NIST publica el CSF 2.0: qué cambia y cómo afecta a tu organización

¿Qué es el CSF?

El Cybersecurity Framework del NIST es el estándar de referencia para la gestión del riesgo de ciberseguridad adoptado por miles de organizaciones. La versión 2.0, publicada en febrero de 2024, introduce cambios significativos.

La nueva función: Govern (GV)

La adición más importante es la función Govern, que aborda la dimensión organizativa y estratégica:

• Estrategia y política de ciberseguridad a nivel directivo
• Roles y responsabilidades claramente definidos
• Supervisión del riesgo por parte de la junta directiva
• Gestión de la cadena de suministro de ciberseguridad (SCRM)

Cambios en el alcance

El CSF 1.1 estaba orientado a infraestructuras críticas. El 2.0 se dirige a cualquier organización, independientemente de su tamaño o sector industrial.

Implicaciones prácticas

1. Revisión de la estructura de gobernanza de ciberseguridad
2. Actualización de políticas alineadas con la nueva función GV
3. Mayor énfasis en la cadena de suministro (Supply Chain Risk Management)
4. Mejor integración con frameworks complementarios (ISO 27001, SOC 2, DORA)