METODOLOGIE din 11 august 2025privind evaluarea nivelului de risc al entităților
Publicat în
MONITORUL OFICIAL nr. 776 din 20 august 2025
Notă
Aprobată prin ORDINUL nr. 2 din 11 august 2025, publicat în Monitorul Oficial al României, Partea I, nr. 776 din 20 august 2025. + Articolul 1(1) În vederea sprijinirii entităților esențiale și entităților importante, DNSC dezvoltă două mecanisme specifice, respectiv:a) un instrument de evaluare a nivelului de risc al unei entități - ENIRE@RO;b) o platformă de înrolare, informare și cooperare - NIS2@RO.(2) Mecanismele sunt destinate tuturor entităților esențiale și importante înscrise în registrul entităților și sunt utilizate în vederea stabilirii nivelului de risc al entității, în conformitate cu art. 18 alin. (6) din Ordonanța de urgență a Guvernului nr. 155/2024.(3) În cazul în care Platforma NIS2@RO este indisponibilă sau se dorește o preevaluare a nivelului de risc al unei entități, se utilizează Instrumentul ENIRE@RO, care se descarcă de pe site-urile DNSC (dnsc.ro, platformanis2.ro) și se utilizează local. + Articolul 2(1) Mecanismele calculează nivelul de risc al entităților din perspectiva a cinci tipologii de actori împărțiți în două grupe, pe baza cunoștințelor și a resurselor pe care le au la dispoziție aceștia, respectiv:a) cei cu capabilități de nivel comun: teroriști, activiști motivați ideologic și competitori ostili. Aceștia dispun de cunoștințe comune/scăzute și resurse limitate necesare pentru executarea cu succes a unui atac cibernetic;b) cei cu capabilități extinse: infractori cibernetici și actori statali. Aceștia dispun de cunoștințe avansate și resurse vaste necesare pentru executarea cu succes a unui atac cibernetic.(2) Pentru calcularea nivelului de risc reprezentat de fiecare categorie de actori sunt avute în vedere 5 categorii de atacuri cibernetice, în funcție de scopul urmărit și modalitatea de manifestare a amenințării, respectiv:a) sabotaj/perturbare a furnizării serviciului;b) furtul de informații/spionaj;c) atacuri specifice criminalității cibernetice;d) hacktivism/vandalism cibernetic;e) atacuri care țintesc sau care afectează imaginea entității. + Articolul 3(1) Datele și informațiile utilizate în cele două mecanisme sunt:a) date cu valori predefinite la nivel sectorial care nu pot fi modificate:(i) sectorul evaluat - reprezintă domeniul de activitate al entității analizate. Dacă entitatea activează în mai multe sectoare, nivelul de risc va fi calculat separat pentru fiecare sector, urmând ca măsurile de securitate cibernetică să fie implementate conform celui mai ridicat scor general obținut; (ii) natura atacului - reprezintă modalitatea principală de desfășurare a acestuia, având o valoare prestabilită de către DNSC pentru fiecare sector, astfel: „global“ - valoarea „1“ - atacuri nediscriminatorii care vizează cât mai multe dispozitive, servicii sau utilizatori, fără a avea o victimă specifică, și „țintit“ - valoarea „2“ - atacuri deliberate asupra unei entități specifice, desfășurate de actori cu expertiză și resurse suficiente, necesitând un grad mai ridicat de protecție;b) date care trebuie modificate în conformitate cu dimensiunea entității. În conformitate cu dispozițiile art. 8 din Ordonanța de urgență a Guvernului nr. 155/2024, având în vedere dispozițiile Legii nr. 346/2004 privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii, cu modificările și completările ulterioare, o entitate poate fi clasificată în:(i) întreprindere mare (L), situație în care acest parametru va avea valoarea „3“; (ii) întreprindere mijlocie (M), situație în care acest parametru va avea valoarea „2“; (iii) întreprindere mică și microîntreprindere (S), situație în care acest parametru va avea valoarea „1“.