Column


Column Renato Kuiper

Amerikaans cybersecurityraamwerk inspiratie voor Europa?

Amerikaans cybersecurityraamwerk inspiratie voor Europa?

In februari 2013 heeft Obama het National Institute of Standards and Technology (NIST) de opdracht gegeven om een Cybersecurity Framework (CSF) op te stellen. NIST heeft dit raamwerk vrij snel opgesteld en begin 2014 gepubliceerd. Nu het raamwerk veel wordt gebruikt, is het tijd voor een herziening. Via publieke consultatie zijn er in de periode eind 2015-begin 2016 veel voorstellen voor verbetering gedaan. Het CSF is kortom volop in ontwikkeling en beweging. 

Allemaal leuk wat ze daar in Amerika doen, maar kunnen we er ook iets mee in Nederland? Ik denk van wel. Waarom? We hanteren nu nog erg vaak raamwerken en normenkaders van ISO en NEN. Deze worden relatief langzaam ontwikkeld en de doorlooptijd van die standaarden is erg lang. 

Goed overzicht

Als we nu kijken naar het CSF, dan zien we dat ze veel moeite gedaan hebben om een logische indeling te maken van maatregelen in de functies Identify, Protect, Detect, Respons en Recover. Hierbij hebben ze zoveel mogelijk controls opgenomen uit allerlei NIST-, ISO27001-, COBIT 5- en CCC-publicaties en een mapping gemaakt op de CSF-subcategorieën. Het CSF geeft daarmee een goed overzicht van de maatregelen op de vijf functies. 

NIST gaat er waarschijnlijk ook vanuit dat een organisatie wordt gehackt en dan snel moet reageren om de schade te beperken. De indeling van CSF zou ook eens op ISO-normenkaders moeten worden toegepast om een balans te vinden tussen preventieve, detectieve en correctieve maatregelen.

Principle based

Wat een beetje jammer is van de CSF, is dat het op de Amerikaanse wijze vormgegeven is. Amerikaans wil zeggen ‘rule based’ in plaats van ‘principle based’. Vanuit de EU zou het goed zijn om ook een CSF-achtige aanpak neer te zetten maar dan principe-gebaseerd. Het eerste principe dat we moeten formuleren: maatregelen treffen we op basis van reële risico’s en op basis van een kosten-batenanalyse.

Misschien een Nederlands framework dat we door de commissie Kennis en Innovatie van het PvIB kunnen laten ontwikkelen... En dan dit raamwerk laten ondersteunen door een nieuwe versie van de securitypatronen van het PvIB. Een uitdaging voor ons allen.


Lees meer over