Het NIST CSF (National Institute for Standards and Technology - Cyber Security Framework) is een Amerikaans normankader, en werkt met vijf volwassenheidsniveaus die aangeven hoe goed een organisatie haar cyberrisico’s beheerst. Elk niveau laat zien hoe gestructureerd, voorspelbaar en herhaalbaar de beveiligingsaanpak is. Dit helpt om realistisch te bepalen waar een organisatie staat en welke stappen logisch zijn om door te groeien.
| Niveau | Beleid & Organisatie | Mens & Bewustzijn | Techniek & Maatregelen |
|---|---|---|---|
| 1. Ad-hoc / Initieel | Geen beleid. Geen structuur. Alles gebeurt reactief. | Verantwoordelijkheden zijn onduidelijk. Bewustzijn is laag. | Maatregelen ontbreken of zijn volledig ad-hoc. |
| 2. In ontwikkeling | Nog geen formeel beleid. Wel losse afspraken zonder borging. | Informele verantwoordelijkheden. Bewustzijn begint te groeien. | Enkele maatregelen aanwezig, maar weinig documentatie of consistentie. |
| 3. Gedocumenteerd | Beleid en processen zijn beschreven en worden gevolgd. | Rollen en verantwoordelijkheden zijn vastgelegd en redelijk bekend. | Basismiddelen zijn aanwezig. Effectiviteit hangt nog af van individuele inzet. |
| 4. Beheerst en meetbaar | Formeel vastgesteld beleid. Risicoanalyses worden uitgevoerd. | Hoog bewustzijn. Iedereen kent zijn rol. | Maatregelen worden getest op werking en naleving. |
| 5. Geoptimaliseerd | Continu verbeteren is de standaard. Volwassen risicobeheersing. | Security by design is cultuur. In het DNA van medewerkers. | Volledig geïmplementeerde en grotendeels geautomatiseerde maatregelen. Continue bijsturing. |
Uitgebreidere informatie per niveau:
Niveau 1. Partial
De organisatie werkt vooral reactief. Activiteiten zijn niet gestandaardiseerd en hangen vaak af van individuele kennis. Risico’s worden beperkt in kaart gebracht. Incidenten verrassen de organisatie omdat processen ontbreken of niet worden gevolgd.
Niveau 2. Risk Informed
Risico’s worden beter begrepen en er ontstaat bewustwording. Er zijn losse maatregelen en initiatieven maar nog geen samenhang. Besluiten over beveiliging worden wel beïnvloed door risico’s maar niet consequent of organisatiebreed.
Niveau 3. Repeatable
Beveiligingsprocessen zijn gedocumenteerd en worden herhaald uitgevoerd. Teamleden weten wat van hen wordt verwacht en handelen volgens vastgestelde richtlijnen. Risicobeheer is onderdeel van de reguliere bedrijfsvoering. De organisatie wordt voorspelbaarder in de manier waarop cyberrisico’s worden aangepakt.
Niveau 4. Adaptive
De organisatie stuurt actief op verbetering. Monitoring, evaluatie en lessons learned worden gebruikt om processen bij te sturen. Risicobeheer en beveiliging zijn geïntegreerd in strategische besluitvorming. De organisatie kan snel reageren op veranderingen in dreigingen en technologie.
Niveau 5. Optimized
Cybersecurity is volledig ingebed in de organisatie. Processen zijn continu geoptimaliseerd. Metingen en data worden structureel gebruikt om risico’s te anticiperen in plaats van erop te reageren. Samenwerking met partners in de keten is volwassen en duidelijk ingericht.