Ordinul 2/2025 pentru aprobarea Criteriilor şi pragurilor de determinare a gradului de perturbare a unui serviciu şi a Metodologiei privind evaluarea nivelului de risc al entităţilor

Dată act: 11-aug-2025

Emitent: Directoratul National de Securitate Cibernetica

Având în vedere dispoziţiile art. 10 alin. (2) şi ale art. 18 din Ordonanţa de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil, aprobată cu modificări şi completări prin Legea nr. 124/2025, precum şi dispoziţiile art. 5 lit. b) şi ale art. 7 alin. (3) şi (4) din Ordonanţa de urgenţă a Guvernului nr. 104/2021 privind înfiinţarea Directoratului Naţional de Securitate Cibernetică, aprobată cu modificări şi completări prin Legea nr. 11/2022, cu modificările ulterioare,

directorul Directoratului Naţional de Securitate Cibernetică emite prezentul ordin.

Art. 1

(1)Entităţile, astfel cum acestea sunt definite la art. 4 lit. f) din Ordonanţa de urgenţă a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil, aprobată cu modificări şi completări prin Legea nr. 124/2025, denumită în continuare Ordonanţa de urgenţă a Guvernului nr. 155/2024, care nu au fost calificate drept entităţi esenţiale sau entităţi importante conform art. 5 alin. (1) lit. a) şi c)-f) şi alin. (2)-(4), art. 6 alin. (1) şi alin. (2) lit. b) şi c) şi nici conform art. 9 lit. a) şi d) din acelaşi act normativ, realizează evaluarea gradului de perturbare a serviciilor în vederea completării informaţiilor solicitate conform Ordinului directorului Directoratului Naţional de Securitate Cibernetică nr. 1/2025 pentru aprobarea Cerinţelor privind procesul de notificare în vederea înregistrării şi metoda de transmitere a informaţiilor, precum şi pentru determinarea categoriei de măsuri de gestionare a riscurilor aplicabile.

(2)Prin perturbarea unui serviciu, în înţelesul prezentului ordin, se înţeleg întreruperea, respectiv afectarea confidenţialităţii sau a modului de funcţionare a serviciului respectiv.

(3)Atunci când se realizează evaluarea gradului de perturbare, entităţile se raportează la toate serviciile pe care le prestează şi care se încadrează în anexele nr. 1 şi 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024.

Art. 2

Rezultatele autoanalizei privind faptul că entitatea este singurul furnizor al unui serviciu care este esenţial pentru susţinerea unor activităţi societale şi economice critice, conform dispoziţiilor art. 9 lit. a) din Ordonanţa de urgenţă a Guvernului nr. 155/2024, astfel cum acestea au fost transmise în aplicarea Ordinului directorului Directoratului Naţional de Securitate Cibernetică nr. 1/2025 pentru aprobarea cerinţelor privind procesul de notificare în vederea înregistrării şi metoda de transmitere a informaţiilor, se interpretează în conformitate cu prevederile art. 5 alin. (1) lit. b), respectiv conform prevederilor art. 6 alin. (2) lit. a) din Ordonanţa de urgenţă a Guvernului nr. 155/2024, astfel:

a)o entitate care este unic furnizor în România al unui serviciu prevăzut în anexa nr. 1 la Ordonanţa de urgenţă a Guvernului nr. 155/2024 este entitate esenţială dacă nu a fost identificată astfel conform celorlalte criterii prevăzute la art. 5 din acelaşi act normativ;

b)o entitate care este unic furnizor în România al unui serviciu prevăzut în anexa nr. 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024 este entitate importantă dacă nu a fost identificată astfel conform celorlalte criterii prevăzute la art. 6 din acelaşi act normativ.

Art. 3

Se aprobă Criteriile şi pragurile de determinare a gradului de perturbare a unui serviciu, prevăzute în anexa nr. 1 care face parte integrantă din prezentul ordin.

Art. 4

(1)Se aprobă Metodologia privind evaluarea nivelului de risc al entităţilor, prevăzută în anexa nr. 2 care face parte integrantă din prezentul ordin.

