Auditul de securitate cibernetică

     Evoluţia rapidă şi adoptarea tehnologiilor emergente creează noi tipuri de interdependenţe şi expun infrastructura critică a statului unor riscuri complexe, neprevăzute anterior, susceptibile de a genera efecte semnificative asupra securităţii cibernetice, efecte care se extind şi asupra autorităţilor şi instituţiilor din administraţia publică. Din acest motiv, Ordonanța de urgență nr. nr. 155 din 30 decembrie 2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil a fost publicată în Monitorul Oficial nr. 1332 din 31 decembrie 2024. Aceasta stabileşte cadrul juridic şi instituţional, măsurile şi mecanismele necesare pentru asigurarea unui nivel comun ridicat de securitate cibernetică la nivel naţional.

     Potrivit art. 4 din ordonanța de urgență, ameninţare cibernetică înseamnă o ameninţare, astfel cum aceasta este definită la art. 2 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 104/2021 privind Înfiinţarea Directoratului Naţional de Securitate Cibernetică, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare. Totodată, ameninţare cibernetică semnificativă înseamnă o ameninţare cibernetică despre care se poate presupune, pe baza caracteristicilor sale tehnice, că are potenţialul de a afecta grav reţeaua şi sistemele informatice ale unei entităţi sau utilizatorii serviciilor furnizate de entitate, cauzând prejudicii materiale sau morale considerabile.

     În scopul asigurării respectării dispoziţiilor prezentei ordonanţe de urgenţă, precum şi a actelor normative subsecvente de către entităţi, Directoratului Naţional de Securitate Cibernetică poate:

1. derula activităţi de supraveghere, verificare şi control efectuate de persoane desemnate în acest sens prin decizie a directorului DNSC;
2. dispune efectuarea de audituri de securitate ad-hoc, realizate de un auditor de securitate cibernetică atestat;
3. solicita informaţii necesare pentru a evalua măsurile de gestionare a riscurilor în materie de securitate cibernetică adoptate de entitatea în cauză, inclusiv politicile de securitate cibernetică documentate, precum şi respectarea obligaţiei de a transmite informaţii către DNSC în temeiul art. 18 din ordonanța de urgență;
4. solicita acces la date, la documente şi la orice informaţii necesare pentru îndeplinirea sarcinilor lor de supraveghere;
5. solicita date, documente şi orice informaţii care atestă punerea în aplicare a politicilor în materie de securitate cibernetică, cum ar fi rezultatele auditurilor de securitate cibernetică efectuate de un auditor atestat şi mijloacele de probă care stau la baza acestora.

     Auditul de securitate cibernetică poate fi:

1. periodic, care se desfăşoară cu regularitate, conform ordinului de la art. 11 alin. (5) sau, după caz, alin. (6) din ordonanța de urgență;
2. ad-hoc, în baza deciziei directorului DNSC.

     Auditul de securitate cibernetică ad-hoc are caracter excepţional şi reprezintă acea activitate de auditare efectuată de un auditor atestat conform dispoziţiilor prezentei ordonanţe de urgenţă, cu privire la o entitate esenţială sau o entitate importantă, la solicitarea motivată a DNSC, ca urmare a:

1. unui incident semnificativ;
2. unei schimbări cu impact semnificativ la nivelul reţelelor şi sistemelor informatice, dar nu mai târziu de 180 de zile de la apariţia acesteia;
3. indiciilor temeinice cu privire la încălcarea dispoziţiilor prezentei ordonanţe de urgenţă de către o entitate esenţială.

     Atunci când se dispune un audit ad-hoc, DNSC comunică entităţii atât motivele, cât şi obiectivele auditului. Entitatea auditată are dreptul de a selecta auditorul.

     Schimbarea cu impact semnificativ la nivelul reţelelor şi sistemelor informatice prevăzută la art. 57 alin. (2) lit. b) din ordonanța de urgență este generată prin:

1. introducerea unei noi reţele sau unui nou sistem informatic implicat în furnizarea serviciului;
2. introducerea unei noi tehnologii pentru furnizarea serviciului;
3. schimbarea modului de operare a serviciului;
4. schimbarea calităţii entităţii, din entitate importantă în entitate esenţială.

