CyFun® 2025 ist da!

Wir freuen uns, Ihnen mitteilen zu können, dass die neue Version des CyberFundamentals Framework, CyFun® 2025, jetzt offiziell verfügbar ist. Diese aktualisierte Version hilft Organisationen, ihre Cybersicherheit in der sich schnell verändernden digitalen Welt von heute zu verbessern.

Infographic of the “CyberFundamentals Framework 2025.” On the left, four nested circles represent the security levels: SMALL (non-technical guidelines), BASIC (34 controls), IMPORTANT (99 controls), and ESSENTIAL (85 controls). On the right, a cloud graphic displays references to NIST CSF 2.0, CIS Controls, ISO 27001/27002, and IEC 62443. Below the cloud, a blue box shows reported attack-countering effectiveness: ESSENTIAL 100%, IMPORTANT 94%, BASIC 82%. At the bottom, logos of the Centre for Cybersecurity

Was ist neu?

CyFun® 2025 wurde entwickelt, um internationalen Standards wie dem NIST Cybersecurity Framework 2.0 und nationalen und europäischen Gesetzen und Vorschriften, wie der europäischen NIS2-Richtlinie, zu entsprechen. Es enthält die neuesten Erkenntnisse und bewährten Verfahren im Bereich der Cybersicherheit.

Im Jahr 2025 haben über 80 Experten und Organisationen an der Überprüfung des ersten Entwurfs mitgewirkt. Durch ihr Feedback wurde das Framework verständlicher und praktischer in der Anwendung.

Wichtige Verbesserungen

  • Abgestimmt auf das NIST Cybersecurity Framework (CSF) 2.0 und die relevanten europäischen Rechtsvorschriften (z. B. NIS2).
  • Berücksichtigt die jüngsten Entwicklungen im Bereich der Informations- und Cybersicherheit.
  • Integriert das Benutzerfeedback von CyFun®2023.
  • Erweitert den Fokus auf die Sicherheit der Lieferkette und die Betriebstechnologie (OT).
  • Formuliert Kontrollen und Richtlinien neu, um die Klarheit und Überprüfbarkeit zu verbessern.
  • Fügt zu jeder Kontrolle ein spezifisches Ziel hinzu, um das Verständnis zu verbessern.
  • Bietet eine umfassendere Anleitung zur Auslegung der Anforderungen.
  • Führt „Governance-Maßnahmen“ ein, um sich an globale Best Practices für die Cybersicherheitsüberwachung auf Vorstandsebene anzugleichen.
  • Korrigiert grammatikalische, orthographische und redaktionelle Fehler.

Übergangszeit

Um den Übergang zu vereinfachen, werden sowohl CyFun® 2023 als auch CyFun® 2025 für eine gewisse Zeit parallel verfügbar sein. Danach wird nur noch die neue Version für die Selbst- und Fremdkonformitätsbewertung akzeptiert.

Die Stufen und Schlüsselmaßnahmen

Read more : CyFun® BASIC
cover_of_the_basic_booklet

CyFun® BASIC

Die Sicherheitsstufe „Basic“ umfasst die Standardmaßnahmen zur Informationssicherheit für alle Unternehmen. Diese bieten einen wirksamen Sicherheitswert mit Technologien und Prozessen, die in der Regel bereits verfügbar sind. Wo dies gerechtfertigt ist, werden die Maßnahmen angepasst und optimiert.

Herunterladen 

Read more : CyFun® IMPORTANT
cover_of_the_important_booklet

CyFun® IMPORTANT

Die Sicherheitsstufe „Important“ wurde entwickelt, um die Risiken gezielter Cyberangriffe durch Akteure mit gängigen Fähigkeiten und Ressourcen zusätzlich zu den bekannten Cybersicherheitsrisiken zu minimieren.

Herunterladen 

Read more : CyFun® ESSENTIAL
cover_of_the_essential_booklet

CyFun® ESSENTIAL

Die Sicherheitsstufe „Essential“ geht noch einen Schritt weiter und wurde entwickelt, um dem Risiko fortgeschrittener Cyberangriffe durch Akteure mit umfangreichen Fähigkeiten und Ressourcen zu begegnen.

Herunterladen 

Selbstbewertungs-Tool

Read more : Selbstbewertung BASIC
cover_of_the_basic_booklet

Selbstbewertung BASIC

Dieses CyFun® Selbstbewertungs-Tool ist ein Tool im MS Excel-Format, das Entitäten mit der Sicherheitsstufe „Basic“ vorbereitet und Spinnendiagramme zur Unterstützung der Berichterstattung für das Management enthält.

Herunterladen 

Read more : Selbstbewertung IMPORTANT
cover_of_the_important_booklet

Selbstbewertung IMPORTANT

Dieses CyFun® Selbstbewertungs-Tool ist ein Tool im MS Excel-Format, das Entitäten mit der Sicherheitsstufe „Important“ vorbereitet und Spinnendiagramme zur Unterstützung der Berichterstattung für das Management enthält.

Herunterladen 

Read more : Selbstbewertung ESSENTIAL
cover_of_the_essential_booklet

Selbstbewertung ESSENTIAL

Dieses CyFun® Selbstbewertungs-Tool ist ein Tool im MS Excel-Format, das Entitäten mit der Sicherheitsstufe „Essential“ vorbereitet und Spinnendiagramme zur Unterstützung der Berichterstattung für das Management enthält.

Herunterladen 

Wie wird das Selbstbewertungs-Tool verwendet?

