W ramach projektu „Cyfrowa Gmina” obligatoryjne jest przeprowadzenie audytu cyberbezpieczeństwa (w dokumentacji projektu naprzemiennie używane jest określenie „diagnoza cyberbezpieczeństwa”). Audyt taki musi zostać przeprowadzony przez osobę posiadająca uprawnienia wykazane w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu w rozumieniu art. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Wykaz certyfikatów wskazanych w w/w rozporządzeniu znajduje się poniżej:
- Certified Internal Auditor (CIA)
- Certified Information System Auditor (CISA)
- Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób
- Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób
- Certified Information Security Manager (CISM)
- Certified in Risk and Information Systems Control (CRISC)
- Certified in the Governance of Enterprise IT (CGEIT)
- Certified Information Systems Security Professional (CISSP)
- Systems Security Certified Practitioner (SSCP)
- Certified Reliability Professional
- Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert
Zgodnie z regulaminem projektu „Cyfrowa Gmina” audyt może zostać przeprowadzony przez pracownika Gminy, lecz należy pamiętać, że taka osoba musi się legitymować jednym ze wskazanych certyfikatów. W powyższym przypadku audyt cyberbezpieczeństwa będzie bezpłatny. Można również skorzystać z usług firmy zewnętrznej lub bezpośrednio osoby z odpowiednim certyfikatem – takie wydatki (umowa cywilno-prawna lub wynagrodzenie firmy) będą wydatkami kwalifikowalnymi w ramach projektu „Cyfrowa Gmina”.
Diagnoza cyberbezpieczeństwa musi zostać przeprowadzona zgodnie z formularzem, zamieszczonym w dokumentacji projektu dostępnym na stronach Centrum Projektów Polska Cyfrowa, w ciągu sześciu miesięcy od dnia zawarcia umowy o powierzenie grantu, a nie od momentu przekazania środków. W uzasadnionych przypadkach będzie możliwość przekazania diagnozy w późniejszym terminie (nie wskazano terminu możliwych przesunięć). Przekazanie diagnozy nastąpi za pomocą elektronicznej skrzynki podawczej ePUAP do NASK na adres ePUAP NASK-PIB: /NASK-Instytut/SkrytkaESP
Audyt cyberbezpieczeństwa należy przeprowadzić w Urzędzie Gminy, nie dotyczy on jednostek podległych nawet w przypadku gdy będą podlegać informatyzacji np. poprzez wdrożenia systemów typu SIDAS mikroEZD lub wykonanie e-usług umożliwiających kontakt z interesantami poprzez różnego rodzaju portale (SIDAS CU lub SIDAS BIP).
Kiedy będzie trzeci nabór ? Na to pytanie nie znamy jeszcze odpowiedzi, ale warto mieć na uwadze powyższe i być przygotowanym do składania wniosku zgodnie z założeniami projektu Cyfrowa Gmina.