Comunica experienta
MonitorulJuridic.ro
──────────
Aprobată prin DECIZIA nr. 162 din 20 martie 2026, publicată în Monitorul Oficial al României, Partea I, nr. 246 din 30 martie 2026.
──────────
(a se vedea imaginea asociată)
CAP. I
Dispoziţii generale
ART. 1
Prezenta procedură stabileşte cadrul operaţional, instituţional şi tehnic pentru acordarea statutului de prestator de servicii de încredere calificate, în conformitate cu prevederile Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare.
ART. 2
Procedura se aplică tuturor persoanelor fizice şi juridice care solicită acordarea statutului de prestator de servicii de încredere calificate, prevăzute la art. 1 din prezenta procedură, precum şi celor care prestează sau intenţionează să presteze servicii de încredere calificate pe teritoriul României, indiferent de statul de stabilire, în măsura în care acestea intră sub competenţa de supraveghere a Autorităţii pentru Digitalizarea României potrivit Regulamentului (UE) nr. 910/2014, astfel cum a fost modificat, şi a actelor naţionale de organizare şi funcţionare aplicabile. În cazul solicitanţilor stabiliţi într-un alt stat, aceştia au obligaţia de a desemna un punct unic de contact pentru relaţia cu ADR şi de a asigura, în mod efectiv, cooperarea, accesul la informaţii şi posibilitatea efectuării verificărilor şi demonstraţiilor tehnice prevăzute de prezenta decizie.
CAP. II
Procedura de acordare a statutului
ART. 3
(1) Persoanele fizice şi juridice care intenţionează să presteze servicii de încredere calificate transmit ADR o cerere conform modelului prevăzut în Anexa nr. 2.1, însoţită de documentaţia prevăzută la alin. (2).
(2) Documentaţia se depune electronic, semnată cu semnătură electronică calificată de către reprezentantul legal sau de persoana împuternicită în acest sens, sau în format hârtie semnată olograf, şi trebuie să includă, în mod cumulativ, următoarele documente:
1. raportul de evaluare a conformităţii emis de un organism de evaluare a conformităţii acreditat în mod corespunzător în conformitate cu Regulamentul (UE) nr. 910/2014 şi Regulamentul nr. 765/2008 pentru serviciile de încredere calificate;
2. certificatul de înregistrare la oficiul registrului comerţului, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
3. actul constitutiv al prestatorului de servicii de încredere calificate din care să rezulte că are specificată în obiectul de activitate desfăşurarea de activităţi în domeniile tehnologiei informaţiei sau serviciilor informaţionale, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
4. certificat constatator eliberat de către oficiul registrului comerţului, nu mai vechi de 30 de zile, în care să se specifice datele de identificare ale firmei şi administratorul, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
5. copie a cărţii de identitate a administratorului societăţii, înscris în certificatul constatator, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
6. împuternicire şi copie a cărţii de identitate pentru persoana delegată să semneze în numele administratorului;
7. dovezi că prestatorul de servicii de încredere deţine resurse financiare suficiente şi a obţinut o asigurare de răspundere corespunzătoare în ceea ce priveşte furnizarea serviciilor de încredere pentru care se solicită un statut calificat, incluzând:
a) copie a contului de profit şi pierderi şi a balanţei contabile pentru ultimii 3 ani pentru conturile care au fost înscrise; în lipsa acesteia, declaraţii bancare corespunzătoare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
b) asigurare de răspundere pentru fiecare serviciu de încredere pentru care solicită statutul de prestator de servicii de încredere calificate, cesionată în favoarea organismului de supraveghere (poliţă sau scrisoare de garanţie bancară) în valoare de 500.000 de euro pentru fiecare serviciu de încredere pentru care se solicită acordarea statutului;
8. politica de servicii de încredere ce se aplică serviciilor de încredere pentru care se solicită un statut calificat;
9. dovada implementării mecanismelor de conservare pe termen lung (LTP) şi, după caz, a utilizării/integrării cu servicii de păstrare (preservation) pentru menţinerea verificabilităţii semnăturilor/sigiliilor şi a valorii probatorii a documentelor pe durata de păstrare, inclusiv prin politici, proceduri, arhitectură şi demonstraţii tehnice, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
10. dovada instruirii personalului privind utilizarea serviciului calificat de prezervare pe termen lung, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
