📊 Structura Modulului
Ai 45 de întrebări în test, distribuate după cum urmează:
• Legislație și Cadru Instituțional: 8 întrebări (Modul 1)
• Domenii de Securitate: 10 întrebări (Modul 2)
• Analiza de Risc și Impact: 12 întrebări (Modul 3)
• Măsuri și Implementare: 15 întrebări (Măsuri și Proceduri)
Strategia de Examen: Răspunde la ușoare (5min), apoi la medii (15min), lasă grelele pentru final (20min). În caz de neștiință, elimină răspunsurile evident greșite și ghicește cel mai plauzibil.
Secțiunea 1: LEGISLAȚIE ȘI CADRU INSTITUȚIONAL (Domenii: OUG 155/2024, DNSC, Ordinele)
1. Care este actul normativ principal care transpune Directiva NIS 2 în România?
Legea nr. 506/2004
OUG nr. 155/2024
Ordinul Directorului DNSC nr. 1/2025
Ordinul Directorului DNSC nr. 2/2025
✓ Răspuns Corect: b) OUG nr. 155/2024
OUG 155/2024 este actul normativ principal publicat pe 31 decembrie 2024, care transpune în legislația românească Directiva (UE) 2022/2555 (NIS2). Ordinele 1 și 2 sunt acte de aplicare, nu de transpunere.
2. Ce instituție este desemnată ca autoritate competentă în domeniul securității cibernetice?
ANCOM
CERT-RO
ENISA
DNSC
✓ Răspuns Corect: d) DNSC
DNSC (Directoratul Național de Securitate Cibernetică) este autoritatea competentă la nivel național pentru supravegherea și implementarea NIS2 în România. ENISA e pe nivel european, ANCOM e pe telecomunicații, CERT-RO nu e autoritate competentă.
3. În conformitate cu Ordinul nr. 1.323/2020 al DNSC, domeniile de securitate se clasifică în:
Guvernanță, Securitate fizică, Securitate operațională, Reziliență
Protecție, Securitate operațională, Securitatea Resurselor Umane, Reziliență
Apărare Cibernetică, Protecție, Securitate, Reziliență
Governance, Protecție, Apărare Cibernetică, Reziliență
✓ Răspuns Corect: d) Governance, Protecție, Apărare Cibernetică, Reziliență
Aceștia sunt 4 domenii fundamentale conform Ordinului DNSC 1.323/2020, reafirmate și în OUG 155/2024. (Modul 2 complet)
4. În cât timp trebuie desemnat Responsabilul NIS după înscrierea entității în registrul DNSC?
15 zile
30 de zile
45 de zile
60 de zile
✓ Răspuns Corect: b) 30 de zile
Conform OUG 155/2024, în termen de 30 de zile după înregistrare, entitatea trebuie să desemneze Responsabilul NIS. Dacă Responsabilul nu are certificare, are 12 luni să urmeze curs acreditat DNSC.
5. Ce document reglementează procesul de notificare și înregistrare a entităților esențiale și importante?
OUG nr. 155/2024
Ordinul Directorului DNSC nr. 2/2025
Ordinul Directorului DNSC nr. 1/2025
Regulamentul DORA
✓ Răspuns Corect: c) Ordinul Directorului DNSC nr. 1/2025
Ordinul nr. 1/2025 stabilește procedura de notificare, cerințele formularului de notificare (pe platformă NIS2@RO sau instrument local), și metodele de transmitere la DNSC.
6. Care este primul pas în procesul de management al securității?
Instalarea de antivirus
Realizarea analizei de risc
Angajarea de personal IT
Criptarea datelor
✓ Răspuns Corect: b) Realizarea analizei de risc
Analiza de risc (A11 - RERO) este piatra de temelie. Fără a ști ce riscuri ai, cum poți decide ce măsuri implementezi? Toate celelalte sunt pasuri care urmează după identificarea riscurilor.
