ISO 27001ISO 9001ISO 42001NIS2DSGVOBSI C5:2026NIST CSF 2.0SOC 2
NIST CSF 2.0 · Cyberrisiko

NIST CSF 2.0: Cyberrisiken strukturiert steuern

Das NIST Cybersecurity Framework (CSF) 2.0 ist ein freiwilliges, weltweit anerkanntes Rahmenwerk zur Steuerung von Cyberrisiken. Die im Februar 2024 veröffentlichte Version 2.0 ordnet Sicherheit in sechs Kernfunktionen und richtet sich an Organisationen jeder Größe und Branche. Diese Seite erklärt, was das CSF 2.0 ist, für wen es sinnvoll ist (und für wen weniger), wie die sechs Funktionen zusammenwirken und wie Sie das Framework mit Sightadel als gemeinsame Sprache und Steuerungsebene nutzen.

Was ist das NIST CSF 2.0?

Das CSF wurde vom US-amerikanischen National Institute of Standards and Technology (NIST) entwickelt. Es ist kein präskriptiver Kontrollkatalog, sondern beschreibt angestrebte Ergebnisse (Outcomes) der Cybersicherheit – also was eine Organisation erreichen sollte, nicht zwingend wie. Damit lässt es sich flexibel an Größe, Branche und Reifegrad anpassen.

Die Version 2.0 bringt drei wesentliche Neuerungen:

  • Neue Funktion „Govern“. Governance, Risikostrategie, Rollen und Lieferkettenrisiken werden als eigenständige sechste Funktion sichtbar gemacht – vorher waren sie in „Identify“ verstreut.
  • Erweiterter Anwendungsbereich. Das CSF richtet sich nicht mehr primär an kritische Infrastrukturen, sondern an alle Organisationen.
  • Profile und Tiers. Mit Organizational Profiles bilden Sie Ihren Ist- und Soll-Zustand ab; Tiers beschreiben den Reifegrad im Umgang mit Cyberrisiken.

Die sechs Funktionen: Govern, Identify, Protect, Detect, Respond, Recover – gemeinsam ein vollständiger Risiko-Lebenszyklus.

Für wen ist das NIST CSF 2.0 sinnvoll – und für wen weniger?

Das CSF 2.0 ist sinnvoll für Sie, wenn …

… Sie eine gemeinsame, geschäftsnahe Sprache für Cyberrisiken brauchen – über IT, Management und Geschäftsführung hinweg. Besonders geeignet, wenn:

  • Sie Cybersicherheit von einer technischen Aufgabe zu einer Governance-Verantwortung weiterentwickeln wollen,
  • Sie Risiken auf C-Level und im Aufsichtsgremium verständlich kommunizieren müssen,
  • Sie internationale oder US-amerikanische Partner haben, die das CSF als Referenz erwarten,
  • Sie verschiedene Anforderungen (ISO 27001, NIS2, DORA) unter einem gemeinsamen Dach ordnen möchten.

Das CSF 2.0 ist allein nicht ausreichend, wenn …

… Sie aus vertraglichen oder regulatorischen Gründen einen zertifizierbaren Nachweis benötigen. Das CSF ist nicht zertifizierbar. Wo Kunden eine ISO-27001-Zertifizierung oder ein C5-Testat verlangen, ersetzt das CSF diese nicht – es eignet sich aber hervorragend als übergeordnete Steuerungs- und Strukturebene, an die sich diese Standards andocken lassen.

Die sechs Funktionen im Überblick

  • Govern (GV): Strategie, Rollen, Richtlinien, Risikomanagement und Lieferkettenrisiken. Die strategische Grundlage für die übrigen Funktionen.
  • Identify (ID): Verständnis der eigenen Werte, Systeme, Daten und Risiken.
  • Protect (PR): Schutzmaßnahmen wie Zugriffskontrolle, MFA, Schulung und Datensicherung.
  • Detect (DE): Erkennen von Anomalien und Sicherheitsereignissen.
  • Respond (RS): Reaktion auf Vorfälle, Eindämmung, Kommunikation.
  • Recover (RC): Wiederherstellung von Diensten und Verbesserung nach Vorfällen.

Die typische Herausforderung bei der CSF-Anwendung

  • Outcome-orientiert, aber abstrakt. Das CSF sagt, was zu erreichen ist – nicht wie. Die Übersetzung in konkrete Maßnahmen und Nachweise bleibt der Organisation überlassen.
  • Ist-/Soll-Vergleich von Hand. Organizational Profiles in Tabellen zu pflegen ist mühsam und veraltet schnell.
  • Insellösung neben anderen Standards. Ohne Verknüpfung zu ISO 27001, NIS2 oder C5 entsteht Doppelarbeit.

Wie Sightadel die CSF-Anwendung vereinfacht

Sightadel ist das Compliance-Portal der Pervigon Security Suite. Es bildet das CSF 2.0 mit seinen sechs Funktionen, Kategorien und Unterkategorien ab und macht aus dem Outcome-Modell einen steuerbaren Maßnahmen- und Nachweiskatalog.

Vom Outcome zur Maßnahme. Sightadel verknüpft die CSF-Unterkategorien mit konkreten Maßnahmen und Nachweisen. Aus „was erreicht werden soll“ wird „wer was bis wann umsetzt“.
Ist- und Soll-Profil immer aktuell. Sie pflegen Ihr Organizational Profile im Portal statt in Tabellen und sehen den Fortschritt je Funktion auf einen Blick.
Gemeinsame Steuerungsebene. Das CSF dient als Dach: Sightadel ordnet Ihre Maßnahmen sowohl den CSF-Funktionen als auch den korrespondierenden Anforderungen aus ISO 27001, NIS2 und DORA zu.
Mehrfachnutzung von Nachweisen. Eine Maßnahme – etwa zur Zugriffskontrolle – erfüllt gleichzeitig „Protect“ im CSF und die entsprechende Anforderung in ISO 27001 und NIS2. Ein Nachweis, mehrere Frameworks.
Keine externen Berater als Dauerlösung. Die Zuordnungslogik ist im Portal hinterlegt und wird durch den KI-Kern neoAI unterstützt. Ihr Team steuert das Framework eigenständig.

NIST CSF 2.0 mit Sightadel in der Praxis

  1. 1
    Ist-Profil erstellen.Aktuellen Stand je Funktion und Unterkategorie erfassen.
  2. 2
    Soll-Profil definieren.Zielzustand und Reifegrad (Tier) festlegen, Lücken sichtbar machen.
  3. 3
    Maßnahmen ableiten.Priorisierter Plan mit Verantwortlichen und Fristen – verknüpft zu Ihren übrigen Standards.
  4. 4
    Steuern & kommunizieren.Fortschritt verfolgen, Cyberrisiken managementtauglich darstellen.

Häufige Fragen zum NIST CSF 2.0

Nein. Das CSF ist ein freiwilliges Rahmenwerk, kein zertifizierbarer Standard. Es eignet sich als Steuerungs- und Kommunikationsebene.

Cyberrisiko-Steuerung als Zustand, nicht als Momentaufnahme

Cyberrisiken entwickeln sich kontinuierlich – das CSF betont das ausdrücklich. Sightadel hält Ihr Ist-/Soll-Profil und die verknüpften Maßnahmen fortlaufend aktuell, damit das Framework gelebte Steuerung bleibt statt einer einmaligen Bestandsaufnahme.

Sehen Sie Ihr CSF-2.0-Profil in Sightadel.

Demo vereinbaren