Comunica experienta
MonitorulJuridic.ro
PROCEDURĂ din 29 ianuarie 2026 de înregistrare şi radiere a prestatorilor de servicii de încredere necalificate în Registrul prestatorilor de servicii de încredere necalificate
EMITENT: Ministerul Economiei, Digitalizării, Antreprenoriatului şi Turismului PUBLICAT: Monitorul Oficial nr. 81 din 2 februarie 2026
──────────
Aprobată prin ORDINUL nr. 102 din 29 ianuarie 2026, publicat în Monitorul Oficial al României, Partea I, nr. 81 din 2 februarie 2026.
──────────
CAP. I
Scopul, obiectul, domeniul de aplicare şi cadrul legal al procedurii
ART. 1
Prezenta procedură reglementează cadrul instituţional şi tehnic privind înregistrarea şi radierea prestatorilor de servicii de încredere necalificate în registrul prevăzut la art. 21 din Legea nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale şi prestarea serviciilor de încredere bazate pe acestea.
ART. 2
Procedura se aplică tuturor persoanelor juridice care intenţionează să presteze servicii de încredere necalificate, precum şi celor care desfăşoară deja aceste activităţi şi sunt supuse regimului de supraveghere instituit de lege.
ART. 3
Cadrul legal aplicabil este următorul:
a) Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu modificările şi completările ulterioare, denumit în continuare Regulamentul (UE) nr. 910/2014;
b) Legea nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale şi prestarea serviciilor de încredere bazate pe acestea, denumită în continuare Legea nr. 214/2024;
c) Hotărârea Guvernului nr. 189/2025 privind organizarea şi funcţionarea Ministerului Economiei, Digitalizării, Antreprenoriatului şi Turismului;
d) Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare.
CAP. II
Competenţele Autorităţii pentru Digitalizarea României
ART. 4
În aplicarea art. 21 din Legea nr. 214/2024, Autoritatea pentru Digitalizarea României (ADR):
a) ţine Registrul prestatorilor de servicii de încredere necalificate;
b) analizează cererile de înregistrare şi documentaţia aferentă;
c) dispune înregistrarea sau radierea, după caz;
d) verifică conformitatea prestatorilor cu cerinţele legale aplicabile;
e) solicită prestatorilor de servicii măsuri de remediere, acolo unde se constată neconformităţi.
CAP. III
Procedura de înregistrare
ART. 5
(1) Persoanele juridice care intenţionează să presteze servicii de încredere necalificate transmit ADR, cu cel puţin 30 de zile înainte de începerea activităţii, o cerere conform modelului prevăzut în anexa care face parte integrantă din prezenta procedură, însoţită de documentaţia prevăzută la alin. (2).
(2) Documentaţia se depune electronic, semnată cu semnătură electronică calificată de către reprezentantul legal sau de persoana împuternicită în acest sens, sau se transmite în format letric, semnată olograf, şi trebuie să includă, în mod cumulativ, următoarele documente:
a) un raport de audit, emis de un auditor înscris în Lista auditorilor de securitate cibernetică valabil atestaţi (LASC) din cadrul Directoratului Naţional de Securitate Cibernetică (DNSC), care deţine atestat de tip General, gestionată şi publicată pe site-ul web al DNSC, şi care respectă cerinţele ETSI EN 319 4031 V2.3.1 (2020-06) - „Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment; Part 1: Requirements for conformity assessment bodies assessing Trust Service Providers“ sau versiunile ulterioare, care să includă următoarele:
(i) auditul arhitecturii - verificarea conformităţii măsurilor de securitate legate de alegerea, poziţionarea şi implementarea dispozitivelor hardware/software în reţelele şi sistemele informatice, cerinţele minime de securitate şi politicile interne ale operatorului economic. Auditul poate fi extins la interconectările cu reţele terţe, inclusiv internetul;
(ii) auditul de configurare - verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerinţele minime de securitate şi politicile de securitate în ceea ce priveşte configuraţia dispozitivelor hardware/software componente ale reţelelor şi sistemelor informatice. Aceste dispozitive pot fi în special echipamente de reţea, sisteme de operare (server sau staţie de lucru), aplicaţii sau produse de securitate;
