- Els actius d’informació necessaris per a la prestació dels serveis als quals s’aplica l’ENS-AD són objecte d’una auditoria interna ordinària anual que verifiqui el compliment dels requisits establerts en aquest Reglament.
Amb caràcter extraordinari, aquesta auditoria s’ha de fer sempre que es produeixin modificacions substancials en els serveis als quals s’aplica l’ENS-AD o en els actius d’informació que els suporten, o en un nombre significatiu de mesures de seguretat requerides d’acord amb el que estableix l’article 14 d’aquest Reglament. La realització d’aquesta auditoria extraordinària determina la data de còmput per al càlcul dels dos anys establerts per efectuar la següent auditoria ordinària, indicats en el paràgraf anterior.
- L’auditoria es porta a terme d’acord amb la guia d’auditoria de l’ENS-AD publicada per l’ANC-AD, i amb els nivells de seguretat que l’entitat hagi assignat als serveis als quals s’aplica l’ENS-AD.
- L’informe d’auditoria serveix a l’òrgan de direcció de l’entitat per identificar les mesures que l’entitat necessita adoptar per corregir la possible falta d’adequació amb l’ENS-AD, i ha d’incloure la metodologia emprada, l’abast i l’objectiu de l’auditoria, el grau de compliment i incompliment d’aquest Reglament, les evidències que suporten els incompliments detectats, i les mesures que s’han d’adoptar per resoldre els incompliments.
- Els informes d’auditoria poden ser requerits per les autoritats competents designades a l’article 6 de la Llei NIS-AD, en l’exercici de la seva obligació de supervisió d’acord amb el capítol tercer de la Llei NIS-AD.
Capítol sisè. Actualització i certificació de l’Esquema nacional de seguretat