Legea nr. 294/2024, OUG nr. 98/2010 și evaluatorul de risc: poate evaluatorul de risc la securitate fizică să facă analiza de risc pentru ICN sau ICE?
Un ghid complet, scris pentru evaluatori de risc, despre diferența reală dintre analiza de risc la securitate fizică și regimul special al infrastructurilor critice. Explicație pentru ce a prevăzut OUG nr. 98/2010, ce schimbă Legea nr. 294/2024, ce rol are CNCPIC, ce este PSO și de ce analiza clasică de risc nu se confundă cu analiza pentru ICN sau ICE.
Articolul acesta este scris din perspectivă profesională, pentru evaluatori de risc la securitate fizică, consultanți, administratori și responsabili de securitate care vor să înțeleagă corect unde se termină analiza de risc clasică din sfera Legii nr. 333/2003 și unde începe regimul special aplicabil infrastructurilor critice.
1️⃣ De ce apare această confuzie în practică
În ultimii ani am văzut de prea multe ori aceeași confuzie: dacă un obiectiv este important, strategic sau are relevanță națională, unii pornesc automat de la ideea că trebuie tratat exact ca orice altă unitate din sfera Legii nr. 333/2003, adică printr-o analiză de risc la securitate fizică realizată de evaluatorul înscris în RNERSF.
Doar că aici apare problema reală.
Nu orice obiectiv important intră automat în logica analizei clasice de risc la securitate fizică, iar infrastructurile critice naționale sau europene nu se confundă cu unitățile evaluate în mod obișnuit în baza HG nr. 301/2012 și a Instrucțiunilor MAI nr. 9/2013.
Ca evaluator, trebuie să fim foarte atenți la limbaj, la competență și la limita juridică a documentului pe care îl semnăm. Putem fi foarte buni pe zona de vulnerabilități fizice, de efracție, de control acces, de numerar, de organizare a pazei sau de sisteme tehnice, dar asta nu înseamnă că putem transforma o analiză clasică de risc într-o analiză specifică pentru ICN sau ICE doar schimbând titlul documentului.
Aici intervin OUG nr. 98/2010, vechiul regim al protecției infrastructurilor critice, și mai nou Legea nr. 294/2024, care schimbă paradigma și mută accentul de pe simpla protecție a infrastructurii critice pe reziliența entităților critice.
2️⃣ Ce trebuie înțeles din start: analiza de risc clasică nu este totuna cu analiza pentru infrastructuri critice
Ca să spun foarte direct, pentru colegii evaluatori:
analiza de risc la securitate fizică, în sensul Legii nr. 333/2003, nu este același lucru cu analiza de risc cerută în regimul infrastructurilor critice.
În analiza clasică, noi evaluăm:
- amenințări uzuale,
- vulnerabilități fizice și organizatorice,
- expunerea la furt, efracție, tâlhărie, vandalism, acces neautorizat,
- măsuri de pază umană,
- măsuri mecanofizice,
- sisteme tehnice de alarmare, control acces, supraveghere video,
- nivel de risc și recomandări.
În schimb, la ICN sau ICE, discuția nu se mai oprește la aceste elemente. Acolo intră în joc:
- managementul riscurilor la nivel strategic,
- continuitatea serviciilor esențiale,
- documente specifice precum PSO,
- autorități publice responsabile,
- CNCPIC,
- informații sensibile,
- iar în multe situații și informații clasificate, cu acces limitat după principiul nevoii de a cunoaște.
De aceea, este greșit profesional să spui simplu că „evaluatorul de risc poate face analiza de risc pentru ICN”, exact cum ar face pentru un magazin, un depozit, o clădire administrativă sau un punct de lucru obișnuit.
3️⃣ Ce prevedea OUG nr. 98/2010 și de ce este atât de importantă pentru această discuție
OUG nr. 98/2010 a construit regimul special al identificării, desemnării și protecției infrastructurilor critice. Aici nu mai discutăm doar despre pază și securitate fizică în sens obișnuit, ci despre un sistem special în care sunt implicate instituții, operatori, autorități sectoriale și mecanisme de coordonare națională.