7. Cine este responsabil de implementarea cerințelor de securitate la nivelul EE și EI?
Exclusiv departamentul IT
Doar managerul general
Conducerea entității și Responsabilul NIS desemnat
Auditorii externi
✓ Răspuns Corect: c) Conducerea entității și Responsabilul NIS desemnat
Conform OUG 155/2024, responsabilitatea este PARTAJATĂ: conducerea alocare resurse și aproba politici, Responsabil NIS coordonează implementarea. Nu e doar IT, nu e doar un manager - e o responsabilitate de governance.
8. Ce instituție colaborează cu DNSC pentru supravegherea entităților dintr-un domeniu specific (ex: energie)?
ENISA
Autorități sectoriale (ANRE, ANCOM, etc.)
Bancul Național
Garda de Coastă
✓ Răspuns Corect: b) Autorități sectoriale
ANRE supraveghează entități din energia electrică, ANCOM din telecomunicații, etc. Acestea colaborează cu DNSC, dar DNSC rămâne autoritatea principală pentru NIS2.
Secțiunea 2: DOMENII DE SECURITATE (Governance, Protecție, Apărare, Reziliență)
9. Care din următoarele nu face parte din domeniul GOVERNANCE?
Politica de securitate (PONIS)
Responsabilități și roluri (RACI)
Monitorizare timp real a alertelor (aceasta e APĂRARE CIBERNETICĂ)
Registrul de riscuri (RERO)
✓ Răspuns Corect: c) Monitorizare timp real a alertelor
Governance = planing, politici, riscuri. Monitorizarea alertelor e parte din Apărare Cibernetică (detectare și răspuns la incidente în timp real).
10. Criptarea datelor cu AES-256 și SSL/TLS fac parte din domeniul:
Governance
Protecție
Apărare Cibernetică
Reziliență
✓ Răspuns Corect: b) Protecție
Criptarea este măsură tehnică DE PREVENȚIE (parte din Protecție). Scopul e să protejezi datele ÎNAINTE să fie atacate, nu să le detectezi durante atac.
11. Planul de Recuperare după Dezastru (DRP) și Backup-urile testate fac parte din:
Governance
Protecție
Apărare Cibernetică
Reziliență
✓ Răspuns Corect: d) Reziliență
DRP și Backup sunt măsuri de RECUPERARE și CONTINUITATE. Reziliență = "cum ies din problemă și revin la normal?" Nu e prevenție, nu e detectare - e recuperare.
12. Un SIEM (Security Information and Event Management) care colectează logs și detectează anormalități aparține domeniului:
Governance
Protecție
Apărare Cibernetică
Reziliență
✓ Răspuns Corect: c) Apărare Cibernetică
SIEM = MONITORIZARE ȘI DETECTARE. Aceasta e esența Apărării Cibernetice: "ce se întâmplă acum și cine e atacatorul?"
13. Care dintre cerintele de Securitate nu face parte din domeniul Reziliență?
Asigurarea disponibilității
Monitorizarea incidentelor
Recuperarea datelor
Organizarea gestionării crizelor cibernetice
✓ Răspuns Corect: b) Monitorizarea incidentelor
Monitorizarea = detectare = APĂRARE CIBERNETICĂ. Reziliență = recuperare și continuitate, nu monitorizare.
14. Ce rol are testarea de penetrare și evaluarea vulnerabilităților (A16)?
Parte din Governance (planning)
Parte din Protecție (evaluare măsuri preventive)
Parte din Apărare (testare răspuns)
Parte din Reziliență (testare recuperare)
✓ Răspuns Corect: b) Parte din Protecție
Testele de penetrare sunt executate pentru a VERIFICA dacă măsurile de PROTECȚIE sunt eficace. Nu e despre detectare (Apărare), ci despre validarea controalelor defensive.
