Grâce a ses visions avant-gardistes, la Tunisie a été le premier pays a promulguer une loi sur l'obligation d'un audit périodique de la sécurité informatique des organismes publics et de certains organismes privés (voir Décret n° 2004-1250 du 25 mai 2004, fixant les systemes informatiques et les réseaux des organismes soumis a l'audit obligatoire périodique de la sécurité informatique et les criteres relatifs a la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit).
L'obligation des audits concerne :
Les systemes informatiques et les réseaux relevant des organismes publics,
Les opérateurs de réseaux publics et FSI’s,
Les entreprises dont les réseaux sont interconnectés a travers des réseaux externes
Les entreprises qui procedent au traitement automatisé des données personnelles de leurs clients.
Les seules personnes habilitées a effectuer ces missions d'audit sont les auditeurs certifiés par l'Agence Nationale de la Sécurité Informatique
et ce, conformément au Décret n° 2004-1249 du 25 mai 2004, fixant les conditions et les procédures de certification des auditeurs dans le domaine de la sécurité informatique.