Din acest regim rezultă câteva idei foarte importante.
🔹 Prima idee: infrastructurile critice au regim special, nu regim obișnuit
O infrastructură critică nu este tratată ca orice alt obiectiv economic. Ea este privită prin prisma impactului pe care perturbarea sau distrugerea ei îl poate avea asupra societății, economiei, ordinii publice, sănătății, energiei, transporturilor, comunicațiilor și a altor domenii esențiale.
Asta înseamnă că și analiza riscurilor are altă greutate și altă structură.
🔹 A doua idee: apare PSO
În regimul OUG nr. 98/2010, documentul central nu este simplul raport de analiză de risc la securitate fizică, ci PSO — planul de securitate al operatorului.
PSO nu este doar o listă de vulnerabilități și măsuri tehnice. El este un document strategic și operativ, construit pentru managementul riscurilor aferente infrastructurii critice desemnate.
🔹 A treia idee: nu evaluatorul este actorul juridic principal
În acest regim, actorii principali sunt:
- proprietarul, operatorul sau administratorul infrastructurii critice,
- autoritatea publică responsabilă,
- CNCPIC,
- iar în anumite situații și alte structuri cu atribuții în domeniul protecției infrastructurilor critice.
Aici este una dintre cele mai importante concluzii pentru noi, ca evaluatori:
legea nu îl așază pe evaluatorul de risc la securitate fizică în centrul obligației juridice privind analiza de risc pentru ICN sau ICE.
4️⃣ Ce este PSO și de ce nu trebuie confundat cu un raport clasic de analiză de risc
PSO este, în esență, documentul specific infrastructurilor critice prin care se planifică și se organizează securitatea operatorului în raport cu riscurile relevante pentru infrastructura desemnată.
Mulți citesc superficial și spun: „dacă în PSO apare analiza de risc, înseamnă că evaluatorul poate face totul”.
Nu.
Aici trebuie făcută diferența între:
- a contribui tehnic la o componentă, și
- a fi titularul juridic al obligației speciale.
PSO aparține regimului special al infrastructurilor critice. Nu este echivalentul juridic al unei analize clasice de risc la securitate fizică semnată de evaluator și gata depusă în relația cu poliția, cum se întâmplă în multe situații din sfera Legii nr. 333/2003.
Ca evaluator, pot înțelege vulnerabilități fizice, pot înțelege organizarea măsurilor, pot propune bariere, sisteme, pază, compartimentări, protecție perimetrală, control al accesului și măsuri mecanofizice. Dar nu pot pretinde că simpla mea analiză clasică înlocuiește PSO.
Și aici trebuie să fim foarte corecți cu noi înșine și cu clienții.
5️⃣ Rolul CNCPIC și de ce nu putem ignora această instituție în discuție
În materia infrastructurilor critice, CNCPIC nu este o simplă denumire de bifat într-un articol. Este parte esențială din arhitectura juridică și instituțională.
CNCPIC are rol de:
- coordonare,
- integrare,
- monitorizare,
- evaluare la nivel general,
- sprijin metodologic,
- centralizare a informațiilor relevante,
- și relaționare în mecanismul național și european.
Asta înseamnă că regimul ICN și ICE este unul instituționalizat, controlat și integrat, nu unul care funcționează exclusiv prin contractarea unui evaluator extern pentru un raport clasic.
Este foarte important să spunem corect:
CNCPIC nu face neapărat în locul operatorului fiecare analiză punctuală, dar nici evaluatorul clasic nu poate veni și să se substituie întregului mecanism special construit de lege.
Adevărul juridic este între aceste două extreme:
- nu face tot CNCPIC singur,
- dar nici nu poate evaluatorul RNERSF să reducă regimul ICN/ICE la o simplă analiză standard de securitate fizică.
