Autoritatile au facut inca un pas in implementarea Directivei NIS in Romania prin aprobarea Regulamentului pentru atestarea si verificarea auditorilor de securitate cibernetica, singurii care pot efectua auditurile de securitate cibernetica impuse de actul normativ.
Potrivit Directivei, companiile care presteaza servicii esentiale pentru populatie si/sau furnizorii de servicii digitale sunt obligati sa elaboreze si sa implementeze solutii avansate care sa le asigure securitatea informatica si sa colaboreze cu statul pentru a garanta un raspuns coordonat la atacuri informatice.
Nerespectarea implementarii directivei NIS aduce dupa sine consecinte importante: de la sanctiuni din partea autoritatii competente (CERT-RO) la pierderi financiare in urma unor potentiale atacuri si chiar afectarea reputatiei.
Regulamentul, publicat in Monitorul Oficial, stabileste cadrul legal pentru atestarea auditorilor de securitate cibernetica pentru auditarea retelelor si sistemelor informatice ce sustin servicii esentiale ori furnizeaza servicii digitale in conditiile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice.
Documentul este insotit de un Cod etic al auditorilor de securitate cibernetica, care reprezinta un ansamblu de principii si reguli de conduita, astfel incat acestia sa-si indeplineasca cu profesionalism, loialitate, corectitudine si in mod impartial indatoririle de serviciu si sa se abtina de la orice fapta care ar putea sa aduca prejudicii institutiei.
Astfel, in desfasurarea activitatii auditorul de securitate cibernetica este obligat sa respecte urmatoarele principii fundamentale precum integritatea, independenta si obiectivitatea, confidentialitatea, competenta profesionala si neutralitatea politica.
Atestarea este realizata de CERT-RO pe baza unor criterii stabilite in regulamentul mentionat. Potrivit acestuia, auditorii de securitate cibernetica pot fi persoane fizice atestate cetateni romani, precum si cetateni ai altui stat membru al Uniunii Europene ori al Spatiului Economic European sau persoane juridice cu personal atestat.
Nevoia continua de persoane specializate
Conform unui raport ENISA (Agentia Uniunii Europene pentru Securitate Cibernetica) realizat in urma unui sondaj in randul a 251 de organizatii din cadrul a 5 state membre ale Uniunii Europene (Franta, Germania, Italia, Polonia, Spania), se remarca nevoia continua de personal specializat in domeniul securitatii cibernetice. Estimarile la nivel global arata ca in anul 2022 vor fi aproximativ 3.5 milioane de pozitii neocupate in domeniul securitatii cibernetice (dintre care aproximativ 400,000 in UE), de 3,5 ori mai multe decat nivelul 2016. Companiile chestionate au precizat ca cel mai mare procent (37%) din bugetul de implementare a cerintelor directivei NIS a fost directionat catre angajarea personalului specializat, iar unul dintre domeniile de securitate prioritizate (fiind pozitionat primul in topul organizatiilor in procent de 64.5%) este domeniul guvernantei, gestionarii riscului si conformitatii.
