Art. 8 din Legea NIS precizează că

Înscrierea operatorilor de servicii esențiale în Registrul operatorilor de servicii esențiale se realizează prin decizia directorului general al CERT-RO care se comunică operatorului de servicii esențiale în urma depunerii unui raport de audit care atestă îndeplinirea cerințelor minime de securitate și notificare (…)

Operatorii de servicii esențiale sînt obligați să furnizeze „dovezi privind punerea efectivă în aplicare a politicilor de securitate, precum rezultatele unui audit de securitate realizat de autoritatea competentă sau de un auditor calificat și, în acest din urmă caz, să pună la dispoziția autorității competente rezultatele auditului, inclusiv probele pe care se bazează acesta.„

Cerințele minime de securitate pentru operatori și furnizori sînt menționate în Art. 25 din legea NIS (de fapt sînt menționate sub denumirea de „categorii de activități„) iar CERT pune la dispoziție un GHID PRACTIC – ELABORARE DOCUMENTAȚIA DE AUTOEVALUARE A ÎNDEPLINIRII CERINȚELOR MINIME DE SECURITATE. După data de 12.01.2021, DAICMS nu se mai elaborează și va fi înlocuită de Raportul de audit elaborat de un auditor de securitate NIS.

Cu privire la „information systems securty audit„, ENISA preia în Guidelines on assessing DSP and OES compliance to the NISD security requirements (2018) definiția din articolul „Information Systems Security Audit: An Ontological Framework„ publicat în 2016 în ISACA Journal:

An information systems security audit (ISSA) is an independent review and examination of system records, activities and related documents. These audits are intended to improve the level of information security, avoid improper information security designs, and optimize the efficiency of the security safeguards and security processes

Mai departe, pe baza Art. 14, 15, 16 din Directiva NIS se precizează că principalele obiective ale „IS audit„ vor include (fără a se limita):

• managementul riscurilor, identificarea și clasificarea activelor sistemului informațional;
• evaluarea generală a proiectării și eficacității controalelor operaționale, la toate nivelurile (procedural și sistemic)
• conformitatea tuturor proceselor și sistemelor cu legislația aplicabilă precum și cu politicile și cadrele de lucru/referință.

Cum ne învață teoria, auditorul are acum stabilite de la bun început „obiectivele„ pe care misiunea sa trebuie să le atingă. Mai mult, este menționat explicit că trebuie să evalueze nivelul de încredere pe care îl poate atribui controalelor: dacă este capabil să preîntâmpine și să corecteze (proiectarea controlului) și dacă acesta funcționează eficient (eficacitatea sau testarea de fond/detaliu).

Operatorii de servicii esențiale se pot pregăti pentru atingerea conformității studiind (printre altele) documentul ENISA Reference document on security measures for Operators of Essential Services:

Documentul este acompaniat și de Minimum Security Measures for Operators of Essentials Services, un instrument care aliniază cerințele din cele mai cunoscute standarde (ISO, NIST și ISA/IEC)

ITAF – IT Assurance Framework a fost actualizat anul acesta. Sper ca viitorul Directorat de Securitate Cibernetică să se inspire și de aici atunci cînd va stabili cerințele pentru auditori astfel încît să se facă și la noi audit așa cum trebuie. Pentru că acestă misiune este una de atestare:

Attestation—An engagement in which an IT auditor is engaged to either examine management’s assertion regarding a particular subject matter or the subject matter directly.