Alin Raicu, Manager PwC Romania: “Încă un pas în implementarea Directivei NIS – a fost aprobat regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică”

Autor: Alin Raicu, Manager PwC Romania

Autoritățile au făcut încă un pas în implementarea Directivei NIS în România prin aprobarea Regulamentului pentru atestarea şi verificarea auditorilor de securitate cibernetică, singurii care pot efectua auditurile de securitate cibernetică impuse de actul normativ.

Potrivit Directivei, companiile care prestează servicii esențiale pentru populație și/sau furnizorii de servicii digitale sunt obligați să elaboreze și să implementeze soluții avansate care să le asigure securitatea informatică și să colaboreze cu statul pentru a garanta un răspuns coordonat la atacuri informatice.

Nerespectarea implementării directivei NIS aduce după sine consecințe importante: de la sancțiuni din partea autorității competente (CERT-RO) la pierderi financiare în urma unor potențiale atacuri și chiar afectarea reputației.

Regulamentul, publicat în Monitorul Oficial, stabileşte cadrul legal pentru atestarea auditorilor de securitate cibernetică pentru auditarea rețelelor şi sistemelor informatice ce susţin servicii esențiale ori furnizează servicii digitale în condițiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor şi sistemelor informatice.

Documentul este însoțit de un Cod etic al auditorilor  de securitate cibernetică, care reprezintă un ansamblu de principii şi reguli de conduită, astfel încât aceștia să-şi îndeplinească cu profesionalism, loialitate, corectitudine şi în mod imparțial îndatoririle de serviciu şi să se abţină de la orice faptă care ar putea să aducă prejudicii instituţiei.

Astfel, în desfăşurarea activităţii auditorul de securitate cibernetică este obligat să respecte următoarele principii fundamentale precum integritatea, independenţa şi obiectivitatea, confidențialitatea, competenţa profesională și neutralitatea politică.

Atestarea este realizată de CERT-RO pe baza unor criterii stabilite în regulamentul menționat. Potrivit acestuia, auditorii de securitate cibernetică pot fi persoane fizice atestate cetăţeni români, precum şi cetăţeni ai altui stat membru al Uniunii Europene ori al Spațiului Economic European sau persoane juridice cu personal atestat. 

Nevoia continuă de persoane specializate 

Conform unui raport ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) realizat în urma unui sondaj în rândul a 251 de organizații din cadrul a 5 state membre ale Uniunii Europene (Franța, Germania, Italia, Polonia, Spania), se remarcă nevoia continuă de personal specializat în domeniul securității cibernetice. Estimările la nivel global arată că în anul 2022 vor fi aproximativ 3.5 milioane de poziții neocupate în domeniul securității cibernetice (dintre care aproximativ 400,000 în UE), de 3,5 ori mai multe decât nivelul 2016. Companiile chestionate au precizat că cel mai mare procent (37%) din bugetul de implementare a cerințelor directivei NIS a fost direcționat către angajarea personalului specializat, iar unul dintre domeniile de securitate prioritizate (fiind poziționat primul în topul organizațiilor în procent de 64.5%) este domeniul guvernanței, gestionării riscului și conformității.