În cazul entităților din administrația publică, parametrul va fi calculat în funcție de numărul mediu de persoane angajate, calculat conform dispozițiilor art. 5 din Legea nr. 346/2004, astfel: până la 49 de angajați - va avea valoarea „1“, între 50 și 249 de angajați - va avea valoarea „2“, minimum 250 de angajați - va avea valoarea „3“.c) date cu valori predefinite la nivel sectorial și care pot fi modificate, în mod justificat, de către entitate:(i) impactul reprezintă daunele care pot surveni ca urmare a unui atac cibernetic din categoriile prevăzute la dispozițiile art. 2 alin. (2), derulat de un tip de actor prevăzut în dispozițiile art. 2 alin. (1), și este determinat în conformitate cu criteriile și pragurile de determinare a gradului de perturbare a unui serviciu, prevăzute în anexa nr. 1 la ordin. Încadrarea în pragurile de impact este raportată la categoria de atac și tipologia de atacator. Această variabilă poate avea următoarele niveluri: „ridicat“ - valoarea „10“, „mediu“ - valoarea „5“ sau „scăzut“ - valoarea „0“; (ii) probabilitatea reprezintă șansa ca un risc de derulare a unui atac cibernetic din categoriile prevăzute la dispozițiile art. 2 alin. (2), derulat de un tip de actor prevăzut la dispozițiile art. 2 alin. (1), să se materializeze, fiind o măsură a posibilității de apariție a acestuia, și este determinată fie prin evaluare calitativă, fie prin cuantificare, în funcție de natura riscului și de datele disponibile. Aceasta poate avea următoarele niveluri: „ridicată“ - valoarea „1“ - actorul este cunoscut pentru atacuri similare în sectorul respectiv, iar riscul este inacceptabil, necesitând măsuri imediate de reducere sau întreruperea activității; „medie“ - valoarea „0,5“ - actorul a desfășurat atacuri similare la nivel global, iar riscul este tolerabil, impunând monitorizare și acțiuni de îmbunătățire pe termen mediu și lung; „scăzută“ - valoarea „0“ - nu există dovezi că actorul a efectuat astfel de atacuri în sector, iar riscul este acceptabil fără intervenții suplimentare;d) date calculate în mod automat:(i) valoarea riscului; (ii) valoarea riscului general corespunzătoare fiecărui tip de actor; (iii) scorul general al entității.(2) Pentru fiecare tip de actor al amenințării, valoarea riscului se calculează în funcție de fiecare categorie de atac cibernetic.(3) Valoarea riscului se determină prin înmulțirea următorilor parametri: dimensiunea entității, astfel cum aceasta este determinată la dispozițiile alin. (1) lit. b), natura atacului, astfel cum aceasta este determinată la dispozițiile alin. (1) lit. a) pct. (ii), impactul, astfel cum acesta este determinat la dispozițiile alin. (1) lit. c) pct. (i), și probabilitatea, astfel cum aceasta este determinată la dispozițiile alin. (1) lit. c) pct. (ii).(4) Valorile obținute pentru un tip de actor al amenințării, corelate cu valorile pentru fiecare categorie de atac, se adună pentru a determina valoarea riscului general asociat respectivului actor al amenințării.(5) Scorul general al entității se determină prin adunarea valorii riscului asociat fiecărui tip de actor al amenințării cu fiecare categorie de atac și este egal cu suma valorilor riscului general pentru toate cele cinci tipuri de actori ai amenințării.(6) Scorul general al entității va determina nivelul de risc al acesteia în funcție de care se stabilește categoria de cerințe de securitate cibernetică aplicabilă, după cum urmează:a) entitățile care au obținut un scor între „0“ și „99“ de puncte vor implementa nivelul de bază, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanța de urgență a Guvernului nr. 155/2024;b) entitățile care au obținut un scor între „100“ și „199“ de puncte vor implementa nivelul important, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanța de urgență a Guvernului nr. 155/2024;c) entitățile care au obținut un scor între „200“ și „1.500“ de puncte vor implementa nivelul esențial, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanța de urgență a Guvernului nr. 155/2024.(7) În vederea aplicării prezentei metodologii, entitatea înregistrată în registrul entităților utilizează exclusiv unul dintre cele două mecanisme puse la dispoziție de către DNSC. + Articolul 4(1) În cazul în care o entitate nu a utilizat Platforma NIS2@RO în cadrul procesului de evaluare a nivelului de risc din cauza indisponibilității acesteia, entitatea va avea obligația de a completa și a încărca raportul și documentele justificative, după caz, într-un termen de cel mult 20 de zile de la data la care aceasta devine disponibilă. Validarea și confirmarea acestor acțiuni sunt efectuate de către DNSC în termen de 15 zile de la încărcarea documentației de către entitate.(2) DNSC transmite o notificare cu privire la disponibilitatea platformei persoanelor însărcinate cu monitorizarea mijloacelor de contact indicate de către entități în formularul de notificare. + Articolul 5Se aprobă valorile sectoriale pentru stabilirea scorului de bază, prevăzute în anexa la prezenta metodologie. + Articolul 6(1) Entitățile din sectorul 3 - Sectorul bancar din anexa nr. 1 și entitățile din sectorul 6 - Furnizori digitali din anexa nr. 2 la Ordonanța de urgență a Guvernului nr. 155/2024 nu realizează evaluarea nivelului de risc al entității.