Atestarea şi verificarea auditorilor de securitate cibernetică


     Secretariatul General al Guvernului a emis Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică, aprobat prin Ordinul nr. 559 din 22 martie 2021, publicat în Monitorul Oficial, Partea I, nr. 387 din 14 aprilie 2021. Regulamentul a fost publicat în Monitorul Oficial nr. 387 din 14 aprilie 2021, producându-și efectele începând cu această data.

     Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică stabileşte cadrul legal pentru atestarea auditorilor de securitate cibernetică pentru auditarea reţelelor şi sistemelor informatice ce susţin servicii esenţiale ori furnizează servicii digitale în condiţiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare, denumită în continuare Legea NIS.

     Auditorii de securitate cibernetică pot fi persoane fizice atestate cetăţeni români, precum şi cetăţeni ai altui stat membru al Uniunii Europene ori al Spaţiului Economic European sau persoane juridice cu personal atestat, care îndeplinesc cerinţele prevăzute în prezentul regulament şi care doresc să desfăşoare o activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie implementate la nivelul reţelelor şi sistemelor informatice, în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora, activitate pe care să o exercite în România în mod independent sau ca angajaţi ai unor persoane juridice.
  Prezentul regulament nu se aplică la nivelul instituţiilor din sistemul de apărare, ordine publică şi securitate naţională, din domeniul protecţiei infrastructurilor critice şi nici la nivelul infrastructurilor cibernetice care vehiculează informaţii clasificate.

     Pentru eliberarea, revocarea sau reînnoirea atestatelor auditorilor de securitate cibernetică care pot efectua audit în cadrul reţelelor şi sistemelor informatice ce susţin servicii esenţiale ori furnizează servicii digitale, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO este autoritatea competentă la nivel naţional în conformitate cu prevederile art. 15 alin. (1) coroborat cu art. 20 lit. p) din Legea NIS. Autoritatea competentă la nivel naţional organizează şi gestionează procesul de atestare şi verificare a auditorilor de securitate cibernetică.

     Auditor de securitate cibernetică poate fi orice persoană fizică sau persoană juridică ce realizează pe teritoriul României activitatea de audit de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale ori furnizează serviciile digitale în vederea identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora. Auditorul de securitate cibernetică îşi desfăşoară activitatea individual sau în cadrul unei echipe de audit şi realizează cel puţin una dintre activităţile de audit de securitate, aşa cum sunt stabilite la art. 5 alin. (1) din regulament.
  Auditorii de securitate cibernetică sunt atestaţi de autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice, iar evidenţa acestora este ţinută în Registrul naţional al auditorilor de securitate cibernetică. Calitatea de auditor de securitate cibernetică se dovedeşte prin atestatul de auditor valabil eliberat de către autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice. Atestatul de auditor de securitate cibernetică este nominal, netransmisibil şi are valabilitate 3 ani de la data emiterii. Modelul atestatului este prevăzut în anexa nr. 1 la regulament.

     Activităţile de audit de securitate tratate în prezentul regulament sunt:
  a) auditul arhitecturii [AS1] - constă în verificarea conformităţii măsurilor de securitate legate de alegerea, poziţionarea şi implementarea dispozitivelor hardware/software în reţelele şi sistemele informatice, cerinţele minime de securitate şi politicile interne ale operatorului economic. Auditul poate fi extins la interconectările cu reţele terţe, inclusiv internetul;
  b) auditul de configurare [AS2] - constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerinţele minime de securitate şi politicile de securitate în ceea ce priveşte configuraţia dispozitivelor hardware/software componente ale reţelelor şi sistemelor informatice. Aceste dispozitive pot fi în special echipamente de reţea, sisteme de operare (server sau staţie de lucru), aplicaţii sau produse de securitate;
  c) auditul codului sursă [AS3] - constă în analiza totală sau parţială a codului sursă sau a condiţiilor de compilare ale unei aplicaţii pentru a descoperi vulnerabilităţile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securităţii reţelelor şi sistemelor informatice;
  d) auditul de penetrare sau testarea de penetrare [AS4] - constă în identificarea vulnerabilităţilor din reţelele şi sistemele informatice şi verificarea posibilităţilor de exploatare a acestora, precum şi a impactului exploatării acestora asupra reţelei, în condiţiile reale ale unui atac cibernetic asupra reţelelor şi sistemelor informatice. Activitatea de audit poate fi desfăşurată fie din afara reţelei (în special din internet sau din reţeaua interconectată a unei terţe părţi), fie din interiorul reţelei şi reprezintă o activitate care trebuie efectuată în complementaritate cu alte activităţi de audit pentru a le îmbunătăţi eficacitatea sau pentru a demonstra fezabilitatea exploatării vulnerabilităţilor descoperite;
  e) auditul securităţii organizaţiei [AS5] - constă în auditul organizaţiei cu privire la securitatea logică şi fizică şi urmăreşte să se asigure că politicile şi procedurile de securitate definite de operatorul economic (operatorul de servicii esenţiale sau furnizorul de servicii digitale):
  (i) sunt conforme cu nevoile de securitate ale operatorului economic auditat, nivelul tehnologic şi standardele în vigoare;
  (ii) completează corect măsurile tehnice implementate;
  (iii) sunt puse efectiv în practică.
  De asemenea, auditorul de securitate cibernetică trebuie să se asigure că aspectele fizice ale securităţii reţelelor şi sistemelor informatice sunt acoperite corespunzător. Această activitate trebuie efectuată în complementaritate cu alte activităţi de audit pentru a le îmbunătăţi eficacitatea;
  f) auditul sistemelor de control industrial [AS6] - constă în evaluarea nivelului de securitate al unui sistem de control industrial şi a dispozitivelor de control asociate. Evaluarea de securitate presupune aplicarea activităţilor de audit de la lit. a) la lit. e) din prezentul articol.

     Atestarea auditorilor de securitate cibernetică se realizează de către Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, în calitate de autoritate competentă la nivel naţional, în conformitate cu prevederile prezentului regulament.
  O persoană fizică sau juridică poate solicita atestarea ca auditor de securitate cibernetică pentru următoarele variante de atestare:
  a) atestare tip general: pentru toate activităţile de audit, speciale şi comune, respectiv cele precizate la art. 5 alin. (1) lit. a)-e) din regulament;
  b) atestare tip special: numai pentru activităţile de audit speciale, respectiv cele precizate la art. 5 alin. (1) lit. c) şi d) din regulament;
  c) atestare tip comun: numai pentru activităţile de audit comune, respectiv cele precizate la art. 5 alin. (1) lit. a), b) şi e) din regulament.
  În situaţia precizată la lit. a), auditorul de securitate cibernetică poate desfăşura toate activităţile de audit, inclusiv auditul sistemelor de control industrial [AS6].
  În situaţiile precizate la lit. b) şi c), auditorul de securitate cibernetică poate desfăşura numai activităţile de audit pentru care a fost atestat şi parţial activitatea de audit a sistemelor de control industrial [AS6], respectiv activităţi de audit speciale sau activităţi de audit comune.
  Un auditor de securitate cibernetică poate deţine şi alte atestate/autorizări, inclusiv de audit, şi care nu fac obiectul prezentului regulament.

Totalitatea dispozițiilor ce vizează eliberarea atestatului de auditor de securitate cibernetică, precum și documentația necesară pentru atestare - AICI