15. Identificarea și clasificarea activelor critice (LASPO) fac parte din:
Governance
Protecție
Apărare Cibernetică
Reziliență
✓ Răspuns Corect: a) Governance
Inventarierea și clasificarea = PLANING și STRATEGIE = Governance. Trebuie să știi ce ai ÎNAINTE să o protejezi, monitorizezi sau recuperezi.
16. Un plan de răspuns la incidente cu proceduri clar definite aparține domeniului:
Governance
Protecție
Apărare Cibernetică
Reziliență
✓ Răspuns Corect: c) Apărare Cibernetică
Plan de răspuns = "ce fac CÂND se întâmple atac?" = APĂRARE. E parte din ciclul detectare-analiză-răspuns-remediere.
Secțiunea 3: ANALIZĂ DE RISC ȘI EVALUARE A IMPACTULUI
17. Care este formula generală utilizată pentru calcularea scorului de risc conform metodologiei?
Risc = Impact × Probabilitate
Risc = Dimensiune × Natură_atac × Impact × Probabilitate
Risc = Dimensiune + Impact + Probabilitate
Risc = Impact ÷ Dimensiune × Probabilitate
✓ Răspuns Corect: b) Risc = Dimensiune × Natură_atac × Impact × Probabilitate
Conform Ordinului DNSC nr. 2/2025, Anexa 2, aceasta e formula completă. Varianta simplificată (Impact × Probabilitate) se folosește în contexte mai simple.
18. La criteriul "sănătatea și viața persoanelor", impactul este clasificat ca RIDICAT dacă:
Se înregistrează cel puțin 5 decese
Se înregistrează cel puțin 20 de decese sau îmbolnăviri grave
Se înregistrează cel puțin 50 de decese sau îmbolnăviri grave
Se înregistrează cel puțin 100 de decese sau îmbolnăviri grave
✓ Răspuns Corect: b) Cel puțin 20 de decese sau îmbolnăviri grave
Conform Ordinului DNSC nr. 2/2025 - valorile de impactare pentru criteriul sănătate sunt: SCĂZUT <5 | MEDIU 5-20 | RIDICAT >20.
19. Ce nu face parte din determinarea nivelului impactului conform Ordinului 2/2025?
Drepturile și libertățile fundamentale
Economia națională
Sănătatea și viața persoanelor
Sectorul din care face parte organizația
✓ Răspuns Corect: d) Sectorul din care face parte organizația
Impact se determină pe baza: drepturile fundamentale, economie, sănătate/vieți, mediu, etc. Sectorul e o variabilă pentru scor de bază, nu pentru evaluarea impactului incident.
20. Care este termenul pentru entitățile esențiale și importante să raporteze incidente semnificative către DNSC?
Fără întârzieri nejustificate, dar nu mai târziu de 12 ore
Fără întârzieri nejustificate, dar nu mai târziu de 6 ore
Fără întârzieri nejustificate, dar nu mai târziu de 24 de ore
Fără întârzieri nejustificate, dar nu mai târziu de 48 de ore
✓ Răspuns Corect: c) Nu mai târziu de 24 de ore
Conform OUG 155/2024 și Ordinul DNSC, termenul de raportare pentru incidente semnificative este 24 de ore de la luarea cunoștinței de incident.
21. Entitățile care au obținut un scor între 200 și 1.500 de puncte vor implementa:
Măsuri de bază
Măsuri importante
Măsuri esențiale
Nicio măsură (sub pragul minim)
✓ Răspuns Corect: c) Măsuri esențiale
Conform Ordinului 2/2025: Scor 0-50 = de bază | 50-200 = importante | 200-1500 = esențiale | 1500+ = esențiale + supraveghere DNSC.
22. Ce termen au entitățile esențiale și importante pentru a transmite evaluarea de risc către DNSC?
15 zile
30 de zile
60 de zile
120 de zile
✓ Răspuns Corect: c) 60 de zile
Conform Ordinului DNSC nr. 2/2025, în 60 de zile de la decizia DNSC de a clasifica entitatea, aceasta trebuie să transmită evaluarea nivelului de risc.
