W ramach projektu „Cyfrowa Gmina” obligatoryjne jest przeprowadzenie audytu cyberbezpieczeństwa (w dokumentacji projektu naprzemiennie używane jest określenie „diagnoza cyberbezpieczeństwa”). Audyt taki musi zostać przeprowadzony przez osobę posiadająca uprawnienia wykazane w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu w rozumieniu art. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Wykaz certyfikatów wskazanych w w/w rozporządzeniu znajduje się poniżej:

1. Certified Internal Auditor (CIA)
2. Certified Information System Auditor (CISA)
3. Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób
4. Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób
5. Certified Information Security Manager (CISM)
6. Certified in Risk and Information Systems Control (CRISC)
7. Certified in the Governance of Enterprise IT (CGEIT)
8. Certified Information Systems Security Professional (CISSP)
9. Systems Security Certified Practitioner (SSCP)
10. Certified Reliability Professional
11. Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert

Zgodnie z regulaminem projektu „Cyfrowa Gmina” audyt może zostać przeprowadzony przez pracownika Gminy, lecz należy pamiętać, że taka osoba musi się legitymować jednym ze wskazanych certyfikatów. W powyższym przypadku audyt cyberbezpieczeństwa będzie bezpłatny. Można również skorzystać z usług firmy zewnętrznej lub bezpośrednio osoby z odpowiednim certyfikatem – takie wydatki (umowa cywilno-prawna lub wynagrodzenie firmy) będą wydatkami kwalifikowalnymi w ramach projektu „Cyfrowa Gmina”.

Diagnoza cyberbezpieczeństwa musi zostać przeprowadzona zgodnie z formularzem, zamieszczonym w dokumentacji projektu dostępnym na stronach Centrum Projektów Polska Cyfrowa, w ciągu sześciu miesięcy od dnia zawarcia umowy o powierzenie grantu, a nie od momentu przekazania środków. W uzasadnionych przypadkach będzie możliwość przekazania diagnozy w późniejszym terminie (nie wskazano terminu możliwych przesunięć). Przekazanie diagnozy nastąpi za pomocą elektronicznej skrzynki podawczej ePUAP do NASK na adres ePUAP NASK-PIB: /NASK-Instytut/SkrytkaESP

Audyt cyberbezpieczeństwa należy przeprowadzić w Urzędzie Gminy, nie dotyczy on jednostek podległych nawet w przypadku gdy będą podlegać informatyzacji np. poprzez wdrożenia systemów typu SIDAS mikroEZD lub wykonanie e-usług umożliwiających kontakt z interesantami poprzez różnego rodzaju portale (SIDAS CU lub SIDAS BIP).

Kiedy będzie trzeci nabór ? Na to pytanie nie znamy jeszcze odpowiedzi, ale warto mieć na uwadze powyższe i być przygotowanym do składania wniosku zgodnie z założeniami projektu Cyfrowa Gmina.