Capitolul viii - Auditul de securitate cibernetică - Ordonanță de urgență 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil

M.Of. 1332

În vigoare

Versiune de la: 10 Iulie 2025

CAPITOLUL VIII:Auditul de securitate cibernetică

(1)Auditul de securitate cibernetică poate fi:

a)periodic, care se desfăşoară cu regularitate, conform ordinului de la art. 11 alin. (5) sau, după caz, alin. (6);

b)ad-hoc, în baza deciziei directorului DNSC conform alin. (2).

(2)Auditul de securitate cibernetică ad-hoc are caracter excepţional şi reprezintă acea activitate de auditare efectuată de un auditor atestat conform dispoziţiilor prezentei ordonanţe de urgenţă, cu privire la o entitate esenţială sau o entitate importantă, la solicitarea motivată a DNSC, ca urmare a:

a)unui incident semnificativ;

b)unei schimbări cu impact semnificativ la nivelul reţelelor şi sistemelor informatice, dar nu mai târziu de 180 de zile de la apariţia acesteia;

c)indiciilor temeinice cu privire la încălcarea dispoziţiilor prezentei ordonanţe de urgenţă de către o entitate esenţială.

(3)Atunci când se dispune un audit ad-hoc, DNSC comunică entităţii atât motivele, cât şi obiectivele auditului.

(4)Entitatea auditată are dreptul de a selecta auditorul.

(5)Schimbarea cu impact semnificativ la nivelul reţelelor şi sistemelor informatice prevăzută la alin. (2) lit. b) este generată prin:

a)introducerea unei noi reţele sau unui nou sistem informatic implicat în furnizarea serviciului;

b)introducerea unei noi tehnologii pentru furnizarea serviciului;

c)schimbarea modului de operare a serviciului;

d)schimbarea calităţii entităţii, din entitate importantă în entitate esenţială.

(6)Indiciile temeinice prevăzute la alin. (2) lit. c) pot rezulta ca urmare a desfăşurării măsurii de control efectuate de către personal din cadrul DNSC, a informaţiilor primite de la autorităţile prevăzute la art. 10 din Legea nr. 58/2023, CNCPIC, autorităţile competente sectorial prevăzute la art. 37, precum şi de la alte entităţi conform art. 25 din Legea nr. 58/2023 sau ca urmare a analizelor privind incidentele raportate prin platforma de raportare a incidentelor.

(7)Cu ocazia desfăşurării auditului de securitate cibernetică periodic se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unor reţele şi sisteme informatice, în vederea identificării disfuncţionalităţilor şi vulnerabilităţilor şi recomandării măsurilor de remediere a acestora.

(8)În cel mult 15 zile lucrătoare de la data primirii raportului de audit, entităţile sunt obligate să întocmească şi să transmită către DNSC şi, după caz, autorităţii competente sectorial, în baza recomandărilor emise de către auditor, planul de măsuri pentru remedierea tuturor deficienţelor constatate şi termenele asumate pentru implementarea acestora.

(9)Entităţile sunt obligate să implementeze planul de măsuri prevăzut la alin. (8) în termenul asumat.

(10)Entitatea în cauză notifică DNSC şi, după caz, autoritatea competentă sectorial cu privire la implementarea tuturor măsurilor prevăzute la alin. (8) şi pune la dispoziţie acte doveditoare în acest sens, în cel mult cinci zile de la împlinirea termenului asumat.

(11)Termenele prevăzute la alin. (9) trebuie să fie justificate prin prisma circumstanţierii măsurii prin care se remediază deficienţa.

Art. 58

(1)Auditul de securitate cibernetică se realizează de către auditorii de securitate cibernetică ce deţin atestat valabil eliberat de către DNSC, cu excepţia auditului de securitate cibernetică realizat la nivelul instituţiilor cu responsabilităţi în domeniul apărării, ordinii publice şi securităţii naţionale, precum şi pentru serviciile puse la dispoziţie de către acestea.