(2)Utilizarea metodologiei prevăzute la alin. (1) are scopul de a determina categoria de măsuri tehnice, operaţionale şi organizatorice destinate identificării, evaluării şi gestionării riscurilor aferente securităţii reţelelor şi a sistemelor informatice pe care entitatea trebuie să le implementeze.

(3)În vederea determinării nivelului de risc al entităţii, Directoratul Naţional de Securitate Cibernetică, în continuare DNSC, stabileşte un scor de bază pentru fiecare sector din fiecare anexă la Ordonanţa de urgenţă a Guvernului nr. 155/2024 sau, după caz, pentru unele tipuri de entităţi din anexele nr. 1 şi 2 la acelaşi act normativ. Scorul general obţinut de către entitate determină nivelul de complexitate a măsurilor de securitate, aferent ordinului privind măsurile de gestionare a riscurilor.

Art. 5

(1)Entităţile îşi calculează scorul prevăzut la art. 3 alin. (6) din anexa nr. 2 utilizând formulele de calcul prevăzute în anexa respectivă, pornind de la valorile de bază aferente tipului de entitate în care se încadrează sau sectorului din care fac parte, prevăzute în cadrul anexei la Metodologia privind evaluarea nivelului de risc al entităţilor, şi în conformitate cu dimensiunea acestora.

(2)O entitate care desfăşoară activităţi în mai multe sectoare îşi evaluează nivelul de risc aferent fiecărui sector şi implementează nivelul de măsuri de securitate corespunzător celui mai mare scor general obţinut.

(3)Atunci când, ca urmare a evaluării realizate de către entitate, valorile aferente impactului şi probabilităţii la nivelul propriei organizaţii ale riscurilor prevăzute în metodologia din anexa nr. 2 diferă de valorile de bază ale sectorului sau ale tipului de entitate cu privire la care se raportează evaluarea, entitatea transmite către DNSC o analiză care cuprinde câte o motivare temeinică pentru fiecare valoare cu privire la care aceasta solicită modificarea valorii de bază.

(4)Ca urmare a solicitării prevăzute la alin. (3), DNSC poate valida propunerile înaintate de către entitate prin solicitarea transmisă. În situaţia validării acestora, calculul scorului general care determină nivelul de risc al entităţii se realizează conform valorilor astfel actualizate.

(5)Entităţile îşi recalculează scorul general o dată la 3 ani şi ori de câte ori este depăşit pragul ridicat al impactului generat de perturbarea serviciului furnizat aferent sectorului din care acestea fac parte, aplicând corespunzător dispoziţiile alin. (1), cu excepţia situaţiei în care entitatea aplică deja cel mai înalt nivel de măsuri de securitate cibernetică conform ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 155/2024.

(6)Entităţile pot să îşi recalculeze scorul general şi în situaţia în care impactul generat de perturbarea serviciului furnizat este sub pragul aferent sectorului din care acestea fac parte, aplicând corespunzător dispoziţiile alin. (1).

Art. 6

Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

-****-

ANEXA nr. 1:

CRITERII ŞI PRAGURI de determinare a gradului de perturbare a unui serviciu

Art. 1

(1)Impactul, astfel cum acesta este prevăzut
la art. 9 lit. b) şi c) din Ordonanţa de urgenţă a Guvernului nr. 155/2024, se clasifică în:

a)impact
ridicat – atunci când perturbarea serviciului are consecinţe foarte grave şi
catastrofale, la nivel naţional, asupra reţelelor şi sistemelor informatice,
activelor, persoanelor, statului, funcţionării serviciilor intersectoriale sau
a funcţionării serviciilor transfrontaliere în Uniunea Europeană (UE);

b)impact
mediu – atunci când perturbarea serviciului are consecinţe grave, la nivel
naţional, asupra reţelelor şi sistemelor informatice, activelor, persoanelor,
statului, funcţionării serviciilor intersectoriale sau a funcţionării
serviciilor transfrontaliere în UE;

c)impact
scăzut – atunci când perturbarea serviciului are consecinţe scăzute, la nivel
naţional, asupra reţelelor şi sistemelor informatice şi activelor entităţii,
asupra persoanelor, statului, funcţionării serviciilor intersectoriale sau a
funcţionării serviciilor transfrontaliere în UE. Consecinţele scăzute se referă
la afectarea capacităţii unei entităţi de a-şi îndeplini misiunea sau
obiectivele sale într-o asemenea măsură încât aceasta să fie capabilă să îşi
îndeplinească funcţiile principale, dar reduce semnificativ eficacitatea
acestor funcţii.

