Modul 3: Analiza de Risc - Curs Responsabil NIS

🎯 De Ce Este Analiza de Risc Atât de Importantă?

Conform Ordinului DNSC nr. 2/2025, analiza de risc este FUNDAȚIA întregului sistem NIS2. De ce? Fiindcă determină:

Ce măsuri de securitate trebuie să implementezi (de bază, importante sau esențiale)
Ce resurse alocatii (buget, personal, echipamente)
Unde să te focalizezi (ce riscuri sunt cele mai periculoase)
Cât de des să auditezi (riscurile mari = audit mai des)
Cum comunici cu DNSC (dacă ai risc ridicat, DNSC te va supraveghea mai atent)

Gândește-te la asta: Dacă nu știi ce riscuri ai, cum poți decide ce măsuri să implementezi? E ca și cum ai cumpăra echipament de protecție pentru o muncă care nici nu o cunoști!

📐 Formula Fundamentală de Calcul a Riscului

Conform Ordinului DNSC nr. 2/2025, Anexa 2:

RISC = DIMENSIUNE × NATURĂ_ATAC × IMPACT × PROBABILITATE

(Sau în varianta simplificată: RISC = IMPACT × PROBABILITATE)

Explicarea Componenetelor

DIMENSIUNE (Size) Cât de mare e entitatea? Măsurată în: număr angajați, cifră de afaceri, număr utilizatori. Entități mai mari = risc mai mare (sunt ținte mai atractive).

NATURĂ_ATAC (Type of Attack) Ce tip de atac? Metodologia definește 5 tipuri: Sabotaj, Furt de informații, Fraude, Atacuri fizice, Atacuri asupra imaginii. Fiecare are probabilitate diferită.

IMPACT (Severity if happens) Ce se întâmplă dacă entitatea e afectată? Impact SCĂZUT = afecție mică, Impact MEDIU = perturbări moderate, Impact RIDICAT = pagube mari, posibile morți.

PROBABILITATE (Likelihood) Cât de probabil e ca atacul asta să se întâmple? Probabilitate SCĂZUTĂ = raro, Probabilitate MEDIE = posibil, Probabilitate RIDICATĂ = foarte probabil.

📊 Scările de Evaluare (Ordinul DNSC nr. 2/2025)

Impact

SCĂZUT Afectează <10 de oameni, pagubă < 1M EUR, fără risc pentru vieți omenești

MEDIU Afectează 10-100k oameni, pagubă 1-50M EUR, posibilă afectare sănătate

RIDICAT Afectează >100k oameni, pagubă >50M EUR, posibile morți sau criză națională

Probabilitate

SCĂZUTĂ Atac foarte rar, necesită resurse masive, atacator trebuie să aibă capabilities avansate

MEDIE Atac posibil, necesită resurse moderate, atacatori competenți pe internet o pot face

RIDICATĂ Atac frecvent, ușor de executat, orice "script kiddie" o poate face

Dimensiune Entității

MICĂ <50 angajați, <10M EUR cifră de afaceri

MEDIE 50-250 angajați, 10-50M EUR cifră de afaceri

MARE >250 angajați, >50M EUR cifră de afaceri

🧮 Calcularea Scorului de Risc NIS2

Ce Se Întâmplă cu Scorul?

Scor Obținut	Categoria	Măsuri de Implementat
0 - 50	Risc SCĂZUT	Măsuri DE BAZĂ (BASIC) - cele mai simple controale
50 - 200	Risc MEDIU-SCĂZUT	Măsuri IMPORTANTE - pachete standard de protecție
200 - 1.500	Risc MEDIU-RIDICAT	Măsuri ESENȚIALE - controale avansate, audit anual
1.500+	Risc RIDICAT	Măsuri ESENȚIALE + supravegherea directă DNSC

Exemplu 1 - Fabrică Mică de Lactate:

Date:
• Dimensiune: MICĂ (40 angajați)
• Impact dacă se întrerupe: MEDIU (afectează 50k oameni - distribuție regională, posibilă risipă produs)
• Probabilitate atac: MEDIE (este țintă, dar nu prioritară)
• Natură atac: Sabotaj/Spionaj (Probabilitate MEDIE pentru sabotaj)

Calcul:
Scor = MICĂ(1) × Sabotaj(1.5) × MEDIU(2) × MEDIE(1.5) = ~4.5
Rezultat: Risc SCĂZUT → Măsuri IMPORTANTE sunt suficiente

Exemplu 2 - Fabrică Mare de Lactate cu Export EU:

Date:
• Dimensiune: MARE (300 angajați)
• Impact dacă se întrerupe: RIDICAT (afectează 500k oameni - distribuție națională + export, pierderi economice mari)
• Probabilitate atac: MEDIE-RIDICATĂ (țintă prioritară, industrie alimentară sensibilă)
• Natură atac: Sabotaj (Probabilitate RIDICATĂ - competitor, grup activist)

Calcul:
Scor = MARE(3) × Sabotaj(2.5) × RIDICAT(3) × RIDICATĂ(2.5) = ~56
Rezultat: Risc MEDIU-RIDICAT → Măsuri ESENȚIALE + Audit Anual Obligatoriu

🎯 Tipurile de Riscuri Cibernetice (5 Tipuri)

1. Sabotaj / Perturbare

Atacatorul vrea să întrerupă serviciile (DDoS, malware, distrugere date). Scop: pagubă economică, destabilizare.

