ORDIN nr. 2 din 11 august 2025pentru aprobarea Criteriilor și pragurilor de determinare a gradului de perturbare a unui serviciu și a Metodologiei privind evaluarea nivelului de risc al entităților
Publicat în
MONITORUL OFICIAL nr. 776 din 20 august 2025
Având în vedere dispozițiile art. 10 alin. (2) și ale art. 18 din Ordonanța de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, aprobată cu modificări și completări prin Legea nr. 124/2025, precum și dispozițiile art. 5 lit. b) și ale art. 7 alin. (3) și (4) din Ordonanța de urgență a Guvernului nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică, aprobată cu modificări și completări prin Legea nr. 11/2022, cu modificările ulterioare,directorul Directoratului Național de Securitate Cibernetică emite prezentul ordin. + Articolul 1(1) Entitățile, astfel cum acestea sunt definite la art. 4 lit. f) din Ordonanța de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, aprobată cu modificări și completări prin Legea nr. 124/2025, denumită în continuare Ordonanța de urgență a Guvernului nr. 155/2024, care nu au fost calificate drept entități esențiale sau entități importante conform art. 5 alin. (1) lit. a) și c) - f) și alin. (2) - (4), art. 6 alin. (1) și alin. (2) lit. b) și c) și nici conform art. 9 lit. a) și d) din același act normativ, realizează evaluarea gradului de perturbare a serviciilor în vederea completării informațiilor solicitate conform Ordinului directorului Directoratului Național de Securitate Cibernetică nr. 1/2025 pentru aprobarea Cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor, precum și pentru determinarea categoriei de măsuri de gestionare a riscurilor aplicabile.(2) Prin perturbarea unui serviciu, în înțelesul prezentului ordin, se înțeleg întreruperea, respectiv afectarea confidențialității sau a modului de funcționare a serviciului respectiv.(3) Atunci când se realizează evaluarea gradului de perturbare, entitățile se raportează la toate serviciile pe care le prestează și care se încadrează în anexele nr. 1 și 2 la Ordonanța de urgență a Guvernului nr. 155/2024. + Articolul 2Rezultatele autoanalizei privind faptul că entitatea este singurul furnizor al unui serviciu care este esențial pentru susținerea unor activități societale și economice critice, conform dispozițiilor art. 9 lit. a) din Ordonanța de urgență a Guvernului nr. 155/2024, astfel cum acestea au fost transmise în aplicarea Ordinului directorului Directoratului Național de Securitate Cibernetică nr. 1/2025 pentru aprobarea cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor, se interpretează în conformitate cu prevederile art. 5 alin. (1) lit. b), respectiv conform prevederilor art. 6 alin. (2) lit. a) din Ordonanța de urgență a Guvernului nr. 155/2024, astfel:a) o entitate care este unic furnizor în România al unui serviciu prevăzut în anexa nr. 1 la Ordonanța de urgență a Guvernului nr. 155/2024 este entitate esențială dacă nu a fost identificată astfel conform celorlalte criterii prevăzute la art. 5 din același act normativ;b) o entitate care este unic furnizor în România al unui serviciu prevăzut în anexa nr. 2 la Ordonanța de urgență a Guvernului nr. 155/2024 este entitate importantă dacă nu a fost identificată astfel conform celorlalte criterii prevăzute la art. 6 din același act normativ. + Articolul 3Se aprobă Criteriile și pragurile de determinare a gradului de perturbare a unui serviciu, prevăzute în anexa nr. 1 care face parte integrantă din prezentul ordin. + Articolul 4(1) Se aprobă Metodologia privind evaluarea nivelului de risc al entităților, prevăzută în anexa nr. 2 care face parte integrantă din prezentul ordin.(2) Utilizarea metodologiei prevăzute la alin. (1) are scopul de a determina categoria de măsuri tehnice, operaționale și organizatorice destinate identificării, evaluării și gestionării riscurilor aferente securității rețelelor și a sistemelor informatice pe care entitatea trebuie să le implementeze.(3) În vederea determinării nivelului de risc al entității, Directoratul Național de Securitate Cibernetică, în continuare DNSC, stabilește un scor de bază pentru fiecare sector din fiecare anexă la Ordonanța de urgență a Guvernului nr. 155/2024 sau, după caz, pentru unele tipuri de entități din anexele nr. 1 și 2 la același act normativ. Scorul general obținut de către entitate determină nivelul de complexitate a măsurilor de securitate, aferent ordinului privind măsurile de gestionare a riscurilor. + Articolul 5(1) Entitățile își calculează scorul prevăzut la art. 3 alin. (6) din anexa nr. 2 utilizând formulele de calcul prevăzute în anexa respectivă, pornind de la valorile de bază aferente tipului de entitate în care se încadrează sau sectorului din care fac parte, prevăzute în cadrul anexei la Metodologia privind evaluarea nivelului de risc al entităților, și în conformitate cu dimensiunea acestora.