Comunica experienta
MonitorulJuridic.ro
PROCEDURĂ din 20 martie 2026 de supraveghere, suspendare, retragere şi luare a măsurilor pentru prestatorii de servicii de încredere calificate şi necalificate
EMITENT: Autoritatea pentru Digitalizarea României PUBLICAT: Monitorul Oficial nr. 246 bis din 30 martie 2026
──────────
Aprobată prin DECIZIA nr. 162 din 20 martie 2026, publicată Monitorul Oficial al României, Partea I, nr. 246 din 30 martie 2026.
──────────
(a se vedea imaginea asociată)
CAP. I
Dispoziţii generale
ART. 1
ADR exercită atribuţiile de organism de supraveghere pentru prestatorii de servicii de încredere necalificate şi serviciile de încredere calificate.
ART. 2
Prestatorii de servicii de încredere sunt auditaţi, pe propria cheltuială, cel puţin la fiecare 24 de luni, de către un organism de evaluare a conformităţii. Auditul confirmă că prestatorii de servicii de încredere calificaţi şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament şi la articolul 21 din Directiva (UE) 2022/2555 transpusă prin Ordonanţa de Urgenţă nr. 155 din 30 decembrie 2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil. Prestatorul de servicii de încredere transmite organismului de supraveghere raportul de evaluare a conformităţii imediat ce acesta este disponibil, iar pachetul complet aferent (raport, anexe, plan de remediere şi documentaţia suport în forma finală, semnată) se transmite în termen de cinci zile lucrătoare de la primire, cu respectarea obligaţiilor aplicabile din dreptul Uniunii Europene.
ART. 3
Prestatorii de servicii de încredere necalificaţi şi prestatorii de servicii de încredere calificaţi informează organismul de supraveghere cu cel puţin 30 de zile înainte de un audit planificat şi, la cerere, îi permit organismului de supraveghere să participe în calitate de observator.
ART. 4
Organismul de supraveghere poate, în orice moment, să efectueze un audit sau să solicite unui organism de evaluare a conformităţii să efectueze o evaluare a conformităţii privind prestatorii de servicii de încredere necalificaţi şi prestatorii de servicii de încredere calificaţi, pe cheltuiala prestatorilor de servicii de încredere respectivi, pentru a confirma că aceştia şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament. În cazul în care normele de protecţie a datelor cu caracter personal par să fi fost încălcate, organismul de supraveghere informează, fără întârzieri nejustificate, autorităţile de supraveghere competente înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679.
CAP. II
Supraveghere
ART. 5
Prestatorul este supus supravegherii exercitate de ADR pe întreaga durată a deţinerii statutului de prestator de servicii de încredere necalificate sau calificate, în vederea verificării menţinerii conformităţii cu cerinţele legale şi cu documentaţia depusă la acordare.
ART. 6
(1) Prestatorul are obligaţia de a coopera cu ADR în cadrul activităţilor de supraveghere, de a pune la dispoziţie toate documentele, evidenţele, înregistrările tehnice şi informaţiile solicitate şi de a permite efectuarea verificărilor documentare şi tehnice, inclusiv prin acces de la distanţă sau la faţa locului.
(2) Prestatorul are obligaţia de a pune la dispoziţia ADR, la solicitare şi, după caz, în cadrul verificărilor, un mediu de demonstraţie/testare reprezentativ, scenarii de test şi acces la interfeţele necesare verificării efective a cerinţelor, inclusiv a mecanismelor de securitate şi jurnalizare, în condiţiile protejării informaţiilor sensibile şi a secretului comercial.
ART. 7
Supravegherea poate fi efectuată de ADR oricând se consideră necesar pentru verificarea menţinerii conformităţii.
ART. 8
Supravegherea periodică
(1) ADR efectuează acţiuni de supraveghere periodice asupra tuturor prestatorilor de servicii de încredere necalificaţi şi prestatorilor de servicii de încredere calificaţi, conform unei planificări anuale bazate pe analiza de risc.
(2) Frecvenţa acţiunilor de supraveghere:
a) prestatori necalificaţi - minimum o dată la 6 luni;
b) prestatori calificaţi - minimum o dată la 12 luni;
c) prestatori LTP sau arhive calificate - controale tematice suplimentare semestriale.
