Comunica experienta
MonitorulJuridic.ro
PROCEDURĂ din 29 ianuarie 2026 de acordare, suspendare şi retragere a statutului de prestator de servicii de încredere calificate
EMITENT: Ministerul Economiei, Digitalizării, Antreprenoriatului şi Turismului PUBLICAT: Monitorul Oficial nr. 81 din 2 februarie 2026
──────────
Aprobată prin ORDINUL nr. 102 din 29 ianuarie 2026, publicat în Monitorul Oficial al României, Partea I, nr. 81 din 2 februarie 2026.
──────────
CAP. I
Scopul, obiectul, domeniul de aplicare şi cadrul legal al procedurii
ART. 1
Prezenta procedură stabileşte cadrul operaţional, instituţional şi tehnic pentru acordarea, suspendarea şi retragerea statutului de prestator de servicii de încredere calificate, în conformitate cu prevederile Legii nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale şi prestarea serviciilor de încredere bazate pe acestea şi ale Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare.
ART. 2
Procedura se aplică tuturor persoanelor juridice care solicită acordarea statutului de prestator de servicii de încredere calificate, precum şi celor care deţin acest statut şi sunt supuse evaluării, supravegherii şi, dacă este cazul, măsurilor de suspendare sau retragere.
ART. 3
Cadrul legal al procedurii este reprezentat de:
a) Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare, denumit în continuare Regulamentul (UE) nr. 910/2014;
b) Legea nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale şi prestarea serviciilor de încredere bazate pe acestea, denumită în continuare Legea nr. 214/2024;
c) Hotărârea Guvernului nr. 189/2025 privind organizarea şi funcţionarea Ministerului Economiei, Digitalizării, Antreprenoriatului şi Turismului;
d) Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare.
CAP. II
Competenţele Autorităţii pentru Digitalizarea României
ART. 4
În îndeplinirea rolului prevăzut la art. 19 din Legea nr. 214/2024, Autoritatea pentru Digitalizarea României, denumită în continuare ADR, în calitate de organism de supraveghere şi autoritate de reglementare şi supraveghere specializată în domeniu:
a) acordă, suspendă sau retrage statutul de prestator de servicii de încredere calificate;
b) se asigură că prestatorii de servicii de încredere calificate stabiliţi pe teritoriul României şi serviciile de încredere calificate pe care aceştia le prestează îndeplinesc cerinţele stabilite de Regulamentul (UE) nr. 910/2014 şi de Legea nr. 214/2024;
c) solicită prestatorilor de servicii de încredere să remedieze orice neîndeplinire a cerinţelor prevăzute de Regulamentul (UE) nr. 910/2014 şi de Legea nr. 214/2024.
CAP. III
Depunerea notificării şi a documentaţiei
ART. 5
(1) Persoanele juridice care intenţionează să presteze servicii de încredere calificate, inclusiv cele care intenţionează să presteze servicii de încredere în cadrul sistemelor închise transmit, cu 30 de zile înainte de începerea activităţii, autorităţii de reglementare şi supraveghere specializate în domeniu o notificare a intenţiei acestora, în vederea înregistrării în Registrul prestatorilor de servicii de încredere calificate, conform modelului prevăzut în anexa nr. 1 care face parte integrată din prezenta procedură.
