12 października 2018 r. zostało opublikowane rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu. Rozporządzenie stanowi uzupełnienie przepisów ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.

Zgodnie z zapisami ustawy operatorzy usług kluczowych mają obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata. Pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej.

Audyt może być przeprowadzony przez jednostkę oceniającą zgodność [1], co najmniej dwóch audytorów z odpowiednim doświadczeniem [2] albo co najmniej dwóch audytorów posiadających certyfikaty określone w rozporządzeniu.

Wykaz certyfikatów – audyt bezpieczeństwa systemu informacyjnego do usługi kluczowej

Rozporządzenie zawiera wykaz certyfikatów, które uprawniają do przeprowadzania audytu:

1. Certified Internal Auditor (CIA);
2. Certified Information System Auditor (CISA);
3. Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;
4. Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
5. Certified Information Security Manager (CISM);
6. Certified in Risk and Information Systems Control (CRISC);
7. Certified in the Governance of Enterprise IT (CGEIT);
8. Certified Information Systems Security Professional (CISSP);
9. Systems Security Certified Practitioner (SSCP);
10. Certified Reliability Professional;
11. Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.

---

Przypisy:

[1] Jednostka oceniająca zgodność musi być akredytowana zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych. (art. 15 ust.2 pkt. 1 ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.)

[2] Audytor powinien posiadać co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych lub co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymować się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych (art. 15 ust. 2 pkt. 2 ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.)

---