(iii) auditul de penetrare sau testarea de penetrare - identificarea vulnerabilităţilor din reţelele şi sistemele informatice şi verificarea posibilităţilor de exploatare a acestora, precum şi a impactului exploatării acestora asupra reţelei, în condiţiile reale ale unui atac cibernetic asupra reţelelor şi sistemelor informatice. Activitatea de audit poate fi desfăşurată fie din afara reţelei (în special din internet sau din reţeaua interconectată a unei terţe părţi), fie din interiorul reţelei şi reprezintă o activitate care trebuie efectuată în complementaritate cu alte activităţi de audit pentru a le îmbunătăţi eficacitatea sau pentru a demonstra fezabilitatea exploatării vulnerabilităţilor descoperite;
(iv) auditul securităţii organizaţiei - auditul organizaţiei cu privire la securitatea logică şi fizică, ce urmăreşte să se asigure că politicile şi procedurile de securitate definite de operatorul economic sunt conforme cu nevoile de securitate ale operatorului economic auditat, nivelul tehnologic şi standardele în vigoare, completează corect măsurile tehnice implementate şi sunt puse efectiv în practică;
(v) informaţiile referitoare la procedurile de securitate şi de certificare utilizate;
(vi) asigurarea faptului că prestatorii de servicii de încredere necalificate stabiliţi pe teritoriul României şi serviciile de încredere necalificate pe care aceştia le prestează îndeplinesc cerinţele stabilite de Regulamentul (UE) nr. 910/2014 şi de Legea nr. 214/2024 şi, în acest sens, raportul de audit trebuie să arate îndeplinirea cel puţin a următoarelor:
1. în cazul prestatorilor de servicii ce emit certificate pentru semnătură electronică avansată, standardul ETSI EN 319 411-1 V1.4.1 (2023-10) ESI Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements sau versiunile ulterioare, precum şi a condiţiilor specificate la art. 26 alin. (1) din Regulamentul (UE) nr. 910/2014;
2. în cazul prestatorilor de servicii de încredere care emit instrumente pentru semnătură avansată, altele decât certificatele digitale, standardul ETSI EN 319 401 V2.3.1 (2021-05) - Electronic Signatures and Infrastructures (ESI), General Policy Requirements for Trust Service Providers sau versiunile ulterioare, precum şi a condiţiilor specificate la art. 26 alin. (1) din Regulamentul (UE) nr. 910/2014;
3. standardul ETSI TS 119 461 V2.1.1 (2025-02) - ESI; Policy and security requirements for trust service components providing identity proofing of trust service subjects sau versiunile ulterioare, pentru nivel minim Baseline LoIP;
b) o scrisoare de garanţie din partea unei instituţii financiar-bancare sau o poliţă de asigurare de răspundere civilă pentru riscurile legate de prestarea serviciilor de încredere, în valoare de 100.000 euro;
c) descrierea soluţiei tehnice;
d) declaraţia pe propria răspundere a reprezentantului legal al prestatorului cu privire la respectarea, în cadrul procesului de prestare a serviciilor de încredere, a cerinţelor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
e) planul de securitate al sistemului informatic utilizat;
f) politicile şi procedurile de prestare a serviciilor de încredere;
g) arhitectura detaliată a serviciului de încredere (de exemplu, ierarhia PKI - infrastructura cheii publice);
h) declaraţia pe propria răspundere a reprezentantului legal din care să rezulte că în procesul de emitere a serviciilor de încredere este implicat personal cu cunoştinţe de specialitate, experienţă şi calificare şi planul de instruire în conformitate cu prevederile art. 12 alin. (2) lit. e) din Legea nr. 214/2024;
i) termenii şi condiţiile comunicate de către prestatorul de servicii de încredere şi acceptate de utilizatorul final, în cazul emiterii de semnături avansate cu certificat, precum şi descrierea detaliată a mecanismului de validare a semnăturii avansate, în cazul în care nu a fost solicitată aprobarea acestuia de către ADR, prin procedura descrisă în anexa nr. 5 la ordin;
j) datele de contact ale prestatorului de servicii de încredere (e-mail, număr de telefon, site web);
