cyber Security Framework 2) od americké organizace NIST (National Institute for Standards and Technology), která je známá především svým monitoringem kritických zranitelností (CVE).

CSF2 je zamýšlen jako obecná pomůcka – má sloužit ke zlepšení úrovně kybernetické bezpečnosti organizacím od malých veřejných škol až po velké korporace. Koncept CSF2 stojí na 6 klíčových „funkcích“, které mají obsáhnout celé téma kybernetické bezpečnosti v organizacích.

Tyto funkce se následně dělí do kategorií a subkategorií. Oproti předchozí verzi je novinkou zavedení funkce „govern“, do které spadají témata jako kontext organizace, role a odpovědnosti, politiky a management dodavatelského řetězce.

Při studiu podkladů k CSF2 se neubráníte pocitu, že velká část, která je obsažena v tomto konceptu se příliš neliší od již existujících regulací jako ISO 27001 nebo směrnice NIS2 a z ní vycházejícího návrhu zákona o kybernetické bezpečnosti. NIS2/NZkb, ISO 27001 a CFS2 jsou si velmi podobné – proto je možné s nadsázkou říci, že v případě, že má organizace implementovány požadavky jedné z těchto regulací, bude mít splněno 30-90% požadavků těch ostatních. 

Míra shody vychází z rozsahu implementace (například vyšší nebo nižší režim povinností dle NZkb) a celkové úrovně kybernetické bezpečnosti. Tím pádem bude mít organizace při implementaci jedné z regulací lepší představu, co ji čeká při implementaci těch dalších a bude to pro ni časově i finančně méně náročné.

Všechny tyto regulace jsou propojeny přístupem založeným na posouzení rizik. Identifikace aktiv, jejich zranitelností a hrozeb a následné zmírnění rizika je základním stavebním kamenem každé z nich.

O praktickém uplatňování konceptů, které se zvládáním rizik souvisí, například při vytváření plánů kontinuity podnikání (BCP), můžeme říci, že se jedná o selský rozum přenesený na papír. 

Když si jsou CFS2, ISO 27001 a NIS2/NZkb tak podobné, jakých 5 oblastí vyžadují všechny a měla by se jimi zabývat každá organizace?
1) Identifikace aktiv
2) Hrozby a zranitelnosti
  3) Incident management
  4) Byznys kontinuita
  5) Dokumentace

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na nové nařízení DORA

Další články

Ani při práci z domova nejste mimo dosah kybernetických hrozeb. Jak se na home office chránit? Přinášíme tipy, které pomohou udržet firemní data v bezpečí.
I díky certifikaci mohou společnosti posílit svou bezpečnost. Jak k zajištění compliance může přispět certifikace podle Aktu o kybernetické bezpečnosti?
Předvánoční sezóna přináší skvělé slevy, ale také zvýšené riziko podvodů. Jak se chránit? Přinášíme 8 tipů, jak na bezpečné nakupování online.

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.