Comunica experienta
MonitorulJuridic.ro
──────────
Aprobată prin DECIZIA nr. 162 din 20 martie 2026, publicată în Monitorul Oficial al României, Partea I, nr. 246 din 30 martie 2026.
──────────
(a se vedea imaginea asociată)
CAP. I
Dispoziţii generale
ART. 1
Prezenta procedură stabileşte cadrul operaţional, instituţional şi tehnic pentru notificarea prestatorilor de servicii de încredere necalificate, în conformitate cu prevederile Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare.
ART. 2
(1) Procedura se aplică tuturor persoanelor fizice şi juridice care doresc să presteze servicii de încredere necalificate, precum şi celor care intenţionează să presteze servicii de încredere necalificate pe teritoriul României, indiferent de statul de stabilire, în măsura în care acestea intră sub competenţa de supraveghere a Autorităţii pentru Digitalizarea României potrivit Regulamentului (UE) nr. 910/2014, astfel cum a fost modificat, şi a actelor naţionale de organizare şi funcţionare aplicabile. În cazul solicitanţilor stabiliţi într-un alt stat, aceştia au obligaţia de a desemna un punct unic de contact pentru relaţia cu ADR şi de a asigura, în mod efectiv, cooperarea, accesul la informaţii şi posibilitatea efectuării verificărilor şi demonstraţiilor tehnice prevăzute de prezenta procedură.
(2) În vederea acordării statutului de prestator de servicii de încredere necalificate, prezenta procedură se aplică cu respectarea prevederilor legislaţiei incidente din domeniul apărării, ordinii publice şi securităţii naţionale.
CAP. II
Procedura de notificare pentru prestatorii de servicii de încredere necalificate
ART. 3
(1) Persoanele fizice şi juridice care intenţionează să presteze servicii de încredere necalificate transmit ADR o notificare conform modelului prevăzut în Anexa nr. 1.1, însoţită de documentaţia prevăzută la alin. (2) în cazul în care doresc publicarea în Lista Sigură sau însoţită de documentaţia prevăzută la alin. (4) în cazul în care nu doresc publicarea în Lista Sigură.
(2) Documentaţia se depune electronic, semnată cu semnătură electronică calificată de către reprezentantul legal sau de către o persoană împuternicită în acest sens, ori se transmite în format tipărit pe hârtie, semnată olograf. Documentaţia trebuie să includă, în mod cumulativ, următoarele documente:
a) un raport de evaluare a conformităţii întocmit de un organism de evaluare a conformităţii, aşa cum este definit la art. 3, pct. 18 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare, cu excepţia instituţiilor din domeniul apărării şi securităţii naţionale, care pot prezenta un raport efectuat de personal specializat care să deţină certificările auditorilor din cadrul Organismelor de evaluare a conformităţii.
b) o scrisoare de garanţie din partea unei instituţii financiar-bancare sau o poliţă de asigurare de răspundere civilă pentru riscurile legate de prestarea serviciilor de încredere, în valoare de 500.000 euro pentru fiecare serviciu pentru care se efectuează notificarea, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
c) descrierea soluţiei tehnice;
d) declaraţia pe propria răspundere a reprezentantului legal al prestatorului cu privire la respectarea, în cadrul procesului de prestare a serviciilor de încredere, a cerinţelor Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
e) planul de securitate al sistemului informatic utilizat, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
f) politicile şi procedurile de prestare a serviciilor de încredere necalificate;
g) arhitectura detaliată a serviciului de încredere necalificat (de exemplu, ierarhia PKI - infrastructura cheii publice);
h) declaraţie pe proprie răspundere a reprezentantului legal din care să rezulte că în procesul de emitere a serviciilor de încredere necalificate este implicat personal cu cunoştinţe de specialitate, experienţă şi calificare, precum şi planul de instruire;
i) termenii şi condiţiile comunicate de către prestatorul de servicii de încredere necalificate şi acceptate de utilizatorul final, în cazul emiterii de semnături avansate cu certificat, precum şi descrierea detaliată a mecanismului de validare al serviciului de încredere necalificat, în cazul în care nu a fost solicitată aprobarea acestuia de către ADR;
j) datele de contact ale prestatorului de servicii de încredere necalificate (e-mail, număr de telefon, site web);