(2) Notificarea prevăzută la alin. (1) trebuie să fie însoţită de următoarele documente:
a) un raport de evaluare a conformităţii, emis de un organism de evaluare a conformităţii, care va conţine informaţiile minime prevăzute în anexa nr. 2 care face parte integrantă din prezenta procedură, precum şi toate informaţiile referitoare la procedurile de securitate şi de certificare utilizate;
b) o scrisoare de garanţie din partea unei instituţii financiar-bancare sau o poliţă de asigurare de răspundere civilă pentru riscurile legate de prestarea fiecărui serviciu de încredere pentru care se solicită acordarea statutului calificat, în valoare de 500.000 euro pentru fiecare serviciu de încredere, cesionată în favoarea organismului de supraveghere;
c) descrierea soluţiei tehnice;
d) declaraţia pe propria răspundere a reprezentantului legal al prestatorului cu privire la respectarea, în cadrul procesului de furnizare a serviciilor de încredere, a cerinţelor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
e) planul de securitate al sistemului informatic utilizat;
f) linkuri la politicile, practicile şi procedurile de prestare a serviciilor de încredere calificate;
g) arhitectura detaliată a serviciului de încredere (de exemplu, ierarhia PKI - infrastructura cheii publice, împreună cu indicarea politicilor de servicii de încredere sprijinite) pentru care se solicită un statut calificat;
h) termenii şi condiţiile pe care prestatorul de servicii de încredere calificate le va semna cu utilizatorul final;
i) datele de contact ale prestatorului de servicii de încredere (e-mail, număr de telefon, site web);
j) actul constitutiv al prestatorului de servicii de încredere din care să rezulte că are specificată în obiectul de activitate desfăşurarea de activităţi în domeniul tehnologiei informaţiei sau al serviciilor informaţionale;
k) împuternicire pentru persoana delegată să semneze în numele administratorului;
l) dovezi că prestatorul de servicii de încredere deţine resurse financiare suficiente şi a obţinut o asigurare de răspundere corespunzătoare în ceea ce priveşte prestarea serviciilor de încredere pentru care se solicită un statut calificat, incluzând copii ale contului de profit şi pierdere şi ale balanţei contabile pentru ultimii 3 ani pentru conturile care au fost înscrise; în lipsa acesteia, declaraţii bancare corespunzătoare;
m) plan de continuitate a afacerii şi recuperare în caz de dezastru;
n) lista standardelor în baza cărora operaţiile sunt efectuate, auditate, evaluate sau certificate pentru a fi conforme;
o) certificat de conformitate pentru dispozitivele de creare a semnăturii electronice şi a sigiliului electronic, în concordanţă cu cerinţele Regulamentului (UE) nr. 910/2014 şi ale Deciziei Comisiei de punere în aplicare (UE) nr. 650/2016;
p) prezentarea măsurilor tehnice şi organizaţionale luate pentru gestionarea riscurilor la adresa securităţii serviciilor de încredere, menite să sprijine demonstrarea cerinţei art. 19 alin. (1) din Regulamentul (UE) nr. 910/2014;
q) procedura de notificare a autorităţii de supraveghere şi de protecţie a datelor cu caracter personal privind încălcarea securităţii sau pierderea integrităţii, care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii, menită să sprijine demonstrarea cerinţei art. 19 alin. (2) din Regulamentul (UE) nr. 910/2014;
r) planul de încetare a activităţii, în conformitate cu cerinţele art. 24 alin. (2) lit. (i) din Regulamentul (UE) nr. 910/2014;
s) adresa web a prestatorului;
t) ordinul de acreditare ca administrator de arhivă electronică, în conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor electronice, republicată, cu modificările şi completările ulterioare, sau contractul încheiat cu un administrator de arhivă electronică acreditat;
u) minimum o sursă de timp precisă, legată de ora universală, cu respectarea cerinţelor de continuitate a activităţii şi de recuperare în caz de dezastru.
(3) Toate documentele trebuie semnate de administratorul legal sau de persoana împuternicită, electronic, cu certificat calificat, sau olograf, şi transmise în original ADR.
ART. 6
ADR analizează notificarea şi documentaţia în termen de maximum 30 de zile. Dacă sunt îndeplinite toate condiţiile legale, prestatorul este înregistrat în Lista sigură (Trusted List) şi se emite decizia prin care se acordă statutul de prestator de servicii de încredere calificate.
CAP. IV
Evaluarea periodică şi supravegherea continuă
ART. 7
(1) Prestatorii calificaţi sunt evaluaţi, pe propria cheltuială, cel puţin o dată la 24 de luni, de un organism de evaluare a conformităţii, cu privire la îndeplinirea cerinţelor prevăzute în Regulamentul (UE) nr. 910/2014 şi în Legea nr. 214/2024.
(2) Raportul de evaluare se transmite ADR în termen de 3 zile lucrătoare de la primirea acestuia.
ART. 8
(1) Prestatorii de servicii de încredere calificate informează organismul de supraveghere cu cel puţin 30 de zile înainte de începerea activităţii de evaluare a conformităţii şi, la cerere, îi permit organismului de supraveghere să participe în calitate de observator.
(2) Prestatorii de servicii de încredere calificate au obligaţia de a păstra informaţiile utilizate pentru şi cele cu privire la trasabilitatea activităţii de emitere a certificatelor calificate pentru o perioadă de 10 ani şi de a lua măsuri de păstrare pe termen lung (LTP) a lanţului de încredere, astfel încât semnăturile electronice ale certificatelor digitale din lanţul de încredere să rămână valabile, autentice şi admisibile din punct de vedere legal pe termen lung.
CAP. V
Suspendarea şi retragerea statutului calificat
ART. 9
(1) ADR, în calitate de organism de supraveghere, informează prestatorul de servicii de încredere calificate cu privire la suspendarea sau retragerea statutului de calificat al acestuia. Organismul de supraveghere informează organismul notificat în temeiul art. 22 alin. (3) din Regulamentul (UE) nr. 910/2014, în scopul actualizării listelor sigure menţionate la alin. (1) de la articolul respectiv, precum şi autoritatea competentă desemnată sau înfiinţată în temeiul art. 8 alin. (1) din Directiva (UE) 2022/2.555.