(2) Entitățile din sectorul 3 - Sectorul bancar din anexa nr. 1 la Ordonanța de urgență a Guvernului nr. 155/2024, menționate la alin. (1), aplică măsurile de gestionare a riscurilor în materie de securitate cibernetică, astfel cum este prevăzut în Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011.(3) Entitățile din sectorul 6 - Furnizori digitali din anexa nr. 2 la Ordonanța de urgență a Guvernului nr. 155/2024, menționate la alin. (1), aplică măsurile de gestionare a riscurilor în materie de securitate cibernetică prevăzute de Regulamentul de punere în aplicare (UE) 2024/2.690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2.555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică și specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere.(4) Entitățile din sectorul 4 - Infrastructuri ale pieței financiare din anexa nr. 1 la Ordonanța de urgență a Guvernului nr. 155/2024, cărora li se aplică Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011, precum și entitățile din sectorul 8 - Infrastructură digitală din anexa nr. 1 la Ordonanța de urgență a Guvernului nr. 155/2024, cărora li se aplică Regulamentul de punere în aplicare (UE) 2024/2.690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2.555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică și specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere, nu realizează evaluarea nivelului de risc al entității. + ANEXĂla metodologie
Valori sectoriale pentru stabilirea nivelului de risc
Legendă:Impactul și probabilitatea pot avea următoarele valori, notate în prezentul tabel, după cum urmează:– scăzut - S;– mediu - M;– ridicat - R.-----
| EMITENT |
Notă
Aprobată prin ORDINUL nr. 2 din 11 august 2025, publicat în Monitorul Oficial al României, Partea I, nr. 776 din 20 august 2025. + Articolul 1(1) În vederea sprijinirii entităților esențiale și entităților importante, DNSC dezvoltă două mecanisme specifice, respectiv:a) un instrument de evaluare a nivelului de risc al unei entități - ENIRE@RO;b) o platformă de înrolare, informare și cooperare - NIS2@RO.(2) Mecanismele sunt destinate tuturor entităților esențiale și importante înscrise în registrul entităților și sunt utilizate în vederea stabilirii nivelului de risc al entității, în conformitate cu art. 18 alin. (6) din Ordonanța de urgență a Guvernului nr. 155/2024.(3) În cazul în care Platforma NIS2@RO este indisponibilă sau se dorește o preevaluare a nivelului de risc al unei entități, se utilizează Instrumentul ENIRE@RO, care se descarcă de pe site-urile DNSC (dnsc.ro, platformanis2.ro) și se utilizează local. + Articolul 2(1) Mecanismele calculează nivelul de risc al entităților din perspectiva a cinci tipologii de actori împărțiți în două grupe, pe baza cunoștințelor și a resurselor pe care le au la dispoziție aceștia, respectiv:a) cei cu capabilități de nivel comun: teroriști, activiști motivați ideologic și competitori ostili. Aceștia dispun de cunoștințe comune/scăzute și resurse limitate necesare pentru executarea cu succes a unui atac cibernetic;b) cei cu capabilități extinse: infractori cibernetici și actori statali. Aceștia dispun de cunoștințe avansate și resurse vaste necesare pentru executarea cu succes a unui atac cibernetic.(2) Pentru calcularea nivelului de risc reprezentat de fiecare categorie de actori sunt avute în vedere 5 categorii de atacuri cibernetice, în funcție de scopul urmărit și modalitatea de manifestare a amenințării, respectiv:a) sabotaj/perturbare a furnizării serviciului;b) furtul de informații/spionaj;c) atacuri specifice criminalității cibernetice;d) hacktivism/vandalism cibernetic;e) atacuri care țintesc sau care afectează imaginea entității. + Articolul 3(1) Datele și informațiile utilizate în cele două mecanisme sunt:a) date cu valori predefinite la nivel sectorial care nu pot fi modificate:(i) sectorul evaluat - reprezintă domeniul de activitate al entității analizate. Dacă entitatea activează în mai multe sectoare, nivelul de risc va fi calculat separat pentru fiecare sector, urmând ca măsurile de securitate cibernetică să fie implementate conform