k) actul constitutiv al prestatorului de servicii de încredere necalificate din care să rezulte că are specificată în obiectul de activitate desfăşurarea de activităţi în domeniile tehnologiei informaţiei sau serviciilor informaţionale, cu excepţia situaţiei în care serviciile de încredere necalificate sunt conexe activităţilor pentru a căror desfăşurare este autorizat, caz în care trebuie să facă dovada deţinerii codului CAEN corespunzător activităţii desfăşurate în domeniile tehnologiei informaţiei sau serviciilor informaţionale, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
l) împuternicire pentru persoana delegată să semneze în numele reprezentantului legal al prestatorului de servicii de încredere necalificate;
m) plan de continuitate a afacerii şi recuperare în caz de dezastru, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
n) lista standardelor în baza cărora serviciile de încredere necalificate sunt prestate, auditate, evaluate sau certificate pentru a fi conforme;
o) procedura de notificare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal privind încălcarea securităţii sau pierderea integrităţii care are un impact semnificativ asupra serviciului de încredere necalificat prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii de încredere necalificate, menită să sprijine demonstrarea cerinţei art. 19 alin. (2) din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
p) certificate de conformitate a dispozitivelor utilizate în emiterea certificatelor pentru semnătură electronică avansată, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
q) planul de încetare a activităţii, care respectă cerinţele prevăzute în actele de punere în aplicare adoptate în temeiul Articolului 24 alineatul (5) din Regulamentul (UE) nr. 910/2014 cu modificările şi completările ulterioare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
r) adresa WEB a prestatorului de servicii de încredere necalificate;
s) dovada utilizării unei arhive electronice calificate prestate de un prestator de servicii de încredere calificate conform Regulamentului (UE) nr. 910/2014, cu modificările şi completările ulterioare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională. În cazul în care arhiva electronică calificată este pusă la dispoziţie de către un prestator de servicii de încredere din UE, nerezident în România, solicitantul va depune către ADR şi o declaraţie în care să specifice denumirea arhivei electronice calificate unde sunt stocate datele şi faptul că are controlul accesului la date. În cazul în care prestatorul solicită statutul pentru servicii ce implică arhivarea/păstrarea documentelor sau datelor care conţin semnături electronice şi/sau sigilii electronice, acesta are obligaţia de a demonstra existenţa şi funcţionarea mecanismelor de conservare pe termen lung (LTP) necesare menţinerii verificabilităţii şi valorii probatorii pe durata legală/contractuală de păstrare, inclusiv prin politici, proceduri, dovezi tehnice şi, după caz, utilizarea de mărci temporale calificate şi/sau integrarea cu un serviciu de păstrare (preservation), conform standardelor relevante.
t) schema personalului implicat, certificările/calificările acestora şi planul de instruire, din care să rezulte existenţa permanentă a personalului calificat implicat în prestarea serviciului de încredere necalificat, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
u) minim o sursă de timp precisă, legată de ora universală, cu respectarea cerinţelor de continuitate a activităţii şi de recuperare în caz de dezastru.
v) acces la un demo complet funcţional, incluzând cel puţin fluxurile principale ale serviciului/serviciilor declarate, interfeţele relevante (inclusiv API unde este cazul), jurnalizarea şi trasabilitatea operaţiunilor, mecanismele de autentificare/autorizare şi de control al accesului, demonstrarea controalelor criptografice şi a mecanismelor de validare, precum şi scenarii de test furnizate de prestator şi/sau solicitate de ADR, în scopul verificării efective a conformităţii; informaţiile tehnice şi operaţionale accesate în cadrul demonstraţiei se tratează ca informaţii sensibile/confidenţiale, în condiţiile legii, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională, incluzând:
i. autentificare utilizatorilor;
ii. aplicare, validare şi verificare a semnăturilor sau sigiliilor;
iii. sisteme de arhivare sau transmitere, după caz.
w) dovada plăţii tarifului către ADR în valoare de 2500 de lei cu TVA pentru fiecare serviciu de încredere pentru care se solicită acordarea statutului.