k) actul constitutiv al prestatorului de servicii de încredere din care să rezulte că are specificată în obiectul de activitate desfăşurarea de activităţi în domeniul tehnologiei informaţiei sau al serviciilor informaţionale, cu excepţia situaţiei în care serviciile de încredere sunt conexe activităţilor pentru a căror desfăşurare este autorizat, caz în care nu trebuie să facă dovada deţinerii codului CAEN corespunzător activităţii desfăşurate în domeniul tehnologiei informaţiei sau al serviciilor informaţionale;
l) împuternicire pentru persoana delegată să semneze în numele reprezentantului legal al prestatorului de servicii de încredere;
m) dovezi că prestatorul de servicii de încredere deţine resurse financiare suficiente şi a obţinut o asigurare de răspundere corespunzătoare în ceea ce priveşte prestarea serviciilor de încredere pentru care se solicită un statut de furnizor de servicii de încredere necalificate, incluzând copii ale contului de profit şi pierdere şi ale balanţei contabile pentru ultimii 3 ani pentru conturile care au fost înscrise; în lipsa acesteia, declaraţii bancare corespunzătoare sau, în cazul în care prestatorul de servicii de încredere este persoană juridică nou-înfiinţată, dovada deţinerii capitalului social în cuantum de 10.000 lei;
n) plan de continuitate a afacerii şi recuperare în caz de dezastru;
o) lista standardelor în baza cărora operaţiile sunt efectuate, auditate, evaluate sau certificate pentru a fi conforme;
p) procedura de notificare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal privind încălcarea securităţii sau pierderea integrităţii, care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii, menită să sprijine demonstrarea cerinţei art. 19 alin. (2) din Regulamentul (UE) nr. 910/2014;
q) certificate de conformitate a dispozitivelor utilizate în emiterea certificatelor pentru semnătură electronică avansată;
r) planul de încetare a activităţii;
s) adresa web a prestatorului;
t) decizia de acreditare ca administrator de arhivă electronică, în conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor electronice, republicată, cu modificările şi completările ulterioare, sau contractul încheiat cu un administrator de arhivă electronică acreditat;
u) schema de încadrare a personalului implicat în procesul de emitere a serviciilor de încredere, certificările/calificările acestuia şi planul de instruire în conformitate cu art. 12 alin. (2) lit. e) din Legea nr. 214/2024;
v) minimum o sursă de timp precisă, legată de ora universală, cu respectarea cerinţelor de continuitate a activităţii şi de recuperare în caz de dezastru.
ART. 6
Prestatorii de servicii de încredere care emit certificate pentru semnătură electronică avansată sunt obligaţi să utilizeze, în procesul de identificare a solicitantului certificatului, mijloace de identificare reglementate şi recunoscute la nivel naţional, inclusiv, dacă sunt disponibile, mijloace de identificare electronică şi servicii de încredere relevante prevăzute de:
a) Regulamentul (UE) nr. 910/2014;
b) Legea nr. 214/2024;
c) orice alt proces de identificare sigur, la distanţă sau electronic, care este reglementat, recunoscut, aprobat sau acceptat la nivel naţional de către Autoritatea pentru Digitalizarea României.
ART. 7
(1) ADR analizează cererea şi documentaţia în termen de 30 de zile de la data primirii.
(2) Avizul tehnic se acordă cu luarea în considerare a specificaţiilor tehnice de reglementare (RTS/ITS) emise în aplicarea Regulamentului (UE) nr. 910/2014, precum şi a validării raportului de securitate cibernetică de către DNSC. Dacă sunt îndeplinite condiţiile legale, prestatorul este înscris în Registrul prestatorilor de servicii de încredere necalificate şi se emite decizia prin care se acordă statutul de prestator de servicii de încredere necalificate.
ART. 8
(1) Pentru menţinerea în registru, prestatorii au obligaţia de a efectua, pe cheltuiala proprie, un audit complet al sistemului informatic o dată la maximum 2 ani, utilizând un auditor extern inclus în lista DNSC şi deţinător al unui atestat de tip General. În cazul în care prestatorul a fost implicat într-un incident de securitate cibernetică care a generat daune, termenul pentru realizarea auditului se reduce la 1 an de la data producerii incidentului.
(2) Acelaşi prestator de servicii de audit de securitate cibernetică nu poate fi utilizat pentru mai mult de două audituri consecutive.