6️⃣ Problema reală: informațiile sensibile și informațiile clasificate
Acesta este, după părerea mea, argumentul care tranșează cel mai clar discuția.
La infrastructuri critice nu vorbim doar despre:
- „ușa este slabă”,
- „camera nu vede bine”,
- „nu există buton de panică”,
- „nu este sertarul ancorat”,
- „nu există control acces”,
- „iluminatul exterior este insuficient”.
Toate acestea pot exista și aici, desigur.
Dar în zona ICN și ICE discutăm și despre:
- arhitecturi funcționale sensibile,
- puncte de vulnerabilitate cu impact strategic,
- fluxuri critice,
- dependențe intersectoriale,
- continuitatea serviciilor,
- scenarii de perturbare cu efect sistemic,
- proceduri, comunicații și măsuri a căror divulgare poate crea risc major.
De aceea, în multe cazuri, informațiile folosite la evaluare nu sunt informații obișnuite, ci informații sensibile sau chiar informații clasificate, accesibile doar în anumite condiții și doar persoanelor care au dreptul legal și necesitatea profesională să le cunoască.
Aici este limita practică pe care foarte mulți o ignoră.
Un evaluator de risc la securitate fizică poate fi foarte bun profesional, dar dacă nu are acces legal la informația relevantă și dacă nu face parte din mecanismul special de protecție a infrastructurilor critice, atunci nu poate pretinde că realizează, în sens deplin, analiza de risc specifică unei ICN sau ICE.
Și tocmai de aceea spun fără ezitare:
analiza clasică de risc la securitate fizică nu poate fi pur și simplu mutată peste infrastructura critică.
7️⃣ Ce schimbă Legea nr. 294/2024
Legea nr. 294/2024 este foarte importantă pentru că schimbă nu doar terminologia, ci și filosofia reglementării.
Dacă OUG nr. 98/2010 era construită în jurul ideii de:
- identificare,
- desemnare,
- protecție a infrastructurilor critice,
Legea nr. 294/2024 mută accentul pe:
- reziliența entităților critice,
- capacitatea lor de a preveni,
- de a rezista,
- de a răspunde,
- de a continua activitatea,
- și de a se reface după incidente relevante.
Aceasta este o diferență majoră.
Nu mai discutăm doar despre infrastructura în sine, ca obiectiv, ci despre entitatea care furnizează un serviciu esențial și despre capacitatea acelei entități de a rămâne funcțională în condiții de perturbare.
Pentru evaluatori, acest lucru este esențial de înțeles:
- noua lege nu simplifică lucrurile,
- ci le duce și mai clar într-un regim diferit de analiza clasică de securitate fizică.
8️⃣ Ce sectoare intrau în vechiul regim ICN/ICE
Pentru a înțelege amploarea domeniului, este util să vedem și lista sectoarelor și subsectoarelor infrastructurii critice naționale și europene din vechiul regim.
