METODOLOGIE din 11 august 2025privind evaluarea nivelului de risc al entităţilor
Publicat în
MONITORUL OFICIAL nr. 776 din 20 august 2025Data intrării în vigoare 20-08-2025
Aprobată prin ORDINUL nr. 2 din 11 august 2025, publicat în Monitorul Oficial al României, Partea I, nr. 776 din 20 august 2025.Articolul 1
(1) În vederea sprijinirii entităţilor esenţiale şi entităţilor importante, DNSC dezvoltă două mecanisme specifice, respectiv:a) un instrument de evaluare a nivelului de risc al unei entităţi - ENIRE@RO;b) o platformă de înrolare, informare şi cooperare - NIS2@RO.(2) Mecanismele sunt destinate tuturor entităţilor esenţiale şi importante înscrise în registrul entităţilor şi sunt utilizate în vederea stabilirii nivelului de risc al entităţii, în conformitate cu art. 18 alin. (6) din Ordonanţa de urgenţă a Guvernului nr. 155/2024.(3) În cazul în care Platforma NIS2@RO este indisponibilă sau se doreşte o preevaluare a nivelului de risc al unei entităţi, se utilizează Instrumentul ENIRE@RO, care se descarcă de pe site-urile DNSC (dnsc.ro, platformanis2.ro) şi se utilizează local.Articolul 2
(1) Mecanismele calculează nivelul de risc al entităţilor din perspectiva a cinci tipologii de actori împărţiţi în două grupe, pe baza cunoştinţelor şi a resurselor pe care le au la dispoziţie aceştia, respectiv:a) cei cu capabilităţi de nivel comun: terorişti, activişti motivaţi ideologic şi competitori ostili. Aceştia dispun de cunoştinţe comune/scăzute şi resurse limitate necesare pentru executarea cu succes a unui atac cibernetic;b) cei cu capabilităţi extinse: infractori cibernetici şi actori statali. Aceştia dispun de cunoştinţe avansate şi resurse vaste necesare pentru executarea cu succes a unui atac cibernetic.(2) Pentru calcularea nivelului de risc reprezentat de fiecare categorie de actori sunt avute în vedere 5 categorii de atacuri cibernetice, în funcţie de scopul urmărit şi modalitatea de manifestare a ameninţării, respectiv:a) sabotaj/perturbare a furnizării serviciului;b) furtul de informaţii/spionaj;c) atacuri specifice criminalităţii cibernetice;
d) hacktivism/vandalism cibernetic;e) atacuri care ţintesc sau care afectează imaginea entităţii.Articolul 3(1) Datele şi informaţiile utilizate în cele două mecanisme sunt:a) date cu valori predefinite la nivel sectorial care nu pot fi modificate:(i) sectorul evaluat - reprezintă domeniul de activitate al entităţii analizate. Dacă entitatea activează în mai multe sectoare, nivelul de risc va fi calculat separat pentru fiecare sector, urmând ca măsurile de securitate cibernetică să fie implementate conform celui mai ridicat scor general obţinut; (ii) natura atacului - reprezintă modalitatea principală de desfăşurare a acestuia, având o valoare prestabilită de către DNSC pentru fiecare sector, astfel: „global“ - valoarea „1“ - atacuri nediscriminatorii care vizează cât mai multe dispozitive, servicii sau utilizatori, fără a avea o victimă specifică, şi „ţintit“ - valoarea „2“ - atacuri deliberate asupra unei entităţi specifice, desfăşurate de actori cu expertiză şi resurse suficiente, necesitând un grad mai ridicat de protecţie;
b) date care trebuie modificate în conformitate cu dimensiunea entităţii. În conformitate cu dispoziţiile art. 8 din Ordonanţa de urgenţă a Guvernului nr. 155/2024, având în vedere dispoziţiile Legii nr. 346/2004 privind stimularea înfiinţării şi dezvoltării întreprinderilor mici şi mijlocii, cu modificările şi completările ulterioare, o entitate poate fi clasificată în:(i) întreprindere mare (L), situaţie în care acest parametru va avea valoarea „3“; (ii) întreprindere mijlocie (M), situaţie în care acest parametru va avea valoarea „2“; (iii) întreprindere mică şi microîntreprindere (S), situaţie în care acest parametru va avea valoarea „1“.