Evolution of cybersecurity risk management standardization: Comparison of the NIST Cybersecurity Framework version 1.1 and 2.0

Abstract

The National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) is a document that provides organizations information and guidance regarding cybersecurity risks. The first iteration, CSF 1.0, was published in 2014, with an update to CSF 1.1 in 2018. The CSF 1.0 and 1.1 was aimed at providing guidance to organization within the U.S. critical infrastructure. In 2022, the NIST started the process of a substantial revision of the framework and CSF 2.0 was released in February 2024. The framework includes a Core, which is divided into six Functions that describe outcomes that the organizations should strive to achieve. The comparison of the version 1.1 and 2.0 of the Core analyses substantial changes while discussing viewpoint from organizations that submitted comments regarding draft versions of the 2.0 version, along with several articles.

In summary, the update includes revisions that have been made due to evolved cybersecurity threats and practices since the release of version 1.1 in 2018 and revisions due to the NIST’s decision to widen the target audience from organizations within U.S. critical infrastructure to any type of organization. Therefore, CSF 1.1 and CSF 2.0 cannot be directly compared based on how evolved cybersecurity threats and practices have impacted the changes made, since the NIST’s decision to widen the target audience has influenced the revisions substantially.

Cybersäkerhet är en domän som påverkar alla företag och organisationer. Då nya teknologier och svagheter uppkommer i digitala system måste organisationer implementera övergripande cyberriskhanteringsprogram för att säkra sina resurser. Cybersäkerhetsramverket från The National Institute of Standards and Technology (NIST) är ett dokument som ger organisationer en helhetsbild av cybersäkerhetsrisker. Den första iterationen, version 1.0, publicerades år 2014 och uppdaterades sedermera till version 1.1 år 2018. Syftet med versionerna 1.0 och 1.1 var att ge vägledning om cybersäkerhet till organisationer inom den amerikanska kritiska infrastrukturen. I februari 2024, efter två år av revidering av dokumentet, publicerade NIST version 2.0 av ramverket. Processen bakom revideringen var iterativ, med seminarier och workshoppar där åsikter och synpunkter från företag och organisationer togs i beaktande samt inskickade kommentarer om utkast av ramverket.

Ramverket inkluderar en kärna, som är uppdelad i sex funktioner. Vidare är funktionerna är indelade i kategorier och dessa i underkategorier. Underkategorierna beskriver mål som organisationer ska sträva efter att uppnå. Ramverkets syfte är därmed inte att ge organisationer konkreta steg att följa, utan mål att uppnå genom att beakta deras egna verksamhet. En av de största förändringarna i kärnan är tillägget av den sjätte funktionen, ’Ledning’, som inte varit inkluderad i de tidigare iterationerna.

En jämförelse av ramverkets kärna i version 1.1 och 2.0 påvisar betydande förändringar, i stort sett på grund av två olika orsaker. För det första har cybersäkerhet utvecklats betydligt sedan version 1.1 publicerades, och för det andra på grund av NIST:s beslut att vidga dokumentets målgrupp från organisationer inom den amerikanska kritiska infrastrukturen till alla typer av organisationer. På grund av ändringen i dokumentets målgrupp har ramverket tvingats bli alltmer allmänt och teknologineutralt. Organisationers kommentarer har delvis tagits i beaktande men även flera kommentarer med utförliga motiveringar har försummats, främst på grund av att ramverket varit tvunget att förbli på en allmän och tillgänglig nivå för alla typer av organisationer. Sammanfattningsvis kan version 1.1 och 2.0 inte direkt jämföras baserat på hur cybersäkerhetens utveckling har påverkat uppdateringen, eftersom NIST:s beslut att utöka målgruppen har påverkat revideringarna avsevärt.