(2) O entitate care desfășoară activități în mai multe sectoare își evaluează nivelul de risc aferent fiecărui sector și implementează nivelul de măsuri de securitate corespunzător celui mai mare scor general obținut.(3) Atunci când, ca urmare a evaluării realizate de către entitate, valorile aferente impactului și probabilității la nivelul propriei organizații ale riscurilor prevăzute în metodologia din anexa nr. 2 diferă de valorile de bază ale sectorului sau ale tipului de entitate cu privire la care se raportează evaluarea, entitatea transmite către DNSC o analiză care cuprinde câte o motivare temeinică pentru fiecare valoare cu privire la care aceasta solicită modificarea valorii de bază.(4) Ca urmare a solicitării prevăzute la alin. (3), DNSC poate valida propunerile înaintate de către entitate prin solicitarea transmisă. În situația validării acestora, calculul scorului general care determină nivelul de risc al entității se realizează conform valorilor astfel actualizate.(5) Entitățile își recalculează scorul general o dată la 3 ani și ori de câte ori este depășit pragul ridicat al impactului generat de perturbarea serviciului furnizat aferent sectorului din care acestea fac parte, aplicând corespunzător dispozițiile alin. (1), cu excepția situației în care entitatea aplică deja cel mai înalt nivel de măsuri de securitate cibernetică conform ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanța de urgență a Guvernului nr. 155/2024.(6) Entitățile pot să își recalculeze scorul general și în situația în care impactul generat de perturbarea serviciului furnizat este sub pragul aferent sectorului din care acestea fac parte, aplicând corespunzător dispozițiile alin. (1). + Articolul 6Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Directorul Directoratului Național de Securitate Cibernetică,
Dan-Petre CîmpeanBucurești, 11 august 2025.Nr. 2. + Anexa nr. 1CRITERII ȘI PRAGURIde determinare a gradului de perturbare a unui serviciu + Anexa nr. 2METODOLOGIEprivind evaluarea nivelului de risc al entităților
| EMITENT |
Având în vedere dispozițiile art. 10 alin. (2) și ale art. 18 din Ordonanța de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, aprobată cu modificări și completări prin Legea nr. 124/2025, precum și dispozițiile art. 5 lit. b) și ale art. 7 alin. (3) și (4) din Ordonanța de urgență a Guvernului nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică, aprobată cu modificări și completări prin Legea nr. 11/2022, cu modificările ulterioare,directorul Directoratului Național de Securitate Cibernetică emite prezentul ordin. + Articolul 1(1) Entitățile, astfel cum acestea sunt definite la art. 4 lit. f) din Ordonanța de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, aprobată cu modificări și completări prin Legea nr. 124/2025, denumită în continuare Ordonanța de urgență a Guvernului nr. 155/2024, care nu au fost calificate drept entități esențiale sau entități importante conform art. 5 alin. (1) lit. a) și c) - f) și alin. (2) - (4), art. 6 alin. (1) și alin. (2) lit. b) și c) și nici conform art. 9 lit. a) și d) din același act normativ, realizează evaluarea gradului de perturbare a serviciilor în vederea completării informațiilor solicitate conform Ordinului directorului Directoratului Național de Securitate Cibernetică nr. 1/2025 pentru aprobarea Cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor, precum și pentru determinarea categoriei de măsuri de gestionare a riscurilor aplicabile.(2) Prin perturbarea unui serviciu, în înțelesul prezentului ordin, se înțeleg întreruperea, respectiv afectarea confidențialității sau a modului de funcționare a serviciului respectiv.