(3) Acţiunile de supraveghere pot fi:
a) documentare - analiza politicilor, rapoartelor şi jurnalelor;
b) tehnice - verificări în sistem, teste de penetrare, validare a algoritmilor;
c) operaţionale - audit on-site în centrele de date şi mediile de producţie.
ART. 9
Supraveghere inopinată
(1) ADR poate efectua acţiuni de supraveghere inopinate în oricare dintre următoarele cazuri:
a) sesizare privind o posibilă frauda, fals sau utilizare abuzivă a unui serviciu;
b) detectarea unui incident major raportat prin sistemul NIS2 sau prin DNSC;
c) suspiciuni privind modificarea neautorizată sau nenotificată a sistemelor de semnare, arhivare sau LTP.
(2) Prestatorul are obligaţia de a permite accesul imediat la toate informaţiile solicitate şi de a furniza suport tehnic în timp real.
(3) Refuzul nejustificat de cooperare poate duce la suspendarea sau chiar retragerea statutului.
ART. 10
În urma efectuării supravegherii, ADR poate dispune, după caz, una sau mai multe dintre următoarele măsuri:
a) avertisment scris;
b) stabilirea unui termen pentru remedierea neconformităţilor constatate;
c) impunerea implementării unor măsuri corective tehnice sau organizaţionale;
d) suspendarea statutului de prestator de servicii de încredere necalificate sau calificate până la remedierea neconformităţilor;
e) retragerea statutului de prestator de servicii de încredere necalificate sau calificate.
ART. 11
Prestatorul are obligaţia de a se conforma măsurilor dispuse de ADR în termenul stabilit şi de a transmite dovada implementării acestora, sub sancţiunea retragerii statutului şi radierii din Lista sigură.
ART. 12
(1) În caz de incident critic, precum compromiterea cheilor, pierderea datelor, compromiterea lanţului de încredere, prestatorul are obligaţia de a:
a) suspenda imediat serviciul afectat;
b) informa ADR în maxim 24 de ore;
c) informa utilizatorii impactati;
d) furniza un plan de remediere în 24 ore.
(2) ADR poate dispune evaluarea conformităţii post - incident.
CAP. III
Suspendare
ART. 13
ADR poate dispune suspendarea statutului de prestator de servicii de încredere necalificate sau calificate în cazul constatării unor neconformităţi care nu afectează grav integritatea, trasabilitatea sau continuitatea probatorie a serviciului, acordând prestatorului un termen stabilit de ADR, dar nu mai mare de 60 de zile, pentru remedierea neconformităţilor.
ART. 14
În perioada suspendării, prestatorul are interdicţia de a presta servicii de încredere necalificate sau calificate şi de a utiliza orice menţiune privind calitatea de prestator de servicii de încredere.
ART. 15
(1) Suspendarea se aplică pentru o perioadă de 10-90 zile în următoarele situaţii:
a) neconformităţi majore neremediate;
b) refuz repetat de audit;
c) încălcarea politicilor de securitate;
d) compromiterea datelor clienţilor.
(2) Suspendarea implică interdicţia de a emite, valida sau conserva documente noi pe durata măsurii.
(3) Prestatorul trebuie să informeze toţi clienţii în maxim 48 ore despre măsura de suspendare.
CAP. IV
Retragere
ART. 16
ADR retrage statutul de prestator de servicii de încredere necalificate sau calificate fără acordarea unui termen de remediere în oricare dintre următoarele situaţii:
a) compromiterea sau pierderea integrităţii elementelor probatorii aferente serviciului;
b) pierderea trasabilităţii sau a sursei de timp folosite pentru generarea dovezilor;
c) continuarea prestării serviciului după dispunerea suspendării.
ART. 17
În cazul retragerii, prestatorul pierde dreptul de a presta servicii de încredere necalificate sau calificate după caz, putând formula o nouă cerere doar însoţită de un raport de evaluare a conformităţii actualizat emis de un organism de evaluare a conformităţii acreditat.
ART. 18
(1) ADR retrage definitiv statutul unui prestator în următoarele situaţii:
a) falsificarea rapoartelor de evaluare a conformităţii sau a dovezilor;
b) încălcarea legislaţiei şi a standardelor din domeniu după o suspendare;
c) refuzul repetat de conformare la măsurile dispuse de organismul de supraveghere;
d) activităţi frauduloase sau de natura penală, constatate de o instanţă judecătorească.