23. În ce termen, de la realizarea autoevaluării, entitățile esențiale întocmesc și transmit planul de măsuri?
15 zile
30 zile
60 de zile
120 de zile
✓ Răspuns Corect: c) 60 de zile
Conform OUG 155/2024, după autoevaluare, entitățile esențiale au 60 de zile să transmită planul de măsuri pentru remediere.
24. Care sunt cei 5 tipuri de actori de amenințe conform metodologiei DNSC?
Hackeri, Virusi, Worms, Trojans, Ransomware
Departament IT, IT Manager, CISO, Audit, Management
Hacktiviști, Infractori Cibernetici, State Ostile, Insideri, Concurenți
Rețele sociale, Email, Web, DNS, Cloud
✓ Răspuns Corect: c) Hacktiviști, Infractori, State Ostile, Insideri, Concurenți
Conform Ordinului 2/2025, aceștia sunt cei 5 tipuri de actori. Fiecare are capacități și motivații diferite care influențează probabilitatea și tipul de atac.
25. Care dintre următoarele NU este o categorie de atac inclusă în metodologie?
Sabotaj/Perturbare furnizare serviciu
Furt de informații/Spionaj
Fraudă fiscală
Atacuri asupra imaginii entității
✓ Răspuns Corect: c) Fraudă fiscală
Fraud fiscală e o problemă fiscală/legală, nu o amenințare cibernetică. Metodologia include: Sabotaj, Furt, Fraudă (cibernetică), Atac fizic, Atac imagine.
Secțiunea 4: MĂSURI DE SECURITATE ȘI PROCEDURI (din Ordinul pe Măsuri)
26. Ce trebuie să realizezi în cazul constatării unor deficiențe conform OUG 155/2024?
O declarație pe proprie răspundere
Un Plan de măsuri pentru remediere în termen de 15 zile lucrătoare
Ultimul Raport de audit de securitate cibernetică
O scrisoare de intenție către DNSC
✓ Răspuns Corect: b) Plan de măsuri în 15 zile lucrătoare
Conform OUG 155/2024, dacă DNSC constată deficiențe, entitatea are obligația de a transmite un plan cu măsurile de remediere în termen de 15 zile lucrătoare.
27. Care este o sancțiune prevăzută de OUG 155/2024 pentru nerespectarea obligațiilor entităților?
Creșterea numărului de angajați în domeniu
Suspendarea activității până la remedierea deficiențelor
Avertisment și amendă contravențională
Suspendarea licenței de funcționare de către ANAF
✓ Răspuns Corect: b) Suspendarea activității până la remediere
Conform OUG 155/2024, DNSC poate suspenda temporar anumite activități, aplica amenzi (până la 2% din cifra de afaceri pentru EE), sau interzice ocuparea funcțiilor de conducere.
28. Ce document stabilește criteriile și pragurile pentru determinarea efectului perturbator semnificativ?
OUG nr. 155/2024
Ordinul Directorului DNSC nr. 1/2025
Ordinul Directorului DNSC nr. 2/2025
Metodologia DNSC din 2023
✓ Răspuns Corect: c) Ordinul DNSC nr. 2/2025
Ordinul 2/2025 conține anexele cu criteriile de impact (Anexa 1) și metodologia de evaluare risc (Anexa 2).
29. Care este scopul principal al Metodologiei din Anexa 2 la Ordinul DNSC nr. 2/2025?
Stabilirea procedurii de audit
Evaluarea nivelului de risc al entităților
Implementarea GDPR
Desemnarea responsabilului NIS
✓ Răspuns Corect: b) Evaluarea nivelului de risc
Anexa 2 a Ordinului 2/2025 conține exact metodologia pentru a calcula scorul de risc (0-3000 puncte) care determină nivelul de măsuri pe care trebuie să le implementezi.
