Le novità del nuovissimo framework CMF del National Institute of Standards and Technology

Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha recentemente pubblicato una bozza del Cybersecurity Framework 2.0 (CSF). Questa nuova versione mira a coinvolgere un'ampia gamma di organizzazioni, non solo quelle chiave per l'infrastruttura critica, e ad elevare l'importanza della governance aziendale e della sicurezza della catena di approvvigionamento. Prima della sua uscita prevista per il 2024, il NIST è alla ricerca di commenti e contributi da parte del pubblico.

Framework per il miglioramento della sicurezza delle infrastrutture critiche

Il CSF è stato creato dal NIST inizialmente in risposta a un ordine esecutivo del presidente Obama, con l'obiettivo di fornire un linguaggio e una struttura comuni per aiutare le organizzazioni a gestire in modo sistematico e comunicare il modo in cui affrontano la gestione del rischio di cybersecurity. Il CSF è stato adottato da organizzazioni pubbliche e private in tutto il mondo e molti documenti di orientamento e requisiti di appalto civili e militari del governo degli Stati Uniti hanno incorporato il CSF.

Aggiornamenti proposti per il CMF 2.0

La nuova bozza del CMF 2.0 propone una serie di aggiornamenti e cambiamenti. In primo luogo, il nome del framework verrà modificato da "Framework per il miglioramento della sicurezza delle infrastrutture critiche" a "Framework di Cybersecurity", per riflettere la sua applicabilità a tutte le organizzazioni e non solo a quelle designate come critiche. Un'altra importante novità è l'introduzione di una sesta funzione chiamata "Govern", che incrocia tutte le altre funzioni e si concentra sull'aspetto decisionale e gestionale della cybersecurity all'interno delle organizzazioni. Il CMF 2.0 presterà inoltre maggiore attenzione alla gestione del rischio della catena di approvvigionamento e fornirà esempi di linee guida di implementazione concrete per agevolare l'adozione del framework.

Misurare le prestazioni della cybersecurity

Una delle critiche mosse al CMF attuale è la mancanza di indicazioni chiare sulla misurazione delle prestazioni della cybersecurity. Nella bozza del CMF 2.0 si sottolinea l'importanza di misurare le prestazioni e si incoraggiano le organizzazioni a innovare e personalizzare i loro metodi di misurazione e valutazione. Il CMF 2.0 introduce anche una nuova categoria nella funzione di "Identificazione" dedicata a identificare miglioramenti nei processi, nelle procedure e nelle attività di gestione del rischio della cybersecurity delle organizzazioni.

Risorse aggiornate e roadmap

Infine, la bozza del CMF 2.0 include un aggiornamento delle risorse e dei riferimenti utilizzati nella precedente versione, come il Framework per la Privacy del NIST e il Framework per la forza lavoro nel settore della cybersecurity. Il NIST prevede di pubblicare un'attrezzatura online che permetterà alle organizzazioni di vedere le relazioni tra il core del CMF e le risorse esterne in formato leggibile per gli esseri umani e per le macchine. Il NIST prevede di pubblicare la versione finale del CMF 2.0 all'inizio del 2024, dopo aver acquisito i contributi e i commenti sulle bozze precedenti.