Ce este CyFunRO si cum se calculeaza nivelul de risc ENIRE@RO
Ghid complet despre metodologia oficiala DNSC pentru evaluarea riscului. Afla cum se calculeaza scorul CyFunRO si cate controale trebuie sa implementezi (38, 90 sau 140).
Introducere
Daca ati verificat eligibilitatea organizatiei pentru NIS2, probabil ati auzit de CyFunRO si ENIRE@RO. Dar ce inseamna exact acesti termeni si de ce conteaza pentru conformitatea dvs.?
In acest ghid explicam metodologia oficiala DNSC pentru calculul nivelului de risc si de ce nu toate organizatiile NIS2 trebuie sa implementeze toate cele 140 de controale.
Ce este CyFunRO?
CyFunRO (Cybersecurity Function Romania) este nivelul oficial de securitate cibernetica stabilit de DNSC pentru fiecare organizatie din domeniul NIS2. Exista trei niveluri:
| Nivel | Scor ENIRE@RO | Controale obligatorii |
|---|---|---|
| BASIC | 0-99 puncte | ~38 controale |
| IMPORTANT | 100-199 puncte | ~90 controale |
| ESSENTIAL | 200+ puncte | ~140 controale |
De ce conteaza? Nivelul CyFunRO determina exact ce controale de securitate trebuie sa implementati. O organizatie de nivel Basic nu trebuie sa implementeze toate cele 140 de controale - doar cele ~38 fundamentale.
Ce este ENIRE@RO?
ENIRE@RO (Evaluarea Nivelului de Risc pentru Entitatile Romane) este instrumentul oficial DNSC pentru calculul scorului de risc. Versiunea actuala este v1.2.
Metodologia evalueaza 4 criterii principale:
1. Dimensiunea entitatii (10-100 puncte)
| Categorie | Angajati | Punctaj |
|---|---|---|
| Micro/Mica | < 50 | 10 puncte |
| Medie | 50-249 | 50 puncte |
| Mare | >= 250 | 100 puncte |
2. Natura atacurilor (25-75 puncte)
| Tip atac | Descriere | Punctaj |
|---|---|---|
| Global/Nedirectionat | Malware de masa, phishing generic | 25 puncte |
| Directionat/APT | Atacuri tintite, state-nation | 75 puncte |
Natura atacurilor depinde de sector si profilul organizatiei. Entitatile din infrastructura critica (energie, transport, sanatate) sunt mai susceptibile la atacuri directionate.
3. Nivelul de impact (25-150 puncte)
| Impact | Descriere | Punctaj |
|---|---|---|
| Scazut | Afecteaza < 10.000 persoane, pierderi < 1M EUR | 25 puncte |
| Mediu | Afecteaza 10.000-100.000 persoane, pierderi 1-10M EUR | 75 puncte |
| Ridicat | Afecteaza > 100.000 persoane, pierderi > 10M EUR | 150 puncte |
4. Probabilitatea incidentelor (25-150 puncte)
| Probabilitate | Descriere | Punctaj |
|---|---|---|
| Scazuta | Incident putin probabil in urmatorii 3 ani | 25 puncte |
| Medie | Incident posibil in urmatorii 1-3 ani | 75 puncte |
| Ridicata | Incident probabil in urmatorul an | 150 puncte |
Formula de calcul CyFunRO
Scorul final se calculeaza cu formula:
Scor CyFunRO = (Dimensiune × Atacuri × Impact × Probabilitate) / 1000
Exemple de calcul
Exemplul 1: Companie IT medie
- Dimensiune: 50 puncte (medie)
- Atacuri: 25 puncte (global)
- Impact: 25 puncte (scazut)
- Probabilitate: 75 puncte (medie)
Scor = (50 × 25 × 25 × 75) / 1000 = 2.34 puncte → BASIC
Exemplul 2: Spital regional
- Dimensiune: 100 puncte (mare)
- Atacuri: 75 puncte (directionat - sanatate)
- Impact: 150 puncte (ridicat - vieti umane)
- Probabilitate: 75 puncte (medie)
Scor = (100 × 75 × 150 × 75) / 1000 = 843 puncte → ESSENTIAL
Ce controale se aplica la fiecare nivel?
