Sari la conținutul principal

AUDIT-READINESS

Pregătirea pentru auditul NIS 2

Auditul DNSC poate fi periodic sau ad-hoc, iar cele inopinate nu dau timp de pregătire — audit-readiness este o stare permanentă, nu un sprint de-dinainte. Iată exact ce caută un auditor: politici, proceduri, înregistrări și indicatorii KPI/KRI din spatele lor.

Masă de conferință pregătită pentru audit: bibliorafturi, checklist și un dashboard de indicatori (imagine ilustrativă)

Politici, proceduri, înregistrări — ce caută un auditor

Un audit nu verifică ce știi — verifică ce poți dovedi. Trei niveluri de dovezi, fiecare cu un rol diferit.

POLITICI

Intenția, aprobată la vârf

Documente aprobate de conducere, cu istoric de versiuni și dată a ultimei revizii — un auditor verifică întâi dacă politica există, apoi dacă e la zi.

  • Politică de securitate a informației

  • Politică de gestionare a incidentelor

  • Politică de control acces și gestionare identități

  • BCP / DRP (continuitate a activității și recuperare în caz de dezastru)

  • Politică privind securitatea furnizorilor critici

  • Politică publică CVD (raportare vulnerabilități)

PROCEDURI

Procesul operațional, documentat

Cum se execută efectiv politica, zi de zi — obligațiile continue din art. 12 și art. 15 OUG 155/2024, redate verbatim din conținutul REMILT despre pașii de conformare.

  • Calendar anual fix: autoevaluare CyFun + raport DNSC
  • Procedură IR: avertizare PNRISC ≤24h, raportare ≤72h, raport final ≤1 lună (6h transfrontalier)
  • Plan de revizie a politicilor (anual minim) + log de revizii
  • Scanare vulnerabilități periodică + politică CVD publică
  • Test backup (≥anual) + test BCP/DRP (≥anual)
  • Program de formare anual cu evidențe de participare
  • Re-evaluarea furnizorilor critici (anual sau la schimbare)
  • Notificare către DNSC la fiecare modificare relevantă (sediu, CISO, sectoare, dimensiune)
  • Monitorizare 24/7 (ESENȚIAL) sau 8/5 (IMPORTANT)

ÎNREGISTRĂRI

Dovada că s-a întâmplat efectiv

Loguri, registre, rapoarte, procese-verbale — dovezi cu dată și autor, nu o declarație făcută retroactiv.

  • Registre vii: active, riscuri, vulnerabilități, incidente, excepții

  • Loguri de sistem și de securitate (SIEM, acces, modificări)

  • Procese-verbale: sesiuni de training, teste BCP/DRP, revizii de politici

  • Rapoarte de autoevaluare CyFun + planul de remediere și progresul lui

  • Confirmări de transmitere PNRISC pentru fiecare incident raportat

  • Rapoarte de audit anterioare + dovezi de remediere a constatărilor

KPI și KRI — ce sunt și ce caută auditorii

Un KPI (indicator de performanță) măsoară cât de bine funcționează efectiv un proces de securitate. Un KRI (indicator de risc) semnalează din timp o expunere în creștere, înainte să devină incident. Auditorii caută dovezi măsurate, nu o declarație de intenție — sunt bune practici recomandate, formulate conservator, nu cifre legale inventate.

  • Acoperire patch-uri critice

    Ponderea sistemelor actualizate în fereastra internă stabilită.

  • Timp mediu de detecție (MTTD)

    Cât de repede este observată o anomalie, înainte să fie raportată.

  • Timp mediu de răspuns (MTTR)

    Cât de repede este izolat și escaladat un incident detectat.

  • Rata de raportare la timp a incidentelor

    Ponderea incidentelor semnificative raportate către PNRISC în ferestrele legale de mai jos.

  • Rata de finalizare a instruirii

    Ponderea personalului cu sesiune finalizată și evaluare promovată, cu evidențe de participare.

  • Rata de backup / BCP-DRP testat

    Ponderea testelor efectiv executate față de planul anual, nu doar programate.