11. dovada deţinerii şi utilizării de proceduri şi tehnologii care asigura durabilitatea şi lizibilitatea datelor şi a documentelor electronice care să confere prezumţia integrităţii şi a originii pe toată durata perioadei de păstrare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
12. dovada deţinerii de proceduri şi tehnologii menite să menţină şi să poată furniza un pachet de dovezi privind validitatea şi starea semnăturilor/sigiliilor la momentul augmentării şi pe întreaga perioada de păstrare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
13. declaraţia practicilor care se aplică serviciilor de încredere pentru care se solicită un statut calificat;
14. arhitectura detaliată a serviciului de încredere (de exemplu, ierarhia PKI - infrastructura cheii publice, împreună cu indicarea politicilor de servicii de încredere sprijinite, elemente din care să rezulte că serviciul garantează confidenţialitatea, integritatea, disponibilitatea şi trasabilitatea transmisiilor QERDS) pentru care se solicită un statut calificat, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
15. plan de continuitate a afacerii şi recuperare în caz de dezastru;
16. lista standardelor în baza cărora operaţiile sunt efectuate, auditate, evaluate sau certificate pentru a fi conforme;
17. certificat de conformitate pentru dispozitivele de creare a semnăturii electronice şi a sigiliului electronic în concordanţă cu cerinţele Regulamentului (UE) nr. 910/2014 şi ale Deciziei Comisiei de punere în aplicare (UE) nr. 650/2016;
18. termenii şi condiţiile pe care prestatorul de servicii de încredere le va semna cu utilizatorul final în ceea ce priveşte furnizarea serviciilor de încredere pentru care se solicită un statut calificat;
19. modelul notificării organismului de supraveghere şi prezentarea măsurilor tehnice şi organizaţionale luate pentru gestionarea riscurilor la adresa securităţii serviciilor de încredere, menite să sprijine demonstrarea cerinţei art. 24 din Regulamentul (UE) nr. 910/2014;
20. procedura de notificare a autorităţii de supraveghere şi protecţia datelor cu caracter personal privind încălcarea securităţii sau pierderea integrităţii care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii menită să sprijine demonstrarea cerinţei art. 19 lit. a din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
21. planul de încetare a activităţii în conformitate cu cerinţele art. 24.2. (i) din Regulamentul (UE) nr. 910/2014 cu modificările şi completările ulterioare;
22. adresa WEB a prestatorului de servicii de încredere calificate;
23. schema personalului implicat, certificările/calificările acestora şi planul de instruire, din care să rezulte existenţa permanentă a personalului calificat implicat în prestarea serviciului de încredere calificat, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
24. dovada utilizării unei arhive electronice calificate prestate de un prestator de servicii de încredere calificate conform Regulamentului (UE) nr. 910/2014, cu modificările şi completările ulterioare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională; În cazul în care arhiva electronică calificată este pusă la dispoziţie de către un prestator de servicii de încredere din UE, nerezident în România, solicitantul va depune către ADR şi o declaraţie în care să specifice unde sunt stocate datele şi faptul că are controlul accesului la date;
25. dovada plăţii către ADR a tarifului în valoare de 2500 de lei pentru fiecare serviciu de încredere pentru care se solicită acordarea statutului;
26. matrice de conformitate cu standarde-cerinţe, pentru fiecare serviciu calificat solicitat, în care prestatorul indică standardele ETSI/CEN/ISO aplicabile (cu versiune), cerinţele implementate şi dovezile aferente;
(3) Raportul de evaluare a conformităţii trebuie să cuprindă cel puţin următoarele:
a) să indice în mod clar denumirea organismului de evaluare a conformităţii şi, unde este cazul, numărul său de înregistrare, aşa cum este declarat în înregistrările oficiale, adresa sa poştală oficială şi adresa de poştă electronică;
b) să indice în mod clar denumirea organismului de acreditare recunoscut la nivel naţional din statul membru care i-a acordat acreditarea organismului de evaluare a conformităţii şi, unde este cazul, numărul de înregistrare, aşa cum este declarat în înregistrările oficiale, adresa poştală oficială şi adresa de poştă electronică ale organismului naţional de acreditare;
c) să includă certificatul de acreditare sau un link către locaţia de unde poate fi accesat certificatul de acreditare emis de organismului naţional de acreditare identificat în conformitate cu pct. 2, împreună cu descrierea detaliată, sau un link către locaţia de unde pot fi obţinute descrierea detaliată a schemei de acreditare, inclusiv indicarea relevanţei sale în raport cu Regulamentul (UE) nr. 910/2014;