(2) În cazul în care dispune încetarea activităţii unui prestator de servicii de încredere care emite certificate digitale calificate, autoritatea de reglementare şi supraveghere specializată în domeniu asigură fie revocarea certificatelor emise de prestatorul de servicii de încredere, fie preluarea activităţii şi a registrului electronic de evidenţă a certificatelor eliberate şi revocate de către un alt prestator de servicii de încredere, cu acordul acestuia. Oricare dintre aceste măsuri este comunicată de îndată titularilor certificatelor.
(3) În cazul în care activitatea prestatorului de servicii de încredere nu este preluată de către un alt prestator, prestatorul de servicii de încredere este obligat să asigure revocarea tuturor certificatelor pe care le-a eliberat. În caz contrar, acestea sunt revocate pe cheltuiala prestatorului de către ADR.
ANEXA 1
la procedură
Model de notificare în vederea obţinerii statutului de prestator de servicii de încredere calificate
Stimată doamnă/Stimate domnule preşedinte,
Subscrisa …………(denumirea persoanei juridice solicitante)......, cu sediul social în ……(adresa completă)….., înregistrată la oficiul registrului comerţului cu nr. …… (J/…/…)...., având cod unic de înregistrare fiscală … (CUI/CIF)…., reprezentată legal prin .… (numele şi prenumele).…, identificat(ă) prin ……(actul de identitate serie, număr, cod numeric personal)…., în temeiul prevederilor art. 19 şi 21 din Legea nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale şi prestarea serviciilor de încredere bazate pe acestea şi ale Regulamentului (UE) nr. 910/2014, vă adresez prezenta notificare privind intenţia de obţinere a statutului de prestator de servicii de încredere calificate pentru următorul serviciu de încredere:
.................(denumirea serviciului pentru care se solicită statutul calificat)...................... .
Vă rugăm să dispuneţi demararea procedurii de analiză a documentaţiei anexate, în vederea înscrierii în Registrul prestatorilor de servicii de încredere calificate şi includerea în Lista sigură (Trusted List).
Date de contact ale solicitantului:
e-mail: ……..................................................,
telefon: ……….....................…., web: ……............................................
Semnătură reprezentant legal: …… (semnătură olografă sau electronică calificată)……
Data: ………..........................
Anexă: Lista documentelor justificative prevăzute la art. 5 alin. (2) din Procedura de acordare, suspendare şi retragere a statutului de prestator de servicii de încredere calificate, aprobată prin Ordinul ministrului economiei, digitalizării, antreprenoriatului şi turismului nr. 102/2026 [enumerate complet, în ordine alfabetică de la lit. a) la u), semnate şi datate].
ANEXA 2
la procedură
Informaţii minime obligatorii cuprinse în raportul de evaluare a conformităţii
1. Raportul de evaluare a conformităţii trebuie să includă în mod obligatoriu următoarele elemente:
a) să indice în mod clar denumirea organismului de evaluare a conformităţii şi, unde este cazul, numărul său de înregistrare, aşa cum este declarat în înregistrările oficiale, adresa sa poştală oficială şi adresa de poştă electronică;
b) să indice în mod clar numele organismului de acreditare recunoscut la nivel naţional din statul membru care i-a acordat acreditarea organismului de evaluare a conformităţii şi, unde este cazul, numărul de înregistrare, aşa cum este declarat în înregistrările oficiale, adresa poştală oficială şi adresa de poştă electronică ale organismului naţional de acreditare;
c) să includă certificatul de acreditare sau un link către locaţia de unde poate fi accesat certificatul de acreditare emis de organismul naţional de acreditare identificat în conformitate cu lit. b), împreună cu descrierea detaliată, sau un link către locaţia de unde pot fi obţinute descrierea detaliată a schemei de acreditare, inclusiv indicarea relevanţei sale în raport cu Regulamentul (UE) nr. 910/2014;
d) să indice în mod clar numele auditorului principal (lead auditorul) sau al organismului de evaluare a conformităţii care a emis şi semnat raportul de evaluare a conformităţii;
e) opinia de audit din care să reiasă dacă prestatorul îndeplineşte sau nu îndeplineşte cerinţele Regulamentului (UE) nr. 910/2014 pentru serviciul de încredere pentru care a fost auditat;
f) serviciul de încredere pentru care a fost evaluat prestatorul de servicii de încredere;
g) standardul/standardele în conformitate cu care a fost realizată evaluarea conformităţii;
h) să indice în mod clar serviciile prestatorului de încredere pentru care raportul de evaluare a conformităţii certifică conformitatea cu cerinţele Regulamentului (UE) nr. 910/2014. Identificarea serviciului/serviciilor se va alinia la Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei, cu modificările şi completările ulterioare, şi clauza 5.5.1.1 din ETSI TS 119 612 V2.1.1 sau ultima versiune (notă: în acest sens, acesta va trebui să includă cel puţin Identificatorul Subject Key RFC 5280 sau cheia publică a serviciilor de încredere auditate şi reprezentarea Base64 PEM a certificatului digital X.509 v3 asociat);
i) să furnizeze pentru fiecare serviciu de încredere calificat identificat la lit. h) informaţiile necesare cu scopul de a permite identificarea serviciului/serviciilor pentru includerea în lista naţională de încredere aplicabilă, în conformitate cu Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei din 8 septembrie 2015, cu modificările şi completările ulterioare;
j) să enumere lista completă a documentelor publice şi a documentelor interne ale prestatorului de servicii de încredere care au făcut parte din domeniul de aplicare al auditului;
k) documentele publice care trebuie să fie ataşate la raportul de evaluare a conformităţii sau linkuri accesibile public care să permită descărcarea documentelor.