(3) Raportul de evaluare a conformităţii prevăzut la alin. (2) lit. a) trebuie să menţioneze sau să includă următoarele:
a) denumirea organismului de evaluare a conformităţii şi, unde este cazul, numărul său de înregistrare, aşa cum este declarat în înregistrările oficiale, adresa sa poştală oficială şi adresa de poştă electronică;
b) denumirea organismului de acreditare recunoscut la nivel naţional din statul membru care i-a acordat acreditarea organismului de evaluare a conformităţii şi, unde este cazul, numărul de înregistrare, aşa cum este declarat în înregistrările oficiale, adresa poştală oficială şi adresa de poştă electronică ale organismului naţional de acreditare;
c) certificatul de acreditare sau un link către locaţia de unde poate fi accesat certificatul de acreditare emis de organismul naţional de acreditare identificat în conformitate cu pct. 2, împreună cu descrierea detaliată, sau un link către locaţia de unde pot fi obţinute descrierea detaliată a schemei de acreditare, inclusiv indicarea relevanţei sale în raport cu Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
d) numele auditorului principal (lead auditorul) sau al organismului de evaluare a conformităţii care a emis şi semnat raportul de audit;
e) opinia de audit din care să reiasă dacă prestatorul îndeplineşte sau nu cerinţele Regulamentului (UE) nr. 910/2014, cu modificările şi completările ulterioare, pentru serviciul de încredere pentru care a fost evaluat;
f) serviciul/serviciile de încredere necalificate pentru care a fost evaluat prestatorul de servicii de încredere;
g) standardele în vigoare care au fost utilizate în scopul dovedirii conformităţii;
h) să furnizeze pentru fiecare serviciu de încredere necalificat identificat la lit. f) informaţiile necesare cu scopul de a permite identificarea serviciului/serviciilor pentru includerea în lista naţională de încredere aplicabilă, în conformitate cu Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei din 8 septembrie 2015, cu modificările şi completările ulterioare;
i) să enumere lista completă a documentelor publice şi a documentelor interne ale prestatorului de servicii de încredere necalificate care au făcut parte din domeniul de aplicare al evaluării conformităţii. Documentele publice ar trebui să fie ataşate la raportul de evaluare a conformităţii sau să fie furnizate linkuri accesibile public care să permită descărcarea documentelor, cu excepţia instituţiilor din domeniul apărării şi securităţii naţionale. Documentele publice care au făcut parte din domeniul de aplicare al auditului trebuie să includă cel puţin:
i. declaraţia practicilor utilizate de prestatorul de servicii de încredere pentru furnizarea serviciilor de încredere necalificate;
ii. politica/politicile serviciilor de încredere necalificate, de exemplu, setul de reguli care indică aplicabilitatea serviciilor de încredere necalificate unei anumite comunităţi şi/sau aplicaţii cu cerinţe de securitate comune;
iii. contract de prestare a serviciilor de încredere necalificate împreună cu termenii şi condiţiile aferente, cu excepţia instituţiilor publice care vor pune la dispoziţie doar termenii şi condiţiile de utilizare.
