NIST Cybersecurity Framework 2.0 — Bahasa Bersama Risiko Siber Global

Referensi Utama: NIST Cybersecurity Framework (CSF) 2.0 (dirilis 26 Februari 2024)

Penerbit: National Institute of Standards and Technology (NIST), Departemen Perdagangan AS

Dari Infrastruktur Kritis ke Semua Organisasi

Ketika NIST pertama kali merilis Cybersecurity Framework pada 2014, audiens utamanya adalah operator infrastruktur kritis Amerika Serikat — pembangkit listrik, jaringan air, sistem transportasi. Satu dekade kemudian, framework tersebut telah berkembang menjadi bahasa global untuk mengelola risiko siber yang digunakan oleh ratusan ribu organisasi di lebih dari 180 negara — dari perusahaan Fortune 500, startup teknologi, instansi pemerintah, hingga lembaga keuangan di Asia Tenggara.

NIST CSF 2.0 dirilis 26 Februari 2024 — revisi besar pertama sejak framework ini diciptakan pada 2014. Perubahan paling signifikan: penambahan fungsi keenam "Govern", perluasan cakupan dari sekadar infrastruktur kritis ke semua jenis organisasi termasuk sektor swasta, pemerintah, dan nirlaba.

Dalam bahasa bisnis: NIST CSF bukan hanya dokumen teknis untuk tim IT. Ini adalah kerangka komunikasi risikoyang memungkinkan board of directors, eksekutif, regulator, dan tim teknis berbicara dalam bahasa yang sama tentang seberapa matang program keamanan sebuah organisasi — dan ke mana ia harus berkembang.

Ekosistem NIST: Lebih dari Sekadar Satu Framework

Sebelum membahas CSF secara mendalam, penting memahami bahwa NIST menerbitkan ekosistem framework dan publikasi yang saling melengkapi:

Untuk sebagian besar organisasi di luar AS — termasuk Indonesia — NIST CSF 2.0 adalah entry point yang paling relevan. SP 800-53 dan SP 800-171 lebih relevan untuk organisasi yang memiliki hubungan kontraktual dengan pemerintah AS atau yang ingin katalog kontrol yang sangat granular.