Wśród obowiązków nakładanych na operatorów usług kluczowych ustawa wymienia audyty systemów bezpieczeństwa. Systemy bezpieczeństwa są indywidualne dla każdego przedsiębiorcy objętego regulacją, dlatego nie wskazano zakresu audytu. Może być on drastycznie różny dla operatorów w zależności od sektora – ustawa obejmuje zarówno dużych przedsiębiorców z potężnymi zasobami, jak i średniej wielkości, bardziej wyspecjalizowane podmioty.

Z tego powodu nacisk położono na określenie, w jaki sposób można przeprowadzić audyt w rozumieniu ustawy. Artykuł 15 ustawy dopuszcza kilka sposobów, które instytucja może wybrać jako najbardziej odpowiedni dla niej. Jednym z nich jest możliwość przeprowadzenia audytu przez zespół składający się co najmniej z dwóch audytorów, posiadających kwalifikacje potwierdzone odpowiednimi certyfikatami.

Właśnie opublikowane rozporządzenie zawiera wykaz tych certyfikatów. Są tam zarówno typowo audytorskie certyfikaty (Certified Information System Auditor (CISA)), jak i operacyjne (Certified Information Systems Security Professional (CISSP)). Dopuszczono także do audytów osoby certyfikowane przez akredytowane jednostki jako audytorzy wiodący ISO/IEC 27000 (bezpieczeństwo informacji) i ISO 22301 (ciągłość działania). Podczas konsultacji specjaliści z poszczególnych branż zasugerowali rozszerzenie wykazu także o certyfikaty branżowe z zakresu automatyki przemysłowej (ISA/IEC 62443 Cybersecurity Expert).

Warto wskazać, że sposób przeprowadzenia audytu wybiera operator usługi kluczowej i to on decyduje, która droga będzie dla niego najbardziej odpowiednia. Czynnikami, które powinien brać pod uwagę, jest wielkość działalności, jej obszar, rodzaj świadczonych usług oraz wykorzystywane systemy teleinformatyczne. Sposób przeprowadzenia audytu powinien być adekwatny do działalności operatora.

Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu