Arriva BIO2: cosa cambierà?
Autore: Abe Winters, analista della sicurezza
I responsabili della sicurezza delle agenzie governative prendano nota: il BIO2 sta arrivando. Quali misure aggiuntive deve adottare la sua organizzazione per conformarsi ad esso? Illustriamo le differenze rispetto al BIO1.04, in modo che possa prepararsi a questa transizione.
Che cos'è il BIO?
La Baseline Information Security Government (BIO) mira a portare tutte le agenzie governative olandesi ad un livello comune di sicurezza informatica. La versione attuale, BIO1.04, si basa sulle norme NEN-ISO/IEC 27001 e 27002 del 2017. Una nuova versione di ISO 27001 e 27002 è stata pubblicata nel 2022. Questo è uno dei motivi per cui è stato sviluppato BIO2.
Sulla base di una revisione di BIO1.04 e di workshop con agenzie governative, è stata pubblicata una bozza. In questo articolo, confrontiamo l'attuale BIO1.04 con la bozza BIO2 e delineiamo le principali differenze. Va notato che le bozze BIO2 sono ancora in fase di bozza e sono soggette a modifiche.
Differenze di alto livello
Incorporazione legale attraverso l'implementazione del NIS2
Le organizzazioni coperte dalla direttiva NIS2, compresi i governi, hanno un dovere di diligenza. Per implementare la NIS2 a livello governativo, nel 2023 è stato deciso di collegare la consegna di BIO2 alla legislazione nazionale che entrerà in vigore sulla base della NIS2. Pertanto, BIO2 sarà incorporato legalmente attraverso l'implementazione della NIS2 nella Legge sulla Cybersecurity e diventerà presto obbligatorio (inizio 2025). Per maggiori informazioni su NIS2, consulti la nostra guida pratica NIS2.
Abolizione dei livelli di sicurezza di base
I livelli di sicurezza di base (BBN) saranno aboliti in BIO2. La revisione di BIO1.04 ha riscontrato che si poneva troppa enfasi sulla classificazione dei singoli sistemi in base ai BBN, e meno sulla gestione complessiva del rischio. Per concentrarsi nuovamente sulla gestione del rischio, i BBN sono stati eliminati.
ISO 27002 dal 2017 al 2022
Il BIO segue la struttura dell'ISO 27002. Questo standard ha ricevuto un aggiornamento alla fine del 2022, ovvero la ISO 27002:2022. Questa nuova versione apporta diversi cambiamenti sia nel contenuto che nella struttura. Mentre in precedenza i controlli erano organizzati in 14 capitoli, ora sono stati ridotti ai seguenti quattro capitoli:
- A5: Organizzazione
- A6: Persone
- A7: Fisico
- A8: Tecnologico
Questi capitoli contengono un consolidamento dei controlli esistenti, oltre a nuovi controlli per le nuove tecnologie e le minacce attuali. Ad esempio, il Capitolo 5 include un nuovo controllo sulla sicurezza delle informazioni per l'utilizzo di servizi cloud (5.23) e un controllo sull'intelligence e l'analisi delle minacce (5.7), noto come Threat Intelligence.
Si prevede che il BIO2 seguirà questa nuova struttura. In previsione di BIO2, il Governo ha già pubblicato la Guida BIO2 nel 2023. Questa guida allinea il BIO al contesto e alla struttura della ISO 27002:2022, collegando le misure governative ai capitoli e ai controlli della ISO 27002:2022.
Esempi di modifiche
01
Un ISMS funzionante
La bozza BIO2 fa riferimento più volte alla serie ISO27k. Ad esempio, la misura 5.35.1 è stata modificata come segue:
- BIO1.04: Esiste un sistema di gestione della sicurezza delle informazioni (ISMS) che copre in modo dimostrabile l'intero ciclo Plan-Do-Check-Act in modo strutturato.
- Progetto BIO2: Esiste un ISMS funzionante in conformità alla norma ISO 27001.
La misura diventa quindi più specifica e richiede esplicitamente un ISMS conforme alla norma ISO 27001.
02
Misure governative nuove e modificate
Oltre ai cambiamenti di alto livello, sono state modificate anche le misure governative obbligatorie. Il capitolo cinque (Organizzazione) contiene le misure governative più modificate.
Alcune misure sono più precise e/o più specifiche. Ad esempio, laddove la misura governativa 5.01.02 di BIO1.04 menziona l'aggiornamento periodico della politica di sicurezza delle informazioni, BIO2 lo specifica come annuale. Una modifica simile è inclusa nella misura governativa 8.08.04. Mentre la misura BIO1.04 afferma che i sistemi informativi dovrebbero essere controllati preferibilmente ogni anno per verificare "la conformità tecnica agli standard di sicurezza e i rischi relativi alla sicurezza effettiva", la misura BIO2 indica "almeno ogni anno".