j) Documentele interne care au făcut parte din domeniul de aplicare al evaluării conformităţii trebuie să includă cel puţin:
i. planul în caz de încetare a serviciului de încredere necalificat;
ii. documentaţia aferentă evaluării riscului menită să sprijine demonstrarea cerinţei art. 19 lit. a din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
iii. procedura de notificare privind încălcarea securităţii sau pierderea integrităţii care are un impact semnificativ asupra serviciului de încredere necalificat prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii de încredere necalificate, menită să sprijine demonstrarea cerinţei art. 19 lit. a din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
iv. lista tuturor documentelor interne care susţin declaraţia practicilor utilizate de prestatorul de servicii de încredere necalificate pentru a furniza servicii de încredere necalificate şi politica/politicile serviciilor de încredere necalificată(e);
k) să indice, pentru fiecare etapă a evaluării conformităţii (de exemplu, audit de documentare şi audit de punere în aplicare, inclusiv inspecţii la faţa locului), perioada în care a fost efectuat auditul (timpul scurs) şi efortul în om-zile angajate de organismul de evaluare a conformităţii pentru a efectua auditul, cu excepţia instituţiilor din domeniul apărării şi securităţii naţionale;
l) să furnizeze, pentru fiecare dintre următoarele cerinţe din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare, un raport privind îndeplinirea de către prestatorul de servicii de încredere şi prin implementarea serviciilor sale de încredere a cerinţei identificate sau, atunci când este cazul, cu privire la existenţa unor proceduri adecvate şi a sistemului de management pentru manipularea acestei cerinţe.
i. Procesarea şi protecţia datelor. Prelucrarea datelor cu caracter personal se efectuează în conformitate cu legislaţia privind prelucrarea datelor cu caracter personal în vigoare.
ii. Prevederile privind răspunderea şi sarcina probei îndeplinesc cerinţele art. 13 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare.
iii. Prevederile privind accesibilitatea pentru persoanele cu dizabilităţi îndeplinesc cerinţele art. 15 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare.
iv. Îndeplinirea cerinţelor din art. 19a din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare.
m) Cerinţe specifice suplimentare pentru tipul aplicabil al serviciului de încredere necalificat:
i. În raportul de evaluare a conformităţii care se eliberează pe baza standardelor sau pe baza unor specificaţii accesibile publicului se evidenţiază separat neconformităţile şi impactul lor asupra serviciilor de încredere necalificate furnizate de prestatorul de servicii de încredere necalificate.
ii. Să detalieze lista părţilor terţe contractate de către prestatorul de servicii de încredere necalificate pentru a efectua toate sau părţi ale proceselor-suport în vederea prestării serviciilor sale de încredere necalificate, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
iii. Se indică, atunci când este solicitat de către schema aplicabilă de evaluare a acreditării/conformităţii, când trebuie să fie efectuat următorul audit de supraveghere şi următorul audit de conformitate.
iv. Se indică circumstanţele în care un organism acreditat de evaluare a conformităţii trebuie să fie implicat în reevaluarea prestatorului de servicii de încredere şi a serviciilor de încredere necalificate, în plus faţă de auditările planificate.
n) Declaraţie auditor - conflict de interese.
(4) Prestatorul de servicii de încredere necalificate care nu doreşte înscrierea în Lista Sigură, depune documentaţia electronic, semnată cu semnătură electronică calificată de către reprezentantul legal sau de către o persoană împuternicită în acest sens, ori se transmite în format tipărit pe hârtie, semnată olograf, cu minim 30 de zile înainte de începerea activităţii. Documentaţia trebuie să includă, în mod cumulativ, următoarele documente şi informaţii:
a) o scrisoare de garanţie din partea unei instituţii financiar-bancare sau o poliţă de asigurare de răspundere civilă pentru riscurile legate de prestarea serviciilor de încredere, în valoare de 500.000 euro pentru fiecare serviciu de încredere necalificat pentru care se solicită acordarea statutului, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
b) descrierea soluţiei tehnice;
c) declaraţia pe propria răspundere a reprezentantului legal al prestatorului de servicii de încredere necalificate cu privire la respectarea, în cadrul procesului de prestare a serviciilor de încredere necalificate, a cerinţelor Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
d) planul de securitate al sistemului informatic utilizat, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
e) politicile şi procedurile de prestare a serviciilor de încredere necalificate;