d) să indice în mod clar numele auditorului principal (lead auditorul) sau al organismului de evaluare a conformităţii care a emis şi semnat raportul de evaluare a conformităţii;
e) opinia de audit din care să reiasă că prestatorul îndeplineşte cerinţele Regulamentului (UE) nr. 910/2014, cu modificările şi completările ulterioare, pentru serviciul de încredere pentru care a fost evaluat şi pentru care solicită statutul calificat;
f) serviciul de încredere calificat pentru care a fost evaluat prestatorul de servicii de încredere;
g) indicarea standardelor în vigoare care au fost utilizate în scopul dovedirii conformităţii;
h) să indice în mod clar serviciile prestatorului de servicii de încredere calificate pentru care raportul de evaluare a conformităţii certifică conformitatea cu cerinţele Regulamentului (UE) nr. 910/2014, cu modificările şi completările ulterioare. Identificarea serviciului/serviciilor va respecta Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei, cu modificările şi completările ulterioare standardele în vigoare;
i) să furnizeze pentru fiecare serviciu de încredere calificat identificat la pct. 8 informaţiile necesare cu scopul de a permite identificarea serviciului/serviciilor pentru includerea în lista naţională de încredere aplicabilă, în conformitate cu Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei din 8 septembrie 2015, cu modificările şi completările ulterioare;
j) să enumere lista completă a documentelor publice şi a documentelor interne ale prestatorului de servicii de încredere care au făcut parte din domeniul de aplicare al auditului. Documentele publice ar trebui să fie ataşate la raportul de evaluare a conformităţii sau să fie furnizate linkuri accesibile public care să permită descărcarea documentelor;
k) Documentele publice care au făcut parte din domeniul de aplicare al evaluării conformităţii trebuie să includă cel puţin:
(i) declaraţia practicilor utilizate de prestatorul de servicii de încredere pentru furnizarea serviciilor de încredere calificate;
(ii) politica/politicile serviciilor de încredere calificate, de exemplu, setul de reguli care indică aplicabilitatea serviciilor de încredere calificate unei anumite comunităţi şi/sau aplicaţii cu cerinţe de securitate comune;
(iii) contract de prestare a serviciilor de încredere calificate şi termenii şi condiţiile aferente, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
l) Documentele interne care au făcut parte din domeniul de aplicare al evaluării conformităţii trebuie să includă cel puţin:
(i) planul în caz de încetare a serviciului de încredere calificat, menţionat în art. 24.2. (i) din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
(ii) documentaţia aferentă evaluării riscului menită să sprijine demonstrarea cerinţei art. 24 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
(iii) procedura de notificare privind încălcarea securităţii sau pierderea integrităţii care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii menită să sprijine demonstrarea cerinţei art. 24 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
(iv) lista tuturor documentelor interne care susţin declaraţia practicilor utilizate de prestatorul de servicii de încredere pentru a presta servicii de încredere calificate şi politica/politicile serviciilor de încredere calificate;
m) să indice, pentru fiecare etapă a auditului (de exemplu, audit de documentare şi audit de punere în aplicare, inclusiv inspecţii la faţa locului), perioada în care a fost efectuat auditul (timpul scurs) şi efortul în om-zile angajate de organismul de evaluare a conformităţii pentru a efectua auditul;
n) să furnizeze, pentru fiecare dintre următoarele cerinţe din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare, un raport privind îndeplinirea de către prestatorul de servicii de încredere şi prin implementarea serviciilor sale de încredere calificate a cerinţei identificate sau, atunci când este cazul, cu privire la existenţa unor proceduri adecvate şi a sistemului de management pentru manipularea acestei cerinţe;
i. Prevederile privind răspunderea şi sarcina probei îndeplinesc cerinţele art. 13 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
ii. Prevederile privind accesibilitatea pentru persoanele cu dizabilităţi îndeplinesc cerinţele art. 15 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
iii. Îndeplinirea cerinţelor de securitate aplicabile prestatorilor de servicii de încredere (art. 24 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare).