     Cu ocazia desfăşurării auditului de securitate cibernetică periodic se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul unor reţele şi sisteme informatice, în vederea identificării disfuncţionalităţilor şi vulnerabilităţilor şi recomandării măsurilor de remediere a acestora.

     În cel mult 15 zile lucrătoare de la data primirii raportului de audit, entităţile sunt obligate să întocmească şi să transmită către DNSC şi, după caz, autorităţii competente sectorial, în baza recomandărilor emise de către auditor, planul de măsuri pentru remedierea tuturor deficienţelor constatate şi termenele asumate pentru implementarea acestora.

     Entităţile sunt obligate să implementeze planul de măsuri în termenul asumat. Entitatea în cauză notifică DNSC şi, după caz, autoritatea competentă sectorial cu privire la implementarea tuturor măsurilor şi pune la dispoziţie acte doveditoare în acest sens, în cel mult cinci zile de la împlinirea termenului asumat. Termenele trebuie să fie justificate prin prisma circumstanţierii măsurii prin care se remediază deficienţa. Auditul de securitate cibernetică se realizează de către auditorii de securitate cibernetică ce deţin atestat valabil eliberat de către DNSC, cu excepţia auditului de securitate cibernetică realizat la nivelul instituţiilor cu responsabilităţi în domeniul apărării, ordinii publice şi securităţii naţionale, precum şi pentru serviciile puse la dispoziţie de către acestea.

     În acest sens, Directoratului Naţional de Securitate Cibernetică:

1. menţine evidenţa auditorilor de securitate cibernetică;
2. elaborează regulamentul privind atestarea şi verificarea auditorilor de securitate cibernetică şi stabileşte condiţiile de valabilitate pentru atestatele acordate acestora prin ordin al directorului DNSC;
3. acordă, prelungeşte, suspendă sau retrage atestatul auditorilor de securitate cibernetică, conform regulamentului prevăzut la lit. b);
4. verifică, în urma sesizărilor sau din oficiu, îndeplinirea de către auditorii atestaţi a obligaţiilor legale ce le revin;
5. elaborează tematicile pentru specializarea auditorilor în vederea atestării prevăzute la lit. c), prin decizie a directorului DNSC.

    Activitatea de audit se efectuează potrivit standardelor şi specificaţiilor europene şi internaţionale aplicabile în domeniu.Tematicile de audit vor ţine seama de normele tehnice în vigoare privind securitatea reţelelor şi sistemelor informatice ale entităţilor esenţiale şi entităţilor importante, elaborate în temeiul prezentei ordonanţe de urgenţă.

     Atestatele au o valabilitate de 3 ani.

     În desfăşurarea unei activităţi de audit de securitate, auditorul de securitate cibernetică trebuie:

1. să dea dovadă de integritate profesională, acţionând cu onestitate şi corectitudine în toate angajamentele profesionale, oferind evaluări adevărate şi precise;
2. să respecte codurile etice emise de către DNSC şi Corpul Auditorilor de Sisteme Informatice din România, să dea dovadă şi să menţină transparenţa în comunicări;
3. să nu fie în conflict de interese care ar putea afecta independenţa sa fie că sunt de natură financiară, personală sau profesională pentru a putea lua decizii în mod independent şi fără vreo influenţă din partea entităţii auditate sau a altor părţi interesate;
4. să protejeze confidenţialitatea informaţiilor obţinute în timpul procesului de audit, sens în care trebuie să se asigure că accesul la informaţii sensibile este restricţionat doar la personalul autorizat şi că aceste informaţii sunt stocate în siguranţă, în acord cu reglementările relevante care guvernează practicile de audit, inclusiv cele specifice securităţii cibernetice.

Dispozițiile cuprinse în Ordonanța de urgență nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil, disponibile AICI