f) arhitectura detaliată a serviciului de încredere necalificat (de exemplu, ierarhia PKI - infrastructura cheii publice);
g) declaraţie pe proprie răspundere a reprezentantului legal din care să rezulte că în procesul de emitere a serviciilor de încredere necalificate este implicat personal cu cunoştinţe de specialitate, experienţă şi calificare, precum şi planul de instruire;
h) termenii şi condiţiile comunicate de către prestatorul de servicii de încredere necalificate şi acceptate de utilizatorul final, în cazul emiterii de semnături avansate cu certificat, precum şi descrierea detaliată a mecanismului de validare al serviciului de încredere necalificat, în cazul în care nu a fost solicitată aprobarea acestuia de către ADR;
i) datele de contact ale prestatorului de servicii de încredere necalificate (e-mail, număr de telefon, site web);
j) actul constitutiv al prestatorului de servicii de încredere necalificate din care să rezulte că are specificată în obiectul de activitate desfăşurarea de activităţi în domeniile tehnologiei informaţiei sau serviciilor informaţionale, cu excepţia situaţiei în care serviciile de încredere necalificate sunt conexe activităţilor pentru a căror desfăşurare este autorizat, caz în care trebuie să facă dovada deţinerii codului CAEN corespunzător activităţii desfăşurate în domeniile tehnologiei informaţiei sau serviciilor informaţionale, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
k) împuternicire pentru persoana delegată să semneze în numele reprezentantului legal al prestatorului de servicii de încredere necalificate;
l) plan de continuitate a afacerii şi recuperare în caz de dezastru, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
m) lista standardelor în baza cărora serviciile de încredere necalificate sunt prestate, auditate, evaluate sau certificate pentru a fi conforme;
n) declaraţia pe propria răspundere a reprezentantului legal din care să rezulte că în procesul de emitere a serviciilor de încredere necalificate sunt respectate standardele din domeniu;
o) procedura de notificare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal privind încălcarea securităţii sau pierderea integrităţii care are un impact semnificativ asupra serviciului de încredere necalificat prestat sau asupra datelor cu caracter personal păstrate de prestatorului de servicii de încredere necalificate, menită să sprijine demonstrarea cerinţei art. 19 alin. (2) din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
p) certificate de conformitate a dispozitivelor utilizate în emiterea certificatelor pentru semnătură electronică avansată, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
q) planul de încetare a activităţii, care respectă cerinţele prevăzute în actele de punere în aplicare adoptate în temeiul Articolului 24 alineatul (5) din Regulamentul (UE) nr. 910/2014 cu modificările şi completările ulterioare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
r) adresa WEB a prestatorului de servicii de încredere necalificate;
s) dovada utilizării unei arhive electronice calificate prestate de un prestator de servicii de încredere calificate conform Regulamentului (UE) nr. 910/2014, cu modificările şi completările ulterioare, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională. În cazul în care arhiva electronică calificată este pusă la dispoziţie de către un prestator de servicii de încredere din UE, nerezident în România, solicitantul va depune către ADR şi o declaraţie în care să specifice denumirea arhivei electronice calificate unde sunt stocate datele şi faptul că are controlul accesului la date. În cazul în care prestatorului de servicii de încredere solicită statutul pentru servicii ce implică arhivarea/păstrarea documentelor sau datelor care conţin semnături electronice şi/sau sigilii electronice, acesta are obligaţia de a demonstra existenţa şi funcţionarea mecanismelor de conservare pe termen lung (LTP) necesare menţinerii verificabilităţii şi valorii probatorii pe durata legală/contractuală de păstrare, inclusiv prin politici, proceduri, dovezi tehnice şi, după caz, utilizarea de mărci temporale calificate şi/sau integrarea cu un serviciu de păstrare (preservation), conform standardelor relevante.
t) schema personalului implicat, certificările/calificările acestora şi planul de instruire, din care să rezulte existenţa permanentă a personalului calificat implicat în prestarea serviciului de încredere necalificat, cu excepţia instituţiilor publice din sistemul naţional de apărare, ordine publică şi securitate naţională;
CAP. III
Arhiva electronică necalificată
ART. 4
Serviciul de arhivare electronică necalificată poate fi prestat doar făcând dovada utilizării unui sistem electronic de arhivare avizat conform Anexei nr. 5 din prezenta Decizie sau de alte autorităţi cu atribuţii în domeniul arhivării electronice de pe teritoriul U.E. şi parcurgând prezenta procedură.