În cazul entităţilor din administraţia publică, parametrul va fi calculat în funcţie de numărul mediu de persoane angajate, calculat conform dispoziţiilor art. 5 din Legea nr. 346/2004, astfel: până la 49 de angajaţi - va avea valoarea „1“, între 50 şi 249 de angajaţi - va avea valoarea „2“, minimum 250 de angajaţi - va avea valoarea „3“.c) date cu valori predefinite la nivel sectorial şi care pot fi modificate, în mod justificat, de către entitate:(i) impactul reprezintă daunele care pot surveni ca urmare a unui atac cibernetic din categoriile prevăzute la dispoziţiile art. 2 alin. (2), derulat de un tip de actor prevăzut în dispoziţiile art. 2 alin. (1), şi este determinat în conformitate cu criteriile şi pragurile de determinare a gradului de perturbare a unui serviciu, prevăzute în anexa nr. 1 la ordin. Încadrarea în pragurile de impact este raportată la categoria de atac şi tipologia de atacator. Această variabilă poate avea următoarele niveluri: „ridicat“ - valoarea „10“, „mediu“ - valoarea „5“ sau „scăzut“ - valoarea „0“; 
(ii) probabilitatea reprezintă şansa ca un risc de derulare a unui atac cibernetic din categoriile prevăzute la dispoziţiile art. 2 alin. (2), derulat de un tip de actor prevăzut la dispoziţiile art. 2 alin. (1), să se materializeze, fiind o măsură a posibilităţii de apariţie a acestuia, şi este determinată fie prin evaluare calitativă, fie prin cuantificare, în funcţie de natura riscului şi de datele disponibile. Aceasta poate avea următoarele niveluri: „ridicată“ - valoarea „1“ - actorul este cunoscut pentru atacuri similare în sectorul respectiv, iar riscul este inacceptabil, necesitând măsuri imediate de reducere sau întreruperea activităţii; „medie“ - valoarea „0,5“ - actorul a desfăşurat atacuri similare la nivel global, iar riscul este tolerabil, impunând monitorizare şi acţiuni de îmbunătăţire pe termen mediu şi lung; „scăzută“ - valoarea „0“ - nu există dovezi că actorul a efectuat astfel de atacuri în sector, iar riscul este acceptabil fără intervenţii suplimentare;d) date calculate în mod automat:(i) valoarea riscului; (ii) valoarea riscului general corespunzătoare fiecărui tip de actor; (iii) scorul general al entităţii.(2)
Pentru fiecare tip de actor al ameninţării, valoarea riscului se calculează în funcţie de fiecare categorie de atac cibernetic.(3) Valoarea riscului se determină prin înmulţirea următorilor parametri: dimensiunea entităţii, astfel cum aceasta este determinată la dispoziţiile alin. (1) lit. b), natura atacului, astfel cum aceasta este determinată la dispoziţiile alin. (1) lit. a) pct. (ii), impactul, astfel cum acesta este determinat la dispoziţiile alin. (1) lit. c) pct. (i), şi probabilitatea, astfel cum aceasta este determinată la dispoziţiile alin. (1) lit. c) pct. (ii).(4) Valorile obţinute pentru un tip de actor al ameninţării, corelate cu valorile pentru fiecare categorie de atac, se adună pentru a determina valoarea riscului general asociat respectivului actor al ameninţării.(5) Scorul general al entităţii se determină prin adunarea valorii riscului asociat fiecărui tip de actor al ameninţării cu fiecare categorie de atac şi este egal cu suma valorilor riscului general pentru toate cele cinci tipuri de actori ai ameninţării.(6) Scorul general al entităţii va determina nivelul de risc al acesteia în funcţie de care se stabileşte categoria de cerinţe de securitate cibernetică aplicabilă, după cum urmează:a) entităţile care au obţinut un scor între „0“ şi „99“ de puncte vor implementa nivelul de bază, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;b) entităţile care au obţinut un scor între „100“ şi „199“ de puncte vor implementa nivelul important, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;c) entităţile care au obţinut un scor între „200“ şi „1.500“ de puncte vor implementa nivelul esenţial, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 155/2024.