30. Ce platformă este folosită pentru notificarea entităților către DNSC?
platforma.gov.ro
cybershield.ro
ENIRE@RO
NIS2@RO
✓ Răspuns Corect: d) NIS2@RO
NIS2@RO e platforma online pentru notificare și înrolare. În caz de indisponibilitate, se folosește instrumentul local ENIRE@RO.
31. Ce tip de semnătură este necesară pentru transmiterea formularului de notificare?
Pe hârtie cu ștampilă
Olografă simplă
Semnătură electronică calificată
Nu este necesară semnătura
✓ Răspuns Corect: c) Semnătură electronică calificată
Conform Ordinului 1/2025, formularul completat online trebuie semnat cu semnătură electronică calificată de reprezentantul legal al entității.
32. În cât timp trebuie Responsabilul NIS să finalizeze cursul acreditat dacă nu are certificare?
6 luni
9 luni
12 luni
24 de luni
✓ Răspuns Corect: c) 12 luni
Conform OUG 155/2024, dacă Responsabil NIS nu are certificare acreditată DNSC la desemnare, trebuie să urmeze curs și să obțină certificare în termen de 12 luni.
33. Care este cerința principală pentru protecția fizică conform OUG 155/2024?
Controlul accesului în spațiile cu echipamente critice
Instalarea de camere de supraveghere pe exterior
Uniforme pentru angajați
Wi-Fi gratuit pentru vizitatori
✓ Răspuns Corect: a) Controlul accesului în spații critice
Măsura B51 (Protecția Fizică) se referă la controlul accesului = cine intră în sălile cu servere, echipamente critice. Cameraș sunt plus, dar controlul accesului e cerință principală.
34. Cum se calculează indicatorul de conformitate pentru conștientizarea și instruirea utilizatorilor (A18)?
Numărul total de angajați
Procentul de angajați care au beneficiat de instruire / Total angajați × 100
Numărul de ore de formare
Cheltuielile în euro pentru training
✓ Răspuns Corect: b) Procentul de angajați instruiți
Conform Ordinului pe Măsuri, formula pentru A18 este: (Nr. angajați instruiți / Total angajați implicați în servicii esențiale) × 100. Țintă: 90%.
35. Ce trebuie să conțină formularul de notificare conform Ordinului 1/2025?
Doar numele și CNP-ul responsabilului
Date de identificare, evaluarea impactului, date de contact pentru DNSC
Doar cifra de afaceri
Doar detalii IT (servere, programe)
✓ Răspuns Corect: b) Date de identificare, evaluare impact, contact DNSC
Formularul de notificare trebuie să conțină: date despre entitate, sectorul, servicii esențiale, contactul cu DNSC, și evaluarea preliminară a impactului.
✅ STRATEGIE DE EXAMEN - TIPS FINALE
1. Managementul Timpului: 90 de minute pentru 45 de întrebări = 2 minute per întrebare. Dacă nu știi, sari peste și revii. Nu sta pe o întrebare mai mult de 3 minute.
2. Pattern Recognition: Observă care întrebări sunt "trap". De ex: dacă întrebarea spune "care NU e...", citește cu atenție.
3. Limbaj Legislativ: Termenii exacti din OUG și Ordinele conteaza. "Fără întârzieri nejustificate, dar nu mai târziu de 24 de ore" e exact formula din lege.
4. Rapoarte cu Domeniile: Dacă vrei să răspunzi corect, gândește-te: e planare (Governance)? prevenție (Protecție)? detectare (Apărare)? recuperare (Reziliență)?
5. Elimină Răspunsurile Evident Greșite: În testul grila, mulți răspunsuri sunt evident falsi. Elimină-le, apoi alege dintre cei mai plauzibili.
6. Relația Risc-Măsuri: Scor de risc = 200-1500 → Măsuri esențiale. Memorează aceste praguri!