(2)În determinarea nivelului impactului, astfel cum acesta este prevăzut
la alin. (1), se au în vedere următoarele:

a)drepturile
şi libertăţile fundamentale;

b)economia
naţională;

c)sănătatea
şi viaţa persoanelor;

d)impactul
financiar;

e)apărarea,
ordinea publică şi securitatea naţională;

f)impactul
transsectorial sau transfrontalier.

(3)Atunci când sunt
aplicabile cel puţin două dintre lit. a)-f) ale alin. (2), impactul entităţii
este determinat de nivelul cel mai crescut dintre nivelurile rezultate în urma
analizei efectuate conform prevederilor ordinului.

Art. 2

(1)Entităţile
analizează efectul pe care întreruperea, respectiv afectarea confidenţialităţii
sau a modului de funcţionare a serviciilor pe care le oferă îl pot genera, la
nivel naţional, asupra drepturilor şi libertăţilor fundamentale, asupra
economiei naţionale, asupra sănătăţii şi vieţii persoanelor, în funcţie de
impactul financiar, precum şi asupra apărării, ordinii publice şi securităţii
naţionale, precum şi în funcţie de impactul transsectorial sau transfrontalier
în relaţie cu alte state membre ale Uniunii Europene.

(2)În vederea determinării
impactului generat de perturbarea serviciului furnizat de entitate conform
dispoziţiilor art. 9 lit. b) din Ordonanţa de urgenţă a Guvernului nr. 155/2024,
se evaluează nivelul impactului în conformitate cu art. 10 alin. (1) lit. a)-d)
din acelaşi act normativ.

(3)În vederea determinării
impactului generat de perturbarea serviciului furnizat de entitate conform art.
9 lit. c) din Ordonanţa de urgenţă a Guvernului nr. 155/2024, se
evaluează nivelul impactului în conformitate cu art. 10 alin. (1) lit. f) din
acelaşi act normativ.

(4)În vederea determinării dacă o entitate este considerată esenţială în
conformitate cu prevederile art. 5 alin. (1) lit. b) din Ordonanţa de urgenţă a
Guvernului nr. 155/2024,
respectiv dacă este importantă conform prevederilor art. 6 alin. (2) lit. a)
din acelaşi act normativ, criteriile prevăzute la art. 9 lit. b) şi c) din
actul normativ menţionat anterior se aplică, după caz, astfel:

a)orice
entitate din sectoarele din anexa nr. 1 la Ordonanţa de urgenţă a Guvernului
nr. 155/2024 care nu a fost identificată drept entitate esenţială
conform celorlalte criterii prevăzute la art. 5 din acelaşi act normativ, dar
care atinge sau depăşeşte pragul ridicat al impactului generat de perturbarea
serviciului furnizat, este entitate esenţială;

b)orice
entitate din sectoarele din anexele nr. 1 şi 2 la Ordonanţa de urgenţă a
Guvernului nr. 155/2024 care nu a fost identificată drept entitate
importantă conform celorlalte criterii prevăzute la art. 6 din acelaşi act
normativ sau nu a fost identificată ca entitate esenţială conform lit. a), dar
care atinge sau depăşeşte pragul mediu al impactului generat de perturbarea
serviciului furnizat, este entitate importantă.

Art. 3

(1)Impactul
asupra drepturilor şi libertăţilor fundamentale este ridicat atunci când sunt
afectate datele cu caracter personal a mai mult de 1.000.000 de persoane sau
când este afectat accesul la serviciile publice esenţiale pentru un număr de
cel puţin 115.000 de persoane.

(2)Impactul asupra
drepturilor şi libertăţilor fundamentale este mediu atunci când sunt afectate
datele cu caracter personal a mai mult de 200.000 de persoane sau când este
afectat accesul la serviciile publice esenţiale pentru un număr de cel puţin
25.000 de persoane.

