Samfunnet er avhengig av pålitelige sentrale, offentlige og private, organisatoriske funksjoner og teknologi støttet kritisk infrastruktur. Cybersikkerhetstrusler utnytter den økte kompleksiteten og tilkoblingene til kritiske infrastruktur, og setter landets sikkerhet, økonomi og offentlig sikkerhet og helse i fare. I likhet med finans- og omdømmerisiko påvirker cybersikkerhetsrisiko organisasjoner, virksomheter og samfunnet direkte med økonomisk tap, stress og i værste konsekvens tap av menneskeliv og store funksjonelle og infrastrukturmessige konsekvenser. For profitavhengige virksomheter kan cybersikkerhetsrisikoer øke kostnadene, men kan også påvirke inntekter, og i noen sammenhenger ha en konkurransemessig effekt. Det kan skade en organisasjons evne til innovasjon og å skaffe og opprettholde ansatte og ikke minst markeder og kunder.

Cybersikkerhetstiltak og risiko må derfor være en viktig og forsterkende komponent i en organisasjons samlede risikostyring, som styringsverktøy for strategisk og operative ledelse, og som en fast del av virksomhetens rapportering til og behandling i virksomhetens styre på linke med operasjonelle og økonomiske faste rapporteringsaspkter og saksbehandling og agenda i styret.

For bedre å håndtere disse risikoene, oppdaterte Cybersecurity Enhancement Act of 2014¹ (CEA) rollen til National Institute of Standards and Technology (NIST) til å inkludere identifisering og utvikling av cyber sikkerhets risikorammeverk for frivillig bruk av eiere og operatører av kritisk infrastruktur. Gjennom CEA må NIST identifisere "en prioritert, fleksibel, repeterbar, ytelsesbasert og kostnadseffektiv tilnærming, inkludert informasjonssikkerhetstiltak og kontroller som frivillig kan vedtas av eiere og operatører av kritisk infrastruktur for å hjelpe dem med å identifisere, vurdere og håndtere cyber risiko." Dette formaliserte NISTs tidligere arbeid med å utvikle Framework Versjon 1.0 under Executive Order (EO) 13636, "Improving Critical Infrastructure Cybersecurity" (februar 2013), og ga veiledning for fremtidig rammeverk utvikling. Rammeverket som ble utviklet under EO 13636, og som fortsetter å utvikle seg i henhold til CEA, bruker et felles språk for å adressere og håndtere cybersikkerhetsrisiko på en kostnadseffektiv måte basert på forretnings- og virksomhetsbehov uten å stille ytterligere regulatoriske krav til organisasjonen.

Rammeverket fokuserer på å bruke forretningsdrivere til å veilede cybersikkerhetsaktiviteter og vurdere cybersikkerhetsrisikoer som en del av organisasjonens risikostyringsprosesser. Rammeverket består av tre deler: kjernen, nivå og profiler. ‘Grunnleggende rammeverk’ er et sett med cybersikkerhetsaktiviteter, resultater og informative referanser som er felles på tvers av sektorer og kritisk infrastruktur. Elementer av kjernen gir detaljert veiledning for utvikling av individuelle profiler. Gjennom bruk av profiler vil rammeverket hjelpe en organisasjon med å innrette og prioritere sine cybersikkerhetsaktiviteter med sine forretnings- og virksomhets krav, risikotoleranser og ressurser. Nivåene gir en mekanisme for organisasjoner til å se og forstå egenskapene til deres tilnærming til håndtering av cybersikkerhetsrisiko, noe som vil hjelpe til med å prioritere og å oppnå cybersikkerhetsmål.

Selv om dette dokumentet ble utviklet for å forbedre risikostyringen for cybersikkerhet i kritisk infrastruktur, kan rammeverket brukes av organisasjoner i alle sektorer elle industrier. Rammeverket gjør det mulig for organisasjoner – uavhengig av størrelse, grad av risiko eller sofistikert sikkerhet – å anvende prinsippene og beste praksis for risikostyring for å forbedre sikkerhet og motstandskraft. Rammeverket gir en struktur for flere tilnærminger til cybersikkerhet ved å sette sammen standarder, retningslinjer og praksiser som sammen fungerer effektivt. Den refererer til globalt anerkjente standarder for cybersikkerhet, og rammeverk kan tjene som modell for internasjonalt samarbeid om å styrke cybersikkerhet i kritisk infrastruktur så vel som andre sektorer, innen privat og offentlig virksomhet.