iv. Prevederile privind supravegherea prestatorilor de servicii de încredere calificaţi (art. 20 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare)
v. Îndeplinirea cerinţelor din art. 24 alin. 2 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare.
u) Cerinţe specifice suplimentare pentru tipul aplicabil al serviciului de încredere calificat [cu indicarea articolelor relevante din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare:
i. Certificat calificat pentru semnătura electronică
a. art. 24 alin. 1a lit. (a) la (d)
b. art. 24 alin. 2. Lit. (k)
c. art. 24 alin. 3
d. art. 24 alin. 4
e. art. 28 alin. 1 - anexa I
f. art. 28 alin. 3
g. art. 28 alin. 4
h. art. 28 alin. 5
ii. Certificat calificat pentru sigiliu electronic
a. art. 24 alin. 1a lit. (a) la (d)
b. art. 24 alin. 2 lit. (k)
c. art. 24 alin. 3
d. art. 24 alin. 4
e. art. 38 alin. 1 - anexa III
f. art. 38 alin. 3
g. art. 38 alin. 4
h. art. 38 alin. 5
iii. Certificat calificat pentru autentificarea unui site
a. art. 24 alin. 1a lit. (a) la (d)
b. art. 24 alin. 2 lit. (k)
c. art. 24 alin. 3
d. art. 24 alin. 4
e. art. 45 alin. 1 - anexa IV
iv. Serviciul de validare calificat pentru semnăturile electronice calificate (art. 33 alin. 1)
v. Serviciul de validare calificat pentru sigilii electronice calificate (art. 40)
vi. Serviciul de păstrare calificat pentru semnăturile electronice calificate (art. 34 alin. 1)
vii. Serviciul de păstrare calificat pentru sigilii electronice calificate (art. 40)
viii. Mărci temporale electronice calificate [art. 42. Alin. 1 lit. (a) la (c)]
ix. Serviciile de distribuţie electronică înregistrată calificate [art. 44 alin. 1 lit. (a) la (f)]
p) În raportul de evaluare a conformităţii care se emite pe baza standardelor sau pe baza unor specificaţii accesibile publicului se evidenţiază separat neconformităţile.
q) Detaliază lista părţilor terţe contractate de către prestatorul de servicii de încredere calificate pentru a efectua toate sau părţi ale proceselor-suport în vederea prestării serviciilor sale de încredere calificate.
r) Se indică, atunci când este solicitat de către schema aplicabilă de evaluare a acreditării/conformităţii, când trebuie să fie efectuat următorul audit de supraveghere şi următorul audit de conformitate.
s) Se indică circumstanţele în care un organism acreditat de evaluare a conformităţii trebuie să fie implicat în reevaluarea prestatorului de servicii de încredere şi a serviciilor de încredere calificate, în plus faţă de auditările planificate.
t) Declaraţie auditor - conflict de interese.
ART. 4
(1) Orice modificare a datelor cuprinse în notificare, precum şi a documentelor prevăzute la art. 3 alin. (2) - (3) vor fi comunicate A.D.R. în termen de 15 zile, prin transmiterea unei informări însoţite, acolo unde este cazul, de actele doveditoare, în copie certificată pentru conformitate cu originalul sau în format electronic, semnate cu semnătură electronică calificată.
(2) Prestatorul de servicii de încredere calificate are obligaţia de a comunica A.D.R., cu cel puţin 10 zile în avans, orice intenţie de modificare semnificativa a procedurilor de securitate şi de conservare, cu precizarea datei şi a orei la care modificarea intră în vigoare, precum şi obligaţia de a confirma, în termen de 24 de ore, modificarea efectuată.
(3) În cazurile urgente în care securitatea serviciilor de arhivare este afectată, prestatorul de servicii de încredere calificate poate efectua modificări ale procedurilor de securitate şi de păstrare, urmând să comunice A.D.R. în termen de 24 de ore modificările efectuate şi justificarea deciziei luate, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională.