Art. 4

(1)Impactul
asupra economiei naţionale este ridicat atunci când sunt provocate pierderi de
peste 0,1% din PIB-ul României, atunci când este afectată cel puţin 25% din
valoarea serviciilor din unul dintre sectoarele din anexele nr. 1 şi 2 la
Ordonanţa de urgenţă a Guvernului nr. 155/2024 sau atunci când sunt provocate distrugeri la
nivelul infrastructurii critice, astfel cum acestea sunt prevăzute de Ordonanţa
de urgenţă a Guvernului nr. 98/2010 privind identificarea, desemnarea şi protecţia
infrastructurilor critice, aprobată cu modificări prin Legea nr. 18/2011,
cu modificările şi completările ulterioare.

(2)Impactul asupra economiei
naţionale este mediu atunci când este afectată furnizarea serviciilor din unul
dintre sectoarele din anexele nr. 1 şi 2 la Ordonanţa de urgenţă a Guvernului
nr. 155/2024 sau atunci când este afectată funcţionarea infrastructurii
critice, astfel cum sunt prevăzute de Ordonanţa de urgenţă a Guvernului nr. 98/2010
privind identificarea, desemnarea şi protecţia infrastructurilor critice,
aprobată cu modificări prin Legea nr. 18/2011, cu modificările şi completările ulterioare.

Art. 5

(1)Impactul
asupra sănătăţii şi vieţii persoanelor este ridicat atunci când este provocat
decesul, îmbolnăvirea cronică sau infirmitatea a mai mult de 50 de persoane sau
atunci când sunt provocate leziuni traumatice sau este afectată sănătatea a mai
mult de 115.000 de persoane.

(2)Impactul asupra sănătăţii
şi vieţii persoanelor este mediu atunci când sunt provocate leziuni traumatice
sau când este afectată sănătatea persoanelor.

Art. 6

(1)Impactul
financiar este ridicat atunci când este provocată pierderea a cel puţin 2.500
de lei asupra a cel puţin 115.000 de persoane.

(2)Impactul financiar este
mediu atunci când este provocată pierderea a cel puţin 2.500 de lei asupra a
cel puţin 25.000 de persoane.

Art. 7

(1)Impactul
asupra apărării, ordinii publice şi securităţii naţionale este ridicat atunci
când este afectată capacitatea statului de a asigura apărarea, ordinea publică
şi securitatea naţională sau atunci când este generată incapacitatea statului
de a îndeplini funcţiile sale principale sau atunci când este generat un
prejudiciu grav în ceea ce priveşte reputaţia statului ori încrederii
cetăţenilor în acesta.

(2)Impactul asupra apărării,
ordinii publice şi securităţii naţionale este mediu atunci când este afectată
capacitatea statului de a asigura activităţi din sfera apărării, ordinii
publice şi securităţii naţionale, cu consecinţe potenţial grave pentru
siguranţa persoanelor şi a proprietăţii private.

Art. 8

(1)Impactul
transsectorial sau transfrontalier este ridicat atunci când sunt afectate cel
puţin două sectoare şi cel puţin 20% din serviciile esenţiale din cel puţin un
sector sau atunci când obligaţiile României ce decurg din dreptul internaţional
şi cadrele multilaterale nu mai pot fi îndeplinite.

(2)Impactul transsectorial
sau transfrontalier este mediu atunci când sunt afectate cel puţin două
sectoare şi cel puţin 5% din serviciile esenţiale din cel puţin un sector sau
atunci când capacitatea României de a-şi îndeplini obligaţiile ce decurg din
dreptul internaţional şi cadrele multilaterale este afectată.

ANEXA nr. 2:

METODOLOGIE privind evaluarea nivelului de risc al entităţilor

Art. 1

(1)În vederea sprijinirii entităţilor
esenţiale şi entităţilor importante, DNSC dezvoltă două mecanisme specifice,
respectiv:

a)un
instrument de evaluare a nivelului de risc al unei entităţi – ENIRE@RO;

b)o
platformă de înrolare, informare şi cooperare – NIS2@RO.

(2)Mecanismele sunt
destinate tuturor entităţilor esenţiale şi importante înscrise în registrul
entităţilor şi sunt utilizate în vederea stabilirii nivelului de risc al
entităţii, în conformitate cu art. 18 alin. (6) din Ordonanţa de urgenţă a
Guvernului nr. 155/2024.