ART. 5
(1) În completarea documentaţiei prevăzute la art. 3, din prezenta procedură, solicitantul trebuie să depună şi următoarele:
a) denumirea sistemului electronic de arhivare avizat de către ADR sau de alte autorităţi cu atribuţii în domeniul arhivării electronice de pe teritoriul U.E.;
b) dovada deţinerii unui serviciu calificat de prezervare pe termen lung, cu excepţia arhivelor gestionate în cadrul sistemelor informatice clasificate;
c) dovada instruirii personalului privind operarea sistemului electronic de arhivare utilizat;
d) dovada instruirii personalului privind utilizarea serviciului calificat de prezervare pe termen lung;
e) denumirea şi datele de identificare juridice ale centrului de date autorizat în care se stochează arhiva electronică;
f) politicile şi procedurile referitoare la securitatea şi păstrarea datelor, respectiv politica de protecţie a datelor cu caracter personal, politica de acces, politica de securitate, politica de păstrare a documentelor pe termen lung, fără a se limita la acestea;
g) declaraţia reprezentantului legal cu privire la respectarea prevederilor Regulamentului (UE) 2016/679 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, şi Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare;
h) procedura de emitere a raportului privind integritatea datelor şi documentelor conform standardelor în vigoare.
ART. 6
(1) Prestatorul de servicii de arhivare electronică necalificată are obligaţia de a crea şi de a opera un registru în formă electronică, conform standardelor în vigoare.
(2) Referinţa în registrul arhivei electronice la un document care nu este public sau care face parte din categoria documentelor clasificate în conformitate cu prevederile Legii nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, poate fi obţinută în funcţie de drepturile de acces ale solicitantului.
(3) Conţinutul minimal şi structura registrului prevăzut la alin. (1) sunt prevăzute în Anexa nr. 1.3 la prezenta procedură.
(4) Extragerea documentelor din arhiva electronică spre consultare este permisă beneficiarului arhivei şi reprezentantului prestatorului de servicii de încredere necalificate, desemnat şi instruit în acest sens, la solicitarea expresă a titularului dreptului de dispoziţie asupra documentului respectiv.
ART. 7
(1) În situaţia transferului documentelor din sistem sau a migrării acestora de pe suportul iniţial, prestatorului de servicii de încredere necalificate are obligaţia de a întocmi, păstra şi actualiza o evidenţă completă a tuturor suporturilor de stocare utilizate, atât a celor anterioare, cât şi a celor ulterioare operaţiunii de migrare sau transfer. Evidenţa trebuie să includă identificarea suporturilor, data utilizării, localizarea acestora, precum şi lista documentelor conţinute pe fiecare suport, astfel încât să fie asigurată trasabilitatea integrală a fiecărui document pe întregul său ciclu de viaţă. Pe fiecare suport extern vor fi stocate exclusiv documente care au acelaşi termen de păstrare, pentru a permite gestionarea corectă, accesul controlat şi efectuarea operaţiunilor de păstrare sau eliminare în conformitate cu legislaţia şi standardele aplicabile;
(2) Sistemul electronic de arhivare trebuie să fie avizat tehnic conform legislaţiei în vigoare;
(3) Documentele şi dosarele arhivate în formă electronică sunt cuprinse în nomenclatorul arhivistic al organizaţiei, precizându-se la rubrica "Observaţii": "în formă electronică";
(4) Extragerea documentelor din arhiva electronică spre consultare este permisă titularului dreptului de dispoziţie asupra documentului respectiv, prin intermediul modalităţilor puse la dispoziţie de prestatorul de servicii de încredere necalificate.
ART. 8
(1) Arhivarea electronică a documentelor clasificate şi accesul la acestea realizează cu respectarea dispoziţiilor Legii nr. 182/2002, cu modificările şi completările ulterioare, precum şi ale Standardelor naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare.
