Es una guía voluntaria, basada en estándares, pautas y prácticas existentes para que las organizaciones administren y reduzcan mejor el riesgo de seguridad cibernética.

El uso del Marco es voluntario para la industria. Sin embargo, la Orden Ejecutiva 13800, Fortalecimiento de la Seguridad Cibernética de las Redes Federales y la Infraestructura Crítica , hizo obligatorio el Marco para las agencias del gobierno federal de los EE. UU.

El Marco es una guía. Debe ser personalizado por diferentes sectores y organizaciones individuales para adaptarse mejor a sus riesgos, situaciones y necesidades.

El Marco ayudará a una organización a comprender, administrar y reducir mejor sus riesgos de ciberseguridad. Ayudará a determinar qué actividades son las más importantes para asegurar las operaciones críticas y la prestación de servicios.

Los recursos, capacidades y necesidades de ciberseguridad de cada organización son diferentes. Por lo tanto, el tiempo para implementar el Marco variará entre las organizaciones, desde unas pocas semanas hasta varios años.

La rápida evolución y el crecimiento en la complejidad de los nuevos sistemas y redes, junto con la sofisticación de las amenazas cambiantes, presentan desafíos exigentes para mantener la seguridad de los sistemas y redes de Tecnologías de la Información y las Comunicaciones (TIC)

La estandarización de la seguridad, a veces en apoyo de acciones legislativas, tiene un papel clave que desempeñar en la protección de Internet y las comunicaciones y los negocios que conlleva.