NIST CSF 2.0 als Steuerungsrahmen: Überblick und die sechs Functions
Kernaussage
Das NIST Cybersecurity Framework 2.0 (NIST.CSWP.29, veröffentlicht am 26.02.2024) ist kein Prüfkatalog und keine zertifizierbare Norm, sondern ein outcome-orientierter Steuerungsrahmen. Es beschreibt in sechs Functions, welche Sicherheitsergebnisse eine Organisation erreichen sollte, nicht, mit welchen Einzelmaßnahmen. Darin liegt sein Nutzen für die Managementebene: Das CSF strukturiert die Diskussion über Sicherheitsreife entlang verständlicher Zielzustände und verbindet strategische Steuerung (Govern) mit dem operativen Sicherheitslebenszyklus (Identify, Protect, Detect, Respond, Recover).
Ein CISO sollte das CSF 2.0 als gemeinsame Sprache und Strukturraster nutzen, nicht als Audit-Checkliste. Es verortet den Ist-Zustand, macht Lücken sichtbar und hilft, eine Zielreife zu vereinbaren. Verbindliche Controls liefert es bewusst nicht; dafür existieren Kataloge wie NIST SP 800-53 Rev. 5.
Problem in der Praxis
Viele Organisationen verwechseln Frameworks mit Prüfnormen. Sie behandeln das CSF, als könnte man es "bestehen", und suchen nach einer Zertifizierung, die es nicht gibt. Andere greifen direkt zu einem granularen Control-Katalog und ertrinken in Einzelmaßnahmen, ohne vorher die strategische Steuerungsebene geklärt zu haben.
Daraus entstehen drei wiederkehrende Schwachstellen. Erstens fehlt eine gemeinsame Gliederung, an der Vorstand, Fachbereiche und IT über Sicherheit sprechen können. Zweitens bleibt Governance unterbelichtet: Risikostrategie, Rollen und Lieferkettenrisiko werden vorausgesetzt, aber nicht explizit gesteuert. Drittens wird Reife mit Aktivität verwechselt: Es gibt viele Tools und Tickets, aber keine belegbare Aussage, welche Sicherheitsergebnisse tatsächlich erreicht sind.
Das CSF 2.0 adressiert genau diese Lücken, wird aber häufig falsch eingesetzt: als technische Maßnahmenliste statt als Steuerungs- und Kommunikationsrahmen.
CISO-Einordnung
Das CSF 2.0 gilt ausdrücklich für alle Organisationen, nicht mehr nur für kritische Infrastrukturen. Sein Kern (CSF Core) besteht aus sechs Functions, 22 Categories und 106 Subcategories. Die Subcategories formulieren konkrete, aber technologieneutrale Ergebnisse (etwa "Asset-Inventare werden gepflegt"), ohne ein bestimmtes Produkt oder Verfahren vorzuschreiben.
Die sechs Functions bilden zwei Ebenen ab:
- GV - Govern (neu in 2.0): die strategische Klammer für Risikostrategie, Rollen und Verantwortlichkeiten, Policies, Oversight und Lieferkettenrisiko. Govern umschließt die operativen Functions und macht Sicherheit zur Führungsaufgabe.
- ID - Identify: Assets, Risiken und Verbesserungspotenziale verstehen, die Grundlage jeder weiteren Maßnahme.
- PR - Protect: Schutzmaßnahmen umsetzen, um Wahrscheinlichkeit und Wirkung von Vorfällen zu begrenzen.
- DE - Detect: Anomalien und mögliche Vorfälle erkennen.
- RS - Respond: auf erkannte Vorfälle strukturiert reagieren.
- RC - Recover: Fähigkeiten und Dienste nach einem Vorfall wiederherstellen.
Die wichtigste Neuerung gegenüber CSF 1.1 ist die eigenständige Govern-Function. Damit hebt NIST Steuerung, Strategie und Aufsicht auf dieselbe Ebene wie den operativen Schutz. Für einen CISO ist das die normative Bestätigung dessen, was er ohnehin vertritt: Sicherheit ist eine geführte Disziplin mit klaren Rollen und Risikoentscheidungen, nicht ein Bündel technischer Kontrollen.