(2) Prestatorul de servicii de încredere necalificate sau persoana împuternicită de acesta să realizeze şi să implementeze politica de securitate a informaţiilor clasificate arhivate trebuie să deţină un certificat de securitate pentru cel mai înalt nivel de clasificare a informaţiilor stocate, procesate sau transmise prin aceste sisteme, în conformitate cu prevederile Legii nr. 182/2002, cu modificările şi completările ulterioare.
(3) Modalităţile şi măsurile de protecţie a informaţiilor clasificate în formă electronică sunt similare celor aplicate pentru informaţiile clasificate pe suport hârtie.
(4) Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, securitatea criptografică, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse datele şi sistemele.
(5) Sistemele electronice de arhivare pot fi utilizate în vederea stocării, procesării sau transmiterii de informaţii clasificate numai dacă sunt autorizate în conformitate cu prevederile Legii nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, precum şi ale Standardelor naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare.
ART. 9
Activitatea de arhivare electronică se realizează cu respectarea prevederilor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 (Regulamentul general privind protecţia datelor), precum şi ale Legii nr. 190/2018, cu modificările ulterioare.
ART. 10
(1) Pentru depunerea unui document în arhiva electronică, beneficiarul trebuie să îndeplinească următoarele condiţii, cu excepţia arhivelor gestionate în cadrul sistemelor informatice clasificate:
a) să deţină un certificat calificat pentru semnătura electronică, în termen de valabilitate;
b) să deţină un serviciu calificat de păstrare a semnăturilor electronice calificate, prestat de către un prestator de servicii de încredere calificate conform prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014, cu modificările şi completările ulterioare;
c) să deţină un serviciu calificat de validare a semnăturilor electronice calificate, prestat de către un prestator de servicii de încredere calificate conform prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014, cu modificările şi completările ulterioare.
(2) Beneficiarul are următoarele drepturi:
a) stabilirea regimului de acces la documentul arhivat, precum şi modificarea acestuia, în conformitate cu legislaţia şi standardele în vigoare;
c) accesul online la registrul în formă electronică al arhivei electronice;
d) accesul online la fişa electronică ataşată în mod obligatoriu fiecărui document intrat în arhiva electronică, conform regimului de acces stabilit;
e) accesul la aplicaţiile utilizate de prestatorul de servicii de încredere necalificate în cadrul activităţii de arhivare, necesare pentru accesul la documentele personale care au fost arhivate.
(3) Accesul online la documentele arhivate care nu au regim de acces prin internet şi la fişele electronice ale acestora se consideră asigurat atunci când persoanele care au drept de acces la documente şi la fişele electronice ale acestora le pot consulta printr-o reţea care nu este conectată la internet. Este necesar acordul scris al beneficiarului în ceea ce priveşte utilizarea respectivei reţele.
ART. 11
(1) Toate dovezile de trimitere şi primire a fişierelor, precum şi orice acţiune operată asupra acestora se arhivează electronic timp de 10 ani, conform standardelor în vigoare.
(2) Prestatorul de servicii de încredere trebuie să poată furniza ADR, la cerere, o copie verificabilă criptografic a dovezilor prevăzute la alin. 1.
(3) Jurnalele sunt supuse unui proces de re-marcare temporală calificată la fiecare 3 ani.
(4) Pentru documentele clasificate, toate dovezile de trimitere şi primire se arhivează electronic, în funcţie de nivelul de secretizare şi a termenelor maximale de arhivare, păstrare prevăzute de Standardele Naţionale de Protecţie a Informaţiilor Clasificate prevăzute de Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare.
CAP. IV
Servicii de distribuţie electronică înregistrată necalificate (ERDS)
ART. 12
Pe lângă documentaţia prevăzută la Capitolul II, prestatorul de servicii de încredere depune la ADR o cerere conform anexei 1.1, semnată de reprezentantul legal, însoţită suplimentar de următoarea documentaţie:
a) Descrierea mecanismului prin care se asigură dovada trimiterii şi a primirii mesajelor, conform definiţiei ERDS;
b) Descrierea măsurilor prin care se garantează integritatea conţinutului transmis şi a metadatelor, conform obligaţiei generale de securitate prevăzută la Art. 19 alin. 1 din Regulamentul (UE) nr. 910/2014, cu modificările şi completările ulterioare;
c) Descrierea mecanismului de asociere a momentului transmiterii şi primirii, prin utilizarea unei mărci temporale fiabile.