(3) În situaţia în care intervin modificări semnificative în arhitectura tehnică, administrativă, funcţională sau de securitate a sistemului informatic utilizat pentru furnizarea serviciilor de semnătură electronică necalificată - cum ar fi înlocuirea sau reconfigurarea motoarelor de semnătură, modulelor criptografice, mecanismelor de autentificare, fluxurilor de procesare sau interfeţelor critice - prestatorul are obligaţia de a notifica ADR cu cel puţin 10 zile calendaristice anterior implementării modificării şi de a solicita efectuarea unui nou audit de securitate cibernetică, anterior reluării sau continuării furnizării serviciului.
(4) Raportul de audit se transmite ADR în termen de 3 zile lucrătoare de la finalizarea acestuia.
(5) Instituţiile publice care emit certificate digitale pentru semnătură avansată sunt obligate să depună aceeaşi documentaţie prevăzută la art. 5 alin. (2).
ART. 9
Prestatorii au obligaţia de a notifica ADR cu cel puţin 30 de zile înainte de începerea oricărui audit, ADR putând desemna reprezentanţi care să participe în calitate de observatori.
ART. 10
Orice modificare a datelor sau documentelor depuse la înregistrare trebuie comunicată ADR în termen de cel mult 60 de zile, împreună cu dovada actualizării acestora.
CAP. IV
Radierea din Registrul prestatorilor de servicii de încredere necalificate
ART. 11
(1) Radierea din Registrul prestatorilor de servicii de încredere necalificate se dispune în următoarele cazuri:
a) la cererea prestatorului;
b) în cazul dizolvării sau intrării în insolvenţă;
c) pentru nerespectarea prezentei proceduri sau a altor obligaţii legale;
d) la expirarea valabilităţii documentelor prevăzute la art. 5 alin. (2) lit. b);
e) în cazul neconformării la măsurile dispuse de ADR în urma unui control.
(2) Radierea din Registrul prestatorilor de servicii de încredere necalificate se comunică prestatorului de către ADR.
ART. 12
(1) Prestatorii care emit certificate pentru semnătură electronică avansată sunt obligaţi să păstreze datele referitoare la trasabilitatea certificatelor pe o perioadă de minimum 10 ani şi să asigure menţinerea lanţului de încredere.
(2) În cazul încetării activităţii, ADR asigură, după caz:
a) revocarea certificatelor;
b) transferul evidenţei către un alt prestator, cu acordul acestuia;
c) revocarea tuturor certificatelor, în cazul în care lit. b) nu este posibilă, pe cheltuiala prestatorului.
ANEXA 1
la procedură
Model de cerere de înscriere în Registrul prestatorilor de servicii de încredere necalificate
Stimată doamnă/Stimate domnule preşedinte,
Subscrisa ………… (denumirea prestatorului de servicii de încredere)....., cu sediul în …....(adresa completă)...….., înmatriculată/înregistrată la oficiul registrului comerţului cu nr. .......(numărul de înregistrare/codul unic de înregistrare)..., cod fiscal ....(CUI/CIF)...., telefon ............................., e-mail ....................................., reprezentată legal prin .........(numele şi prenumele)........, identificat(ă) prin ............ (actul de identitate serie, număr, cod numeric personal)......, în temeiul prevederilor Hotărârii Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările şi completările ulterioare, şi ale Legii nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale şi prestarea serviciilor de încredere bazate pe acestea, vă solicit înscrierea în Registrul prestatorilor de servicii de încredere necalificate pentru următorul serviciu de încredere: .............(denumirea exactă a serviciului)............
Scurtă descriere a serviciului:
..................................................................................
..................................................................................
Sistemul funcţionează (sau va funcţiona) la sediul din ......... (adresa completă, dacă este diferită de a sediului social)...... .
Data: ……….......................
Numele şi prenumele solicitantului: ...............................
Semnătura (olografă sau electronică calificată): .......................................................................................................................
Anexă: Documentaţia prevăzută la art. 5 alin. (2) din Procedura de înregistrare şi radiere a prestatorilor de servicii de încredere necalificate în Registrul prestatorilor de servicii de încredere necalificate, aprobată prin Ordinul ministrului economiei, digitalizării, antreprenoriatului şi turismului nr. 102/2026, semnată şi numerotată corespunzător.
------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