(3) Atunci când se realizează evaluarea gradului de perturbare, entitățile se raportează la toate serviciile pe care le prestează și care se încadrează în anexele nr. 1 și 2 la Ordonanța de urgență a Guvernului nr. 155/2024. + Articolul 2Rezultatele autoanalizei privind faptul că entitatea este singurul furnizor al unui serviciu care este esențial pentru susținerea unor activități societale și economice critice, conform dispozițiilor art. 9 lit. a) din Ordonanța de urgență a Guvernului nr. 155/2024, astfel cum acestea au fost transmise în aplicarea Ordinului directorului Directoratului Național de Securitate Cibernetică nr. 1/2025 pentru aprobarea cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor, se interpretează în conformitate cu prevederile art. 5 alin. (1) lit. b), respectiv conform prevederilor art. 6 alin. (2) lit. a) din Ordonanța de urgență a Guvernului nr. 155/2024, astfel:a) o entitate care este unic furnizor în România al unui serviciu prevăzut în anexa nr. 1 la Ordonanța de urgență a Guvernului nr. 155/2024 este entitate esențială dacă nu a fost identificată astfel conform celorlalte criterii prevăzute la art. 5 din același act normativ;b) o entitate care este unic furnizor în România al unui serviciu prevăzut în anexa nr. 2 la Ordonanța de urgență a Guvernului nr. 155/2024 este entitate importantă dacă nu a fost identificată astfel conform celorlalte criterii prevăzute la art. 6 din același act normativ. + Articolul 3Se aprobă Criteriile și pragurile de determinare a gradului de perturbare a unui serviciu, prevăzute în anexa nr. 1 care face parte integrantă din prezentul ordin. + Articolul 4(1) Se aprobă Metodologia privind evaluarea nivelului de risc al entităților, prevăzută în anexa nr. 2 care face parte integrantă din prezentul ordin.(2) Utilizarea metodologiei prevăzute la alin. (1) are scopul de a determina categoria de măsuri tehnice, operaționale și organizatorice destinate identificării, evaluării și gestionării riscurilor aferente securității rețelelor și a sistemelor informatice pe care entitatea trebuie să le implementeze.(3) În vederea determinării nivelului de risc al entității, Directoratul Național de Securitate Cibernetică, în continuare DNSC, stabilește un scor de bază pentru fiecare sector din fiecare anexă la Ordonanța de urgență a Guvernului nr. 155/2024 sau, după caz, pentru unele tipuri de entități din anexele nr. 1 și 2 la același act normativ. Scorul general obținut de către entitate determină nivelul de complexitate a măsurilor de securitate, aferent ordinului privind măsurile de gestionare a riscurilor. + Articolul 5(1) Entitățile își calculează scorul prevăzut la art. 3 alin. (6) din anexa nr. 2 utilizând formulele de calcul prevăzute în anexa respectivă, pornind de la valorile de bază aferente tipului de entitate în care se încadrează sau sectorului din care fac parte, prevăzute în cadrul anexei la Metodologia privind evaluarea nivelului de risc al entităților, și în conformitate cu dimensiunea acestora.(2) O entitate care desfășoară activități în mai multe sectoare își evaluează nivelul de risc aferent fiecărui sector și implementează nivelul de măsuri de securitate corespunzător celui mai mare scor general obținut.(3) Atunci când, ca urmare a evaluării realizate de către entitate, valorile aferente impactului și probabilității la nivelul propriei organizații ale riscurilor prevăzute în metodologia din anexa nr. 2 diferă de valorile de bază ale sectorului sau ale tipului de entitate cu privire la care se raportează evaluarea, entitatea transmite către DNSC o analiză care cuprinde câte o motivare temeinică pentru fiecare valoare cu privire la care aceasta solicită modificarea valorii de bază.(4) Ca urmare a solicitării prevăzute la alin. (3), DNSC poate valida propunerile înaintate de către entitate prin solicitarea transmisă. În situația validării acestora, calculul scorului general care determină nivelul de risc al entității se realizează conform valorilor astfel actualizate.(5) Entitățile își recalculează scorul general o dată la 3 ani și ori de câte ori este depășit pragul ridicat al impactului generat de perturbarea serviciului furnizat aferent sectorului din care acestea fac parte, aplicând corespunzător dispozițiile alin. (1), cu excepția situației în care entitatea aplică deja cel mai înalt nivel de măsuri de securitate cibernetică conform ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanța de urgență a Guvernului nr. 155/2024.(6) Entitățile pot să își recalculeze scorul general și în situația în care impactul generat de perturbarea serviciului furnizat este sub pragul aferent sectorului din care acestea fac parte, aplicând corespunzător dispozițiile alin. (1). + Articolul 6Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Directorul Directoratului Național de Securitate Cibernetică,
Dan-Petre CîmpeanBucurești, 11 august 2025.Nr. 2. + Anexa nr. 1CRITERII ȘI PRAGURIde determinare a gradului de perturbare a unui serviciu + Anexa nr. 2METODOLOGIEprivind evaluarea nivelului de risc al entităților
Google Chrome
Mozilla Firefox
Internet Explorer
Apple Safari