Las cualificaciones PASSI y PRIS tienen derecho a una actualización para, por un lado, adaptarlas a los cambios de la normativa europea y, por otro, mejorar su flexibilidad en cuanto a los servicios prestados y su contexto.
ANSSI acaba de publicar nuevas versiones de sus repositorios de requisitos para las calificaciones de Proveedores de Servicios de Auditoría de Seguridad de Sistemas de Información (PASSI, que pasa a 2.3) y Proveedores de Servicios de Respuesta a Incidentes de Seguridad (PRIS, versión 3.0). “ Las nuevas normas garantizan la coherencia con el trabajo que se realiza actualmente en el marco del reglamento europeo conocido como “CyberSecurity Act”. », escribe la ANSSI en su comunicado de prensa.
Las normas actualizadas (PRIS y PASSI) van acompañadas de notas de transición destinadas a proveedores calificados (PRIS y PASSI). Tenga en cuenta que ” Si estas nuevas versiones se convierten ahora en la referencia, las evaluaciones actualmente en curso según la versión 2.0 del marco PASSI y el marco PRIS podrán continuar y completarse. », advierte la agencia.
Artículo de la semana
Mejor adaptabilidad a las necesidades del cliente
El principal cambio es la creación de dos niveles distintos de cualificación, “sustancial” y “alta”. El primero establece “ un primer nivel de garantía, en particular sobre la competencia del proveedor del servicio, la confianza que se puede depositar en él y su capacidad para proteger la información y los medios relacionados con el servicio “. El nivel “alto”, por su parte, está dirigido a entidades para las que los riesgos cibernéticos son “ particularmente alto » o implicar un “ amenaza estratégica ”, que requieren un “ garantía reforzada » en cuanto a la calidad del proveedor del servicio.
Otra evolución común a las dos normas, observamos el trabajo de la ANSSI sobre los requisitos relativos a los medios a utilizar, por un lado adaptados a los dos niveles “sustancial” y “alto”, por el otro a ” limitaciones operativas de los servicios “. Cabe señalar que el regulador introduce en particular el concepto de “ nota marco » en sus repositorios, definido como un “ documento desarrollado y mantenido actualizado por el proveedor del servicio en consulta con el patrocinador y especificando los términos del servicio », que elimina ciertos acuerdos de servicios engorrosos entre proveedores de servicios calificados y sus clientes.
Finalmente, el repositorio PRIS elimina la noción de perímetro (restringido o amplio) para abarcar ahora las actividades de respuesta a incidentes: búsqueda de indicadores de compromiso (REC), investigación digital (INV), análisis de códigos maliciosos (CODE) y gestión y coordinación de investigaciones. (PCI).