2. Furt de Informații

Atacatorul vrea date valoroase (formule, liste clienți, date financiare). Scop: spionaj industrial, extorsiune.

3. Fraudă

Atacatorul vrea să manipuleze sistemele pentru câștig ilegal (transfer bani fals, modificare comenzi). Scop: profit rapid.

4. Atacuri Fizice

Atacatorul vrea acces fizic la echipamente critice (tăiere cabluri, accesare server-e). Scop: sabotaj, furt echipament.

5. Atacuri asupra Imaginii

Atacatorul vrea să dăuneze reputației (defacement site, disinformație, extorsiune). Scop: chantaj, destabilizare brand.

Cine sunt Atacatorii? (5 Tipuri în Metodologie)

Tip Atacator	Resurse	Motivație	Riscul pentru Tine
Hacktiviști	Moderate	Cauze politice/sociale	Mediu (dacă entitatea e aliniată cu cauza lor)
Infractori Cibernetici	Moderate-Ridicate	Profit (furt, extorsiune)	RIDICAT (vor ținta orice cu bani)
State Ostile	MASIVE	Interese geopolitice	Foarte ridicat (pentru entități strategice)
Insider (Angajat)	Interne	Răzbunare, bani	FOARTE RIDICAT (sunt deja inside)
Concurenți	Moderate	Avantaj competitiv	Mediu-Ridicat (spionaj industrial)

✏️ Procesul de Autoevaluare - Ce Faci?

Pașii Practici (conform Ordinului 2/2025)

                    Pasul 1: Completezi formularul ENIRE@RO sau NIS2@RO (oferit de DNSC)

                    Pasul 2: Pentru fiecare tip de atac + fiecare probabil atacator, evaluezi:

                      → Impact: SCĂZUT / MEDIU / RIDICAT

                      → Probabilitate: SCĂZUTĂ / MEDIE / RIDICATĂ

                    Pasul 3: Instrumentul calculează automat scorul (Impact × Probabilitate × ...)

                    Pasul 4: Obții un nivel de risc: SCĂZUT / MEDIU / RIDICAT

                    Pasul 5: Pe baza nivelului, determini ce măsuri trebuie implementate

                    Pasul 6: Transmiti evaluarea către DNSC în 60 de zile după notificare

IMPORTANT: Dacă evaluarea ta diferă semnificativ de scorul de bază al sectorului (ex: sector alimentație are scor de bază 150, dar tu evaluezi 50), DNSC te poate cere motivarea temeinică. Trebuie să arăți că riscurile tale sunt intr-adevăr mai mici.

🔗 De la Risc la Măsuri - Conexiunea

Exemplu Complet: Fabrică de Lactate

1. Evaluare Risc:
Scor de risc = 250 (MEDIU-RIDICAT → Măsuri ESENȚIALE necesare)

2. Riscurile Identificate:
• Sabotaj process productiv → Impact: RIDICAT, Probabilitate: MEDIE
• Furt data formule → Impact: RIDICAT, Probabilitate: MEDIE
• Atac DDoS site vânzări → Impact: MEDIU, Probabilitate: MEDIE

3. Măsuri de Mitigare (ce trebuie să faci):
✓ Firewall avansat + segmentare rețea (protecție DDoS)
✓ Criptare bază de date formule (protecție furt)
✓ Redundanță sisteme productie (continuitate)
✓ Backup zilnic cu test recuperare (reziliență)
✓ Monitorizare 24/7 (detectare atac rapid)
✓ Audit extern anual (verificare implementare)

4. Rezultat:
După implementare, scorul de risc ar trebui să scadă (ex: 250 → 120 = risc mai mic)

✅ Recap pentru Examen

1. Care este formula generală de calcul a scorului de risc?

Răspuns: Risc = Dimensiune × Natură_Atac × Impact × Probabilitate (sau versiunea simplă: Impact × Probabilitate)

2. La criteriul "sănătatea și viața persoanelor", impactul este ridicat dacă:

Răspuns: Se înregistrează cel puțin 20 de decese sau îmbolnăviri grave

3. Ce nu face parte din determinarea nivelului impactului?

Răspuns: d) Sectorul din care face parte organizația (aceasta nu e parte din impact direct)

4. Entitățile care au obținut un scor între 200 și 1.500 de puncte vor implementa:

Răspuns: Nivelul ESENȚIAL de măsuri

⚠️ Modul 3: Analiza de Risc