Loi n° 5 - 2004 du 3 février 2004, relative a la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les regles générales de protection des systemes informatiques et des réseaux.
Grâce a ses visions avant-gardistes, la Tunisie a été le premier pays a promulguer une loi sur l'obligation d'un audit périodique de la sécurité informatique des organismes publics et de certains organismes privés (voir Décret n° 2004-1250 du 25 mai 2004, fixant les systemes informatiques et les réseaux des organismes soumis a l'audit obligatoire périodique de la sécurité informatique et les criteres relatifs a la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit).
L'obligation des audits concerne :
- Les systemes informatiques et les réseaux relevant des organismes publics,
- Les opérateurs de réseaux publics et FSI’s,
- Les entreprises dont les réseaux sont interconnectés a travers des réseaux externes
- Les entreprises qui procedent au traitement automatisé des données personnelles de leurs clients.
Les seules personnes habilitées a effectuer ces missions d'audit sont les auditeurs certifiés par l'Agence Nationale de la Sécurité Informatique et ce, conformément au Décret n° 2004-1249 du 25 mai 2004, fixant les conditions et les procédures de certification des auditeurs dans le domaine de la sécurité informatique.