03
Attenzione alle responsabilità e ai ruoli
C'è anche una maggiore attenzione alle responsabilità e ai ruoli nell'ambito della sicurezza informatica, soprattutto nell'area della risposta agli incidenti. La misura governativa 5.01.01 stabilisce ora che devono essere descritti e stabiliti i seguenti componenti:
- Responsabilità relative alla sicurezza informatica,
- Sicurezza della tecnologia operativa,
- Responsabilità relative alla gestione della continuità aziendale.
04
Gestione dei beni e delle catene di fornitura
Diverse nuove misure governative in BIO2 sottolineano l'importanza della gestione delle risorse. Ciò include la comprensione dei propri sistemi di elaborazione delle informazioni, così come la comprensione dei fornitori e dei contratti. Ciò si riflette nelle seguenti nuove misure governative:
- 5.09.01: Stabilire e mantenere un inventario accurato, dettagliato e aggiornato di tutti gli asset utilizzati per l'elaborazione delle informazioni.
- 5.14.04: mantenere un registro aggiornato di tutti i sistemi, applicazioni web, indirizzi IP e API che si affacciano su Internet.
- 5.14.05: i siti web accessibili al pubblico sono segnalati attraverso il registro dei domini Internet del governo.
- 5.22.02: Mantenere un registro aggiornato dei fornitori e dei contratti stipulati.
05
Test annuale dei dipendenti sul comportamento in caso di click
La bozza di testo di BIO2 include diverse nuove misure governative relative alla consapevolezza dei rischi di cybersecurity. Questo include sia la conoscenza dei dirigenti che dei dipendenti. Ciò si riflette nelle seguenti nuove misure governative:
- 5.10.1: I dirigenti devono essere in grado di dimostrare di aver ricevuto una formazione che abbia fornito loro conoscenze e competenze sufficienti per riconoscere i rischi di cybersecurity e valutare il loro impatto sui servizi e/o prodotti forniti dall'organizzazione.
- 5.10.4: i dipendenti, come i dirigenti di cui al punto 5.10.1, devono seguire una formazione e un addestramento regolari per riconoscere i rischi e rispondere in modo appropriato.
- 8.07.5: Almeno una volta all'anno, gli utenti vengono sottoposti a un test per verificare il loro comportamento in materia di clic.
Come può prepararsi?
Studi le norme ISO/IEC 27001:2022 e ISO/IEC 27002:2022. Studi anche la Guida BIO2. Questa guida consente di utilizzare le misure governative di BIO1.04 secondo la struttura di NEN-EN-ISO/IEC 27002:2022.
Se dispone già di un ISMS conforme alla ISO 27001:2022, la transizione non sarà eccessiva. È particolarmente importante prestare attenzione alle nuove misure governative.
Non ha ancora un quadro di controllo? Allora BIO2, combinato con l'imminente NIS2, è un'ottima opportunità per iniziare. I consulenti di sicurezza di Bureau Veritas Cybersecurity possono aiutarla e sostenerla in questo senso.
Inoltre, inizi a creare e mantenere un inventario di:
- Attività utilizzate per la sicurezza delle informazioni
- Tutti i sistemi rivolti a Internet, le applicazioni web, gli indirizzi IP e le API.
Fonti
Informazioni sull'autore
Abe Winters, analista della sicurezza
Abe Winters è analista di sicurezza presso Bureau Veritas Cybersecurity e lavora nel gruppo di mercato 'Public'. È appassionato di cybersecurity e combina un background tecnico con la conoscenza del lato dei processi. Attualmente esegue principalmente test di penetrazione per i clienti del settore pubblico, ma conosce anche la gestione della sicurezza con standard come l'ISO 27001.
Abe ha conseguito un MSc. in Cyber Security presso l'Università di Twente e nella sua tesi ha studiato la prioritizzazione dei controlli di sicurezza in base al panorama delle minacce attive per settore.
Come Bureau Veritas Cybersecurity la sostiene
In qualità di esperto indipendente di cybersecurity, Bureau Veritas Cybersecurity può aiutarla in tutti gli aspetti di NIS2, ISO/IEC 27k e delle misure aggiuntive BIO. Possiamo aiutarla con la conformità generale BIO, nonché con le questioni specifiche sollevate dalle misure governative (aggiornate). Ciò include la formazione dei suoi manager e dipendenti per riconoscere e rispondere ai rischi di cybersecurity, la conduzione di test di penetrazione o la creazione di un quadro di controllo e l'implementazione di un ISMS in conformità con la norma ISO 27001.
Maggiori informazioni
Vuole maggiori informazioni su come Bureau Veritas Cybersecurity può aiutarla con BIO2? Compili il modulo e la contatteremo entro un giorno lavorativo.
Correlato
Conformità BIO
Formazione in sala riunioni NIS2
Perché scegliere Bureau Veritas Cybersecurity?
Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.
Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.