  • Excepții de securitate deschise

    Numărul de excepții deschise peste termenul de remediere asumat.

  • Actualitatea autoevaluării CyFun

    Dacă autoevaluarea anuală și planul de remediere aferent sunt la zi.

Reperul legal din spatele KRI-ului de raportare (art. 15, OUG 155/2024)

  1. ≤ 24h

    Avertizare timpurie (PNRISC)

  2. ≤ 72h

    Raportare incident

  3. ≤ 1 lună

    Raport final

Raportare incidente (art. 15 alin. 7): avertizare timpurie ≤ 24h; raportare ≤ 72h (≤ 24h pentru prestatori servicii de încredere); raport final ≤ 1 lună; incident transfrontalier ≤ 6h.

Cum decurge un audit DNSC

Auditul de securitate cibernetică este OBLIGATORIU pentru toate entitățile EE și EI conform art. 11 alin. (5)-(6) și art. 57 OUG 155/2024.

Auditul poate fi: PERIODIC (cu regularitatea stabilită prin ordinul DNSC, în funcție de nivelul de risc) sau AD-HOC (la decizia motivată a DNSC: ca urmare a unui incident semnificativ; a unei schimbări cu impact semnificativ — nu mai târziu de 180 de zile de la apariție; a unor indicii temeinice de încălcare a OUG — numai EE).

DUPĂ ORDINELE DNSC

ATENȚIE: Ordinul DNSC privind periodicitatea auditului NU este încă publicat. Procesul de atestare a auditorilor conform Legii 362/2018 continuă până la emiterea noului regulament (comunicat DNSC 16.01.2025). Atestatele auditorilor au valabilitate 3 ani.

Audituri oficiale DNSC — DUPĂ emiterea ordinelor de periodicitate (aflate în transparență decizională). Nu există încă un ordin care să declanșeze auditurile; până atunci prioritatea rămâne evaluarea de maturitate, planul de remediere și implementarea măsurilor.

Secvența unui audit, pas cu pas

  1. Selectarea auditorului atestat DNSC din lista publică

  2. Verificarea condițiilor de independență (fără conflicte, fără > 3 audituri consecutive)

  3. Semnarea contractului de audit (NDA + răspundere personală)

  4. Furnizarea către auditor a politicilor, procedurilor, măsurilor, dovezilor, registrelor, log-urilor

  5. Asistarea echipei de audit pe teren / remote

  6. Primirea raportului de audit

  7. Transmiterea raportului către DNSC în max. 5 zile de la finalizare

  8. Întocmirea Planului de Măsuri pentru remedierea deficiențelor (în 15 zile lucrătoare)

  9. Implementarea conform termenelor asumate

  10. Notificarea DNSC la împlinirea termenului + acte doveditoare (în 5 zile)

Termene legale (verbatim, art. 11 / 46 / 57 / 58)

  • Art. 11 alin. (5)-(6): periodicitate stabilită prin ordinul DNSC — ÎN AȘTEPTAREA EMITERII.
  • Art. 57 alin. (2) lit. b): audit ad-hoc la schimbare cu impact semnificativ — nu mai târziu de 180 de zile de la apariție.
  • Art. 46 alin. (8): în max. 5 zile de la finalizarea auditului — transmiterea rezultatelor la DNSC.
  • Art. 57 alin. (8): 15 zile lucrătoare de la primirea raportului — întocmirea și transmiterea Planului de Măsuri.
  • Art. 58 alin. (6): valabilitatea atestatului de auditor — 3 ani.

⚖ Important

Auditurile oficiale devin obligatorii după emiterea ordinului DNSC de periodicitate — nu există încă un calendar fix de audit, iar această pagină nu inventează unul. REMILT pregătește dosarul de conformare și rulează simulări pre-audit, dar REMILT nu este DNSC: doar DNSC selectează, desfășoară și decide rezultatul auditului oficial.

Expert NIS 2 · 31+ audituri NIS la activ — știm ce cere DNSC, ce dovezi consideră suficiente și care sunt capcanele tipice.

Resurse

Construiește dosarul de audit-readiness, înainte de ordin

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.