Compliance

NIST CSF: wat is het en voor wie geldt het?

Het NIST Cybersecurity Framework (CSF 2.0, gepubliceerd 26 februari 2024 door NIST) is een raamwerk dat organisaties helpt hun cybersecurity-risico’s te beheersen. Het raamwerk heeft geen wettelijke status in de EU of Nederland, maar is wereldwijd een veelgebruikt referentiemodel. Het raamwerk is vrijwillig en afkomstig van de Amerikaanse overheid.

Het raamwerk is opgebouwd rond zes functies: Govern, Identify, Protect, Detect, Respond en Recover. De functie Govern is nieuw in versie 2.0 (NIST, 2024).

NIST CSF is niet wettelijk verplicht en kent geen certificeringsschema. Organisaties gebruiken het als referentiemodel naast, of in plaats van, een certificeerbare norm zoals ISO 27001.

Begin daarom met een globale risicobeoordeling langs de zes functies, zodat je weet waar de grootste risico’s zitten voordat je een norm of raamwerk kiest om die aan te pakken.

Wat is het NIST Cybersecurity Framework?

Het NIST Cybersecurity Framework is een vrijwillig raamwerk voor het beheersen van cybersecurity-risico’s, ontwikkeld door het National Institute of Standards and Technology, een agentschap van het Amerikaanse ministerie van Handel. Het raamwerk schrijft geen verplichte maatregelen voor, maar levert een gemeenschappelijke taal en structuur waarmee organisaties hun cybersecurity-risico’s in kaart brengen en beheren.

De eerste versie, CSF 1.0, verscheen in februari 2014 als uitwerking van een presidentieel decreet gericht op Amerikaanse kritieke infrastructuur (NIST, 2014). CSF 2.0 is de eerste grote herziening sinds die introductie en is op 26 februari 2024 gepubliceerd (NIST, 2024).

De belangrijkste wijziging in CSF 2.0 is de toevoeging van een zesde functie, Govern, en een bredere reikwijdte. Waar eerdere versies zich vooral richtten op kritieke infrastructuur, is CSF 2.0 expliciet geschreven voor organisaties van elke omvang en sector (NIST, 2024).

Het raamwerk werkt met functies, categorieën en subcategorieën. De zes functies vormen het hoogste niveau, elke functie valt uiteen in categorieën, en elke categorie weer in concrete subcategorieën als uitkomsten om naartoe te werken.

Voor wie is NIST CSF?

NIST CSF was oorspronkelijk gericht op Amerikaanse kritieke infrastructuur, zoals energie, financiële diensten en gezondheidszorg. Het raamwerk vloeide voort uit een presidentieel decreet dat de Amerikaanse overheid opdracht gaf een gemeenschappelijk risicomodel voor die sectoren te ontwikkelen.

In de praktijk gebruiken organisaties wereldwijd het raamwerk, ongeacht sector of land van vestiging. NIST CSF is vrij te gebruiken en vraagt geen Amerikaanse registratie of goedkeuring, waardoor het ook buiten de Verenigde Staten toegankelijk is.

Het raamwerk is met name gangbaar bij organisaties met Amerikaanse klanten of een Amerikaans moederbedrijf. Een Amerikaanse opdrachtgever of hoofdkantoor vraagt geregeld om een NIST CSF-rapportage of -zelfbeoordeling, ook van de Nederlandse vestiging of leverancier.

Daarnaast gebruiken organisaties zonder Amerikaanse link het raamwerk simpelweg als gestructureerd startpunt voor risicomanagement, los van een certificeringstraject.

Is NIST CSF verplicht?

Nee, NIST CSF is vrijwillig en heeft geen wettelijke status in de Europese Unie of Nederland. Het raamwerk is geen wet en geen Europese of Nederlandse norm, en er is geen toezichthouder die naleving ervan controleert.

Voor NIST CSF bestaat geen certificeringsschema. Anders dan bij ISO 27001, waar een geaccrediteerde certificerende instantie na een auditcyclus een certificaat afgeeft, kan een organisatie NIST CSF niet formeel laten certificeren.

Organisaties tonen NIST CSF-naleving daarom aan met een eigen zelfbeoordeling of rapportage, niet met een certificaat. Dat maakt het raamwerk flexibel, maar ook minder geschikt als formeel bewijs richting toezichthouders die wel een erkende norm vragen.

Ook binnen de Verenigde Staten zelf is CSF voor de meeste organisaties vrijwillig: alleen specifieke federale opdrachtgevers en sectorregelgeving kunnen het gebruik ervan in contracten of regelgeving verplicht stellen.

De zes functies van NIST CSF 2.0

CSF 2.0 is opgebouwd rond zes functies, die samen de cyclus van cybersecurity-risicobeheer vormen (NIST, 2024).

