Organisaatio on ottanut käyttöön menettelyt sisäisten tarkastusten suorittamiseksi. Menettelyissä on kuvattava ainakin seuraavat seikat:

• kuinka usein auditointeja tehdään
• kuka voi suorittaa auditointeja (mukaan lukien auditointikriteerit).
• miten varsinainen auditointi suoritetaan
• miten auditoinnin tulokset dokumentoidaan ja kenelle niistä raportoidaan.
• tuloksista on ilmoitettava toimivaltaiselle viranomaiselle, jos sitä säännellään lainsäädännöllä.

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

• onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
• onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
• onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

The organization shall appoint a qualified auditor for the verification of its cybersecurity risk management measures. The auditor shall meet the necessary qualification requirements as defined by the relevant regulations.

To be considered qualified, the auditor must provide documented evidence of one or more of the following:

For essential entities, the auditor must meet all three requirements.

The organization shall ensure that the auditor's appointment is approved by the CIP Department or, where applicable, the designated competent authority. The appointment can only be made after the auditor has submitted a motivated request and supporting documents to the approving authority and official approval has been granted.

The audit shall confirm that the organization's cybersecurity risk management measures comply with the applicable legal, regulatory, and technical standards.