- Les entitats crítiques i les entitats equivalents a entitats crítiques són objecte, almenys anualment, d’una auditoria interna ordinària que verifica el compliment dels requisits establerts en aquest Reglament.
Amb caràcter extraordinari, ha de fer-se aquesta auditoria sempre que es produeixin modificacions substancials en les infraestructures de l’entitat inscrites en el CNIC, o en un nombre significatiu de mesures de seguretat requerides d’acord amb el PSE corresponent. Aquesta auditoria extraordinària ha de determinar la data de còmput per al càlcul de l’any per efectuar l’auditoria ordinària següent, d’acord amb el que s’indica al paràgraf anterior.
- L’auditoria es duu a terme d’acord amb la guia d’auditoria d’infraestructures crítiques publicada per l’ANC-AD, i amb el nivell més alt dels nivells de seguretat que les entitats essencials hagin assignat als serveis essencials que depenen de cada infraestructura crítica.
- L’informe d’auditoria serveix a l’òrgan de direcció de l’entitat per identificar les mesures que l’entitat necessita adoptar per corregir la possible falta d’adequació amb el RIC-AD, i ha d’incloure la metodologia emprada, l’abast i l’objectiu de l’auditoria, el grau de compliment i incompliment d’aquest Reglament, les evidències que demostren els incompliments detectats i les mesures que s’han d’adoptar per resoldre els incompliments.
- Els informes d’auditoria poden ser requerits per les autoritats competents, i els del darrer any han d’estar a disposició, com a molt tard, el primer trimestre de l’any en curs, en l’exercici de la seva obligació de supervisió d’acord amb el que s’estableix al capítol tercer de la Llei NIS-AD.