  • Govern: de organisatie stelt beleid, rollen en risicostrategie vast en houdt toezicht op de uitvoering. Deze functie is nieuw in CSF 2.0 en positioneert bestuur en governance als fundament onder de andere vijf functies.
  • Identify: de organisatie brengt de eigen systemen, gegevens en risico’s in kaart, als basis voor de rest van het raamwerk.
  • Protect: de organisatie richt maatregelen in om de kans op een incident te beperken, zoals toegangsbeheer en bewustwording.
  • Detect: de organisatie zet monitoring en detectie in om afwijkingen en incidenten tijdig te signaleren.
  • Respond: de organisatie reageert op een gedetecteerd incident, met een vast proces voor beheersing en communicatie.
  • Recover: de organisatie herstelt systemen en dienstverlening na een incident en verwerkt de geleerde lessen in de aanpak.

NIST CSF vs andere normen

NIST CSF vergelijkt zich vooral met ISO 27001 en met NIS2, twee kaders die in Nederland wel formele status hebben. Beide vergelijkingen gaan over inhoud, niet over gelijkwaardige juridische status.

De zes functies van NIST CSF sluiten inhoudelijk aan op de opzet van ISO 27001: beide vragen om risicobeoordeling, beleid, maatregelen en continue verbetering. Het verschil is dat ISO 27001 een certificeerbare norm is met een vaste auditcyclus, terwijl NIST CSF een referentiemodel is zonder auditcyclus of certificaat.

De functies en categorieën van NIST CSF dekken grotendeels dezelfde onderwerpen als de zorgplicht-maatregelen uit NIS2, zoals risicobeoordeling, toegangsbeheer, incidentrespons en herstel. Een organisatie die volgens NIST CSF werkt, werkt daarmee al aan onderwerpen die NIS2 vraagt.

Het gebruik van NIST CSF alleen voldoet echter niet aan een wettelijke verplichting in de EU. NIST CSF heeft geen statutaire status en geen certificeringsschema in Nederland of de EU, dus het vervangt geen NIS2-zorgplicht en geen ISO 27001-certificaat richting een opdrachtgever die dat specifiek vraagt.

Zo helpt ClickOn met NIST CSF

De maatregelen die uit een NIST CSF-risicobeoordeling volgen, zijn voor het grootste deel IT-beheer: toegangsbeheer, monitoring, back-up en recovery, encryptie en incidentrespons. Precies het werk dat een managed service provider dagelijks doet, inclusief de bewijsvoering die een Amerikaanse klant of moederbedrijf wil zien.

ClickOn is zelf ISO 27001-gecertificeerd sinds 2021 en heeft 100 procent van de 25 audits doorstaan. Die certificering dekt de meeste onderwerpen die ook in de functies van NIST CSF terugkomen.

ClickOn doet dat met twee aanbiedingen. De Compliance Sprint maakt je organisatie binnen 30 dagen audit-klaar voor een vaste prijs per werkplek, met de NIST CSF-functies of ISO 27001 als leidraad voor de nulmeting.

Met PremiumOn houden we het daarna aantoonbaar werkend: compliant werkplekbeheer voor 148 euro per werkplek per maand, inclusief 24/7 bewaking en support. Een werkplek is binnen 24 uur compliant ingericht.

Beleid, governance en de rapportage richting een Amerikaanse klant of moederbedrijf blijven het domein van de organisatie zelf; ClickOn levert de technische uitvoering en het bewijs.

Vraag de Compliance Sprint aan · Bekijk PremiumOn

Veelgestelde vragen

Is NIST CSF verplicht?

Nee. NIST CSF is een vrijwillig raamwerk zonder wettelijke status in de EU of Nederland, en er bestaat geen certificeringsschema voor.

Voor wie is NIST CSF?

NIST CSF is oorspronkelijk ontwikkeld voor Amerikaanse kritieke infrastructuur, maar wordt wereldwijd gebruikt door organisaties die een gestructureerd referentiemodel voor cybersecurity-risicobeheer willen. Het raamwerk is vooral gangbaar bij organisaties met Amerikaanse klanten of een Amerikaans moederbedrijf.

Wat zijn de zes functies van NIST CSF 2.0?

De zes functies zijn Govern, Identify, Protect, Detect, Respond en Recover. Govern is nieuw in CSF 2.0, gepubliceerd op 26 februari 2024 (NIST, 2024).

Wat is het verschil tussen NIST CSF en ISO 27001?

NIST CSF is een vrijwillig Amerikaans referentiemodel zonder certificeringsschema; ISO 27001 is een internationale, certificeerbare norm met een vaste auditcyclus. De onderwerpen overlappen grotendeels, maar alleen ISO 27001 levert een certificaat op.

Voldoet NIST CSF aan de NIS2-zorgplicht?

Niet automatisch. NIST CSF dekt inhoudelijk veel van dezelfde onderwerpen als de NIS2-zorgplicht, maar heeft geen wettelijke of certificeerbare status in de EU, dus het gebruik ervan alleen is geen formeel bewijs van NIS2-naleving.

Ardo Hoogeveen

Ardo Hoogeveen · Security Officer

Oprichter, algemeen directeur en security officer van ClickOn. Gespecialiseerd in NIS2 en ISO 27001 ICT-compliance voor het MKB. 25+ audits doorstaan met 100% slagingspercentage.

Bekijk profiel