CAP. III
Cerinţe suplimentare pentru prestatorii de servicii de încredere pentru semnătură electronică calificată şi sigliu electronic calificat
ART. 5
În completarea documentaţiei prevăzute la art. 3, din prezenta procedură, solicitantul trebuie să depună şi următoarele:
(1) dovada certificării conform standardelor relevante din domeniu;
(2) Cheile private utilizate pentru generarea semnăturilor calificate sunt create într-un dispozitiv calificat (QSCD) evaluat conform standardelor din domeniu în vigoare;
(3) Prestatorul trebuie să utilizeze algoritmi recunoscuţi de ENISA prin ghidurile sau recomandările sale, cu respectarea recomandărilor ETSI TS 119 312 cu privire la termenele de utilizare a acestor algoritmi;
(4) Identificarea persoanelor pentru emiterea certificatelor calificate se realizează prin procese conforme cu ETSI TS 119 461 v2.1.1 sau versiunile ulterioare;
(5) Identificarea la distanţă este permisă numai prin mijloace care asigură LoIP (Level of Identity Proofing) corespunzător, respectiv ridicat conform Regulamentului (UE) 2024/1183;
(6) Prestatorul păstrează toate înregistrările de identificare, inclusiv sesiunile video, pentru minimum 7 ani de la încetarea valabilităţii certificatului, conform standardelor în vigoare;
ART. 6
Validarea şi revocarea certificatelor
(1) Serviciul de validare trebuie să fie disponibil în mod continuu (24/7) şi să furnizeze rezultate conforme cu ETSI EN 319 422.
(2) Revocarea certificatelor se operează în termen de maximum 24 ore de la primirea cererii şi se publică în CRL/OCSP imediat.
(3) Prestatorul trebuie să asigure sincronizarea timpului între toate componentele infrastructurii de validare şi arhivare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională.
CAP. IV
Cerinţe suplimentare pentru prestatorii de servicii de încredere pentru Marcă temporală calificată
ART. 7
În completarea documentaţiei prevăzute la art. 2, din Anexa nr. 2, solicitantul trebuie să depună şi următoarele:
(1) dovada conformităţii cu ETSI EN 319 421 sau versiunile ulterioare şi cu cerinţele de precizie temporală stabilite la ±1 milisecundă faţă de UTC.
(2) utilizarea a două surse independente de timp, cu verificare de consistenta.
(3) Jurnalele de marcare temporală se sigilează criptografic zilnic şi se păstrează minim 10 ani.
CAP. V
Cerinţe suplimentare pentru prestatorii de servicii de încredere pentru Arhiva electronică calificată
ART. 8
În completarea documentelor prevăzute la art. 3 din Anexa nr. 2, solicitantul trebuie să depună şi următoarele:
1. denumirea sistemului electronic de arhivare avizat de către ADR, conform Anexei 5 la prezenta Decizie sau de alte autorităţi cu atribuţii în domeniul arhivării electronice de pe teritoriul U.E.;
2. dovada instruirii personalului privind operarea sistemului electronic de arhivare utilizat;
3. denumirea şi datele de identificare juridice ale centrului de date autorizat în care se stochează arhiva electronică. În cazul în care prestatorul nu deţine propriul centru de date acreditat conform legislaţiei naţionale, solicitantul va depune către ADR şi o declaraţie în care să specifice unde sunt stocate datele, faptul că are controlul accesului la date şi că centrul de date îndeplineşte cerinţele prevăzute de standardele în vigoare.
4. politicile şi procedurile referitoare la securitatea şi conservarea datelor/documentelor arhivate, respectiv politica de protecţie a datelor cu caracter personal, politica de acces, politica de securitate, politica de prezervare pe termen lung a semnăturilor calificate din documente, fără a se limita la acestea;
5. declaraţia reprezentatului legal cu privire la respectarea prevederilor Regulamentului (UE) 2016/679 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, şi Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare;
6. procedura de emitere a raportului privind integritatea datelor şi documentelor conform art. 45j, alin. (1), lit. (d) din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare şi standardelor în vigoare.
ART. 9
(1) Prestatorul are obligaţia de a crea şi de a opera un registru în formă electronică.