ART. 13
Serviciile de distribuţie electronică înregistrată necalificate trebuie să asigure:
a) autentificarea expeditorului şi destinatarului la nivel minim Substanţial (LoA Substanţial);
b) integritatea şi confidenţialitatea mesajului transmis;
c) dovada electronică de trimitere şi primire.
CAP. V
Registrele electronice necalificate
ART. 14
(1) Prestatorii de servicii de încredere de registre electronice necalificate trebuie să asigure:
a) integritatea şi ordinea cronologică a înregistrărilor, garantate prin tehnici criptografice, astfel încât orice modificare neautorizată a datelor să fie detectabilă;
b) aplicarea unei mărci temporale necalificate sau calificate pentru fiecare înregistrare introdusă în registru;
c) legarea criptografică a înregistrărilor între ele (chain of records), astfel încât secvenţa şi ordinea cronologică să poată fi verificate în mod independent;
d) protecţia registrului împotriva ştergerii, alterării sau modificării neautorizate, în conformitate cu cerinţele aplicabile serviciilor calificate prevăzute de Regulamentul (UE) 1183/2024;
e) supravegherea şi conformitatea cu standardele europene relevante, în măsura în care acestea exista şi sunt publicate de Comisia Europeana sau de organismele de standardizare europene.
(2) Dovada îndeplinirii cerinţelor de la alin. 1 se face prin depunerea unui raport semnat de reprezentantul legal pe proprie răspundere.
ANEXA 1.1
Notificare privind analiza documentaţiei
prestatorului de servicii de încredere necalificate
Notificare
Stimată/Stimate Doamnă/Domnule Preşedinte,
Având în vedere prevederile art. 5 lit. f) pct. 11 din Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare şi în temeiul prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare, vă solicit să dispuneţi începerea procedurii analiză a notificării şi documentaţiei prestatorului de servicii de încredere necalificate pentru serviciul/serviciile de încredere (se menţionează serviciul/serviciile) .............., pentru (numele şi prenumele/denumirea solicitantului) ..........., cu domiciliul/sediul în .................. (adresa completă), telefon ........... înregistrat/ă la Oficiul Registrului Comerţului de pe lângă Tribunalul ..............., cod unic de înregistrare/cod de identificare fiscală ..........., reprezentat legal prin ................ (numele şi prenumele), domiciliat(ă) în ................. (adresa completă), telefon ............. identificat(ă) prin actul de identitate .............. (serie, număr, cod numeric personal).
Nume şi prenume
Semnătura reprezentantului legal
Lista de documente anexate formularului de notificare:
................
ANEXA 1.2
Conţinutul minim al registrului
arhivei electronice necalificate
A. Identificare document
Registrul trebuie să conţină:
i. ID unic al documentului arhivat
ii. hash criptografic
iii. tip document/format
iv. dimensiune
B. Origine
i. sursa documentului (creator/sistem)
ii. identificatorul semnatarului (dacă există)
iii. referinţă la semnătura electronică/sigiliu (qualified/advanced)
iv. referinţă la certificatul folosit
C. Data şi momentul arhivării
i. data şi ora primirii în arhivă
ii. marcă temporală calificată
iii. identificatorul serviciului de marcare temporală
D. Integritate şi continuitate
i. dovezi de integritate
ii. mecanism de reînnoire a dovezilor criptografice
iii. log al verificărilor periodice
E. Trasabilitatea Operaţiunilor asupra documentului
i. accesări
ii. exporturi
iii. migrări de format
iv. marcări temporale
v. ştergeri
F. Identificare persoană
i. cine a efectuat operaţiunile
ii. când a efectuat operaţiunile
iii. ce operaţiune a efectuat
iv. rezultat
G. Statut juridic al documentului
i. original electronic
ii. copie
iii. copie conformă
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