1. Allgemeines

Zur Unterstützung des CyberFundamentals Framework wurde ein MS Excel®-Tool zur Selbstbewertung entwickelt. Dieses Tool umfasst die Anforderungen für die Sicherheitsstufen „Basic“, „Important“ und „Essential“ der jeweiligen Framework-Version, auf die es abgestimmt ist, sowie die im Conformity Assessment Scheme (CAS) definierten Anforderungen. Die verwendeten Versionen des Frameworks und des CAS sind im Tool deutlich angegeben. Aus diesem Grund darf das Tool während eines Prozesses der Verifizierung oder der Zertifizierung nicht verändert werden.

2. Aufbau des Tools

In CyFun® 2025 wurde die Struktur im Hinblick auf Flexibilität und Benutzerfreundlichkeit verbessert:

  • Es gibt drei separate Tools zur Selbstbewertung, eines für jede Sicherheitsstufe:
    • Basic
    • Important
    • Essential
  • Jedes Tool enthält die folgenden sechs Funktionen:
    • Steuern, Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen.
    • Jede Funktion hat zur besseren Übersichtlichkeit ein eigenes Blatt.
  • Neue Filterfunktion:
    • Jede Kontrollmaßnahme verfügt über einen Filter, der nur die Elemente für die ausgewählte Sicherheitsstufe (Basic, Important oder Essential) anzeigt.
    • Organisationen, die auf die Sicherheitsstufen „Important“ oder „Essential“ hinarbeiten, können mit den Basic Kontrollmaßnahmen beginnen, indem sie in jedem Blatt den Filter „Important“ auswählen.
    • Für die Sicherheitsstufe „Important“ können die wichtigen Kontrollmaßnahmen nach Abschluss der Basic Kontrollmaßnahmen hinzugefügt werden – mit demselben Tool.
    • Für die Stufe „Essential“ können die Essential Kontrollen nach Abschluss der Basic und Important Kontrollen hinzugefügt werden, ebenfalls mit demselben Tool.
    • Durch diesen Ansatz entfällt die Notwendigkeit, Bewertungen zwischen verschiedenen Tools zu übertragen, was den Bewertungsprozess einfacher und effizienter macht.

Die Kontrollen werden aus zwei Perspektiven bewertet: 

  • Reifegrad der Politik: Hier wird gemessen, inwieweit das Konzept und die Verfahren der Organisation den Anforderungen des CyberFundamentals Framework entsprechen.
  • Reifegrad der Implementierung: Hier wird gemessen, inwieweit die täglichen Praktiken der Organisation im Einklang mit dem CyberFundamentals Framework durchgeführt werden.

In der folgenden Tabelle werden die verschiedenen Reifegrade erläutert und wie sie zur Bewertung der Reife der Politik und der Reife der Implementierung herangezogen werden.

Tabelle mit fünf Reifegraden für Policy‑ und Implementierungsreife: Initial, Repeatable, Defined, Managed und Optimizing. Für jeden Reifegrad werden Anforderungen an die formale Dokumentation von Prozessen sowie an deren Umsetzung beschrieben, einschließlich Kriterien wie Genehmigungsstatus, Dokumentationsgrad, Ausnahmen und vorhandene Nachweise oder Metriken.

3. Berechnungsmethode

Eine Unterkategorie kann mehrere Kontrollen umfassen, und jede dieser Kontrollen muss sowohl hinsichtlich der Dokumentation als auch der Implementierung anhand der oben aufgeführten Reifegrade bewertet werden. Für jede Kontrolle muss eine Punktzahl von 1 bis 5 eingegeben werden. Das Tool berechnet dann die durchschnittliche Dokumentationspunktzahl und die durchschnittliche Punktzahl für die Implementierung für jede Unterkategorie (z. B. ID.AM-01) und verwendet diese, um einen weiteren Durchschnitt für jede Kategorie (z. B. ID.AM) zu berechnen.

4. Zusammenfassender Bericht 

Die Registerkarte „Zusammenfassung” für jede CyberFundamentals-Sicherheitsstufe enthält die folgenden Elemente:

  • Gesamt-Reifegrad: Eine Gesamt-Reifegradbewertung, die als Durchschnitt der Reifegrade aller Kategorien berechnet wird.
  • Übersicht über de reife van de categorieën: Eine Zusammenfassung, die die Reifegrade für jede Kategorie auf der Grundlage der in der entsprechenden Funktionsregisterkarte berechneten Durchschnittswerte zeigt.
  • Liste der wichtigsten Schlüsselmaßnahmen: Eine Übersicht über die wichtigsten Schlüsselmaßnahmen, die erfüllt werden müssen, unter Verwendung der Werte, die in der entsprechenden Registerkarte eingegeben wurden.
  • Radardiagramm (Spinnendiagramm): Eine visuelle Darstellung der Reifegradbewertungen der Kategorien, basierend auf den in der Zusammenfassung angezeigten Daten.

Feststellung der Konformität mit den Schwellenwerten des Conformity Assessment Scheme (CAS) 

Die Übersicht enthält die für jede Sicherheitsstufe im Conformity Assessment Scheme (CAS) festgelegten Zielwerte (Schwellenwerte). Die Ergebnisse der Selbstbewertung werden mit diesen Zielwerten verglichen.

Wenn ein Wert rot angezeigt wird, bedeutet dies, dass der erforderliche Reifegrad nicht erreicht wurde.

Wenn ein Wert grün angezeigt wird, bedeutet dies, dass der erforderliche Reifegrad erreicht wurde.

 

Andere Dateien

Read more : Transposition CyFun® 2023 und CyFun® 2025
mappingCyfun_other_frameworks

Transposition CyFun® 2023 und CyFun® 2025

Das Mapping gibt einen Überblick über die Transposition von CyFun® 2023 zu CyFun® 2025 in einem MS Excel-Format.

Herunterladen