(2) Referinţa în registrul arhivei electronice la un document care nu este public sau care face parte din categoria documentelor clasificate în conformitate cu prevederile Legii nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, poate fi obţinută în funcţie de drepturile de acces ale solicitantului.
(3) Conţinutul minimal şi structura registrului prevăzut la alin. (1) sunt prevăzute în anexa 2.2 la prezenta procedură.
ART. 10
(1) În situaţia transferului documentelor din sistem sau a migrării acestora de pe suportul iniţial, prestatorul are obligaţia de a întocmi, păstra şi actualiza o evidenţă completă a tuturor suporturilor de stocare utilizate, atât a celor anterioare, cât şi a celor ulterioare operaţiunii de migrare sau transfer. Evidenţa trebuie să includă identificarea suporturilor, data utilizării, localizarea acestora, precum şi lista documentelor conţinute pe fiecare suport, astfel încât să fie asigurată trasabilitatea integrală a fiecărui document pe întregul său ciclu de viaţă. Pe fiecare suport extern vor fi stocate exclusiv documente care au acelaşi termen de păstrare, pentru a permite gestionarea corectă, accesul controlat şi efectuarea operaţiunilor de păstrare sau eliminare în conformitate cu legislaţia şi standardele aplicabile.;
(2) Documentele şi dosarele arhivate în formă electronică sunt cuprinse în nomenclatorul arhivistic al organizaţiei, precizându-se la rubrica "Observaţii": "în formă electronică";
(3) Extragerea documentelor din arhiva electronică spre consultare este permisă beneficiarului arhivei şi reprezentantului prestatorului de servicii de încredere, desemnat şi instruit în acest sens, la solicitarea expresă a titularului dreptului de dispoziţie asupra documentului respectiv.
ART. 11
Prestatorul trebuie să asigure:
a) mecanism de evidenţă complet, conţinând semnătura, lanţul de certificate, CRL/OCSP, marca temporală şi dovada integrităţii iniţiale;
b) procedura de revalidare periodică şi re-sigilare;
c) migrarea controlată a formatelor şi algoritmilor.
ART. 12
Prestatorul trebuie să păstreze jurnale, să permită audit extern şi să publice rapoarte care să demonstreze conformitatea cu politicile de păstrare şi standardele din domeniu în vigoare.
ART. 13
Prestatorul transmite ADR anual raportul testării funcţionării mecanismelor de revalidare prin testare pe eşantioane. În baza raportului de audit ADR poate solicita Prestatorului să facă o analiză de impact a non-conformităţilor.
ART. 14
(1) Arhivarea electronică a documentelor clasificate şi accesul la acestea se realizează cu respectarea dispoziţiilor Legii nr. 182/2002, cu modificările şi completările ulterioare, precum şi ale standardelor europene şi naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare.
(2) Prestatorul sau persoana împuternicită de acesta să realizeze şi să implementeze politica de securitate a informaţiilor clasificate arhivate trebuie să deţină un certificat de securitate pentru cel mai înalt nivel de clasificare a informaţiilor stocate, procesate sau transmise prin aceste sisteme, în conformitate cu prevederile Legii nr. 182/2002, cu modificările şi completările ulterioare.
(3) Modalităţile şi măsurile de protecţie a informaţiilor clasificate în formă electronică sunt similare celor aplicate pentru informaţiile clasificate pe suport hârtie.
(4) Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, securitatea criptografică, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse datele şi sistemele.
(5) Sistemele de arhivare pot fi utilizate în vederea stocării, procesării sau transmiterii de informaţii clasificate numai dacă sunt autorizate în conformitate cu prevederile Legii nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, precum şi ale Standardelor naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare.
ART. 15
Activitatea de arhivare electronică se realizează cu respectarea prevederilor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 (Regulamentul general privind protecţia datelor), precum şi ale Legii nr. 190/2018, cu modificările ulterioare.