📌 Anexa nr. 1 — Lista sectoarelor, subsectoarelor infrastructurii critice naționale/infrastructurii critice europene (ICN/ICE)
1.1. Lista sectoarelor ICN
| Nr. crt. | Sectorul | Subsectoare |
|---|---|---|
| 1 | Energetic | 1.1. Energie electrică, inclusiv nuclear-electrică — capacități și instalații pentru producere, depozitare/stocare, rețele de distribuție și transport 1.2. Petrol și derivate petroliere — capacități și instalații pentru extracție/producție, rafinare, tratare, depozitare/stocare, distribuție și transport prin conducte, terminale 1.3. Gaze naturale și derivate din gaze naturale — capacități și instalații pentru extracție/producție, rafinare, tratare, depozitare/stocare, distribuție și transport prin conducte, terminale 1.4. Resurse minerale |
| 2 | Tehnologia informației și comunicațiilor | 2.1. Sistemele, rețelele și serviciile de comunicații electronice 2.2. Sisteme de prelucrare, procesare și stocare a datelor, inclusiv a serviciilor publice electronice 2.3. Infrastructuri de securitate informatică 2.4. Sistemele și rețelele de comunicații pentru cifrul de stat 2.5. Infrastructuri de emisie radio-tv 2.6. Servicii poștale la nivel național |
| 3 | Apă, păduri și mediu | 3.1. Furnizarea de apă potabilă și canalizare 3.2. Controlul calitativ și cantitativ al apei 3.3. Protecția mediului înconjurător 3.4. Protecția fondului forestier și cinegetic |
| 4 | Alimentație și agricultură | 4.1. Producția și furnizarea de hrană, asigurarea securității și siguranței alimentelor |
| 5 | Sănătate | 5.1. Asistența medicală și spitalicească 5.2. Medicamente, seruri, vaccinuri, produse farmaceutice 5.3. Biolaboratoare și bioagenți 5.4. Servicii de urgență medicală și transport sanitar |
| 6 | Securitate națională | 6.1. Apărarea țării, ordinea publică și siguranță națională 6.2. Frontiere, migrație și azil 6.3. Industria națională de securitate, capacități și instalații de producție și depozitare 6.4. Situații de urgență 6.5. Justiție și penitenciare |
| 7 | Administrație | 7.1. Administrația publică |
| 8 | Transporturi | 8.1. Transportul rutier 8.2. Transportul feroviar 8.3. Transportul aerian 8.4. Transportul naval |
| 9 | Industrie | 9.1. Producția, procesarea, depozitarea și utilizarea substanțelor chimice și materialelor nucleare și radioactive 9.2. Conductele de produse/substanțe chimice periculoase |
| 10 | Spațiu și cercetare | 10.1. Spațiul cosmic 10.2. Cercetare |
| 11 | Financiar-bancar | 11.1. Taxe și impozite 11.2. Asigurări 11.3. Bănci 11.4. Bursa de valori 11.5. Trezorerie și sisteme de plăți |
| 12 | Cultură și patrimoniu cultural național | 12.1. Instituții publice de cultură 12.2. Protejarea patrimoniului cultural național |
Această listă arată foarte clar că nu discutăm despre o zonă îngustă și simplă, ci despre domenii în care impactul unui incident poate depăși cu mult nivelul unei unități obișnuite.
9️⃣ De ce evaluatorul de risc nu poate trata ICN/ICE ca pe o analiză clasică
Aici este concluzia tehnică și profesională pe care eu o susțin clar.
🔹 1. Pentru că obligația juridică principală nu este a evaluatorului
În regimul infrastructurilor critice, obligația nu este pusă în centru pe evaluatorul RNERSF, ci pe:
- operator,
- proprietar,
- administrator,
- entitate critică,
- autoritate competentă,
- și mecanismul coordonat de CNCPIC.
🔹 2. Pentru că documentul central nu este raportul clasic, ci PSO sau documentele specifice de reziliență
La Legea nr. 333/2003 și HG nr. 301/2012, noi lucrăm cu analiza de risc la securitate fizică și cu planul de pază.
La ICN/ICE sau în noul regim al entităților critice, avem:
- PSO,
- evaluări sectoriale,
- obligații instituționale,
- și documente specifice de reziliență.
🔹 3. Pentru că accesul la informație este limitat
Aici este una dintre cele mai serioase diferențe. Nu poți face o evaluare reală fără acces la informația relevantă. Iar dacă acea informație este sensibilă sau clasificată, accesul nu este automat și nu este universal.
🔹 4. Pentru că analiza nu este doar fizică, ci strategică și operațională
În analiza clasică de securitate fizică, centrul este protecția obiectivului.
În analiza asociată ICN/ICE, centrul este și:
- continuitatea funcțiilor critice,
- perturbarea serviciilor esențiale,
- impactul sistemic,
- interdependențele.
Asta schimbă radical perspectiva.
🔟 Poate evaluatorul să aibă vreun rol?
Aici trebuie să răspund cinstit și nuanțat.
