Mai sînt 2 ani?

Explicația cel mai des auzită în ultimul timp cu privire la auditul pe legea NIS: ”mai este timp”. Așa este, auditul extern se realizează la interval de 2 ani (în cazul celor mai mulți OSE). Dar, pînă la acest audit, managementul OSE trebuie să execute anual anumite activități care sînt revizuite de către auditor:

Legea 362/2018

Art. 10(4) Termenul de conformare pentru îndeplinirea obligațiilor prevăzute la alin. (1) lit. a) și b) este de 6 luni de la data intrării în vigoare a normelor tehnice privind cerințele de securitate și notificare ori, după caz, de la data înscrierii în Registrul operatorilor de servicii esențiale.

NORME TEHNICE din 9 noiembrie 2020 privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice aplicabile operatorilor de servicii esențiale

(2) După implementarea cerințelor minime de asigurare a securității rețelelor și sistemelor informatice și intrarea în conformitate, OSE va informa ANSRSI, prin canalele de comunicare cunoscute (NIS@cert.ro). – Art. 38 (1)

A111]. Analiza riscurilor de securitate. OSE efectuează și actualizează periodic o analiză a riscurilor de securitate a rețelelor și sistemelor informatice care asigură furnizarea serviciilor esențiale, identificând sistemele/echipamentele informatice critice care stau la baza furnizării serviciului esențial și principalele riscuri.

[A122]. Implementarea politicii de securitate. OSE întocmește în beneficiul managementului său, cel puțin anual, un raport privind implementarea PONIS și a documentelor de aplicare a acesteia.1. Raportul specifică inventarul riscurilor, nivelul securității rețelelor și sistemelor informatice și acțiunile de securitate planificate și realizate.

[A131]. Acreditarea rețelelor și sistemelor informatice. În baza ARNIS și în conformitate cu procesul de acreditare stabilit în PONIS, OSE acreditează rețelele și sistemele informatice, inclusiv componentele de administrare.1. Acreditarea de securitate este o decizie formală luată de managementul de nivel înalt al OSE prin care se certifică procesul de identificare a riscurilor care afectează securitatea și modul de implementare a măsurilor necesare pentru protejare și are valabilitate de cel mult un an.

[A132]. Revizuirea validării acreditării de securitate. Anual și ori de câte ori se identifică un eveniment/proces de dezvoltare care modifică contextul descris în procesul de acreditare sau de fiecare dată când se modifică în mod semnificativ configurația rețelelor și sistemelor informatice sau a aplicațiilor, OSE va revizui validarea acreditării de securitate. OSE are obligația reînnoirii aprobării imediat ce nu mai este valabilă.

[A151]. Evaluarea conformității. În baza ARNIS, OSE stabilește și actualizează periodic procedura privind evaluarea conformității SNIS și efectuarea auditului de securitate a rețelelor și sistemelor informatice.1. Activitatea se efectuează anual la nivelul OSE de către structura de securitate sau de o echipă complexă stabilită de managementul de cel mai înalt nivel. Ea se finalizează cu un raport de evaluare a conformității

[A141]. Indicatori de securitate. OSE stabilește o serie de indicatori de evaluare, pe baza cărora își evaluează conformitatea cu PONIS.

Constatarea mea este că, în multe cazuri, managementul OSE nu prea știe ce a semnat/asumat odată cu înregistrarea în ROSE și care sînt implicațile juridice.

Pot fi externalizate cele de mai sus? Da, dar din perspectiva cerințelor de securitate și a auditului, ”rezultatul” (de exemplu o analiză a decalajelor care să includă și indicatorii de conformitate) serviciilor externalizate trebuie asumat formal de către management pentru că responsabilitatea cu privire la conformitate este la managementul OSE nu la furnizorul de servicii/consultant

2 gânduri despre “Mai sînt 2 ani?

  1. De mentionat este si faptul ca termenul de 6 luni este nu doar pentru implementarea cerintelor din normele tehnice, ci si de auditul de securitate cibernetica efectuat de un auditor autorizat CERT

    Apreciază

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.