ART. 16
(1) Pentru depunerea unui document în arhiva electronică, beneficiarul trebuie să îndeplinească următoarele condiţii:
a) să deţină un certificat calificat pentru semnătura electronică, în termen de valabilitate; Pt ca volumul de documente poate fi mare iar acestea pot fi arhivate simultan din mai multe sisteme informatice în regim de 24/24 h, este mai corect să se folosească sigilii calificate în loc de certificate, deoarece în practică nu poate fi o singură persoană care să semneze non-stop;
b) să deţină un serviciu calificat de păstrare a semnăturilor electronice calificate, prestat de către un prestator de servicii de încredere calificate conform prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014, cu modificările şi completările ulterioare;
c) să deţină un serviciu calificat de validare a semnăturilor electronice calificate, prestat de către un prestator de servicii de încredere calificate conform prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014, cu modificările şi completările ulterioare.
(2) Beneficiarul are următoarele drepturi:
a) stabilirea regimului de acces la documentul arhivat, precum şi modificarea acestuia, în conformitate cu legislaţia şi standardele în vigoare;
b) accesul online la registrul în formă electronică al arhivei electronice;
c) accesul online la fişa electronică ataşată în mod obligatoriu fiecărui document intrat în arhiva electronică, conform regimului de acces stabilit;
d) accesul la aplicaţiile utilizate de prestator în cadrul activităţii de arhivare, necesare pentru accesul la documentele personale care au fost arhivate.
(3) Accesul online la documentele arhivate care nu au regim de acces prin internet şi la fişele electronice ale acestora se consideră asigurat atunci când persoanele care au drept de acces la documente şi la fişele electronice ale acestora le pot consulta printr-o reţea care nu este conectată la internet. Este necesar acordul scris al beneficiarului în ceea ce priveşte utilizarea respectivei reţele.
CAP. VI
Cerinţe suplimentare pentru prestatorii de servicii de încredere pentru Serviciile de distribuţie electronică înregistrate calificat
ART. 17
În completarea documentaţiei prevăzute la art. 3, alin. (2) din Anexa nr. 2, solicitantul trebuie să depună şi următoarele:
a) dovada implementării unui mecanism prin care identitatea expeditorului şi a destinatarului este verificată anterior transmiterii mesajelor QERDS şi asociată în mod probator mesajelor transmise;
b) dovada deţinerii şi utilizării unei surse de timp precise legate de ora universală, utilizată pentru generarea elementelor probatorii aferente serviciului QERDS calificat;
c) lista standardelor, specificaţiilor şi referenţialelor de securitate aplicabile serviciilor QERDS calificate, depusă integral la ADR, din care să rezulte conformitatea cu cerinţele obligatorii;
d) descrierea mecanismului prin care prestatorul asigură posibilitatea demonstrării ulterioare a trimiterii, primirii, integrităţii şi momentului transmiterii pentru fiecare mesaj QERDS calificat, depusă integral la ADR;
e) documentaţie din care să rezulte că serviciul este proiectat şi implementat în conformitate cu cerinţele de interoperabilitate stabilite prin Regulamentul de punere în aplicare (UE) 2025/1944;
f) document care să ateste existenţa unui mecanism de audit intern periodic privind prestarea serviciilor QERDS calificate, cu rol în menţinerea conformităţii continue.
ART. 18
Prestatorul are obligaţia permanentă de a asigura, în cadrul serviciilor QERDS calificate prestate:
a) verificarea identităţii expeditorului şi a destinatarului înainte de transmiterea mesajelor;
b) asocierea probatorie a identităţii expeditorului şi a destinatarului cu mesajul transmis;
c) posibilitatea demonstrării ulterioare a trimiterii, primirii, integrităţii şi momentului transmiterii pentru fiecare mesaj QERDS;
d) interoperabilitatea serviciului cu serviciile echivalente din Uniunea Europeană, conform Regulamentului de punere în aplicare (UE) 2025/1944.
CAP. VII
Cerinţe suplimentare pentru prestatorii de servicii de încredere pentru Registre electronice calificate
ART. 19
În completarea documentaţiei prevăzute la art. 3 din prezenta procedură, solicitantul trebuie să depună şi următoarele:
(1) Dovada îndeplinirii următoarelor cerinţe:
(a) registrele sunt create şi gestionate de unul sau mai mulţi prestatori de servicii de încredere calificaţi;
(b) stabilesc originea înregistrărilor de date din registru;
(c) asigură ordonarea cronologică secvenţială unică a înregistrărilor de date din registru;
(d) înregistrează datele astfel încât orice modificare a lor ulterioară să poată fi detectată imediat, asigurând integritatea datelor în timp.