celui mai ridicat scor general obținut; (ii) natura atacului - reprezintă modalitatea principală de desfășurare a acestuia, având o valoare prestabilită de către DNSC pentru fiecare sector, astfel: „global“ - valoarea „1“ - atacuri nediscriminatorii care vizează cât mai multe dispozitive, servicii sau utilizatori, fără a avea o victimă specifică, și „țintit“ - valoarea „2“ - atacuri deliberate asupra unei entități specifice, desfășurate de actori cu expertiză și resurse suficiente, necesitând un grad mai ridicat de protecție;b) date care trebuie modificate în conformitate cu dimensiunea entității. În conformitate cu dispozițiile art. 8 din Ordonanța de urgență a Guvernului nr. 155/2024, având în vedere dispozițiile Legii nr. 346/2004 privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii, cu modificările și completările ulterioare, o entitate poate fi clasificată în:(i) întreprindere mare (L), situație în care acest parametru va avea valoarea „3“; (ii) întreprindere mijlocie (M), situație în care acest parametru va avea valoarea „2“; (iii) întreprindere mică și microîntreprindere (S), situație în care acest parametru va avea valoarea „1“.În cazul entităților din administrația publică, parametrul va fi calculat în funcție de numărul mediu de persoane angajate, calculat conform dispozițiilor art. 5 din Legea nr. 346/2004, astfel: până la 49 de angajați - va avea valoarea „1“, între 50 și 249 de angajați - va avea valoarea „2“, minimum 250 de angajați - va avea valoarea „3“.c) date cu valori predefinite la nivel sectorial și care pot fi modificate, în mod justificat, de către entitate:(i) impactul reprezintă daunele care pot surveni ca urmare a unui atac cibernetic din categoriile prevăzute la dispozițiile art. 2 alin. (2), derulat de un tip de actor prevăzut în dispozițiile art. 2 alin. (1), și este determinat în conformitate cu criteriile și pragurile de determinare a gradului de perturbare a unui serviciu, prevăzute în anexa nr. 1 la ordin. Încadrarea în pragurile de impact este raportată la categoria de atac și tipologia de atacator. Această variabilă poate avea următoarele niveluri: „ridicat“ - valoarea „10“, „mediu“ - valoarea „5“ sau „scăzut“ - valoarea „0“; (ii) probabilitatea reprezintă șansa ca un risc de derulare a unui atac cibernetic din categoriile prevăzute la dispozițiile art. 2 alin. (2), derulat de un tip de actor prevăzut la dispozițiile art. 2 alin. (1), să se materializeze, fiind o măsură a posibilității de apariție a acestuia, și este determinată fie prin evaluare calitativă, fie prin cuantificare, în funcție de natura riscului și de datele disponibile. Aceasta poate avea următoarele niveluri: „ridicată“ - valoarea „1“ - actorul este cunoscut pentru atacuri similare în sectorul respectiv, iar riscul este inacceptabil, necesitând măsuri imediate de reducere sau întreruperea activității; „medie“ - valoarea „0,5“ - actorul a desfășurat atacuri similare la nivel global, iar riscul este tolerabil, impunând monitorizare și acțiuni de îmbunătățire pe termen mediu și lung; „scăzută“ - valoarea „0“ - nu există dovezi că actorul a efectuat astfel de atacuri în sector, iar riscul este acceptabil fără intervenții suplimentare;d) date calculate în mod automat:(i) valoarea riscului; (ii) valoarea riscului general corespunzătoare fiecărui tip de actor; (iii) scorul general al entității.(2) Pentru fiecare tip de actor al amenințării, valoarea riscului se calculează în funcție de fiecare categorie de atac cibernetic.(3) Valoarea riscului se determină prin înmulțirea următorilor parametri: dimensiunea entității, astfel cum aceasta este determinată la dispozițiile alin. (1) lit. b), natura atacului, astfel cum aceasta este determinată la dispozițiile alin. (1) lit. a) pct. (ii), impactul, astfel cum acesta este determinat la dispozițiile alin. (1) lit. c) pct. (i), și probabilitatea, astfel cum aceasta este determinată la dispozițiile alin. (1) lit. c) pct. (ii).(4) Valorile obținute pentru un tip de actor al amenințării, corelate cu valorile pentru fiecare categorie de atac, se adună pentru a determina valoarea riscului general asociat respectivului actor al amenințării.(5) Scorul general al entității se determină prin adunarea valorii riscului asociat fiecărui tip de actor al amenințării cu fiecare categorie de atac și este egal cu suma valorilor riscului general pentru toate cele cinci tipuri de actori ai amenințării.