(2)În acest sens, DNSC:

a)menţine evidenţa auditorilor de securitate cibernetică;

b)elaborează regulamentul privind atestarea şi verificarea auditorilor de securitate cibernetică şi stabileşte condiţiile de valabilitate pentru atestatele acordate acestora prin ordin al directorului DNSC;

c)acordă, prelungeşte, suspendă sau retrage atestatul auditorilor de securitate cibernetică, conform regulamentului prevăzut la lit. b);

d)verifică, în urma sesizărilor sau din oficiu, îndeplinirea de către auditorii atestaţi a obligaţiilor legale ce le revin;

e)elaborează tematicile pentru specializarea auditorilor în vederea atestării prevăzute la lit. c), prin decizie a directorului DNSC.

(3)Nu pot realiza audit de securitate cibernetică:

a)auditorii atestaţi care asigură în mod curent servicii de securitate cibernetică ori servicii de tip CSIRT entităţilor esenţiale sau entităţilor importante în cauză ori sunt angajaţi ai acestora;

b)auditorul care are un contract de prestări servicii pentru reţeaua sau sistemul supus auditului aflat în desfăşurare la momentul la care se efectuează auditul sau într-un termen mai mic de un an;

c)auditorul care a mai efectuat 3 audituri consecutive la aceeaşi entitate esenţială sau entitate importantă.

(4)Activitatea de audit se efectuează potrivit standardelor şi specificaţiilor europene şi internaţionale aplicabile în domeniu.

(5)Tematicile de audit vor ţine seama de normele tehnice în vigoare privind securitatea reţelelor şi sistemelor informatice ale entităţilor esenţiale şi entităţilor importante, elaborate în temeiul prezentei ordonanţe de urgenţă.

(6)Atestatele au o valabilitate de 3 ani.

(7)Lista standardelor şi specificaţiilor europene şi internaţionale prevăzute la dispoziţiile alin. (4) se elaborează şi se aprobă prin decizie a directorului DNSC, care se actualizează ori de câte ori este necesar.

(8)În desfăşurarea unei activităţi de audit de securitate, auditorul de securitate cibernetică trebuie:

a)să dea dovadă de integritate profesională, acţionând cu onestitate şi corectitudine în toate angajamentele profesionale, oferind evaluări adevărate şi precise;

b)să respecte codurile etice emise de către DNSC şi Corpul Auditorilor de Sisteme Informatice din România, să dea dovadă şi să menţină transparenţa în comunicări;

c)să nu fie în conflict de interese care ar putea afecta independenţa sa fie că sunt de natură financiară, personală sau profesională pentru a putea lua decizii în mod independent şi fără vreo influenţă din partea entităţii auditate sau a altor părţi interesate;

d)să protejeze confidenţialitatea informaţiilor obţinute în timpul procesului de audit, sens în care trebuie să se asigure că accesul la informaţii sensibile este restricţionat doar la personalul autorizat şi că aceste informaţii sunt stocate în siguranţă, în acord cu reglementările relevante care guvernează practicile de audit, inclusiv cele specifice securităţii cibernetice.

Art. 59

(1)În vederea atribuirii şi retragerii atestatului de auditor de securitate cibernetică, precum şi pentru organizarea şi coordonarea activităţii de audit de securitate cibernetică se înfiinţează Corpul Auditorilor de Sisteme Informatice din România prin hotărâre de Guvern elaborată de către DNSC, în termen de doi ani de la intrarea în vigoare a prezentei ordonanţe de urgenţă.

(2)Corpul Auditorilor de Sisteme Informatice din România se organizează şi va funcţiona ca organizaţie profesională de utilitate publică fără scop lucrativ, cu personalitate juridică, în coordonarea DNSC.

(3)Corpul Auditorilor de Sisteme Informatice din România are ca obiect principal de activitate reglementarea standardelor, cât şi a Codului de etică pentru practica profesională a auditului de securitate cibernetică şi monitorizarea continuă a activităţilor de audit de sisteme informatice în România.

(4)Structura organizatorică a Corpului Auditorilor de Sisteme Informatice din România se aprobă prin ordin al directorului DNSC.

(5)DNSC coordonează activitatea de elaborare a regulamentelor de organizare şi funcţionare şi de ordine interioară.

(6)Corpul Auditorilor de Sisteme Informatice din România poate avea în structură subunităţi cu sau fără personalitate juridică, departamente, secţii şi poate dobândi calitatea de asociat sau de acţionar fondator în cadrul altor societăţi comerciale ori structuri organizatorice necesare realizării obiectului său de activitate.