(2) În cazul în care registrul electronic îndeplineşte standardele, specificaţiile şi procedurile menţionate la alineatul (3), se prezumă că sunt respectate cerinţele prevăzute la alineatul (1).
CAP. VIII
Cerinţe suplimentare pentru prestatorii de servicii de încredere pentru Păstrarea pe termen lung
ART. 20
În completarea documentaţiei prevăzute la art. 3 din prezenta procedură, solicitantul trebuie să depună şi dovada îndeplinirii următoarelor condiţii:
a) stocare securizată în medii redundante doar pentru serviciile de prezervare cu stocare;
b) deţinerea şi utilizarea unui mecanism de revalidare automată la intervale regulate (maxim o dată la 3 ani sau la schimbare algoritmică majoră);
c) păstrarea completă a informaţiilor de validare, precum: certificate, CRL/răspuns OCSP, timestamp, algoritmi;
d) audit trail complet pentru toate operaţiunile de validare şi revalidare;
e) raport de integritate la recuperarea fiecărui document;
f) disponibilitate SLA ≥ 99,95%;
g) sincronizare timp între toate componentele;
h) procedura de migrare controlată la algoritmi post-cuantici.
ART. 21
(1) La fiecare extragere sau livrare a unui document din sistemul LTP, prestatorul generează un raport de integritate semnat electronic, care conţine minim următoarele elemente:
a) identificatorul documentului;
b) data iniţială de semnare;
c) datele de validare utilizate;
d) semnătura calificată a raportului.
(2) Raportul are valoare probatorie conform art. 46 din Regulamentul (UE) 2024/1183.
ANEXA 2.1
Cererea de acordare a statutului de
prestator de servicii de încredere calificate
Cerere (notificare)
Stimată/Stimate Doamnă/Domnule Preşedinte,
Având în vedere prevederile art. 5 lit. f), pct. 11 din Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare şi în temeiul prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare, vă solicit să dispuneţi începerea procedurii de acordare a statutului de "prestator de servicii de încredere calificate" pentru serviciul/serviciile de încredere (se menţionează serviciul/serviciile) ..........., pentru (numele şi prenumele/denumirea solicitantului) ..........., cu domiciliul/sediul în ........... (adresa completă), telefon ........ înregistrat/ă la Oficiul Registrului Comerţului de pe lângă Tribunalul .........., cod unic de înregistrare/cod de identificare fiscală .........., reprezentat legal prin ............(numele şi prenumele), domiciliat(ă) în .............(adresa completă), telefon .......... identificat(ă) prin actul de identitate ...........(serie, număr, cod numeric personal).
Nume şi prenume
Semnătura reprezentantului legal
Lista de documente anexate formularului de notificare: ............
ANEXA 2.2
Conţinutul minimal al registrului arhivei electronice calificate
A. Identificare document
Registrul trebuie să conţină:
i. ID unic al documentului arhivat;
ii. hash criptografic;
iii. tip document/format;
iv. dimensiune.
B. Origine
i. sursa documentului (creator/sistem);
ii. identificatorul semnatarului (dacă există);
iii. referinţă la semnătura electronică/sigiliu (qualified/advanced);
iv. referinţă la certificatul folosit.
C. Data şi momentul arhivării
i. data şi ora primirii în arhivă;
ii. marcă temporală calificată;
iii. identificatorul serviciului de marcare temporală.
D. Integritate şi continuitate
i. dovezi de integritate;
ii. mecanism de reînnoire a dovezilor criptografice;
iii. log al verificărilor periodice;
E. Trasabilitatea Operaţiunilor asupra documentului
i. accesări;
ii. exporturi;
iii. migrări de format;
iv. marcări temporale;
v. ştergeri;
F. Identificare persoană
i. cine a efectuat operaţiunile;
ii. când a efectuat operaţiunile;
iii. ce operaţiune a efectuat;
iv. rezultat;
G. Statut juridic al documentului
i. original electronic;
ii. copie;
iii. copie conformă;
------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
