Art. 18. - Art. 18: Norme privind activitatea auditorilor - Regulament din 2021 pentru atestarea şi verificarea auditorilor de securitate cibernetică
M.Of. 387
În vigoare Versiune de la: 14 Aprilie 2021
Art. 18: Norme privind activitatea auditorilor
(1)Constituie incompatibilităţi următoarele activităţi desfăşurate de către un auditor de securitate cibernetică:
a)efectuarea auditului de securitate la un operator de servicii esenţiale sau furnizor de servicii digitale pentru care auditorul atestat asigură în mod curent servicii de management, de securitate cibernetică ori de tip SOC/CSIRT sau la care este angajat printr-o altă relaţie contractuală ce nu este de tip audit;
b)efectuarea auditului de securitate pentru reţelele şi sistemele informatice pentru care auditorul atestat are contract de prestări servicii la momentul la care se efectuează auditul sau într-un termen mai mic de un an;
c)efectuarea auditului de securitate, ca cerinţă minimă de securitate în condiţiile Legii NIS (cel puţin odată la 2 ani), la un operator de servicii esenţiale sau furnizor de servicii digitale de 3 ori consecutiv;
d)efectuarea auditului de securitate la un operator de servicii esenţiale sau furnizor de servicii digitale în care deţine o participare la capitalul social al acestuia.
(2)Auditul de securitate se realizează numai de auditori de securitate cibernetică, atestaţi de CERT-RO, în calitate de autoritate competentă la nivel naţional, potrivit standardelor şi specificaţiilor europene şi internaţionale aplicabile în domeniu, în baza unor tematici de audit stabilite în conformitate cu normele tehnice în vigoare privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale, respectiv furnizorilor de servicii digitale şi după încheierea unui contract de audit.
(3)Auditul de securitate realizat în conformitate cu prevederile alin. (2) este un audit de securitate care se poate realiza şi la solicitarea autorităţii competente la nivel naţional şi reprezintă un audit de securitate în condiţiile Legii NIS.
(4)Pentru desfăşurarea auditului de securitate, auditorii de securitate cibernetică se pot organiza şi pot funcţiona şi în echipe de audit de securitate.
(5)În cazul efectuării auditului de securitate la un operator de servicii esenţiale sau furnizor de servicii digitale de către un auditor care nu deţine atestat sau care are atestatul suspendat/revocat, auditul este considerat ca fiind efectuat în afara condiţiilor Legii NIS, iar raportul de audit de securitate nu este acceptat de către autoritatea competentă la nivel naţional.