(6) Scorul general al entității va determina nivelul de risc al acesteia în funcție de care se stabilește categoria de cerințe de securitate cibernetică aplicabilă, după cum urmează:a) entitățile care au obținut un scor între „0“ și „99“ de puncte vor implementa nivelul de bază, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanța de urgență a Guvernului nr. 155/2024;b) entitățile care au obținut un scor între „100“ și „199“ de puncte vor implementa nivelul important, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanța de urgență a Guvernului nr. 155/2024;c) entitățile care au obținut un scor între „200“ și „1.500“ de puncte vor implementa nivelul esențial, astfel cum acesta este prevăzut în cadrul ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanța de urgență a Guvernului nr. 155/2024.(7) În vederea aplicării prezentei metodologii, entitatea înregistrată în registrul entităților utilizează exclusiv unul dintre cele două mecanisme puse la dispoziție de către DNSC. + Articolul 4(1) În cazul în care o entitate nu a utilizat Platforma NIS2@RO în cadrul procesului de evaluare a nivelului de risc din cauza indisponibilității acesteia, entitatea va avea obligația de a completa și a încărca raportul și documentele justificative, după caz, într-un termen de cel mult 20 de zile de la data la care aceasta devine disponibilă. Validarea și confirmarea acestor acțiuni sunt efectuate de către DNSC în termen de 15 zile de la încărcarea documentației de către entitate.(2) DNSC transmite o notificare cu privire la disponibilitatea platformei persoanelor însărcinate cu monitorizarea mijloacelor de contact indicate de către entități în formularul de notificare. + Articolul 5Se aprobă valorile sectoriale pentru stabilirea scorului de bază, prevăzute în anexa la prezenta metodologie. + Articolul 6(1) Entitățile din sectorul 3 - Sectorul bancar din anexa nr. 1 și entitățile din sectorul 6 - Furnizori digitali din anexa nr. 2 la Ordonanța de urgență a Guvernului nr. 155/2024 nu realizează evaluarea nivelului de risc al entității.(2) Entitățile din sectorul 3 - Sectorul bancar din anexa nr. 1 la Ordonanța de urgență a Guvernului nr. 155/2024, menționate la alin. (1), aplică măsurile de gestionare a riscurilor în materie de securitate cibernetică, astfel cum este prevăzut în Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011.(3) Entitățile din sectorul 6 - Furnizori digitali din anexa nr. 2 la Ordonanța de urgență a Guvernului nr. 155/2024, menționate la alin. (1), aplică măsurile de gestionare a riscurilor în materie de securitate cibernetică prevăzute de Regulamentul de punere în aplicare (UE) 2024/2.690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2.555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică și specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere.(4) Entitățile din sectorul 4 - Infrastructuri ale pieței financiare din anexa nr. 1 la Ordonanța de urgență a Guvernului nr. 155/2024, cărora li se aplică Regulamentul (UE) 2022/2.554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1.011, precum și entitățile din sectorul 8 - Infrastructură digitală din anexa nr. 1 la Ordonanța de urgență a Guvernului nr. 155/2024, cărora li se aplică Regulamentul de punere în aplicare (UE) 2024/2.690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2.555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică și specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere, nu realizează evaluarea nivelului de risc al entității. + ANEXĂla metodologie
Valori sectoriale pentru stabilirea nivelului de risc
| Sector/Risc | Energie | Transport | Piață financiară | Sănătate | Apă potabilă | Ape uzate | Infrastructură digitală Gestionarea serviciilor TIC | Administrație publică | Spațiu | Servicii poștale și de curierat | Gestionarea deșeurilor | Fabricarea, producția și distribuția de substanțe chimice | Producția, prelucrarea și distribuția de alimente | Fabricare | Furnizori digitali | Cercetare | |||||||||||||||||
| Categorie atac | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | Global | Țintit | |
| Teroriști - sabotaj/ perturbare a furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | M | M | M | M | R | R | M | M | M | M | M | M | M | S | M | S | |||||||||||||||||