Nivel BASIC (~38 controale)
Controale fundamentale de securitate:
- Politici de securitate de baza
- Inventarul activelor IT
- Backup si recuperare date
- Antivirus si firewall
- Plan de raspuns la incidente
- Securitatea conturilor (parole, acces)
- Actualizari si patch-uri
Nivel IMPORTANT (~90 controale)
Toate controalele BASIC plus:
- Autentificare multi-factor (MFA)
- Monitorizare retea
- Scanare vulnerabilitati
- Plan de continuitate business (BCP)
- Audituri interne de securitate
- Securitatea email-ului
- Segmentarea retelei
Nivel ESSENTIAL (~140 controale)
Toate controalele IMPORTANT plus:
- SIEM (Security Information and Event Management)
- Threat intelligence
- Teste de penetrare periodice
- Forensic digital
- Securitatea lantului de aprovizionare
- Red team / Blue team exercises
- Zero trust architecture
Organizatii multi-sector
Daca organizatia opereaza in mai multe sectoare NIS2 (maxim 6), situatia se complica:
- Evaluare separata pentru fiecare sector
- Nivelul CyFunRO general = cel mai inalt nivel din toate sectoarele
- Controale aplicabile = reuniunea controalelor pentru toate nivelurile
Exemplu: O companie opereaza in Transport (nivel Basic) si Energie (nivel Important). Nivelul general este Important, deci trebuie sa implementeze ~90 controale.
Documentul ENIRE@RO (Anexa 2)
La inregistrarea la DNSC, trebuie sa depuneti Anexa 2 care contine:
- Datele organizatiei
- Sectorul/sectoarele de activitate
- Justificarea pentru fiecare criteriu (dimensiune, atacuri, impact, probabilitate)
- Calculul scorului CyFunRO
- Nivelul rezultat
NIS2 Manager genereaza automat acest document in format PDF, conform formatului oficial DNSC.
De ce metodologia ENIRE@RO este importanta
1. Proportionalitate
Nu toate organizatiile prezinta acelasi risc. O firma mica de curierat are un profil de risc diferit fata de un operator de retea electrica.
2. Eficienta
Implementarea a 38 de controale vs 140 inseamna o diferenta majora de efort si resurse. Concentrati-va pe ce conteaza pentru nivelul dvs.
3. Conformitate demonstrabila
DNSC va verifica daca controalele implementate corespund nivelului CyFunRO. Implementarea controalelor gresite = neconformitate.
Cum va ajuta NIS2 Manager
Platforma noastra:
- Calculeaza automat scorul CyFunRO pe baza datelor organizatiei
- Ghideaza evaluarea cu intrebari specifice pentru fiecare criteriu
- Filtreaza controalele sa vedeti doar cele aplicabile nivelului dvs.
- Genereaza Anexa 2 in format PDF conform cerintelor DNSC
- Suporta multi-sector pentru organizatii complexe
Pasii urmatori
- Verificati eligibilitatea cu calculatorul nostru gratuit
- Efectuati evaluarea ENIRE@RO pentru a afla nivelul CyFunRO
- Concentrati-va pe controalele relevante pentru nivelul dvs.
- Generati documentatia pentru inregistrarea la DNSC
Concluzie
Intelegerea metodologiei ENIRE@RO si a nivelurilor CyFunRO este esentiala pentru o conformitate NIS2 eficienta. Nu va complicati cu toate cele 140 de controale daca nivelul dvs. este Basic - concentrati-va pe ceea ce conteaza.
NIS2 Manager este un produs BetterQA, una dintre cele mai bune companii de testare software din Europa. Platforma calculeaza automat nivelul CyFunRO si genereaza documentatia necesara pentru DNSC.