(3)În cazul în care
Platforma NIS2@RO este indisponibilă sau se doreşte o preevaluare a nivelului
de risc al unei entităţi, se utilizează Instrumentul ENIRE@RO, care se descarcă
de pe site-urile DNSC (dnsc.ro, platformanis2.ro) şi se utilizează local.

Art. 2

(1)Mecanismele calculează nivelul de risc al
entităţilor din perspectiva a cinci tipologii de actori împărţiţi în două
grupe, pe baza cunoştinţelor şi a resurselor pe care le au la dispoziţie
aceştia, respectiv:

a)cei
cu capabilităţi de nivel comun: terorişti, activişti motivaţi ideologic şi
competitori ostili. Aceştia dispun de cunoştinţe comune/scăzute şi resurse
limitate necesare pentru executarea cu succes a unui atac cibernetic;

b)cei
cu capabilităţi extinse: infractori cibernetici şi actori statali. Aceştia
dispun de cunoştinţe avansate şi resurse vaste necesare pentru executarea cu
succes a unui atac cibernetic.

(2)Pentru calcularea nivelului de risc reprezentat de fiecare categorie de
actori sunt avute în vedere 5 categorii de atacuri cibernetice, în funcţie de
scopul urmărit şi modalitatea de manifestare a ameninţării, respectiv:

a)sabotaj/perturbare
a furnizării serviciului;

b)furtul
de informaţii/spionaj;

c)atacuri
specifice criminalităţii cibernetice;

d)hacktivism/vandalism
cibernetic;

e)atacuri
care ţintesc sau care afectează imaginea entităţii.

Art. 3

(1)Datele şi informaţiile utilizate în cele
două mecanisme sunt:

a)date cu valori predefinite la nivel
sectorial care nu pot fi modificate:

(i)sectorul evaluat –
reprezintă domeniul de activitate al entităţii analizate. Dacă entitatea
activează în mai multe sectoare, nivelul de risc va fi calculat separat pentru
fiecare sector, urmând ca măsurile de securitate cibernetică să fie
implementate conform celui mai ridicat scor general obţinut;

(ii)natura atacului –
reprezintă modalitatea principală de desfăşurare a acestuia, având o valoare
prestabilită de către DNSC pentru fiecare sector, astfel: “global” –
valoarea “1” – atacuri nediscriminatorii care vizează cât mai multe
dispozitive, servicii sau utilizatori, fără a avea o victimă specifică, şi
“ţintit” – valoarea “2” – atacuri deliberate asupra unei
entităţi specifice, desfăşurate de actori cu expertiză şi resurse suficiente,
necesitând un grad mai ridicat de protecţie;

b)date care trebuie modificate în
conformitate cu dimensiunea entităţii. În conformitate cu dispoziţiile art. 8
din Ordonanţa de urgenţă a Guvernului nr. 155/2024, având în vedere dispoziţiile Legii nr. 346/2004
privind stimularea înfiinţării şi dezvoltării întreprinderilor mici şi
mijlocii, cu modificările şi completările ulterioare, o entitate poate fi
clasificată în:

(i)întreprindere mare (L),
situaţie în care acest parametru va avea valoarea “3”;

(ii)întreprindere mijlocie
(M), situaţie în care acest parametru va avea valoarea “2”;

(iii)întreprindere mică şi
microîntreprindere (S), situaţie în care acest parametru va avea valoarea
“1”.

În cazul entităţilor din
administraţia publică, parametrul va fi calculat în funcţie de numărul mediu de
persoane angajate, calculat conform dispoziţiilor art. 5 din Legea nr. 346/2004,
astfel: până la 49 de angajaţi – va avea valoarea “1”, între 50 şi
249 de angajaţi – va avea valoarea “2”, minimum 250 de angajaţi – va
avea valoarea “3”.

c)date cu valori predefinite la nivel
sectorial şi care pot fi modificate, în mod justificat, de către entitate:

