Auditarea periodică a sistemelor, obligatorie pentru toate firmele care oferă servicii esențiale sau digitale. Ce specialiști pot face verificările?

Ordinul Secretariatului General al Guvernului 559/2021 a apărut miercuri în Monitorul Oficial și se aplică deja de la momentul publicării. Acesta conține reguli pentru atestarea și verificarea auditorilor de securitate cibernetică, specialiști indicați de Legea securității cibernetice.

Legea vizează, în principal, firmele de transport (aerian, feroviar, rutier sau pe apă), spitalele și clinicile medicale, furnizorii de energie (gaze naturale, curent) și apă potabilă sau băncile. Aceste tipuri de companii sunt obligate legal să ia măsuri de securitate, precum auditarea, pentru a preveni atacurile informatice care pot afecta grav mediul de afaceri și populația.

Conform ordinului recent oficializat, auditorii de securitate cibernetică pot fi persoane fizice atestate sau persoane juridice cu personal atestat. Aceștia se ocupă de evaluarea sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice pentru a identifica disfuncțiile și vulnerabilitățile și a furniza soluții de remediere a acestora. Auditorii pot face această activitate fie independent, fie ca angajați.

Atestatele auditorilor sunt eliberate, reînnoite sau revocate de către Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO). Atestatele sunt nominale și au o valabilitate de trei ani.

Atestarea poate fi generală, specială sau comună, în funcție de activitatea pe care o va putea desfășura persoana fizică sau juridică ce solicită atestarea la CERT-RO.

Atestatul va fi eliberat la cerere, în urma unui proces detaliat în ordinul citat, iar solicitanții vor trebui să dovedească faptul că au experiență în domeniul cibernetic și anumite certificări.

În altă ordine de idei, CERT-RO va ține un registru național al auditorilor de securitate cibernetică.