Autorităţile au făcut încă un pas în implementarea Directivei NIS în România prin aprobarea Regulamentului pentru atestarea şi verificarea auditorilor de securitate cibernetică, singurii care pot efectua auditurile de securitate cibernetică impuse de actul normativ.
Potrivit Directivei, companiile care prestează servicii esenţiale pentru populaţie şi/sau furnizorii de servicii digitale sunt obligaţi să elaboreze şi să implementeze soluţii avansate care să le asigure securitatea informatică şi să colaboreze cu statul pentru a garanta un răspuns coordonat la atacuri informatice.
Nerespectarea implementării directivei NIS aduce după sine consecinţe importante: de la sancţiuni din partea autorităţii competente (CERT-RO) la pierderi financiare în urma unor potenţiale atacuri şi chiar afectarea reputaţiei.
Regulamentul, publicat în Monitorul Oficial, stabileşte cadrul legal pentru atestarea auditorilor de securitate cibernetică pentru auditarea reţelelor şi sistemelor informatice ce susţin servicii esenţiale ori furnizează servicii digitale în condiţiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice.
Documentul este însoţit de un Cod etic al auditorilor de securitate cibernetică, care reprezintă un ansamblu de principii şi reguli de conduită, astfel încât aceştia să-şi îndeplinească cu profesionalism, loialitate, corectitudine şi în mod imparţial îndatoririle de serviciu şi să se abţină de la orice faptă care ar putea să aducă prejudicii instituţiei.
Astfel, în desfăşurarea activităţii auditorul de securitate cibernetică este obligat să respecte următoarele principii fundamentale precum integritatea, independenţa şi obiectivitatea, confidenţialitatea, competenţa profesională şi neutralitatea politică.
Atestarea este realizată de CERT-RO pe baza unor criterii stabilite în regulamentul menţionat. Potrivit acestuia, auditorii de securitate cibernetică pot fi persoane fizice atestate cetăţeni români, precum şi cetăţeni ai altui stat membru al Uniunii Europene ori al Spaţiului Economic European sau persoane juridice cu personal atestat.
Nevoia continuă de persoane specializate
Conform unui raport ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) realizat în urma unui sondaj în rândul a 251 de organizaţii din cadrul a 5 state membre ale Uniunii Europene (Franţa, Germania, Italia, Polonia, Spania), se remarcă nevoia continuă de personal specializat în domeniul securităţii cibernetice. Estimările la nivel global arată că în anul 2022 vor fi aproximativ 3.5 milioane de poziţii neocupate în domeniul securităţii cibernetice (dintre care aproximativ 400,000 în UE), de 3,5 ori mai multe decât nivelul 2016. Companiile chestionate au precizat că cel mai mare procent (37%) din bugetul de implementare a cerinţelor directivei NIS a fost direcţionat către angajarea personalului specializat, iar unul dintre domeniile de securitate prioritizate (fiind poziţionat primul în topul organizaţiilor în procent de 64.5%) este domeniul guvernanţei, gestionării riscului şi conformităţii.