(i)impactul reprezintă
daunele care pot surveni ca urmare a unui atac cibernetic din categoriile
prevăzute la dispoziţiile art. 2 alin. (2), derulat de un tip de actor prevăzut
în dispoziţiile art. 2 alin. (1), şi este determinat în conformitate cu
criteriile şi pragurile de determinare a gradului de perturbare a unui
serviciu, prevăzute în anexa nr. 1 la ordin. Încadrarea în pragurile de impact
este raportată la categoria de atac şi tipologia de atacator. Această variabilă
poate avea următoarele niveluri: “ridicat” – valoarea “10”,
“mediu” – valoarea “5” sau “scăzut” – valoarea
“0”;

(ii)probabilitatea
reprezintă şansa ca un risc de derulare a unui atac cibernetic din categoriile
prevăzute la dispoziţiile art. 2 alin. (2), derulat de un tip de actor prevăzut
la dispoziţiile art. 2 alin. (1), să se materializeze, fiind o măsură a
posibilităţii de apariţie a acestuia, şi este determinată fie prin evaluare
calitativă, fie prin cuantificare, în funcţie de natura riscului şi de datele
disponibile. Aceasta poate avea următoarele niveluri: “ridicată” –
valoarea “1” – actorul este cunoscut pentru atacuri similare în
sectorul respectiv, iar riscul este inacceptabil, necesitând măsuri imediate de
reducere sau întreruperea activităţii; “medie” – valoarea
“0,5” – actorul a desfăşurat atacuri similare la nivel global, iar
riscul este tolerabil, impunând monitorizare şi acţiuni de îmbunătăţire pe
termen mediu şi lung; “scăzută” – valoarea “0” – nu există
dovezi că actorul a efectuat astfel de atacuri în sector, iar riscul este
acceptabil fără intervenţii suplimentare;

d)date calculate în mod automat:

(i)valoarea riscului;

(ii)valoarea riscului general
corespunzătoare fiecărui tip de actor;

(iii)scorul general al
entităţii.

(2)Pentru fiecare tip de
actor al ameninţării, valoarea riscului se calculează în funcţie de fiecare
categorie de atac cibernetic.

(3)Valoarea riscului se
determină prin înmulţirea următorilor parametri: dimensiunea entităţii, astfel
cum aceasta este determinată la dispoziţiile alin. (1) lit. b), natura
atacului, astfel cum aceasta este determinată la dispoziţiile alin. (1) lit. a)
pct. (ii), impactul, astfel cum acesta este determinat la dispoziţiile alin.
(1) lit. c) pct. (i), şi probabilitatea, astfel cum aceasta este determinată la
dispoziţiile alin. (1) lit. c) pct. (ii).

(4)Valorile obţinute pentru
un tip de actor al ameninţării, corelate cu valorile pentru fiecare categorie
de atac, se adună pentru a determina valoarea riscului general asociat
respectivului actor al ameninţării.

(5)Scorul general al
entităţii se determină prin adunarea valorii riscului asociat fiecărui tip de
actor al ameninţării cu fiecare categorie de atac şi este egal cu suma
valorilor riscului general pentru toate cele cinci tipuri de actori ai
ameninţării.

(6)Scorul general al entităţii va determina nivelul de risc al acesteia în
funcţie de care se stabileşte categoria de cerinţe de securitate cibernetică
aplicabilă, după cum urmează:

a)entităţile
care au obţinut un scor între “0” şi “99” de puncte vor
implementa nivelul de bază, astfel cum acesta este prevăzut în cadrul ordinului
privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin. (1) din
Ordonanţa de urgenţă a Guvernului nr. 155/2024;

b)entităţile
care au obţinut un scor între “100” şi “199” de puncte vor
implementa nivelul important, astfel cum acesta este prevăzut în cadrul
ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin.
(1) din Ordonanţa de urgenţă a Guvernului nr. 155/2024;

c)entităţile
care au obţinut un scor între “200” şi “1.500” de puncte
vor implementa nivelul esenţial, astfel cum acesta este prevăzut în cadrul
ordinului privind măsurile de gestionare a riscurilor prevăzut la art. 12 alin.
(1) din Ordonanţa de urgenţă a Guvernului nr. 155/2024.

(7)În vederea aplicării
prezentei metodologii, entitatea înregistrată în registrul entităţilor
utilizează exclusiv unul dintre cele două mecanisme puse la dispoziţie de către
DNSC.

