Wat is het NIST Cybersecurity Framework?
Het NIST Cybersecurity Framework (kortweg NIST CSF of simpelweg "het framework") is een vrijwillig raamwerk dat is ontwikkeld door het Amerikaanse National Institute of Standards and Technology. Het doel is simpel maar krachtig: organisaties een gemeenschappelijke taal en een gestructureerde aanpak geven om cyberrisico's te begrijpen, te beoordelen, te prioriteren en te beheersen. In plaats van een lange lijst verplichte maatregelen biedt het een denkraamwerk dat je op de eigen context kunt toesnijden.
Het framework ontstond in 2014 (versie 1.0) als antwoord op een Amerikaans presidentieel besluit dat de cyberweerbaarheid van vitale infrastructuur moest verbeteren. In 2018 volgde versie 1.1 met aanvullende aandacht voor onder meer supply chain-risico's. De meest recente en meest ingrijpende herziening, CSF 2.0, verscheen in februari 2024. Vanaf die versie is de scope expliciet verbreed: het framework is niet langer primair gericht op vitale infrastructuur, maar op organisaties van élke omvang, sector en mate van security-volwassenheid.
Belangrijk om meteen helder te hebben: het NIST CSF is geen certificeerbare norm. Je kunt je er niet tegen laten certificeren zoals bij ISO 27001. Het is guidance — een hulpmiddel dat je vrijwillig kunt overnemen, aanpassen of combineren met andere kaders. Juist die flexibiliteit verklaart de enorme populariteit.
De opbouw: Core, Tiers en Profiles
Het framework bestaat uit drie samenhangende onderdelen. Wie de drie begrippen scherp heeft, begrijpt direct hoe het geheel werkt:
- De Core is het hart van het framework: een hiërarchie van functies, categorieën en subcategorieën die samen de gewenste cybersecurity-uitkomsten beschrijven.
- De Implementation Tiers geven aan hóe volwassen en hóe ingebed de risicoaanpak van een organisatie is, van ad-hoc tot adaptief.
- De Profiles zijn op maat gemaakte selecties van de Core die de huidige situatie (Current Profile) afzetten tegen de gewenste situatie (Target Profile).
De kracht zit in de combinatie: de Core vertelt wat je wilt bereiken, de Tiers bepalen hoe streng en consistent je dat aanpakt, en de Profiles maken inzichtelijk waar je staat en waar je naartoe wilt.
De zes functies van CSF 2.0
Het meest herkenbare onderdeel van het framework zijn de functies. In versie 1.1 waren dat er vijf; CSF 2.0 voegde er met Govern een zesde aan toe. Deze nieuwe functie staat niet op één lijn met de andere, maar er als het ware omheen: governance en risicomanagement sturen alle operationele activiteiten aan. De zes functies samen vormen de volledige levenscyclus van cyberrisicobeheer:
| Functie | Waar het over gaat |
|---|---|
| Govern (GV) | Nieuw in 2.0. De strategie, verwachtingen en het beleid voor cyberrisico vaststellen, communiceren en bewaken — inclusief rollen, verantwoordelijkheden en toezicht door het bestuur. |
| Identify (ID) | De organisatie, haar assets, leveranciers en de bijbehorende risico's in kaart brengen. De basis waarop alle andere functies steunen. |
| Protect (PR) | Beveiligingsmaatregelen treffen om incidenten te voorkomen of de impact ervan te beperken, zoals toegangsbeheer, training en gegevensbescherming. |
| Detect (DE) | Mogelijke aanvallen en afwijkingen tijdig signaleren door continue monitoring en analyse. |
| Respond (RS) | Adequaat handelen bij een gedetecteerd incident: indammen, analyseren, communiceren en mitigeren. |
| Recover (RC) | Getroffen systemen en processen herstellen en de normale bedrijfsvoering zo snel mogelijk hervatten. |
De toevoeging van Govern is veelzeggend. Ze bevestigt een bredere trend die ook in NIS2 en de DORA-verordening zichtbaar is: cybersecurity is geen puur technisch onderwerp meer, maar een bestuurlijke verantwoordelijkheid. Het bestuur moet sturen, prioriteren en toezicht houden — precies het werkterrein van de CISO en de bredere governance-, risk- en compliancefunctie.
Categorieën en subcategorieën: de Core in detail
Onder de zes functies hangt een fijnere structuur. De functies zijn opgedeeld in 22 categorieën die elk een samenhangend resultaatgebied beschrijven, en die categorieën bevatten samen 106 subcategorieën met concrete, meetbare uitkomsten. De verdeling van de categorieën over de functies geeft meteen een gevoel voor het zwaartepunt:
| Functie | Aantal categorieën | Voorbeelden van categorieën |
|---|---|---|
| Govern | 6 | Organisatiecontext, risicomanagementstrategie, rollen en verantwoordelijkheden, beleid, toezicht, supply chain-risicomanagement |
| Identify | 3 | Asset management, risicobeoordeling, verbetering |
| Protect | 5 | Identiteits- en toegangsbeheer, bewustwording en training, databeveiliging, platformbeveiliging |
| Detect | 2 | Continue monitoring, analyse van ongewenste gebeurtenissen |
| Respond | 4 | Incidentmanagement, analyse, mitigatie, melding en communicatie |
| Recover | 2 | Herstel van incidenten, herstelcommunicatie |
Wie de Core wil vertalen naar de praktijk hoeft het wiel niet opnieuw uit te vinden. NIST publiceert bij CSF 2.0 zogenoemde Implementation Examples en Informative References die elke subcategorie koppelen aan concrete maatregelen uit andere standaarden — waaronder ISO 27001/27002. Daardoor kun je het framework als overkoepelende kapstok gebruiken en je bestaande beheersmaatregelen er rechtstreeks aan ophangen.
