Chiar dacă mai durează pînă se vor audita entitățile conform noilor cerințe NIS 2, organizațiile trebuie să știe cum să se pregătească. Au chiar obligația de a-și face propria evaluare a maturității.

Am scris de mai multe ori despre importanța BIA și că de fapt este ”coloana vertebrală” peste care se construiește corect un program de securitate în organizație, cu tot ce presupune: oameni, procese și tehnologii.

Cînd un astfel de program este construit doar cu hîrtii generate/completate cu AI fără a fi și ”gîndit”, auditul va constata destul de ușor această realitate. Iată mai jos cum și de ce, în ordinea categoriilor.

1. GV (Guvernare)

GV.OC-04.4 – Definirea și monitorizarea RTO/RPO pentru sistemele ITC/OT critice trebuie să conțină valorile concrete rezultate din BIA (nu estimări generice). Controlul impune că BIA ar trebui să fie sursa acestor valori. Dacă nu există BIA, cum a identificat organizația aceste valori?

GV.OC-05 – Serviciile și capacitățile de care depinde organizația trebuie actualizate cu lista de priorități de recuperare și MTPD-urile aprobate de management în etapa 2 a BIA (Găsiți etapele in ghidul ISO22317)

GV.RM-04/05 – Evaluarea riscurilor trebuie să includă valorile de impact din BIA. Riscurile se scorează pe baza impactului real determinat per activitate critică, nu estimat.

GV.SC-02, GV.SC-03, GV.SC-07, GV.SC-08, GV.SC-10 – Cerințele de securitate față de furnizori (SLA-uri, clauze de audit, continuitate) trebuie actualizate cu RTO-urile furnizorilor critici identificați în BIA. Un furnizor cu RTO intern de 2h nu poate avea un SLA de 24h!

2. Categoria ID (Identificare)

ID.AM-05 – Clasificarea criticității activelor trebuie actualizată cu Scorul de Prioritate Compozit (SPC) din BIA. BIA identifică ce sisteme sunt prioritare iar inventarul activelor trebuie să reflecte această clasificare.

ID.RA-05/06 – Evaluarea și răspunsul la riscuri trebuie să reflecte ce a constata BIA: impactul potențial pe categorii (financiar, reputațional, legal, operațional) este definit concret în BIA, nu estimat generic. Iar mai departe, de la riscuri se duc lucrurile spre tehnologie (Detecție).

ID.IM-04 – Acesta este cel mai critic control declanșat de BIA. Planurile de urgență și continuitate (BCP, DRP, IRP) nu pot fi finalizate fără BIA. Controlul impune că planurile trebuie să includă prioritățile de recuperare, RTO/RPO și lista de activități critice — toate rezultate din BIA.

3. Categoria PR (Protecție)

PR.IR-03 – Mecanismele de reziliență (failover, clustering, redundanță geografică) trebuie dimensionate și aliniate la RTO-urile definite în BIA, nu la valori arbitrare.

PR.DS-11 – Strategia de backup trebuie actualizată: frecvența copiilor de rezervă derivă direct din RPO-urile BIA (dacă RPO = 1h, backup-ul continuu sau near-real-time devine obligatoriu, nu săptămânal).

PR.AT-01 – Controlul impune că personalul trebuie să cunoască prioritățile de recuperare și ordinea de reluare a activităților — informații care există în BIA.

4. Categoria RS (Răspuns)

RS.MA-01/02 – Planul de răspuns la incidente trebuie să includă momentul de activare BCP/DRP bazat pe pragurile MTPD din BIA. Fără BIA, nu se știe cînd un incident depășește capacitatea de răspuns operațional și necesită activarea continuității.

5. Categoria RC (Recuperare)

RC.RP-01/02 – Procesul de recuperare și ordinea de reluare a funcțiilor esențiale trebuie să respecte Lista de priorități de recuperare (LPR) din BIA. Controlul RC.RP-02.1 impune că funcțiile esențiale trebuie continuate cu pierderi minime Asta înseamnă că organizația a definit anterior care sunt esențiale și în ce ordine se repornesc.

____________________________________________

Atenționare

În versiunea nouă de Ordin pentru aprobarea Măsurilor de gestionare a riscurilor de securitate cibernetică , exprimarea din cadrul secțiunii care ghidează implementarea a devenit ”ar trebui”. Aceasta înseamnă că organizația nu mai este obligată să facă exact ce este scris în acea secțiune ci are libertatea să aleagă. Dar dacă nu face cum ”ar trebui”, organizația tot rămîne răspunzătoare pentru atingerea obiectivului controlului. Iar auditorul va aplica ”judecata profesională” și va decide dacă obiectivul controlului a fost atins sau nu în funcție de ce a făcut concret organizația. De exemplu că BIA este făcută ”după ureche”….