Stato degli standard ISO/IEC 27xxx (privacy e sicurezza delle informazioni)

La settimana del 10 marzo si sono tenuti i meeting semestrali del ISO/IEC JTC SC 27 WG 1 (che gestisce le norme della serie ISO/IEC 27000) e WG 5 (che gestisce le norme relative alla privacy).

Per quanto riguarda il WG 1, sono state discusse le seguenti norme:

• ISO/IEC 27000, di panoramica sugli standard della serie ISO/IEC 27000: la pubblicazione della nuova versione è prevista per i primi mesi del 2027;
• ISO/IEC 27003, linee guida per i sistemi di gestione per la sicurezza delle informazioni (non per i controlli): la pubblicazione della nuova versione è prevista per primavera 2027; la discussione, al momento, non ha introdotto elementi particolarmente significativi, tranne quelli necessari per i cambiamenti introdotti dalla ISO/IEC 27001:2022 rispetto alla ISO/IEC 27001:2013;
• ISO/IEC 27004, linee guida per le misurazioni dei sistemi di gestione per la sicurezza delle informazioni: la pubblicazione della nuova versione è prevista per fine 2027; la discussione, al momento, non ha introdotto elementi particolarmente significativi;
• ISO/IEC 27006-1, con i requisiti per gli organismi che certificano rispetto alla ISO/IEC 27001: chiusi completamente i lavori dopo la pubblicazione della versione del 2024, con alcune ultime riflessioni che saranno riprese per la prossima versione; la discussione se avviare una revisione è prevista tra qualche anno;
• ISO/IEC 27007, linee guida per l'audit al sistema di gestione per la sicurezza delle informazioni: stabilito di avviare la revisione completa per pubblicare la nuova versione a metà 2028;
• ISO/IEC 27008, linee guida per verificare i controlli di sicurezza delle informazioni: prevista la nuova versione in autunno 2026;
• ISO/IEC 27017, con i controlli aggiuntivi per i servizi cloud: prevista la nuova versione a metà 2026; non sono previste novità significative, solo qualche adeguamento ai controlli, considerati i cambiamenti introdotti dalla ISO/IEC 27002:2022.

Per quanto riguarda il WG 3, confermo che non ne seguo i lavori, ma credo sia utile sapere che è prevista la nuova versione della ISO/IEC 15408 (i Common Criteria) per primavera 2026.

Per quanto riguarda il WG 5, ossia gli standard relativi alla privacy, segnalo quanto segue:

• ISO/IEC 27018, con i controlli privacy aggiuntivi per i servizi cloud rispetto alla ISO/IEC 27002: prevista la nuova versione in autunno (lo scrivo sulla base di una bozza di decisioni, ma ho avuto informazioni diverse dalla nostra delegata che prevedono la pubblicazione non prima di metà 2026); non sono previste novità significative, solo qualche adeguamento ai controlli, considerati i cambiamenti introdotti dalla ISO/IEC 27002:2022;
• ISO/IEC 27701 per i sistemi di gestione per la privacy: la pubblicazione della nuova versione è prevista per questa estate; su questa norma già scrissi (https://www.agendadigitale.eu/sicurezza/iso-iec-27701-sui-sistemi-di-gestione-per-la-privacy-come-e-come-sara/);
• ISO/IEC 27706 per gli organismi che certificano rispetto alla ISO/IEC 27701: la pubblicazione della nuova versione dovrebbe avvenire insieme a quella della ISO/IEC 27701;
• ISO/IEC 29151 con i controlli per i titolari di trattamenti (la cui utilità mi sfugge, visto che i controlli sono già previsti dalla ISO/IEC 27701): la pubblicazione della nuova versione è prevista per l'estate 2026.