Op zoek naar een baan in IT-security en compliance?
Professionals die frameworks als NIST CSF en ISO 27001 kunnen vertalen naar een werkbare risicoaanpak zijn schaars en zeer gewild. Bekijk de nieuwste vacatures voor security-, audit- en compliancespecialisten in Nederland.
Bekijk Security VacaturesDe vier Implementation Tiers
De Implementation Tiers beschrijven in welke mate de cyberrisicoaanpak van een organisatie gestructureerd, herhaalbaar en ingebed is. Ze zijn nadrukkelijk géén volwassenheidsmodel met een verplichte score: een hogere tier is niet automatisch "beter", het hangt af van de risico's en middelen van de organisatie. De vier niveaus lopen op van reactief naar adaptief:
| Tier | Naam | Kenmerk |
|---|---|---|
| 1 | Partial | Risicobeheer is ad hoc en reactief; security wordt per geval geregeld, zonder vast proces. |
| 2 | Risk Informed | Er is bewustzijn van risico's en beleid, maar de uitvoering is nog niet organisatiebreed consistent. |
| 3 | Repeatable | Het risicoproces is formeel vastgelegd, wordt regelmatig herzien en consistent toegepast. |
| 4 | Adaptive | Risicobeheer is volledig geïntegreerd in de bedrijfscultuur en past zich proactief aan op nieuwe dreigingen. |
In de praktijk gebruiken organisaties de Tiers vooral als gespreksinstrument met de directie: "we zitten nu op Tier 2 en willen binnen twee jaar naar Tier 3." Die ambitie vertaal je vervolgens naar concrete acties via de Profiles.
Werken met Current en Target Profiles
De Profiles maken het framework concreet en meetbaar. Een Profile is een op maat gemaakte selectie van de uitkomsten uit de Core, afgestemd op de doelen, risico's en middelen van een specifieke organisatie. In de praktijk werk je met twee profielen:
- Het Current Profile beschrijft welke cybersecurity-uitkomsten je vandaag al realiseert en in welke mate.
- Het Target Profile beschrijft de gewenste situatie, gebaseerd op je risicobereidheid en verplichtingen.
Het verschil tussen beide profielen legt de hiaten bloot. Die gap-analyse vormt de basis voor een prioriteitenlijst en een actieplan: je investeert eerst daar waar het verschil tussen huidige en gewenste situatie het grootst is in verhouding tot het risico. Daarmee wordt het abstracte begrip "cyberweerbaarheid" plotseling een concreet, stuurbaar verbetertraject — precies het soort onderbouwing waar een IT security officer of CISO een budgetaanvraag op kan baseren.
NIST CSF versus ISO 27001: concurrenten of partners?
De meest gestelde vraag is hoe het NIST Cybersecurity Framework zich verhoudt tot ISO 27001. Het korte antwoord: het zijn geen concurrenten, maar partners die elkaar uitstekend aanvullen.
| NIST Cybersecurity Framework | ISO/IEC 27001 | |
|---|---|---|
| Type | Vrijwillig raamwerk (guidance) | Certificeerbare eisennorm (requirements) |
| Herkomst | NIST (Verenigde Staten) | ISO/IEC (internationaal) |
| Focus | Risico's begrijpen, prioriteren en volwassenheid meten | Een managementsysteem (ISMS) opzetten en borgen |
| Certificeerbaar? | Nee | Ja, door een geaccrediteerde auditor |
Veel organisaties zetten beide naast elkaar in: ze gebruiken het NIST CSF om hun risicoaanpak te structureren en aan het bestuur uit te leggen, en ISO 27001 om aantoonbaar te certificeren richting klanten en toezichthouders. De koppeling verloopt soepel doordat de subcategorieën van het framework via de Informative References rechtstreeks verwijzen naar de controls van ISO 27001 en ISO 27002. Wie zekerheid wil bieden aan klanten, vertaalt diezelfde beheersmaatregelen vaak ook naar een SOC 2-rapportage. Ook bij het inrichten van een zero trust-architectuur dient het framework geregeld als leidraad om de losse maatregelen in een samenhangend verhaal te plaatsen.
Wat NIST CSF betekent voor jouw carrière
Hoewel het framework van Amerikaanse origine is, is kennis ervan ook op de Nederlandse arbeidsmarkt zeer waardevol. Veel internationale organisaties, cloudleveranciers en multinationals hanteren het NIST CSF als hun primaire securitytaal, en de aansluiting op NIS2 en DORA maakt het ook voor Europese bedrijven relevant. Wie de zes functies kan vertalen naar een concreet Target Profile en verbetertraject, is gewild in uiteenlopende functies:
- CISO en IT security officer: gebruiken het framework om strategie, prioriteiten en budget richting het bestuur te onderbouwen;
- IT security auditor en IT-compliance auditor: beoordelen of de gekozen uitkomsten aanwezig en effectief zijn;
- GRC-manager en risk-specialist: verbinden de Core met de risicobeoordeling en het bredere governancekader;
- Security consultant en cyber risk-adviseur: begeleiden organisaties bij het opstellen van Profiles en het dichten van de gaps.
Het sterkste profiel combineert frameworkkennis met een erkende certificering. Trajecten als CISSP en CISM behandelen de governance- en risicoprincipes die ook in het NIST CSF centraal staan, terwijl CRISC goed aansluit op de risico- en profielgedachte. De onderliggende trend is onmiskenbaar: cybersecurity is een bestuurlijke prioriteit geworden, en de vraag naar specialisten die risico's gestructureerd kunnen vertalen naar bestuurstaal blijft onverminderd hoog. Bekijk de actuele security- en compliancevacatures om te zien welke werkgevers zoeken, of verken het bredere aanbod aan IT-compliancevacatures in Nederland.