Art. 4

(1)În
cazul în care o entitate nu a utilizat Platforma NIS2@RO în cadrul procesului
de evaluare a nivelului de risc din cauza indisponibilităţii acesteia,
entitatea va avea obligaţia de a completa şi a încărca raportul şi documentele
justificative, după caz, într-un termen de cel mult 20 de zile de la data la
care aceasta devine disponibilă. Validarea şi confirmarea acestor acţiuni sunt
efectuate de către DNSC în termen de 15 zile de la încărcarea documentaţiei de
către entitate.

(2)DNSC transmite o
notificare cu privire la disponibilitatea platformei persoanelor însărcinate cu
monitorizarea mijloacelor de contact indicate de către entităţi în formularul
de notificare.

Art. 5

Se
aprobă valorile sectoriale pentru stabilirea scorului de bază, prevăzute în
anexa la prezenta metodologie.

Art. 6

(1)Entităţile
din sectorul 3 – Sectorul bancar din anexa nr. 1 şi entităţile din sectorul 6 –
Furnizori digitali din anexa nr. 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024
nu realizează evaluarea nivelului de risc al entităţii.

(2)Entităţile din sectorul 3
– Sectorul bancar din anexa nr. 1 la Ordonanţa de urgenţă a Guvernului nr. 155/2024,
menţionate la alin. (1), aplică măsurile de gestionare a riscurilor în materie
de securitate cibernetică, astfel cum este prevăzut în Regulamentul (UE) 2022/2.554
al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind
rezilienţa operaţională digitală a sectorului financiar şi de modificare a
Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011.

(3)Entităţile din sectorul 6
– Furnizori digitali din anexa nr. 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024,
menţionate la alin. (1), aplică măsurile de gestionare a riscurilor în materie
de securitate cibernetică prevăzute de Regulamentul de punere în aplicare (UE) 2024/2.690
al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a
Directivei (UE) 2022/2.555 în ceea ce priveşte cerinţele tehnice şi
metodologice ale măsurilor de gestionare a riscurilor în materie de securitate
cibernetică şi specificarea suplimentară a cazurilor în care un incident este
considerat semnificativ referitor la furnizorii de servicii DNS, registrele de
nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de
centre de date, furnizorii de reţele de furnizare de conţinut, furnizorii de
servicii gestionate, furnizorii de servicii de securitate gestionate,
furnizorii de pieţe online, de motoare de căutare online şi de platforme de
servicii de socializare în reţea, precum şi prestatorii de servicii de
încredere.

(4)Entităţile din sectorul 4
– Infrastructuri ale pieţei financiare din anexa nr. 1 la Ordonanţa de urgenţă
a Guvernului nr. 155/2024, cărora li se aplică Regulamentul (UE) 2022/2.554
al Parlamentului European şi al Consiliului din 14 decembrie 2022 privind
rezilienţa operaţională digitală a sectorului financiar şi de modificare a
Regulamentelor (CE) nr. 1.060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1.011, precum şi entităţile din sectorul 8 – Infrastructură
digitală din anexa nr. 1 la Ordonanţa de urgenţă a Guvernului nr. 155/2024,
cărora li se aplică Regulamentul de punere în aplicare (UE) 2024/2.690
al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a
Directivei (UE) 2022/2.555 în ceea ce priveşte cerinţele tehnice şi
metodologice ale măsurilor de gestionare a riscurilor în materie de securitate
cibernetică şi specificarea suplimentară a cazurilor în care un incident este
considerat semnificativ referitor la furnizorii de servicii DNS, registrele de
nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de
centre de date, furnizorii de reţele de furnizare de conţinut, furnizorii de
servicii gestionate, furnizorii de servicii de securitate gestionate,
furnizorii de pieţe online, de motoare de căutare online şi de platforme de
servicii de socializare în reţea, precum şi prestatorii de servicii de
încredere, nu realizează evaluarea nivelului de risc al entităţii.

ANEXĂ:Valori sectoriale pentru
stabilirea nivelului de risc

Legendă:

Impactul şi probabilitatea
pot avea următoarele valori, notate în prezentul tabel, după cum urmează:

– scăzut – S;

– mediu – M;

– ridicat – R.

Publicat în Monitorul Oficial cu numărul 776 din data de 20 august 2025