luni, 13 martie 2023

Ciocul mic, ureche mică

Cât ar trebui să coste auditul tehnic pentru un proiect IT unic în România, cu riscuri de securitate și o valoare de 100 milioane lei?

0,1% din valoarea proiectului, în viziunea ADR.

Apreciez însă că au publicat in SICAP anunțul de achiziție directă – dată limită 20 Martie pentru cei interesați.

Mai țineți minte când protestam că acest proiect (PSCID) nu-și propune să respecte cerințele eIDAS, respectiv ale Regulamentului 1502?  Că da, că nu, iată că a venit momentul când trebuie definită misiunea de audit.

Iar definiția este așa:

În urma activității de auditare se va încheia:

I. un raport de audit, care va cuprinde următoarele secțiuni:

1. audit de securitate;

2. audit informatic;

II. un raport de evaluare a conformității soluției tehnice, întocmit de către un organism de evaluare a conformității, în concordanță cu prevederile Regulamentului eIDAS.

Raportul de audit va acoperi toate activitățile destinate pentru realizarea proiectului PSCID, din prisma securității informaționale și conformității cu cerințele tehnice impuse de contractul de finanțare.

Raportul de evaluare a conformității va avea în vedere conformitatea soluției tehnice de identificare cu cerințele Normei din 2021 privind reglementarea, recunoașterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanță utilizând mijloace video aprobată prin decizia președintelui ADR nr. 564/2021.


Să ne aplicăm asupra celor citate.

un organism de evaluare a conformității, în concordanța cu prevederile eIDAS” se referă la definiția din Art.3 (18) din eIDAS care trimite la alt Regulament care reglementează cerințele de acreditare aferente evaluatorilor, nu la cerințe tehnice specifice eIDAS – acestea oricum sunt altundeva, în Regulamentul (UE) 2015/1502.

cerințele tehnice impuse de contractul de finanțare” – nici măcar cerințele impuse de Caietul de Sarcini!

conformitatea soluției tehnice de identificare cu cerințele Normei ... privind ... procedura de identificare a persoanei la distanță utilizând mijloace video” emisă de ADR. Aici merită subliniat că această normă a fost emisă după contractare PSCID, deci se putea alege, cu atât mai mult, ca standard Regulamentul 1502.


Este interesant că furnizorul trebuie să aibă un expert care să poată evalua și conformitatea față de Caietul de Sarcini și față de Regulamentul eIDAS.

Nu există criterii de calificare care să filtreze evaluatorii lipsiți de independență față de furnizorul sistemului evaluat.


În concluzie,

ADR ar fi curios să afle cât de departe este PSCID de reglementările europene, dar doar discutând la o țigară.

Capacitatea PSCID de a deservii administrația publică rămâne o necunoscută, de rezolvat mai încolo, după ce se împart banii s-o găsi cineva să se ocupe și de asta.


Hate to be right !

Niciun comentariu:

Trimiteți un comentariu