Reglementarea exercitării profesiei de auditor de securitate cibernetică în România

3. Atestarea auditorilor de securitate cibernetică

Potrivit Regulamentului, atestarea auditorilor de securitate cibernetică se realizează de către Centrul Național de Răspuns la Incidente de Securitate Cibernetică ‒ CERT-RO, în calitate de autoritate competentă la nivel național. Regulamentul pentru atestarea și verificarea auditorilor de securitate cibernetică a fost adoptat, așa cum am precizat mai sus, la data de 22 martie 2021 și prevedea că CERT-RO este autoritatea competentă să autorizeze și să verifice îndeplinirea obligațiilor profesionale de către auditorii de securitate cibernetică. La data de 17 septembrie 2021, la nici 6 luni de la actul normativ inițial, a fost adoptată Ordonanța de Urgență a Guvernului nr.104/2021 privind înființarea Directoratului Național de Securitate Cibernetică (DNSC) ca organ de specialitate al administrației publice centrale, în subordinea Guvernului şi în coordonarea prim-ministrului, cu personalitate juridică, finanţat integral din bugetul de stat, prin bugetul Secretariatului General al Guvernului, având responsabilităţi privind securitatea cibernetică a spaţiului cibernetic naţional civil. CERT-RO s-a desfiinţat la data intrării în vigoare a acestei ordonanţe de urgenţă, iar DNSC a preluat activităţile, atribuţiile şi personalul CERT-RO, inclusiv atribuțiile de atestare și verificare a exercitării auditului de securitate cibernetică, domeniu în care este acum autoritate competentă la nivel național.

Există trei categorii de atestate, astfel încât o persoană fizică sau juridică poate solicita obținerea unuia dintre următoarele atestate:

a) atestat tip general: pentru toate activitățile de audit, speciale și comune

b) atestat tip special: numai pentru activitățile de audit speciale și anume auditul codului de sursă și auditul de penetrare și testarea de penetrare

c) atestat tip comun: numai pentru activitățile de audit comune și anume auditul arhitecturii, auditul de configurare și auditul securității organizației.

Atestatul de auditor de securitate cibernetică se obține în baza cererii pentru emiterea atestatului de auditor de securitate cibernetică și a dosarului pentru emiterea atestatului de auditor de securitate cibernetică.

Dosarul pentru emiterea atestatului de auditor de securitate cibernetică pentru o persoană fizică trebuie să cuprindă următoarele documente:

a) actul de identitate, în copie

b) adeverința medicală din care să rezulte starea de sănătate fizică și psihică a solicitantului pentru exercitarea atribuțiilor de auditor de securitate cibernetică

c) certificatul de cazier judiciar, aflat în termenul de valabilitate

d) curriculum vitae ‒ model europass, cu detalierea secțiunii „experiență profesională” ce va conține justificarea privind experiența în domeniu, respectiv cele care prezintă dovada a cel puțin 2 ani de experiență în domeniul administrării sau implementării rețelelor și sistemelor informatice sau2 ani de experiență în domeniul securității rețelelor și sistemelor informatice sau un an de experiență în domeniul investigațiilor, testării sau al auditului de securitate a tehnologiei informației și comunicațiilor sau a rețelelor și sistemelor informatice ori a sistemelor de control industrial

e) certificări^[18], în copii ‒ în funcție de tipul de atestat solicitat:

• • atestare tip general ‒ cel puțin două dintre certificările profesionale menționate în Anexa nr. 5a Regulamentului (dintre care cel puțin una dintre activitățile de audit comune și cel puțin una dintre activitățile de audit speciale), în perioada de valabilitate;
  • atestare tip special ‒ cel puțin una dintre certificările profesionale pentru activitățile de audit speciale menționate în Anexa nr. 5 a Regulamentului, în perioada de valabilitate;
  • atestare tip comun ‒ cel puțin una dintre certificările profesionale pentru activitățile de audit comune menționate în Anexa nr. 5a Regulamentului, în perioada de valabilitate sau certificat evaluare expertiză privind securitatea cibernetică eliberat de către autoritatea competentă național.

f) certificatul de specializare de auditor de securitate cibernetică valabil^[19], eliberat de un formator sau furnizor de servicii de formare autorizat de către autoritatea competentă la nivel național^[20];

g) taxa de evaluare și procesare (PF) în vederea atestării ca auditor de securitate cibernetică.

Dosarul pentru emiterea atestatului de auditor de securitate cibernetică pentru o persoană juridică trebuie să cuprindă următoarele documente:

a) documentul de înființare/înregistrare al persoanei juridice, respectiv certificat de înregistrare în registrele naționale (Registrul Comerțului);

b) certificat constatator emis de instituția care gestionează registrul în care se ține evidența înființării persoanei juridice, cu starea la zi a persoanei juridice, nu mai vechi de 30 de zile, în original sau în copie semnată și cu mențiunea „conform cu originalul”;

c) documentele doveditoare pentru fiecare auditor de securitate cibernetică persoană fizică;

d) taxa de evaluare și procesare (PJ) în vederea atestării ca auditor de securitate cibernetică.

