O NIST publicou o draft do Cybersecurity Framework 2.0, a primeira grande reformulação do guia desde sua criação em 2014.1 A atualização tenta acompanhar uma realidade em que ransomware, risco de cadeia de suprimentos, nuvem, pequenas empresas e governos locais fazem parte do mesmo debate de governança cibernética.

A mudança mais visível está no escopo. O framework deixa de carregar no título a ênfase exclusiva em infraestrutura crítica e passa a se apresentar como uma ferramenta para organizações de qualquer porte ou setor. Essa adaptação reconhece algo que o mercado já pratica: escolas, pequenas empresas, agências públicas e companhias globais usam o CSF como linguagem comum para discutir risco.

O draft fica aberto a comentários públicos até novembro, e o NIST informa que pretende publicar a versão final no ciclo seguinte. Para equipes que já usam o CSF, este é o momento de comparar controles, perfis e métricas internas com a nova estrutura, antes que a versão final seja incorporada a auditorias e contratos.

Govern entra no núcleo do framework

O CSF tradicional se organiza em cinco funções: Identify, Protect, Detect, Respond e Recover. A versão 2.0 adiciona uma sexta função, Govern, para explicitar que cibersegurança é uma fonte de risco empresarial e precisa entrar na tomada de decisão da liderança.

Essa inclusão parece simples, mas muda a conversa. Governança não é apenas aprovar políticas. Ela define como a organização estabelece prioridades, distribui responsabilidades, aceita riscos, mede desempenho e conecta controles técnicos a objetivos de negócio. Em vez de tratar segurança como lista de práticas, o framework passa a destacar a camada que decide por que aquelas práticas existem.

Para conselhos e diretorias, isso reduz espaço para uma postura passiva. Se cibersegurança aparece ao lado de risco financeiro, jurídico e operacional, a liderança precisa entender quais riscos está aceitando e quais investimentos está adiando. Para equipes técnicas, Govern ajuda a justificar decisões que antes pareciam apenas "boas práticas", como segmentação, gestão de identidade, continuidade e resposta a incidentes.

Implementação precisa ficar menos abstrata

Outra prioridade do draft é melhorar a adoção prática. O NIST adiciona exemplos de implementação nas subcategorias e reforça o uso de profiles, que ajudam a adaptar o framework a setores, contextos e objetivos específicos. Isso é importante porque o CSF sempre foi flexível, mas flexibilidade demais pode virar ambiguidade para organizações com pouca maturidade.

O novo CSF 2.0 Reference Tool também aponta para uma abordagem mais operacional. Ao permitir navegação, busca e exportação dos dados do Core em formatos consumíveis por pessoas e máquinas, o NIST facilita a conexão do framework com planilhas, GRCs, controles internos e mapeamentos para outros padrões.

O resultado esperado é um framework mais fácil de usar sem perder neutralidade. Empresas podem continuar adaptando o CSF às próprias necessidades, mas ganham mais material para transformar linguagem de alto nível em evidências, controles, responsáveis e planos de melhoria.

Para a comunidade de segurança, o draft funciona como um ajuste de maturidade. A versão 2.0 reconhece que a disciplina saiu do perímetro de infraestrutura crítica e entrou em praticamente toda operação digital. O desafio agora é comentar, testar e calibrar a proposta para que Govern não vire apenas uma nova coluna em planilhas, mas uma forma mais clara de decidir e comunicar risco.

  1. NIST, "NIST Drafts Major Update to Its Widely Used Cybersecurity Framework", 8 ago. 2023.