Cybervize - Cybersecurity Beratung

Die Govern-Function: Warum CSF 2.0 Governance ins Zentrum stellt

NISTCEOAufsichtsratCISOISMS ManagerRisikoverantwortlicheIT-Leitung

Kernaussage

Mit Version 2.0 hat NIST das Cybersecurity Framework um eine sechste Function erweitert: Govern (Kurzzeichen GV). Sie steht nicht neben den operativen Functions Identify, Protect, Detect, Respond und Recover, sondern verklammert sie: Govern bestimmt, wer auf welcher Grundlage entscheidet, welche Risiken die Organisation eingeht und wie die Leitung dies verantwortet und überwacht.

Damit kodifiziert NIST eine bekannte Erfahrung: Sicherheitsarbeit scheitert selten an fehlender Technik, sondern an fehlender Steuerung. Govern macht Managementverantwortung, Risikostrategie, Rollen, Policy, Oversight und Lieferkettenrisiko zu einem expliziten, prüffähigen Teil des Frameworks. Cybersicherheit wird so zur Steuerungsaufgabe der Unternehmensführung, nicht zum Anhang der IT.

Problem in der Praxis

In vielen Organisationen existieren operative Sicherheitsfähigkeiten in beachtlicher Tiefe: Schwachstellenmanagement, Monitoring, Notfallpläne, Wiederanlaufkonzepte. Was fehlt, ist die Klammer darüber: eine dokumentierte Risikostrategie, ein definierter Risikoappetit, klare Entscheidungsrechte und eine Leitung, die Sicherheit nachweisbar steuert.

Das führt zu wiederkehrenden Mustern: Budgets werden bottom-up aus technischen Befunden begründet statt top-down aus Geschäftsrisiken; Rollen sind unscharf, niemand kann sagen, wer ein Restrisiko formal akzeptiert hat; Policies existieren als Dokumente, nicht als gelebte Vorgaben mit Eigentümer und Reviewzyklus; und Lieferkettenrisiko wird bei der Beschaffung gestreift, aber nicht durchgängig gesteuert. CSF 1.1 bot für diese Lücke nur verstreute Kategorien; CSF 2.0 fasst sie in einer eigenen Function zusammen und macht sichtbar, was vorher implizit blieb.

CISO-Einordnung

Govern ist NIST-Antwort auf eine strukturelle Schwäche älterer Frameworks: Sie beschrieben Fähigkeiten, aber nicht deren Steuerung. Laut NIST CSF 2.0 (NIST.CSWP.29, veröffentlicht am 26.02.2024) gliedert sich Govern in sechs Categories, die zusammen den Steuerungskreis eines CISO abbilden: Organizational Context (GV.OC), Risk Management Strategy (GV.RM), Roles, Responsibilities, and Authorities (GV.RR), Policy (GV.PO), Oversight (GV.OV) und Cybersecurity Supply Chain Risk Management (GV.SC). Von den insgesamt 6 Functions, 22 Categories und 106 Subcategories des Frameworks entfällt mit 6 Categories und 31 Subcategories ein substanzieller Anteil auf Govern.

Wichtig: CSF 2.0 ist outcome-orientiert und beschreibt Ergebnisse, keine Kontrollen im Detail; es ist nicht im ISO-Sinn zertifizierbar. Wer Govern-Ergebnisse mit Maßnahmen unterlegen will, findet die Tiefe im Kontrollkatalog SP 800-53 Rev. 5 (20 Familien, 324 Basis-Controls, 872 Enhancements) - vor allem in den Familien Program Management (PM) und Supply Chain Risk Management (SR), gestützt durch Risk Assessment (RA), den RMF (SP 800-37) und SP 800-30.

Umsetzungsperspektive

Govern lässt sich nicht durch ein Dokument erfüllen, sondern durch wiederkehrende Steuerungsformate. Bewährt hat sich, die sechs Categories als Arbeitsprogramm mit je eigenem Eigentümer und Reviewzyklus zu lesen.

  • Organizational Context (GV.OC): Auftrag, rechtliche Pflichten, kritische Abhängigkeiten und Stakeholder-Erwartungen explizit festhalten; dieser Kontext begründet jede Priorisierung.
  • Risk Management Strategy (GV.RM): Risikoappetit und -toleranz von der Leitung beschließen lassen, inklusive Eskalationsschwellen und einheitlicher Bewertungslogik.
  • Roles, Responsibilities, and Authorities (GV.RR): Entscheidungsrechte trennen. Wer ist Risiko-Owner, wer akzeptiert Restrisiken, wer betreibt Maßnahmen? Sicherheit braucht ein sichtbares Mandat und Ressourcen.
  • Policy (GV.PO): Vorgaben mit Eigentümer, Geltungsbereich und Reviewzyklus statt verwaister Dokumente.
  • Oversight (GV.OV): Die Leitung prüft regelmäßig, ob die Strategie wirkt, und passt sie an; hilfreich sind belastbare Kennzahlen und Monitoring im Sinne von SP 800-137 (ISCM).
  • Cybersecurity Supply Chain Risk Management (GV.SC): Drittparteienrisiko über den Lebenszyklus steuern, von Auswahl und Vertrag bis Betrieb und Offboarding.