2. Documentele publice care au făcut parte din domeniul de aplicare al evaluării conformităţii trebuie să includă cel puţin:
a) declaraţia practicilor utilizate de prestatorul de servicii de încredere pentru prestarea serviciilor de încredere calificate;
b) politica/politicile serviciilor de încredere calificate, de exemplu, setul de reguli care indică aplicabilitatea serviciilor de încredere calificate unei anumite comunităţi şi/sau aplicaţii cu cerinţe de securitate comune;
c) termenii şi condiţiile aferente contractului de prestare a serviciilor de încredere.
3. Documentele interne care au făcut parte din domeniul de aplicare al auditului trebuie să includă cel puţin:
a) planul în caz de încetare a serviciului, menţionat la art. 24 alin. (2) lit. (i) din Regulamentul (UE) nr. 910/2014;
b) documentaţia aferentă evaluării riscului menită să sprijine demonstrarea cerinţei art. 19 alin. (1) din Regulamentul (UE) nr. 910/2014;
c) procedura de notificare privind încălcarea securităţii sau pierderea integrităţii care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii, menită să sprijine demonstrarea cerinţei art. 19 alin. (2) din Regulamentul (UE) nr. 910/2014;
d) lista tuturor documentelor interne care susţin declaraţia practicilor utilizate de prestatorul de servicii de încredere pentru a presta servicii de încredere calificate şi politica/politicile serviciilor de încredere calificate;
e) indicarea, pentru fiecare etapă a auditului (de exemplu, audit de documentare şi audit de punere în aplicare, inclusiv inspecţii la faţa locului), a perioadei în care a fost efectuat auditul (timpul scurs) şi efortul în om-zile angajate de organismul de evaluare a conformităţii pentru a efectua auditul;
f) îndeplinirea cerinţelor prevăzute de standardele în vigoare.
4. Cerinţe generale pentru prestatorii de servicii de încredere calificate şi pentru fiecare tip de servicii de încredere calificate, cu indicarea articolelor relevante din Regulamentul (UE) nr. 910/2014
5. Cerinţe specifice suplimentare pentru tipul aplicabil al serviciului de încredere calificat, cu indicarea articolelor relevante din Regulamentul (UE) nr. 910/2014
6. În raportul de audit care se eliberează pe baza standardelor sau pe baza unor specificaţii accesibile publicului se evidenţiază separat neconformităţile şi impactul lor asupra serviciilor de încredere calificate furnizate de prestatorul de servicii de încredere.
7. Detaliază lista părţilor terţe contractate de către prestatorul de servicii de încredere pentru a efectua toate sau părţi ale proceselor-suport în vederea prestării serviciilor sale de încredere calificate (de exemplu, furnizori de servicii internet, curierat, infrastructură etc.). Raportul de evaluare a conformităţii trebuie să precizeze care dintre aceste părţi au fost supuse auditului.
8. Se indică, atunci când este solicitat de către schema aplicabilă de evaluare a acreditării/conformităţii, când trebuie să fie efectuat următorul audit de supraveghere şi următorul audit de conformitate.
9. Se indică circumstanţele în care un organism acreditat de evaluare a conformităţii trebuie să fie implicat în reevaluarea prestatorului de servicii de încredere şi a serviciilor de încredere calificate, în plus faţă de auditările planificate.
10. Declaraţie auditor - conflict de interese
------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