Wichtig für die Erwartungssteuerung im Management: Das CSF 2.0 ist outcome-orientiert und nicht im ISO-Sinn zertifizierbar. Es gibt kein akkreditiertes CSF-Zertifikat. Wer einen prüfbaren Nachweis braucht, nutzt im US-/Behördenkontext die Autorisierung nach dem Risk Management Framework (SP 800-37) oder zertifiziert ein Managementsystem nach ISO/IEC 27001. Das CSF liefert die Struktur, nicht das Siegel.
Umsetzungsperspektive
Der praktische Einstieg gelingt am besten in vier Schritten, die sich an den NIST-Konzepten von Profiles und Tiers orientieren.
- Ist-Profil erstellen. Bewerten Sie entlang der sechs Functions, welche Sicherheitsergebnisse heute tatsächlich erreicht sind. Beginnen Sie mit Govern und Identify; sie bestimmen, ob alles Weitere auf belastbarem Grund steht.
- Ziel-Profil vereinbaren. Legen Sie mit dem Management fest, welche Zielreife pro Function angemessen ist; das hängt von Risikoappetit, Geschäftsmodell und regulatorischem Druck ab.
- Lücken priorisieren. Die Differenz aus Ist- und Ziel-Profil ergibt eine priorisierte Roadmap mit Ownern, Aufwand und erwarteter Risikowirkung.
- Auf Controls herunterbrechen. Erst jetzt verknüpfen Sie die CSF-Outcomes mit konkreten Controls. NIST stellt offizielle Mappings zwischen CSF und SP 800-53 bereit; so wird aus dem Rahmen ein umsetzbarer Maßnahmenplan, ohne die Steuerungslogik zu verlieren.
Das CSF wirkt als Brücke: nach oben in die Sprache von Vorstand und Aufsicht, nach unten in konkrete Kataloge. Govern verbindet sich dabei mit Risikobewertung (SP 800-30) und kontinuierlicher Überwachung (SP 800-137, ISCM), während SP 800-53 Rev. 5 die granulare Maßnahmenebene liefert.
Typische Fehler
- Das CSF wird als Prüfkatalog behandelt und nach einem "Zertifikat" gesucht, das es nicht gibt.
- Govern wird übersprungen, weil es weniger "technisch" wirkt; dadurch bleiben Risikostrategie, Rollen und Lieferkettenrisiko ungesteuert.
- Die Organisation springt direkt in einen Control-Katalog, ohne ein Ist- und Ziel-Profil zu definieren, und verliert sich in Einzelmaßnahmen.
- Zielreife wird pauschal auf "maximal" gesetzt, statt risikobasiert pro Function differenziert zu werden.
- CSF, SP 800-53 und ISO 27001 werden gleichgesetzt, obwohl sie unterschiedliche Zwecke haben: Steuerungsrahmen, Control-Katalog, zertifizierbares Managementsystem.
Risiken und Trade-offs
Der große Vorteil des CSF, seine Outcome-Orientierung und Flexibilität, ist zugleich sein Risiko. Weil es keine verbindlichen Controls vorschreibt, kann eine Selbstbewertung beschönigen; ohne nachvollziehbare Evidenz pro Subcategory wird das Profil zur Wunschliste. Dem begegnet man, indem man Reifeaussagen an belegbare Nachweise koppelt.
Ein zweiter Trade-off betrifft die Granularität. Das CSF allein ist zu grob für Umsetzungssicherheit; ein reiner Control-Katalog ist zu fein, um Management zu steuern. Die Lösung liegt in der Kombination (Steuerung über das CSF, Tiefe über SP 800-53), was aber Mapping- und Pflegeaufwand erzeugt.
Drittens droht Framework-Hopping: Wer CSF, ISO 27001 und weitere Vorgaben unverbunden parallel betreibt, vervielfacht Dokumentationslast ohne Mehrwert. Sinnvoller ist ein führendes Steuerungsraster mit Mappings auf die übrigen Anforderungen.
