Cerința din titlu este sau ar trebui să fie, foarte bine cunoscută și documentată…..

ISO2700:2022, ”Organisational Controls”:

NIST CSF2.0 – Governance….

Art. 37 (14)/OUG155:

În cazul în care actele juridice sectoriale ale Uniunii Europene impun entităților esențiale sau entităților importante să adopte măsuri de gestionare a riscurilor în materie de securitate cibernetică sau să raporteze incidentele semnificative, iar cerințele respective au un efect cel puțin echivalent cu efectul obligațiilor prevăzute în prezenta ordonanță de urgență, dispozițiile prezentei ordonanțe de urgență privind măsurile de gestionare a riscurilor, raportarea incidentelor, precum și supravegherea, verificarea și controlul nu se aplică acestor entități. În cazul în care actele juridice sectoriale ale Uniunii Europene nu acoperă toate entitățile dintr-un anumit sector care intră în domeniul de aplicare a prezentei ordonanțe de urgență, dispozițiile relevante ale prezentei ordonanțe de urgență se aplică în continuare entităților care nu fac obiectul respectivelor acte juridice sectoriale ale Uniunii Europene.

O astfel de cerință va fi și în legislația secundară.

Dar care este oare rolul ”Accountable” pentru așa o sarcină? Sigur nimeni de la IT! Acolo sînt doar ”Responsible”.

Trei exemple care se pot aplica sau nu.

Dacă ești organizație din domeniul ”electricitate” este bine să verifici și REGULAMENTUL DELEGAT (UE) 2024/1366 AL COMISIEI din 11 martie 2024 de completare a Regulamentului (UE) 2019/943 al Parlamentului European și al Consiliului prin stabilirea unui cod de rețea privind normele sectoriale pentru aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică + LEGE nr. 294 din 27 noiembrie 2024privind reziliența entităților critice, precum și pentru modificarea unor acte normative + ce mai spun European Union Agency for the Cooperation of Energy Regulators (ACER), European Network of Transmission System Operators for Electricity (ENTSO-E), and Association of European Distribution System Operators (E.DSO) 

Dacă ești organizație din domeniul ”aviație” este bine să verifici și REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2023/203 AL COMISIEI din 27 octombrie 2022 + REGULAMENTUL DELEGAT (UE) 2022/1645 AL COMISIEI din 14 iulie 2022 + LEGE nr. 294 din 27 noiembrie 2024privind reziliența entităților critice, precum și pentru modificarea unor acte normative

Dacă ești organizație din domeniul ”transport feroviar” este bine să verifici și LEGE nr. 294 din 27 noiembrie 2024 privind reziliența entităților critice, precum și pentru modificarea unor acte normative.

Dincolo de ”conformitate” această cerință servește ca bază în planificarea misiunii de audit. Căci auditorul nu este implicit cunoscătorul “a tot și toate” și prima lui obligație este să cunoască organizația și mediul în care aceasta operează….