(2) Retragerea definitivă conduce la:
a) radierea imediată din Lista Sigură;
b) transmiterea informaţiilor către Comisia Europeană;
c) blocarea tuturor acceselor la infrastructura de semnare/validare sub marca respectiva.
(3) Prestatorul poate solicita acordarea statutului după minimum 12 luni de la retragere, cu parcurgerea procedurii de acordare a statutului în întregime.
CAP. V
Radierea
ART. 19
(1) Radierea prestatorilor de servicii de încredere necalificate din domeniul apărării, ordinii publice şi siguranţei naţionale din Lista sigură se efectuează în următoarele situaţii:
a) la cererea prestatorului;
b) în cazul nerespectării dispoziţiilor prezentei proceduri;
c) la expirarea valabilităţii documentelor prevăzute la art. 2 alin. (2) lit. a), dacă nu au fost reînnoite;
d) la nerespectarea termenelor de soluţionare a măsurilor dispuse în urma supravegherii efectuate de organismul de supraveghere.
(2) ADR informează prestatorul despre decizia de radiere şi motivele care au stat la baza acesteia.
CAP. VI
Încetare voluntară
ART. 20
Încetarea voluntară a statutului de prestator de servicii de încredere necalificate sau calificate se face la cererea prestatorului, prin notificare transmisă ADR, având ca efect încetarea statutului după un termen stabilit de ADR, dar nu mai mic de 30 de zile de la data confirmării notificării, pentru a permite asigurarea măsurilor de transfer.
ART. 21
Înainte de data încetării efective, prestatorul are obligaţia de a transfera către un alt prestator necalificat, respectiv calificat sau, după caz, către client, toate elementele probatorii aferente serviciilor de încredere necalificate sau calificate prestate, asigurând integritatea şi autenticitatea acestora.
ART. 22
De la data încetării efective, prestatorul are interdicţia de a continua prestarea serviciilor de încredere necalificate sau calificate, după caz, şi de a utiliza orice menţiune privind calitatea de prestator de servicii de încredere necalificate sau calificate.
ART. 23
Restul dispoziţiilor privind procedura şi condiţiile de acordare, suspendare şi retragere a statutului rămân aplicabile potrivit prezentului act.
CAP. VII
Clasificarea neconformităţilor
ART. 24
Nivelurile de severitate
(1) Neconformităţile se clasifica astfel:
a) Nivel 1 - minoră: abateri documentare fără impact operaţional;
b) Nivel 2 - medie: abateri operaţionale cu impact controlabil;
c) Nivel 3 - majoră: afectare parţială a integrităţii serviciului sau indisponibilitate extinsă;
d) Nivel 4 - critică: compromitere a cheilor, fraude, falsificări, refuz de cooperare, pierdere a încrederii publice.
(2) ADR stabileşte nivelul de severitate în baza criteriilor:
a) impactul asupra utilizatorilor;
b) durata neconformităţii;
c) intenţia sau neglijenţa;
d) istoricul prestatorului;
e) cooperarea la remediere.
CAP. VIII
Plan de conformare
ART. 25
(1) În urma unei acţiuni de supraveghere, ADR poate dispune un plan de conformare cu termene precise:
a) 60 zile pentru neconformităţi minore;
b) 30 zile pentru neconformităţi medii;
c) 15 zile pentru neconformităţi majore.
(2) Prestatorul transmite un raport de implementare a măsurilor.
(3) Lipsa conformării în termenele stabilite atrage sancţiuni corespunzătoare.
CAP. IX
Sancţiuni administrative şi contravenţii
ART. 26
Sancţiunile administrative şi contravenţiile se stabilesc conform art. 16 din Regulamentul UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare.
CAP. X
Obligaţii post-autorizare şi raportare
ART. 27
Raportarea periodică
(1) Toţi prestatorii transmit ADR anual sau la cerere, un raport sumar de activitate care include:
a) număr de operaţiuni, clienţi, documente;
b) incidente de securitate şi măsuri luate;
c) schimbări semnificative de infrastructură.
(2) Raportul anual complet este însoţit de audit extern.
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
