Comunica experienta
MonitorulJuridic.ro
ORDIN nr. 2 din 11 august 2025 pentru aprobarea Criteriilor şi pragurilor de determinare a gradului de perturbare a unui serviciu şi a Metodologiei privind evaluarea nivelului de risc al entităţilor
EMITENT: Directoratul Naţional de Securitate Cibernetică PUBLICAT: Monitorul Oficial nr. 776 din 20 august 2025
Având în vedere dispoziţiile art. 10 alin. (2) şi ale art. 18 din Ordonanţa de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil, aprobată cu modificări şi completări prin Legea nr. 124/2025, precum şi dispoziţiile art. 5 lit. b) şi ale art. 7 alin. (3) şi (4) din Ordonanţa de urgenţă a Guvernului nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare,
directorul Directoratului Naţional de Securitate Cibernetică emite prezentul ordin.
ART. 1
(1) Entităţile, astfel cum acestea sunt definite la art. 4 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil, aprobată cu modificări şi completări prin Legea nr. 124/2025, denumită în continuare Ordonanţa de urgenţă a Guvernului nr. 155/2024, care nu au fost calificate drept entităţi esenţiale sau entităţi importante conform art. 5 alin. (1) lit. a) şi c) - f) şi alin. (2) - (4), art. 6 alin. (1) şi alin. (2) lit. b) şi c) şi nici conform art. 9 lit. a) şi d) din acelaşi act normativ, realizează evaluarea gradului de perturbare a serviciilor în vederea completării informaţiilor solicitate conform Ordinului directorului Directoratului Naţional de Securitate Cibernetică nr. 1/2025 pentru aprobarea Cerinţelor privind procesul de notificare în vederea înregistrării şi metoda de transmitere a informaţiilor, precum şi pentru determinarea categoriei de măsuri de gestionare a riscurilor aplicabile.
(2) Prin perturbarea unui serviciu, în înţelesul prezentului ordin, se înţeleg întreruperea, respectiv afectarea confidenţialităţii sau a modului de funcţionare a serviciului respectiv.
(3) Atunci când se realizează evaluarea gradului de perturbare, entităţile se raportează la toate serviciile pe care le prestează şi care se încadrează în anexele nr. 1 şi 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024.
ART. 2
Rezultatele autoanalizei privind faptul că entitatea este singurul furnizor al unui serviciu care este esenţial pentru susţinerea unor activităţi societale şi economice critice, conform dispoziţiilor art. 9 lit. a) din Ordonanţa de urgenţă a Guvernului nr. 155/2024, astfel cum acestea au fost transmise în aplicarea Ordinului directorului Directoratului Naţional de Securitate Cibernetică nr. 1/2025 pentru aprobarea cerinţelor privind procesul de notificare în vederea înregistrării şi metoda de transmitere a informaţiilor, se interpretează în conformitate cu prevederile art. 5 alin. (1) lit. b), respectiv conform prevederilor art. 6 alin. (2) lit. a) din Ordonanţa de urgenţă a Guvernului nr. 155/2024, astfel:
a) o entitate care este unic furnizor în România al unui serviciu prevăzut în anexa nr. 1 la Ordonanţa de urgenţă a Guvernului nr. 155/2024 este entitate esenţială dacă nu a fost identificată astfel conform celorlalte criterii prevăzute la art. 5 din acelaşi act normativ;
b) o entitate care este unic furnizor în România al unui serviciu prevăzut în anexa nr. 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024 este entitate importantă dacă nu a fost identificată astfel conform celorlalte criterii prevăzute la art. 6 din acelaşi act normativ.
ART. 3
Se aprobă Criteriile şi pragurile de determinare a gradului de perturbare a unui serviciu, prevăzute în anexa nr. 1 care face parte integrantă din prezentul ordin.
ART. 4
(1) Se aprobă Metodologia privind evaluarea nivelului de risc al entităţilor, prevăzută în anexa nr. 2 care face parte integrantă din prezentul ordin.
(2) Utilizarea metodologiei prevăzute la alin. (1) are scopul de a determina categoria de măsuri tehnice, operaţionale şi organizatorice destinate identificării, evaluării şi gestionării riscurilor aferente securităţii reţelelor şi a sistemelor informatice pe care entitatea trebuie să le implementeze.
(3) În vederea determinării nivelului de risc al entităţii, Directoratul Naţional de Securitate Cibernetică, în continuare DNSC, stabileşte un scor de bază pentru fiecare sector din fiecare anexă la Ordonanţa de urgenţă a Guvernului nr. 155/2024 sau, după caz, pentru unele tipuri de entităţi din anexele nr. 1 şi 2 la acelaşi act normativ. Scorul general obţinut de către entitate determină nivelul de complexitate a măsurilor de securitate, aferent ordinului privind măsurile de gestionare a riscurilor.
ART. 5
(1) Entităţile îşi calculează scorul prevăzut la art. 3 alin. (6) din anexa nr. 2 utilizând formulele de calcul prevăzute în anexa respectivă, pornind de la valorile de bază aferente tipului de entitate în care se încadrează sau sectorului din care fac parte, prevăzute în cadrul anexei la Metodologia privind evaluarea nivelului de risc al entităţilor, şi în conformitate cu dimensiunea acestora.
(2) O entitate care desfăşoară activităţi în mai multe sectoare îşi evaluează nivelul de risc aferent fiecărui sector şi implementează nivelul de măsuri de securitate corespunzător celui mai mare scor general obţinut.
(3) Atunci când, ca urmare a evaluării realizate de către entitate, valorile aferente impactului şi probabilităţii la nivelul propriei organizaţii ale riscurilor prevăzute în metodologia din anexa nr. 2 diferă de valorile de bază ale sectorului sau ale tipului de entitate cu privire la care se raportează evaluarea, entitatea transmite către DNSC o analiză care cuprinde câte o motivare temeinică pentru fiecare valoare cu privire la care aceasta solicită modificarea valorii de bază.
(4) Ca urmare a solicitării prevăzute la alin. (3), DNSC poate valida propunerile înaintate de către entitate prin solicitarea transmisă. În situaţia validării acestora, calculul scorului general care determină nivelul de risc al entităţii se realizează conform valorilor astfel actualizate.
(5) Entităţile îşi recalculează scorul general o dată la 3 ani şi ori de câte ori este depăşit pragul ridicat al impactului generat de perturbarea serviciului furnizat aferent sectorului din care acestea fac parte, aplicând corespunzător dispoziţiile alin. (1), cu excepţia situaţiei în care entitatea aplică deja cel mai înalt nivel de măsuri de securitate cibernetică conform ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 155/2024.
(6) Entităţile pot să îşi recalculeze scorul general şi în situaţia în care impactul generat de perturbarea serviciului furnizat este sub pragul aferent sectorului din care acestea fac parte, aplicând corespunzător dispoziţiile alin. (1).
ART. 6
Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Directorul Directoratului Naţional de Securitate Cibernetică,
Dan-Petre Cîmpean
Bucureşti, 11 august 2025.
Nr. 2.
ANEXA 1
CRITERII ŞI PRAGURI
ANEXA 2
METODOLOGIE
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