Ca principiu general, evaluatorul de risc la securitate fizică poate avea utilitate profesională pe componenta strictă de securitate fizică, adică poate ajuta la:
- identificarea vulnerabilităților fizice,
- analiza accesului,
- analiza protecției perimetrale,
- analiza măsurilor mecanofizice,
- analiza sistemelor tehnice,
- formularea recomandărilor privind bariere, alarmare, supraveghere și organizare.
Dar asta nu înseamnă că el devine automat autorul suficient al analizei de risc specifice infrastructurii critice.
Aici este diferența fină, dar fundamentală.
Poți contribui tehnic pe o componentă, dar nu poți pretinde că substitui întregul regim juridic special.
Din punctul meu de vedere, pentru a nu induce în eroare colegii și beneficiarii, formularea corectă este aceasta:
evaluatorul de risc la securitate fizică poate avea relevanță numai pe componenta de securitate fizică, însă nu poate transforma analiza clasică de risc într-o analiză completă și suficientă juridic pentru ICN sau ICE.
1️⃣1️⃣ OUG nr. 98/2010 versus Legea nr. 294/2024 — comparație clară
| Element | OUG nr. 98/2010 | Legea nr. 294/2024 |
|---|---|---|
| Concept central | protecția infrastructurilor critice | reziliența entităților critice |
| Obiect principal | ICN și ICE | entități critice |
| Accent | protecție, desemnare, management de risc, PSO | reziliență, continuitate, evaluări proprii de risc, măsuri organizatorice și tehnice |
| Actor principal la nivel operativ | operatorul/proprietarul/administratorul ICN/ICE | entitatea critică |
| Rol CNCPIC | coordonare, integrare, monitorizare, sprijin metodologic | evaluare generală a riscurilor, identificare, sprijin și coordonare |
| Document-cheie | PSO | evaluarea proprie a riscurilor și documentele de reziliență |
| Regim informațional | informații sensibile, posibil clasificate, acces limitat | obligații de reziliență, notificare, evaluare și cooperare |
| Locul evaluatorului de risc clasic | periferic, nespecific ca titular legal | periferic, nespecific ca titular legal |
Tabelul acesta trebuie înțeles foarte simplu: ambele regimuri sunt speciale, iar niciunul nu transformă evaluatorul de risc la securitate fizică în titularul principal al obligației juridice.
1️⃣2️⃣ Ce trebuie să înțeleagă evaluatorii de risc
Scriu partea aceasta foarte direct, ca pentru colegii mei.
Noi trebuie să știm unde ni se termină competența formală și unde începe un regim special în care nu este suficient:
- să ai experiență practică,
- să cunoști HG 301/2012,
- să știi să faci o grilă de risc,
- să ai modele bune de raport,
- să înțelegi foarte bine mecanofizicul, alarmarea, CCTV-ul și organizarea pazei.
Toate acestea sunt importante. Dar în zona infrastructurilor critice ele nu sunt, singure, suficiente.
Ca evaluator responsabil, nu trebuie să promitem beneficiarului ceva ce legea nu ne permite să livrăm în sens deplin.
Una este să spui:
- „pot analiza componenta de securitate fizică”, și alta este să spui:
- „fac eu analiza de risc pentru ICN”.
Între cele două afirmații este o diferență juridică și profesională uriașă.
1️⃣3️⃣ Poziția mea profesională, spusă fără ambiguități
Eu consider că, în raport cu:
- existența PSO,
- rolul CNCPIC,
- obligațiile operatorului sau entității critice,
- circuitul informațiilor sensibile,
- posibilitatea existenței informațiilor clasificate,
- și specificul regimului special creat de OUG nr. 98/2010 și continuat, într-o formă nouă, prin Legea nr. 294/2024,
evaluatorul de risc la securitate fizică nu poate efectua, în sens juridic propriu, analiza de risc pentru ICN sau ICE ca pe o analiză clasică din sfera Legii nr. 333/2003.
Aceasta este concluzia serioasă și prudentă.
