Comunica experienta
MonitorulJuridic.ro
──────────
Aprobată prin ORDINUL nr. 3 din 27 noiembrie 2025, publicat în Monitorul Oficial al României, Partea I, nr. 1149 din 11 decembrie 2025.
──────────
ART. 1
Prezenta metodologie se aplică în vederea prioritizării activităţilor de supraveghere, verificare şi control desfăşurate la entităţile aflate în domeniul de aplicare al Ordonanţei de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil, aprobată cu modificări şi completări prin Legea nr. 124/2025 (Ordonanţa de urgenţă a Guvernului nr. 155/2024), în conformitate cu dispoziţiile art. 46-52, ale art. 60-63, precum şi cu dispoziţiile actelor normative subsecvente acesteia.
ART. 2
Direcţia verificare şi control aplică prezenta metodologie în următoarele situaţii, dar fără a se limita la:
a) la stabilirea/ierarhizarea entităţilor care vor fi incluse în planul de control anual;
b) la stabilirea/ierarhizarea entităţilor ce vor face obiectul unui control inopinat;
c) la stabilirea/ierarhizarea entităţilor supuse activităţilor de supraveghere.
ART. 3
Prioritizarea activităţilor de supraveghere, verificare şi control are la bază următoarele principii:
a) principiul proporţionalităţii - măsurile adoptate trebuie să fie proporţionale cu nivelul de risc la care este supusă entitatea;
b) principiul eficienţei - alocarea resurselor este realizată de către Directoratul Naţional de Securitate Cibernetică (DNSC) în funcţie de priorităţile stabilite în acord cu potenţialele riscuri la care este supusă entitatea.
ART. 4
Procesul de prioritizare a activităţilor de supraveghere, verificare şi control presupune:
a) identificarea riscurilor;
b) analiza şi evaluarea riscurilor;
c) ierarhizarea entităţilor importante şi esenţiale în funcţie de nivelul de risc obţinut de către acestea.
ART. 5
(1) În etapa de identificare a riscurilor la care sunt supuse entităţile sunt avute în vedere sau, după caz, pot fi solicitate următoarele documente şi informaţii, dar fără a se limita la acestea:
a) lista activelor relevante gestionate de entitate, conform dispoziţiilor art. 11 alin. (7) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
b) lista vulnerabilităţilor, disfuncţionalităţilor şi a deficienţelor identificate la nivelul entităţii, corespunzătoare ultimei autoevaluări a nivelului de maturitate sau identificate cu ocazia ultimului audit, conform dispoziţiilor art. 12 alin. (4) şi (5), ale art. 46 alin. (7), respectiv ale art. 57 alin. (7) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
c) planul de măsuri pentru remedierea deficienţelor identificate, asumat de managementul entităţii, precum şi stadiul implementării acestuia, conform dispoziţiilor art. 12 alin. (5), ale art. 47 alin. (5) şi ale art. 57 alin. (8) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;
d) riscurile de securitate cibernetică identificate la nivelul entităţii sau un extras din registrul riscurilor gestionat de entitate care să cuprindă riscurile de securitate cibernetică;
e) hărţi ale riscurilor;
f) politicile şi procedurile referitoare la analiza riscurilor şi la securitatea reţelelor şi sistemelor informatice.
(2) Entităţile au obligaţia de a pune la dispoziţia personalului de control informaţiile şi datele solicitate în termenele indicate în acest sens.
ART. 6
(1) Personalul de control din cadrul DNSC utilizează criterii obiective în etapa de analiză şi evaluare a riscurilor, în vederea stabilirii şi ierarhizării entităţilor care fac obiectul activităţilor de supraveghere şi control.
(2) În vederea stabilirii nivelului de risc sunt analizate date provenind din:
a) informaţiile şi documentele puse la dispoziţie de către entităţi;
b) informaţiile şi documentele gestionate de către DNSC în exercitarea atribuţiilor legale (gestionate de Direcţia evidenţă şi sprijin din cadrul DNSC);
c) informaţiile şi documentele comunicate de către alte autorităţi sau instituţii publice sau străine cu atribuţii în domeniul securităţii cibernetice;
d) alte documente sau informaţii disponibile în spaţiul public sau pe alte platforme utilizate de către DNSC.
(3) În etapa de ierarhizare a entităţilor importante şi esenţiale, după aplicarea criteriilor, Direcţia verificare şi control întocmeşte o listă cu entităţile care au făcut obiectul identificării analizei şi evaluării riscurilor.
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
