Art. 57. - Auditul de securitate cibernetică poate fi: - Ordonanță de urgență 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil

M.Of. 1332

În vigoare

Versiune de la: 10 Iulie 2025

Art. 57

(1)Auditul de securitate cibernetică poate fi:

a)periodic, care se desfăşoară cu regularitate, conform ordinului de la art. 11 alin. (5) sau, după caz, alin. (6);

b)ad-hoc, în baza deciziei directorului DNSC conform alin. (2).

(2)Auditul de securitate cibernetică ad-hoc are caracter excepţional şi reprezintă acea activitate de auditare efectuată de un auditor atestat conform dispoziţiilor prezentei ordonanţe de urgenţă, cu privire la o entitate esenţială sau o entitate importantă, la solicitarea motivată a DNSC, ca urmare a:

a)unui incident semnificativ;

b)unei schimbări cu impact semnificativ la nivelul reţelelor şi sistemelor informatice, dar nu mai târziu de 180 de zile de la apariţia acesteia;

c)indiciilor temeinice cu privire la încălcarea dispoziţiilor prezentei ordonanţe de urgenţă de către o entitate esenţială.

(3)Atunci când se dispune un audit ad-hoc, DNSC comunică entităţii atât motivele, cât şi obiectivele auditului.

(4)Entitatea auditată are dreptul de a selecta auditorul.

(5)Schimbarea cu impact semnificativ la nivelul reţelelor şi sistemelor informatice prevăzută la alin. (2) lit. b) este generată prin:

a)introducerea unei noi reţele sau unui nou sistem informatic implicat în furnizarea serviciului;

b)introducerea unei noi tehnologii pentru furnizarea serviciului;

c)schimbarea modului de operare a serviciului;

d)schimbarea calităţii entităţii, din entitate importantă în entitate esenţială.

(6)Indiciile temeinice prevăzute la alin. (2) lit. c) pot rezulta ca urmare a desfăşurării măsurii de control efectuate de către personal din cadrul DNSC, a informaţiilor primite de la autorităţile prevăzute la art. 10 din Legea nr. 58/2023, CNCPIC, autorităţile competente sectorial prevăzute la art. 37, precum şi de la alte entităţi conform art. 25 din Legea nr. 58/2023 sau ca urmare a analizelor privind incidentele raportate prin platforma de raportare a incidentelor.

(7)Cu ocazia desfăşurării auditului de securitate cibernetică periodic se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unor reţele şi sisteme informatice, în vederea identificării disfuncţionalităţilor şi vulnerabilităţilor şi recomandării măsurilor de remediere a acestora.

(8)În cel mult 15 zile lucrătoare de la data primirii raportului de audit, entităţile sunt obligate să întocmească şi să transmită către DNSC şi, după caz, autorităţii competente sectorial, în baza recomandărilor emise de către auditor, planul de măsuri pentru remedierea tuturor deficienţelor constatate şi termenele asumate pentru implementarea acestora.

(9)Entităţile sunt obligate să implementeze planul de măsuri prevăzut la alin. (8) în termenul asumat.

(10)Entitatea în cauză notifică DNSC şi, după caz, autoritatea competentă sectorial cu privire la implementarea tuturor măsurilor prevăzute la alin. (8) şi pune la dispoziţie acte doveditoare în acest sens, în cel mult cinci zile de la împlinirea termenului asumat.

(11)Termenele prevăzute la alin. (9) trebuie să fie justificate prin prisma circumstanţierii măsurii prin care se remediază deficienţa.