Rammeverket tilbyr en fleksibel måte å adressere cybersikkerhet, inkludert cybersikkerhet effekt på fysiske-, cyber-, organisasjon- og menneskelige dimensjoner. Den er anvendelig for organisasjoner som er avhengige av teknologi, enten deres cybersikkerhet fokus primært er på informasjonsteknologi (IKT/ICT), industrielle kontrollsystemer (OT/ICS), cyber-fysiske systemer (CPS), eller tilkoblede enheter mer generelt, inkludert tingenes internett (IoT). ). Rammeverket hjelpe også med å håndtere personopplysningsvern ettersom det legger til grunn personvernkontroller. I tillegg tjener Rammeverkets resultater som mål for virksomhetsutvikling og utviklingsaktiviteter.

Rammeverket er ikke en helhetlig (total) tilnærming for å håndtere alle cybersikkerhetsrisiko for kritisk infrastruktur. Organisasjoner vil fortsatt ha unike risikoer – ulike trusler, ulike sårbarheter, ulike risikotoleranser. De vil også variere i hvordan de tilpasser praksis beskrevet i rammeverket. Organisasjoner kan bestemme aktiviteter som er viktige for kritisk tjenesteleveranser og kan prioritere investeringer for å maksimere effekten av innsatsen. Til syvende og sist er rammeverket rettet mot å redusere og bedre håndtere cybersikkerhetsrisikoer generelt. For å ta hensyn til organisasjoners unike sikkerhetsbehov finnes det en lang rekke måter å bruke rammeverket på.

Beslutningen om hvordan den skal brukes er overlatt til hver enkelt organisasjon - der er ingen mal eller fasit. En organisasjon kan for eksempel velge å brukeimplementerings nivåene for å artikulere tenkt risikostyringspraksis. En annen organisasjon kan bruke rammeverkets fem funksjoner til å analysere hele risikostyringsporteføljen; denne analysen kan være avhengig av mer detaljerte veiledninger, for eksempel kontrollkatalogen NOR SP 800-53 ‘Grunnleggende kontroller for styrking av digital sikkerhet i kritisk infrastruktur’. Noen ganger er det diskusjon om graden man er «i samsvar med», eller «hvor compliant man er» i forhold til rammeverket. Rammeverket kan også brukes som en struktur og språk for å organisere og uttrykke samsvar i forhold til en organisasjons egne krav til cybersikkerhet. Mangfoldet av måter rammeverket kan brukes på av en organisasjon betyr at setninger som «i samsvar med», eller «hvor compliant man er» kan være forvirrende og bety noe helt annet for ulike interessenter.

Det er også viktig å påpeke at «100% compliant» er urealistisk og kan virke mot sin hensikt da det å være compliant overskygger kvalitet og fokus på adekvat sikkerhet. Rammeverket er et levende dokument og vil fortsette å bli oppdatert og forbedret etter hvert som industrien gir tilbakemelding om forbedringer og utvidelser. NIST vil fortsette å koordinere med privat sektor og offentlige etater på alle nivåer. Etter hvert som rammeverket blir brukt i større grad, vil ytterligere erfaringer integreres i fremtidige versjoner. Dette vil sikre at rammeverket bmøter behovene til eiere og operatører av kritisk infrastruktur i et dynamisk og utfordrende miljønnmed nye trusler, risikoer og løsninger.

Utvidet og mer effektiv bruk og deling av beste praksis i dette frivillige rammeverket er de neste skrittene for å forbedre cybersikkerheten til kritiske infrastruktur, og gir utviklende veiledning for individuelle organisasjoner samtidig som den øker cyber- informasjonssikkerhets- og personopplysningsvern for kritisk infrastruktur, økonomi, helse, justis, forsvar og samfunnet for øvrig.

_{1 Se 15 U.S.C. § 272(e)(1)(A)(i). Cybersecurity Enhancement Act of 2014 (S.1353) ble offentlig lov 113-274 18. desember 2014 2 og kan finnes på: https://www.congress.gov/bill/113th-congress/senate-bill/1353/text.}