Der Einstieg ist kein Großprojekt: ein wiederkehrendes Security Steering, ein Risikoregister in Geschäftssprache, benannte Owner und ein Lieferanten-Inventar nach Kritikalität decken die wichtigsten Govern-Ergebnisse bereits weitgehend ab.

Typische Fehler

  1. Govern wird als reine Dokumentationsübung verstanden. Es entstehen Policies und Charts, aber keine wiederkehrenden Entscheidungen.
  2. Risikoappetit wird nie formal beschlossen, sodass jede Priorisierung verhandelbar bleibt und im Zweifel das lauteste Projekt gewinnt.
  3. Rollen vermischen Betrieb und Akzeptanz: Wer Maßnahmen umsetzt, akzeptiert faktisch das Restrisiko, ohne dass die Leitung entscheidet.
  4. Lieferkettenrisiko (GV.SC) wird auf eine Beschaffungsprüfung reduziert und nicht über den Lebenszyklus gesteuert.
  5. CSF 2.0 wird wie ein zertifizierbarer Standard behandelt. Govern liefert Ergebnisse und Steuerungslogik, keine Konformitätsnachweise.

Risiken und Trade-offs

Govern erzeugt Steuerung, und Steuerung kann überdehnt werden. Zu viel Governance produziert Gremien, Formulare und Freigabeschleifen, die Umsetzung bremsen und Schatten-IT fördern; zu wenig führt zu unkoordinierter Sicherheitsarbeit ohne nachweisbare Verantwortung. Die Leitung muss ein Maß finden, das zu Größe, Reifegrad und Risikoprofil passt.

Ein zweiter Trade-off betrifft Zentralisierung. Eine starke zentrale Govern-Funktion schafft Konsistenz, kann aber zum Flaschenhals werden; verteilte Verantwortung mit klaren Leitplanken skaliert besser, verlangt aber verlässliche Nachweise. Beim Lieferkettenrisiko ist eine risikobasierte Staffelung nach Kritikalität wirksamer als eine gleichförmige Maximalprüfung für alle Dritten.

Entscheidungspunkte

  • Wer in der Leitung trägt die Gesamtverantwortung für Cybersicherheit, und wie ist dieses Mandat dokumentiert?
  • Ist der Risikoappetit formal beschlossen, und welche Schwellen lösen eine Eskalation an die Leitung aus?
  • Sind Risiko-Owner, Akzeptanzbefugnis und Maßnahmen-Owner sauber getrennt?
  • Welche Govern-Ergebnisse steuern wir direkt im CSF, und wo unterlegen wir sie mit Controls aus SP 800-53?
  • Wie tief steuern wir Lieferkettenrisiko, gestaffelt nach Kritikalität der Dritten?

Praktische Empfehlungen

  1. Behandeln Sie Govern als Steuerungsprogramm: je Category ein Eigentümer, ein Format und ein Reviewzyklus statt einmaliger Dokumente.
  2. Lassen Sie Risikoappetit und -toleranz formal durch die Leitung beschließen und in Eskalationsschwellen übersetzen.
  3. Trennen Sie Entscheidungsrechte klar: Risiko-Owner, Akzeptanzbefugnis und Umsetzung gehören in verschiedene Hände.
  4. Verankern Sie Lieferkettenrisiko (GV.SC) über den gesamten Lebenszyklus und priorisieren Sie risikobasiert nach Kritikalität.
  5. Unterlegen Sie kritische Govern-Ergebnisse bei Bedarf mit Controls aus SP 800-53 Rev. 5 und richten Sie Oversight an Wirksamkeit aus, gestützt durch kontinuierliches Monitoring (SP 800-137).

Relevante Normreferenzen

  • NIST CSF 2.0 (NIST.CSWP.29, 26.02.2024): Function Govern (GV) mit den sechs Categories GV.OC, GV.RM, GV.RR, GV.PO, GV.OV und GV.SC. Public Domain.
  • NIST SP 800-53 Rev. 5: Kontrollkatalog, insbesondere die Familien Program Management (PM), Supply Chain Risk Management (SR) und Risk Assessment (RA). Public Domain.
  • NIST SP 800-37 (RMF), SP 800-30 (Risikobewertung), SP 800-137 (ISCM): unterstützende Prozesse für Risikostrategie und Oversight. Public Domain.
  • Ergänzend: ISO/IEC 27014 (Governance der Informationssicherheit); Edition vor Nutzung prüfen.

Häufige Fragen

Was ist neu an der Govern-Function in CSF 2.0?+

Govern ist die sechste, in Version 2.0 hinzugefügte Function. Sie macht Managementverantwortung, Risikostrategie, Rollen, Policy, Oversight und Lieferkettenrisiko zu einem eigenständigen, prüffähigen Teil des Frameworks und verklammert die operativen Functions.

Welche Categories umfasst Govern?+

Organizational Context, Risk Management Strategy, Roles/Responsibilities/Authorities, Policy, Oversight und Cybersecurity Supply Chain Risk Management.

Ist CSF 2.0 zertifizierbar?+

Nein. CSF 2.0 beschreibt Ergebnisse und Steuerungslogik, nicht Kontrollen im Detail, und ist nicht im ISO-Sinn zertifizierbar. Konkrete Controls liefert SP 800-53 Rev. 5.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen NIST prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nist-gov-002.