Nu pentru că evaluatorul nu ar avea cunoștințe tehnice utile, ci pentru că:
- nu el este titularul legal al obligației,
- nu analiza clasică este documentul central,
- nu are automat acces la întreaga informație relevantă,
- și nu poate substitui mecanismul special instituit pentru infrastructuri critice și, mai nou, pentru entități critice.
1️⃣4️⃣ Întrebări frecvente
❓ Poate un evaluator RNERSF să semneze o analiză clasică pentru un obiectiv care face parte dintr-o infrastructură critică?
Poate semna doar ceea ce intră în competența și în regimul juridic al analizei clasice de securitate fizică, însă asta nu înseamnă că documentul respectiv satisface integral obligațiile speciale ale regimului ICN/ICE.
❓ Poate acea analiză să înlocuiască PSO?
Nu. PSO aparține regimului special al infrastructurilor critice și nu se confundă cu analiza clasică de risc la securitate fizică.
❓ Este suficientă experiența practică a evaluatorului?
Nu. Problema nu este doar de experiență tehnică, ci și de acces la informație, de competență juridică și de încadrare în mecanismul special.
❓ În noua lege, evaluatorul de risc devine actor principal?
Nu. Legea nr. 294/2024 pune accentul pe entitatea critică și pe evaluarea proprie a riscurilor, nu pe evaluatorul clasic din sfera RNERSF.
❓ Atunci evaluatorul nu mai are nicio utilitate?
Ba da, poate avea utilitate pe componenta de securitate fizică, dar nu trebuie confundat acest rol tehnic cu obligația juridică principală din regimul special.
⚖️ Concluzie
Dacă ar fi să reduc tot articolul la o singură idee, aceasta ar fi:
analiza de risc la securitate fizică și analiza de risc pentru ICN sau ICE nu sunt același lucru.
OUG nr. 98/2010 a creat un regim special pentru infrastructurile critice, construit în jurul:
- operatorului,
- autorităților competente,
- CNCPIC,
- managementului riscurilor,
- și PSO.
Legea nr. 294/2024 nu simplifică această realitate, ci o duce mai departe într-o logică modernă de reziliență a entităților critice.
Din această perspectivă, concluzia mea profesională este clară:
Evaluatorul de risc la securitate fizică nu poate efectua, în sens juridic propriu, analiza de risc pentru ICN sau ICE ca analiză clasică de securitate fizică și nu poate substitui PSO, mecanismul instituțional special sau obligațiile entității critice.
Ca evaluatori, este important să fim corecți, să nu promitem mai mult decât permite legea și să înțelegem unde se termină regimul analizei clasice și unde începe regimul special al infrastructurilor critice și al entităților critice.
💬 Recomandare pentru evaluatori și beneficiari
Dacă aveți de-a face cu un obiectiv care poate intra în zona infrastructurilor critice sau a entităților critice, nu tratați problema superficial și nu o reduceți la un raport standard.
Mai întâi trebuie clarificat:
- dacă obiectivul este sau nu parte dintr-o infrastructură critică ori dintr-o entitate critică,
- care este regimul legal aplicabil,
- ce autoritate competentă este implicată,
- ce documente speciale sunt necesare,
- și dacă informațiile folosite sunt sensibile sau clasificate.
Abia după aceea se poate stabili corect unde și cum poate interveni expertiza evaluatorului de risc la securitate fizică.
Articol redactat de:
🧠 Alexandru Valentin Sîrbu — Expert evaluator de risc la securitate fizică
📅 Actualizat la 15 martie 2026
🔗 Temei general de analiză: OUG nr. 98/2010, Legea nr. 294/2024, Legea nr. 333/2003, HG nr. 301/2012 și Instrucțiunile MAI nr. 9/2013
Articole similare
Despre autor
Alexandru Valentin Sîrbu este Expert evaluator de risc la securitate fizică, cu experiență în evaluarea riscurilor pentru obiective comerciale, industriale și logistice. Profil oficial: RNERSF — EvaluatoriDeRisc.ro .