ความยืดหยุ่นทางไซเบอร์หมายถึงความสามารถของหน่วยงานในการส่งมอบผลลัพธ์ที่ตั้งใจไว้ได้อย่างต่อเนื่อง แม้จะเผชิญกับการโจมตีทางไซเบอร์ก็ตาม^{[ 1 ]}ความยืดหยุ่นต่อการโจมตีทางไซเบอร์เป็นสิ่งจำเป็นสำหรับระบบไอที โครงสร้างพื้นฐานที่สำคัญ กระบวนการทางธุรกิจ องค์กร สังคม และรัฐชาติ คำที่เกี่ยวข้องคือความน่าเชื่อถือทางไซเบอร์ [ ^{2 ] ซึ่งเป็นการประเมินความยืดหยุ่นของระบบจากการโจมตีทางไซเบอร์ สามารถนำไปใช้กับองค์ประกอบซอฟต์แวร์และฮาร์ดแวร์ ได้}หลากหลาย (เช่น ซอฟต์แวร์แบบสแตนด์อโลน โค้ดที่ใช้งานบนเว็บไซต์ เบราว์เซอร์ ระบบภารกิจทางทหาร อุปกรณ์เชิงพาณิชย์ หรืออุปกรณ์ IoT)

เหตุการณ์ไซเบอร์ที่ไม่พึงประสงค์คือเหตุการณ์ที่ส่งผลกระทบในทางลบต่อความพร้อมใช้งาน ความสมบูรณ์ หรือความลับของระบบไอทีเครือข่ายและข้อมูลและบริการที่เกี่ยวข้อง^{[ 3 ]}เหตุการณ์เหล่านี้อาจเป็นไปโดยเจตนา (เช่นการโจมตีทางไซเบอร์ ) หรือไม่เจตนา (เช่น การอัปเดตซอฟต์แวร์ล้มเหลว) และเกิดจากมนุษย์ ธรรมชาติ หรือทั้งสองอย่างรวมกัน

วัตถุประสงค์ของความยืดหยุ่นทางไซเบอร์คือการรักษาความสามารถขององค์กรในการส่งมอบผลลัพธ์ที่ตั้งใจไว้อย่างต่อเนื่องตลอดเวลา^{[ 4 ]}ซึ่งหมายถึงการดำเนินการดังกล่าวแม้ว่ากลไกการส่งมอบปกติจะล้มเหลว เช่น ในช่วงวิกฤตหรือหลังจากการละเมิดความปลอดภัย แนวคิดนี้ยังรวมถึงความสามารถในการกู้คืนหรือฟื้นฟูกลไกการส่งมอบปกติหลังจากเหตุการณ์ดังกล่าว ตลอดจนความสามารถในการเปลี่ยนแปลงหรือแก้ไขกลไกการส่งมอบเหล่านี้อย่างต่อเนื่องหากจำเป็นเมื่อเผชิญกับความเสี่ยงใหม่การสำรองข้อมูลและ การดำเนิน การกู้คืนจากภัยพิบัติเป็นส่วนหนึ่งของกระบวนการกู้คืนกลไกการส่งมอบ

ความยืดหยุ่น ตามที่กำหนดไว้ในคำสั่งนโยบายประธานาธิบดี PPD-21 คือความสามารถในการเตรียมพร้อมและปรับตัวให้เข้ากับสภาวะที่เปลี่ยนแปลงไป และทนทานและฟื้นตัวได้อย่างรวดเร็วจากการหยุดชะงัก^{[ 5 ]}

เอกสารเผยแพร่พิเศษ 800-160 เล่ม 2 ฉบับแก้ไข 1 ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ^{[ 6 ]}นำเสนอกรอบการทำงานสำหรับการออกแบบระบบที่ปลอดภัยและเชื่อถือได้ โดยถือว่าเหตุการณ์ทางไซเบอร์ที่ไม่พึงประสงค์เป็นทั้งปัญหาด้านความยืดหยุ่นและความปลอดภัย โดยเฉพาะอย่างยิ่ง 800-160 ระบุเทคนิคสิบสี่ประการที่สามารถใช้เพื่อปรับปรุงความยืดหยุ่นได้:

กรอบการกำกับดูแลได้รวมแนวคิดเรื่องความยืดหยุ่นทางไซเบอร์มากขึ้นเรื่อยๆ โดยกำหนดให้องค์กรต้องรักษาความต่อเนื่องของการดำเนินงานในระหว่างและหลังเหตุการณ์ด้านความปลอดภัยกฎความปลอดภัยของพระราชบัญญัติการพกพาและการรับผิดชอบด้านการประกันสุขภาพ (HIPAA) กำหนดให้หน่วยงานที่อยู่ภายใต้ขอบเขตของกฎหมายต้องจัดทำแผนฉุกเฉินซึ่งรวมถึงการสำรองข้อมูล การกู้คืนจากภัยพิบัติ และขั้นตอนการปฏิบัติงานในโหมดฉุกเฉิน เพื่อให้มั่นใจได้ว่าข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ จะพร้อมใช้งาน ในระหว่างเหตุฉุกเฉิน (45 CFR 164.308(a)(7)) " 45 CFR § 164.308 - มาตรการป้องกันทางปกครอง"สถาบันข้อมูลทางกฎหมายสืบค้นเมื่อ1 เมษายน 2569ร่างกฎระเบียบด้านความปลอดภัยของ HIPAA เดือนธันวาคม 2024 เสนอให้หน่วยงานที่อยู่ภาย ใต้การกำกับดูแลต้องกู้คืนระบบสารสนเทศที่สำคัญภายใน 72 ชั่วโมงหลังจากเกิดเหตุการณ์ด้านความปลอดภัย และต้องจัดตั้งและทดสอบขั้นตอนการกู้คืนระบบ ซึ่งสะท้อนให้เห็นถึงการเปลี่ยนแปลงไปสู่ข้อกำหนดที่เน้นความยืดหยุ่น"กฎระเบียบด้านความปลอดภัยของ HIPAA เพื่อเสริมสร้างความมั่นคงทางไซเบอร์ของข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์"วารสารราชกิจจานุเบกษาของรัฐบาลกลาง 6 มกราคม 2025 สืบค้นเมื่อ1เมษายน2026

กรอบงานความปลอดภัยทางไซเบอร์ NIST เวอร์ชัน 2.0 กล่าวถึงความยืดหยุ่นอย่างชัดเจนผ่านฟังก์ชันการกู้คืน ซึ่งครอบคลุมถึงการวางแผนการกู้คืน การปรับปรุง และการสื่อสารเพื่อฟื้นฟูระบบและบริการที่ได้รับผลกระทบจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์" กรอบงานความปลอดภัยทางไซเบอร์ NIST เวอร์ชัน 2.0"สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ กุมภาพันธ์ 2024 สืบค้นเมื่อ1 เมษายน 2026เอกสาร NIST Special Publication 800-53ประกอบด้วยกลุ่มควบคุม CP (Contingency Planning) ซึ่งให้ข้อกำหนดโดยละเอียดสำหรับกลยุทธ์การกู้คืนระบบ สถานที่ประมวลผลสำรอง และการทดสอบความยืดหยุ่น" NIST SP 800-53 Rev. 5: การควบคุมความปลอดภัยและความเป็นส่วนตัว"สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ กันยายน 2020 สืบค้นเมื่อ1 เมษายน 2026

• Giannetto, Boris - และคณะ - ความยืดหยุ่นทางไซเบอร์เพื่อความต่อเนื่องทางธุรกิจในระบบการเงิน (2022) - ธนาคารแห่งอิตาลี - MISP ฉบับที่ 18