“Vogliamo assicurarci”, ha spiegato Cherilyn Pascoe del NIST, “che la nuova versione sia uno strumento utile a tutti i settori, non solo a quelli critici.”
Il framework, faro mondiale sulla cybersecurity, sta per essere aggiornato dopo quasi un decennio dal suo rilancio per renderlo più attuale al panorama cyber e più efficace a chi lo consulta, seguendo gli alti standard tecnologici e linee guida raccomandati. Il NIST (National Institute of Standards and Technology) ha, infatti, annunciato che sta lavorando alla bozza del Cybersecurity Framework, 2.0, aprendo, allo stesso tempo, una consultazione pubblica. Commenti e consigli possono essere inviati entro il 4 novembre, perché poi l’obiettivo è pubblicare la versione definitiva all’inizio del 2024.
“Con questo aggiornamento, stiamo cercando di riflettere l’uso attuale del Cybersecurity Framework e di anticipare anche l’uso futuro”, ha affermato Cherilyn Pascoe del NIST, il principale curatore del framework. “La prima versione era stata pensata per infrastrutture critiche come banche e operatori energetici, ma si è dimostrato utile ovunque, dalle scuole e dalle piccole imprese ai governi locali e stranieri”. Vogliamo assicurarci”, ha spiegato Pascoe, “che la nuova versione sia uno strumento utile a tutti i settori, non solo a quelli critici, indipendentemente dal tipo o dalle dimensioni”.
Il successo del Cybersecurity Framework
La prima versione, il Cybersecurity Framework, è stato scaricato più di due milioni di volte dagli utenti in più di 185 Paesi ed è stato tradotto in almeno nove lingue.
Fino ad ora, il Cybersecurity Framework ha descritto i principali pilastri di un programma di cybersecuirty di successo e olistico utilizzando 5 funzioni principali: identificare, proteggere, rilevare, rispondere e recuperare.
A questi, il NIST ha ora aggiunto una sesta, la funzione di governo, che copre come un’organizzazione può prendere ed eseguire le proprie decisioni interne per sostenere la sua strategia di sicurezza informatica.
“Perché”, spiega il NIST, “la sicurezza informatica è una delle principali fonti di rischio aziendale, cos’ come i rischi legali e finanziari”.