(7) În vederea aplicării prezentei metodologii, entitatea înregistrată în registrul entităţilor utilizează exclusiv unul dintre cele două mecanisme puse la dispoziţie de către DNSC.Articolul 4(1) În cazul în care o entitate nu a utilizat Platforma NIS2@RO în cadrul procesului de evaluare a nivelului de risc din cauza indisponibilităţii acesteia, entitatea va avea obligaţia de a completa şi a încărca raportul şi documentele justificative, după caz, într-un termen de cel mult 20 de zile de la data la care aceasta devine disponibilă. Validarea şi confirmarea acestor acţiuni sunt efectuate de către DNSC în termen de 15 zile de la încărcarea documentaţiei de către entitate.(2) DNSC transmite o notificare cu privire la disponibilitatea platformei persoanelor însărcinate cu monitorizarea mijloacelor de contact indicate de către entităţi în formularul de notificare.Articolul 5Se aprobă valorile sectoriale pentru stabilirea scorului de bază, prevăzute în anexa la prezenta metodologie.Articolul 6(1) Entităţile din sectorul 3 - Sectorul bancar din anexa nr. 1 şi entităţile din sectorul 6 - Furnizori digitali din anexa nr. 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024 nu realizează evaluarea nivelului de risc al entităţii.(2) Entităţile din sectorul 3 - Sectorul bancar din anexa nr. 1 la Ordonanţa de urgenţă a Guvernului nr. 155/2024, menţionate la alin. (1), aplică măsurile de gestionare a riscurilor în materie de securitate cibernetică, astfel cum este prevăzut în Regulamentul (UE) 2022/2.554 al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011.(3) Entităţile din sectorul 6 - Furnizori digitali din anexa nr. 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024, menţionate la alin. (1), aplică măsurile de gestionare a riscurilor în materie de securitate cibernetică prevăzute de Regulamentul de punere în aplicare (UE) 2024/2.690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2.555 în ceea ce priveşte cerinţele tehnice şi metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică şi specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de reţele de furnizare de conţinut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de pieţe online, de motoare de căutare online şi de platforme de servicii de socializare în reţea, precum şi prestatorii de servicii de încredere.(4) Entităţile din sectorul 4 - Infrastructuri ale pieţei financiare din anexa nr. 1 la Ordonanţa de urgenţă a Guvernului nr. 155/2024, cărora li se aplică Regulamentul (UE) 2022/2.554 al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011, precum şi entităţile din sectorul 8 - Infrastructură digitală din anexa nr. 1 la Ordonanţa de urgenţă a Guvernului nr. 155/2024, cărora li se aplică Regulamentul de punere în aplicare (UE) 2024/2.690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2.555 în ceea ce priveşte cerinţele tehnice şi metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică şi specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de reţele de furnizare de conţinut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de pieţe online, de motoare de căutare online şi de platforme de servicii de socializare în reţea, precum şi prestatorii de servicii de încredere, nu realizează evaluarea nivelului de risc al entităţii.ANEXĂla metodologieValori sectoriale pentru stabilirea nivelului de risc
Legendă:Impactul şi probabilitatea pot avea următoarele valori, notate în prezentul tabel, după cum urmează:– scăzut - S;– mediu - M;– ridicat - R.-----
| EMITENT |
Aprobată prin ORDINUL nr. 2 din 11 august 2025, publicat în Monitorul Oficial al României, Partea I, nr. 776 din 20 august 2025.Articolul 1
| Sector/Risc | Energie | Transport | Piaţă financiară | Sănătate | Apă potabilă | Ape uzate | Infrastructură digitală Gestionarea serviciilor TIC | Administraţie publică | Spaţiu | Servicii poştale şi de curierat | Gestionarea deşeurilor | Fabricarea, producţia şi distribuţia de substanţe chimice | Producţia, prelucrarea şi distribuţia de alimente | Fabricare | Furnizori digitali | Cercetare | |||||||||||||||||
| Categorie atac | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | Global | Ţintit | |
| Terorişti - sabotaj/ perturbare a furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | M | M | M | M | R | R | M | M | M | M | M | M | M | S | M | S | |||||||||||||||||