| Teroriști - furtul de informații/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | S | S | M | M | M | M | S | M | S | S | M | M | S | S | S | M | |||||||||||||||||
| Teroriști - atacuri specifice criminalității cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Teroriști - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Teroriști - atacuri care țintesc sau care afectează imaginea entității | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Activiști motivați ideologic - sabotaj/ perturbare a furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | S | S | M | M | M | M | M | M | S | S | S | S | S | S | M | S | |||||||||||||||||
| Activiști motivați ideologic - furtul de informații/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | M | M | S | S | M | S | |||||||||||||||||
| Activiști motivați ideologic - atacuri specifice criminalității cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Activiști motivați ideologic - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | M | M | M | S | S | S | M | M | M | S | S | S | M | M | S | M | |||||||||||||||||
| Activiști motivați ideologic - atacuri care țintesc sau care afectează imaginea entității | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | M | M | M | M | S | S | M | M | M | M | M | M | M | S | M | S | |||||||||||||||||
| Competitori ostili - sabotaj/ perturbarea furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | M | S | S | |||||||||||||||||
| Competitori ostili - furtul de informații/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | R | S | M | |||||||||||||||||
| Competitori ostili - atacuri specifice criminalității cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Competitori ostili - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Competitori ostili - atacuri care țintesc sau care afectează imaginea entității | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Infractori cibernetici - sabotaj/ perturbarea furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | M | S | S | S | S | S | S | M | S | M | S | S | S | S | S | S | |||||||||||||||||
| Infractori cibernetici - furtul de informații/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | R | R | R | M | M | M | R | R | R | S | M | M | S | M | M | M | |||||||||||||||||
| Infractori cibernetici - atacuri specifice criminalității cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | R | R | R | R | M | M | R | R | R | R | R | R | M | R | R | R | |||||||||||||||||
| Infractori cibernetici - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Infractori cibernetici - atacuri care țintesc sau care afectează imaginea entității | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | S | |||||||||||||||||
| Actori statali - sabotaj/ perturbarea furnizării serviciului | Impact | R | R | R | R | R | R | R | R | R | R | M | R | R | M | R | M | ||||||||||||||||
| Probabilitate | R | R | M | M | R | R | R | R | R | M | M | R | R | M | M | S | |||||||||||||||||
| Actori statali - furtul de informații/ spionaj | Impact | R | R | R | R | M | M | R | R | R | M | S | M | S | R | M | R | ||||||||||||||||
| Probabilitate | R | R | M | M | M | M | R | R | R | M | M | M | M | M | M | R | |||||||||||||||||
| Actori statali - atacuri specifice criminalității cibernetice | Impact | R | R | R | R | M | M | R | R | R | M | M | R | R | S | M | R | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | M | S | S | |||||||||||||||||
| Actori statali - hacktivism/ vandalism cibernetic | Impact | M | M | M | S | S | S | M | R | M | S | M | M | M | S | S | M | ||||||||||||||||
| Probabilitate | M | M | M | S | S | S | M | M | M | S | S | S | M | S | S | S | |||||||||||||||||
| Actori statali - atacuri care țintesc sau care afectează imaginea entității | Impact | S | S | S | M | S | S | S | R | M | S | S | S | M | S | M | S | ||||||||||||||||
| Probabilitate | S | S | S | S | S | S | S | S | S | S | S | S | S | S | M | M | |||||||||||||||||
| Scor standard întreprindere | mică/micro | 95 | 85 | 85 | 72,5 | 67,5 | 67,5 | 95 | 125 | 87,5 | 50 | 15 | 60 | 42,5 | 57,5 | 55 | 62,5 | ||||||||||||||||
| mijlocie | 190 | 170 | 170 | 145 | 135 | 135 | 190 | 250 | 175 | 100 | 30 | 120 | 85 | 115 | 110 | 125 | |||||||||||||||||
| mare | 285 | 255 | 255 | 217,5 | 202,5 | 202,5 | 285 | 375 | 262,5 | 150 | 45 | 180 | 127,5 | 172,5 | 165 | 187,5 | |||||||||||||||||
Google Chrome
Mozilla Firefox
Internet Explorer
Apple Safari