Dosarul pentru emiterea atestatului de auditor de securitate cibernetică se depune împreună cu cererea de emitere a atestatului de auditor de securitate cibernetică la autoritatea competentă la nivel național care va desfășura procedura de evaluare și atestare a auditorului de securitate cibernetică potrivit dispozițiilor art. 8-13 din Regulament.

Autoritatea competentă la nivel național întocmește raportul final de evaluare prin care se propune emiterea atestatului de auditor de securitate cibernetică sau restituirea dosarului. În baza raportului final de evaluare, autoritatea competentă la nivel național emite atestatul de auditor de securitate cibernetică, ia în evidență auditorul de securitate cibernetică și actualizează lista auditorilor de securitate cibernetică.

Evidența auditorilor de securitate cibernetică se ține de către autoritatea competentă la nivel național, DNSC, în format electronic, pe baza Registrului național al auditorilor de securitate cibernetică. Registrul se constituie în format electronic pe variantele de atestare prezentate (persoane fizice și juridice) și cuprinde date și informații cu privire la auditorii de securitate cibernetică atestați, revocați sau suspendați din profesia de auditor de securitate cibernetică. În baza Registrului național al auditorilor de securitate cibernetică, DNSC elaborează, actualizează în permanență și publică pe site-ul instituției Lista auditorilor de securitate cibernetică persoane fizice și persoane juridice^[21].

4. Reînnoirea, revocarea și suspendarea atestatului de auditor de securitate cibernetică

Reînnoirea atestatului. Atestatul are o valabilitate de 3 ani, fiind posibilă reînnoirea acestuia potrivit dispozițiilor art. 15 din Regulament care reglementează procedura de reînnoire. Astfel, cu 60 de zile înainte de expirarea termenului de valabilitate a atestatului, auditorul de securitate cibernetică va solicita DNSC reînnoirea atestatului, înaintând în acest sens cererea și dosarul de reînnoire a atestatului.

Revocarea și suspendarea atestatului. În cazul nerespectării de către auditor a obligațiilor prevăzute în Regulament, Legea NIS sau alte acte normative, autoritatea competentă la nivel național va revoca^[22] sau suspenda^[23] atestatul, după caz.

5. Principiile aplicabile profesiei de auditor de securitate cibernetică

În desfășurarea activității specifice de audit, auditorul de securitate cibernetică este obligat să respecte principiile fundamentale prevăzute la art. 6 din Codul etic al auditorului de securitate cibernetică și anume: integritatea, independența, obiectivitatea, confidențialitatea, competența profesională și neutralitatea politică. Aceste principii sunt în acord cu principiile stabilite de-a lungul timpului de organizațiile profesionale ale auditorilor pe plan internațional, inclusiv de cele ale auditorilor sistemelor informatice, principii al căror rol este acela de a călăuzi activitatea auditorilor și de a asigura corectitudinea, obiectivitatea, profesionalismul și imparțialitatea pe parcursul misiunii de audit, dar și păstrarea secretului profesional de către auditori. Codul etic al auditorului de securitate cibernetică, reglementat în Anexa 13 a Regulamentului, stabilește conținutul principiilor fundamentale, oferind interpretarea legală a acestora.

6. Obligațiile auditorului de securitate cibernetică

Obligația de respectare a Codului etic. Regulamentul prevede obligațiile auditorului de securitate cibernetică la Capitolul III, intitulat Condiții și cerințe pentru auditorii de securitate cibernetică. Printre obligațiile reglementate de Regulament o regăsim și pe cea de respectare a Codului etic al auditorului de securitate cibernetică (art. 20 alin. 1), ca ansamblu de principii și reguli de conduită care trebuie să guverneze activitatea auditorului de securitate cibernetică.

Astfel, în maximum 10 zile de la obținerea atestatului de auditor de securitate cibernetică, auditorul va lua act de Codul etic și va semna, olograf sau digital, declarația/ angajamentul privind respectarea Codului etic al auditorului de securitate cibernetică, folosind formularul din Regulament^[24]. Declarația va fi transmisă autorității competente la nivel național (art. 20 alin. 2). Nesemnarea și/sau netransmiterea declarației/ angajamentului duce, după caz, la suspendarea atestatului după a 11-a zi de la emiterea atestatului, dar nu mai mult de 30 de zile sau la revocarea după cea de a 31-a zi de la emiterea atestatului (art. 20 alin. 3).

Codul etic al auditorului de securitate cibernetică reglementează și el la Capitolul III, intitulat Reguli de conduită, obligații pentru auditor.

Obligația de raportare a auditorilor către autoritatea competentă. Anual, în primul trimestru, auditorii de securitate cibernetică vor transmite la autoritatea competentă la nivel național, în format electronic, un raport/o situație a auditurilor de securitate desfășurate în anul calendaristic precedent, cu precizarea numărului, beneficiarilor, perioadelor, neregulilor grave constatate, precum și a și vulnerabilităților constatate, conform modelului din Anexa 11 a Regulamentului.

Alte obligații. Anexa 6 a Regulamentului, intitulată Abilități, aptitudini și acțiuni specifice auditorilor de securitate cibernetică, aduce un plus de exigență profesiei de auditor, prevăzând și ea obligații pentru acesta.