Entscheidungspunkte
- Soll das CSF 2.0 das führende Steuerungsraster werden, oder dient es als Ergänzung zu einem bestehenden ISMS nach ISO 27001?
- Welche Zielreife ist pro Function angemessen, und wer im Management verantwortet diese Entscheidung?
- Wie werden CSF-Outcomes mit einem Control-Katalog (z. B. SP 800-53) verknüpft, und wer pflegt das Mapping?
- Welche Evidenz akzeptiert die Organisation als Beleg für eine erreichte Subcategory?
- Braucht die Organisation einen externen Nachweis (ISO-Zertifikat, RMF-Autorisierung), und falls ja, liefert das CSF dafür nur die Struktur?
Praktische Empfehlungen
- Nutzen Sie das CSF 2.0 als gemeinsame Sprache zwischen Vorstand, Fachbereich und IT; berichten Sie Sicherheitsreife entlang der sechs Functions statt entlang von Tool-Landschaften.
- Starten Sie bewusst mit Govern und Identify; sie entscheiden über die Tragfähigkeit aller weiteren Functions.
- Erstellen Sie ein Ist- und ein risikobasiertes Ziel-Profil und leiten Sie daraus eine priorisierte Roadmap mit Ownern ab.
- Koppeln Sie jede Reifeaussage an nachvollziehbare Evidenz, um Schönfärberei in der Selbstbewertung zu vermeiden.
- Verknüpfen Sie CSF-Outcomes über die offiziellen NIST-Mappings mit SP 800-53 Rev. 5, wenn Sie eine umsetzbare Control-Ebene brauchen.
- Kommunizieren Sie aktiv, dass das CSF nicht zertifizierbar ist; klären Sie früh, ob ein externer Nachweis (ISO 27001, RMF) zusätzlich erforderlich ist.
Relevante Normreferenzen
- NIST CSF 2.0 (NIST.CSWP.29, DOI 10.6028/NIST.CSWP.29, 26.02.2024): outcome-orientierter Steuerungsrahmen mit 6 Functions, 22 Categories, 106 Subcategories. Public Domain.
- NIST SP 800-53 Rev. 5: granularer Control-Katalog (20 Familien, 324 Basis-Controls, 872 Enhancements). Public Domain.
- NIST SP 800-53B (Control Baselines Low/Moderate/High + Privacy) und SP 800-53A (Assessment-Procedures).
- NIST SP 800-37 (Risk Management Framework), SP 800-30 (Risikobewertung), SP 800-137 (ISCM).
- ISO/IEC 27001: zertifizierbares Managementsystem als Abgrenzung; konkrete Edition vor Nutzung prüfen.
Häufige Fragen
Was ist der Unterschied zwischen dem CSF und SP 800-53?+
Das CSF 2.0 ist ein Steuerungsrahmen, der Sicherheitsergebnisse in sechs Functions beschreibt. SP 800-53 Rev. 5 ist ein granularer Control-Katalog (20 Familien, 324 Basis-Controls, 872 Enhancements). NIST stellt Mappings bereit, mit denen sich CSF-Outcomes auf konkrete Controls herunterbrechen lassen.
Kann man sich nach dem CSF 2.0 zertifizieren lassen?+
Nein. Das CSF ist outcome-orientiert und nicht im ISO-Sinn zertifizierbar. Wer einen externen Nachweis braucht, nutzt eine ISO/IEC 27001-Zertifizierung oder im US-Kontext die Autorisierung nach dem RMF (SP 800-37).
Was ist neu in CSF 2.0 gegenüber 1.1?+
Die eigenständige Function Govern hebt Risikostrategie, Rollen, Policies, Aufsicht und Lieferkettenrisiko auf Steuerungsebene. Außerdem gilt CSF 2.0 für alle Organisationen, nicht mehr nur für kritische Infrastrukturen.
Wie startet man mit dem CSF 2.0 praktisch?+
Mit einem Ist-Profil entlang der sechs Functions, beginnend bei Govern und Identify, danach einem risikobasierten Ziel-Profil, der Priorisierung der Lücken und schließlich dem Mapping auf konkrete Controls.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen NIST prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nist-csf-001.