| Terorişti - furtul de informaţii/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | S | S | M | M | M | M | S | M | S | S | M | M | S | S | S | M | |||||||||||||||||
| Terorişti - atacuri specifice criminalităţii cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Terorişti - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Terorişti - atacuri care ţintesc sau care afectează imaginea entităţii | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Activişti motivaţi ideologic - sabotaj/ perturbare a furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | S | S | M | M | M | M | M | M | S | S | S | S | S | S | M | S | |||||||||||||||||
| Activişti motivaţi ideologic - furtul de informaţii/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | M | M | S | S | M | S | |||||||||||||||||
| Activişti motivaţi ideologic - atacuri specifice criminalităţii cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Activişti motivaţi ideologic - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | M | M | M | S | S | S | M | M | M | S | S | S | M | M | S | M | |||||||||||||||||
| Activişti motivaţi ideologic - atacuri care ţintesc sau care afectează imaginea entităţii | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | M | M | M | M | S | S | M | M | M | M | M | M | M | S | M | S | |||||||||||||||||
| Competitori ostili - sabotaj/ perturbarea furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | M | S | S | |||||||||||||||||
| Competitori ostili - furtul de informaţii/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | R | S | M | |||||||||||||||||
| Competitori ostili - atacuri specifice criminalităţii cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Competitori ostili - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Competitori ostili - atacuri care ţintesc sau care afectează imaginea entităţii | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | | S | S | S | S | S | S | S | ||||||||||||||||
| Infractori cibernetici - sabotaj/ perturbarea furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | M | S | S | S | S | | S | S | M | S | M | S | S | S | S | S | | S | |||||||||||||||
| Infractori cibernetici - furtul de informaţii/ spionaj | Impact | R | R | R | R | M | M | R | R | | R | M | S | M | S | R | M | R | |||||||||||||||
| Probabilitate | R | R | R | M | M | M | R | R | R | S | M | M | S | M | M | M | |||||||||||||||||
| Infractori cibernetici - atacuri specifice criminalităţii cibernetice | Impact | R | R | R | R | M | | M | R | R | R | M | M | R | R | S | M | R | |||||||||||||||
| Probabilitate | R | R | R | R | M | M | R | R | R | R | R | R | M | R | R | R | |||||||||||||||||
| Infractori cibernetici - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | S | S | S | S | S | | S | S | S | S | S | S | S | S | S | S | | S | |||||||||||||||
| Infractori cibernetici - atacuri care ţintesc sau care afectează imaginea entităţii | Impact | S | S | S | M | S | S | S | R | | M | S | S | S | M | S | M | S | |||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Actori statali - sabotaj/ perturbarea furnizării serviciului | Impact | R | R | R | R | | R | R | R | R | R | R | M | R | R | M | | R | M | ||||||||||||||
| Probabilitate | R | R | M | M | R | R | R | R | R | M | M | R | R | M | M | S | |||||||||||||||||
| Actori statali - furtul de informaţii/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | R | R | M | M | | M | M | R | R | R | M | M | M | M | M | | M | R | |||||||||||||||
| Actori statali - atacuri specifice criminalităţii cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | S | | S | S | S | S | S | S | S | S | S | S | | S | S | M | S | S | |||||||||||||||
| Actori statali - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | | S | S | M | R | M | S | M | M | M | S | | S | M | ||||||||||||||
| Probabilitate | M | M | M | S | S | S | M | M | M | S | S | S | M | S | S | S | |||||||||||||||||
| Actori statali - atacuri care ţintesc sau care afectează imaginea entităţii | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | | M | M | ||||||||||||||||
| Scor standard întreprindere | mică/micro | 95 | 85 | 85 | 72,5 | 67,5 | 67,5 | 95 | 125 | 87,5 | 50 | 15 | 60 | 42,5 | 57,5 | 55 | 62,5 | ||||||||||||||||
| mijlocie | 190 | 170 | 170 | 145 | 135 | 135 | 190 | 250 | 175 | 100 | 30 | 120 | 85 | 115 | 110 | 125 | |||||||||||||||||
| mare | 285 | 255 | 255 | 217,5 | 202,5 | 202,5 | 285 | 375 | 262,5 | 150 | 45 | 180 | 127,5 | 172,5 | 165 | 187,5 | |||||||||||||||||