7. Verificarea activității auditorilor de securitate cibernetică. Sancțiuni

Autoritatea competentă la nivel național, DNSC, verifică modul de îndeplinire a activității de către auditorii de securitate cibernetică, în baza planului de control anual, a sesizărilor primite sau a activității de monitorizare a aplicării prevederilor Legii NIS la nivelul României.

DNSC verifică, în urma sesizărilor primite sau din oficiu, îndeplinirea de către auditorii de securitate cibernetică a obligațiilor legale care le revin și poate dispune, dacă este cazul, următoarele măsuri:

• remedierea deficiențelor constatate,
• suspendarea activității pe o perioadă specificată,
• revocarea atestatului de auditor de securitate cibernetică.

Concluzii

Extinderea utilizării sistemelor informatice în economie, administrație, sănătate, învățământ, dar și în alte domenii, prezența și aproape dependența de sistemele informatice în viața de zi cu zi impun găsirea unor soluții tehnice menite să sporească gradul de securitate a sistemelor și rețelelor informatice, precum și controlul eficienței acestor soluții, identificarea vulnerabilităților și corectarea lor. În acest efort se înscrie și activitatea auditorilor de securitate cibernetică, profesie cu o existență de câteva decenii în statele dezvoltate și relativ nouă în celelalte. Dacă avem în vedere pericolele care pândesc instituțiile digitalizate, printre care enumerăm alterarea și pierderea datelor ori deconspirarea acestora ca urmare a criminalității cibernetice, din ce în ce mai agresivă și mai organizată, iată o nouă formă de manifestare a criminalității organizate cu caracter transfrontalier, putem conchide că activitatea auditorilor de securitate cibernetică va fi în viitor la fel de necesară ca cea a auditorilor financiari, spre exemplu.

Datorită avantajelor pe care le procură digitalizarea, statele au stabilit strategii de extindere a acesteia, dar pentru că ea are riscuri asociate importante, statele sunt nevoite să pună la punct și strategii de securitate cibernetică.

România a fost mereu atentă la tendințele manifestate pe plan mondial, astfel încât și de această dată întreprinde măsuri pentru asigurarea securității cibernetice, inclusiv prin activitatea auditorilor de securitate cibernetică, a căror atestare și exercitare a activității a reglementat-o, deocamdată pentru auditul desfășurat la operatorii care furnizează servicii esențiale ori furnizează serviciile digitale.

Bibliografie

1. Ramona Ciobanu, Tendințe actuale în activitatea de audit. Auditul sistemelor informatice, în Revista Universul Juridic nr. 2/2022, https://www.universuljuridic.ro/tendinte-actuale-in-activitatea-de-audit-auditul-sistemelor-informatice/.
2. Ramona Ciobanu, Revoluţia digitală şi impozitarea, în Curierul judiciar nr. 3/2021.
3. Comisia Europeană, Comunicarea comună către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor. Strategia de securitate cibernetică a Uniunii Europene: un spațiu cibernetic deschis, sigur și securizat /* JOIN/2013/01 final */, https://eur-lex.europa.eu/legal-content/ro/TXT/?uri=CELEX:52013JC0001.

4. Comisia Europeană, Europe’s Digital Decade: Digital targets for 2030, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_en.
5. Directoratul Național de Securitate Cibernetică, Noua strategie de securitate cibernetică a UE pentru Deceniul Digital și impactul său pentru România, https://dnsc.ro/citeste/noua-strategie-de-securitate-cibernetica-a-ue-pentru-deceniul-digital-si-impactul-sau-pentru-romania.
6. Directoratul Național de Securitate Cibernetică, Operatori de servicii esențiale, https://dnsc.ro/pagini/operatori-de-servicii-esentiale.

7. Directoratul Național de Securitate Cibernetică, Formatori și furnizori de servicii de formare, https://dnsc.ro/pagini/formatori-si-furnizori-de-servicii-de-formare.
8. Phillip L. Hunsaker, Anthony J. Alessandra, The new art of managing people: person-to-person skills, guidelines, and techniques every manager needs to guide, direct, and motivate the team, New York: Free Press, 2008.
9. Ion Ivan, Alecu Felician, Sergiu Capisizu, Auditul informatic, în Revista Economistul, 1887/2005, http://alecu.ase.ro/articles/economistul_2005.pdf.
10. Vahid Kohpeima Jahromi ș. a., Active listening: The key of successful communication in hospital managers, în Electronic Phisician, March 2016, Volume: 8, Issue: 3, https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4844478/.

11. P. Năstase (coordonator) ș.a., Auditul și controlul sistemelor informaționale, Ed. Economică, București, 2007.
12. Parlamentul European, Rezoluția din 10 iunie 2021 referitoare la Strategia de securitate cibernetică a UE pentru deceniul digital (2021/2568(RSP)), publicată în Jurnalul Oficial al Uniunii Europene nr. C-67 din 8 februarie 2022, https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=uriserv%3AOJ.C_.2022.067.01.0081.01.RON&toc=OJ%3AC%3A2022%3A067%3ATOC.