Verstehen der CISA-CPG 2.0 Aktualisierung

In der schnelllebigen Welt der Cybersicherheit ist "Baseline-Sicherheit" fast immer ein bewegliches Ziel. Am 11. Dezember 2025 hat CISA die Sicherheitsanforderungen offiziell mit der Veröffentlichung der Cybersecurity Performance Goals (CPG) 2.0 angehoben.

Wenn Version 1.0 darauf abzielte, "was" zu tun ist, beschäftigt sich Version 2.0 damit, "wie" man diese Sicherheitsmaßnahmen in zunehmend komplexen Umgebungen und Prozessen steuert und skaliert. Dieses Update ist nicht nur eine kleine Auffrischung oder ein Überdenken zum Jahresende. Es ist vielmehr eine strategische Neuausrichtung an die aktuelle Bedrohungslandschaft, betriebliche Notwendigkeiten und den NIST Cybersecurity Framework (CSF) 2.0.

Hier ist also, was jeder CISO, IT-Manager, Sicherheitsanalyst, SOC-Teammitglied und Vorstandsmitglied über den neuen CPG-Report 2.0 wissen muss.

Bevor wir fortfahren, vergessen Sie nicht, unseren ersten Untersuchungs- und Analysebericht zum Nissan-Red Hat Vorfall hier zu überprüfen.

Der Aufstieg der "Govern": Sicherheit beginnt ganz oben

Die bedeutendste Veränderung in CPG 2.0 ist die vollständige Integration der Govern-Funktion. Während die vorherige Version stark auf technische Kontrollen fokussiert war, erkennt 2.0 an, dass selbst die besten Werkzeuge versagen, wenn es der Organisation an Verantwortung fehlt.

• Führungsverantwortung: Die aktualisierten Ziele fordern ausdrücklich definierte Cybersecurity-Verantwortlichkeiten auf Führungsebene.

• Risikomanagement: Es drängt Organisationen, Cyber-Risiken als Geschäftsrisiken zu betrachten, weg von isolierten IT-Gesprächen.

• Strategische Integration: Sicherheit ist kein "Zusatz" mehr – es muss in den täglichen Betrieb und die Kapitalinvestitionsplanung integriert werden.

Die Mauern einreißen: IT- und OT-Sicherheitsziele vereinen

Seit Jahren wurden Operational Technology (OT) und Information Technology (IT) als unterschiedliche Welten betrachtet. CISA 2.0 beendet diese Ära effektiv. Der neue Bericht konsolidiert OT-spezifische Ziele in universelle Ziele.

Durch die Schaffung eines einheitlichen Rahmens hilft CISA Organisationen, insbesondere kleinen und mittleren, ihre gesamte digitale Präsenz zu verwalten, ohne separate Handbücher für ihre Büroumgebungen und ihre Produktionsanlagen oder Wasserpumpen zu benötigen. Dies ist ein großer Schritt zur Vereinfachung von SecOp-Zielen.

Neue Ziele für moderne Bedrohungen

Der 2.0-Bericht führt neue Ziele ein, während drei, die als redundant oder wenig genutzt angesehen wurden, entfernt wurden. Diese Ergänzungen beziehen sich auf die spezifischen Taktiken, die im letzten Jahr die Bedrohungslandschaft dominiert haben:

• Managed Service Provider (MSP)-Risiko: Neue Ziele zur Verwaltung von Drittanbietern mit umfangreichem Systemzugang.

• Prinzip der minimalen Rechte und Zero Trust: Klarere Erwartungen für die Implementierung des "Principles of Least Privilege", um laterale Bewegungen zu stoppen.

• Erkennung von bösartigem Code: Ein spezieller Fokus auf die Identifikation und Blockierung nicht autorisierter Codes, bevor sie ausgeführt werden.

• Kommunikation bei Zwischenfällen: Standardisierte Verfahren, wie Organisationen während einer Krise mit Stakeholdern kommunizieren.

Bessere Daten für bessere Entscheidungen

CISA hat die Implementierungsbewertungen im Bericht überarbeitet. Jedes Ziel enthält nun verbesserte Metriken für:

• Kosten: Wie hoch ist die tatsächliche finanzielle Belastung?

• Auswirkung: Wie stark wird dadurch das Risiko tatsächlich verringert?

• Komplexität: Wie schwer ist es, dies langfristig aufrechtzuerhalten?

Diese Bewertungen bieten Sicherheitsteams ein starkes Werkzeug, um Budgets gegenüber dem Vorstand zu rechtfertigen. Anstatt nach "mehr Sicherheit" zu fragen, können Sie jetzt eine datenbasierte Begründung für schnelle, effiziente und kostengünstige "Quick Wins" basierend auf den CPGs präsentieren.

Wie man mit CPG 2.0 beginnt

Die CPGs bleiben freiwillig, aber sie werden schnell zum "Goldstandard" dafür, wie ein grundlegendes Sicherheitsprofil in den Augen von Aufsichtsbehörden und Versicherungsträgern aussieht.

• Durchführen einer Lückenanalyse: Verwenden Sie die neue CPG 2.0-Checkliste, um zu sehen, wo Ihr aktuelles Programm steht.

• Fokus auf die "Govern"-Funktion: Wenn Ihre Führung noch nicht im Gespräch ist, verwenden Sie die neue 2.0-Berichtsstruktur, um sie einzubeziehen.

• Nutzung von CISA-Ressourcen: Suchen Sie nach dem neuen CSET (Cyber Security Evaluation Tool)-Modul, das im ersten Quartal 2026 erscheint, um Ihre Bewertung zu automatisieren.

Fazit: CISA CPG 2.0 geht nicht darum, mehr zu tun. Vielmehr geht es darum, die richtigen Dinge effektiver zu tun, um besser aufeinander abgestimmte Ergebnisse zu erzielen. Durch die Ausrichtung auf NIST CSF 2.0 und die Vereinigung von IT/OT-Sicherheit hat CISA eine Roadmap geschaffen, die endlich so integriert ist wie die Systeme, die wir zu schützen versuchen.

Das vollständige Dokument können Sie hier herunterladen.

Erfahren Sie mehr über die Bedrohungslandschaft, auf die sich dieses Dokument bezieht, hier.

Melden Sie sich für eine IEC 62443-basierte Risikobewertung von Shieldworkz an, hier.

Sehen Sie die Shieldworkz OT-Sicherheitsplattform in Aktion, hier.