PROCEDURĂ nr. 0/2026

Notă

Aprobată prin ORDINUL nr. 102 din 29 ianuarie 2026, publicat în Monitorul Oficial al României, Partea I, nr. 81 din 2 februarie 2026.

Capitolul I – Scopul, obiectul, domeniul de aplicare și cadrul legal al procedurii

Articolul 1

Prezenta procedură reglementează cadrul instituțional și tehnic privind înregistrarea și radierea prestatorilor de servicii de încredere necalificate în registrul prevăzut la art. 21 din Legea nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale și prestarea serviciilor de încredere bazate pe acestea.

Articolul 2

Procedura se aplică tuturor persoanelor juridice care intenționează să presteze servicii de încredere necalificate, precum și celor care desfășoară deja aceste activități și sunt supuse regimului de supraveghere instituit de lege.

Articolul 3

Cadrul legal aplicabil este următorul:

a) Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE, cu modificările și completările ulterioare, denumit în continuare Regulamentul (UE) nr. 910/2014;

b) Legea nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale și prestarea serviciilor de încredere bazate pe acestea, denumită în continuare Legea nr. 214/2024;

c) Hotărârea Guvernului nr. 189/2025 privind organizarea și funcționarea Ministerului Economiei, Digitalizării, Antreprenoriatului și Turismului;

d) Hotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările și completările ulterioare.

Capitolul II – Competențele Autorității pentru Digitalizarea României

Articolul 4

În aplicarea art. 21 din Legea nr. 214/2024, Autoritatea pentru Digitalizarea României (ADR):

a) ține Registrul prestatorilor de servicii de încredere necalificate;

b) analizează cererile de înregistrare și documentația aferentă;

c) dispune înregistrarea sau radierea, după caz;

d) verifică conformitatea prestatorilor cu cerințele legale aplicabile;

e) solicită prestatorilor de servicii măsuri de remediere, acolo unde se constată neconformități.

Capitolul III – Procedura de înregistrare

Articolul 5

(1) Persoanele juridice care intenționează să presteze servicii de încredere necalificate transmit ADR, cu cel puțin 30 de zile înainte de începerea activității, o cerere conform modelului prevăzut în anexa care face parte integrantă din prezenta procedură, însoțită de documentația prevăzută la alin. (2).

(2) Documentația se depune electronic, semnată cu semnătură electronică calificată de către reprezentantul legal sau de persoana împuternicită în acest sens, sau se transmite în format letric, semnată olograf, și trebuie să includă, în mod cumulativ, următoarele documente:

a) un raport de audit, emis de un auditor înscris în Lista auditorilor de securitate cibernetică valabil atestați (LASC) din cadrul Directoratului Național de Securitate Cibernetică (DNSC), care deține atestat de tip General, gestionată și publicată pe site-ul web al DNSC, și care respectă cerințele ETSI EN 319 4031 V2.3.1 (2020-06) - „Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment; Part 1: Requirements for conformity assessment bodies assessing Trust Service Providers“ sau versiunile ulterioare, care să includă următoarele: (i) auditul arhitecturii - verificarea conformității măsurilor de securitate legate de alegerea, poziționarea și implementarea dispozitivelor hardware/software în rețelele și sistemele informatice, cerințele minime de securitate și politicile interne ale operatorului economic. Auditul poate fi extins la interconectările cu rețele terțe, inclusiv internetul;

(ii) auditul de configurare - verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerințele minime de securitate și politicile de securitate în ceea ce privește configurația dispozitivelor hardware/software componente ale rețelelor și sistemelor informatice. Aceste dispozitive pot fi în special echipamente de rețea, sisteme de operare (server sau stație de lucru), aplicații sau produse de securitate;

(iii) auditul de penetrare sau testarea de penetrare - identificarea vulnerabilităților din rețelele și sistemele informatice și verificarea posibilităților de exploatare a acestora, precum și a impactului exploatării acestora asupra rețelei, în condițiile reale ale unui atac cibernetic asupra rețelelor și sistemelor informatice. Activitatea de audit poate fi desfășurată fie din afara rețelei (în special din internet sau din rețeaua interconectată a unei terțe părți), fie din interiorul rețelei și reprezintă o activitate care trebuie efectuată în complementaritate cu alte activități de audit pentru a le îmbunătăți eficacitatea sau pentru a demonstra fezabilitatea exploatării vulnerabilităților descoperite;

(iv) auditul securității organizației - auditul organizației cu privire la securitatea logică și fizică, ce urmărește să se asigure că politicile și procedurile de securitate definite de operatorul economic sunt conforme cu nevoile de securitate ale operatorului economic auditat, nivelul tehnologic și standardele în vigoare, completează corect măsurile tehnice implementate și sunt puse efectiv în practică;

(v) informațiile referitoare la procedurile de securitate și de certificare utilizate;

(vi) asigurarea faptului că prestatorii de servicii de încredere necalificate stabiliți pe teritoriul României și serviciile de încredere necalificate pe care aceștia le prestează îndeplinesc cerințele stabilite de Regulamentul (UE) nr. 910/2014 și de Legea nr. 214/2024 și, în acest sens, raportul de audit trebuie să arate îndeplinirea cel puțin a următoarelor: 1.

în cazul prestatorilor de servicii ce emit certificate pentru semnătură electronică avansată, standardul ETSI EN 319 411-1 V1.4.1 (2023-10) ESI Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements sau versiunile ulterioare, precum și a condițiilor specificate la art. 26 alin. (1) din Regulamentul (UE) nr. 910/2014;

2. în cazul prestatorilor de servicii de încredere care emit instrumente pentru semnătură avansată, altele decât certificatele digitale, standardul ETSI EN 319 401 V2.3.1 (2021-05) - Electronic Signatures and Infrastructures (ESI), General Policy Requirements for Trust Service Providers sau versiunile ulterioare, precum și a condițiilor specificate la art. 26 alin. (1) din Regulamentul (UE) nr. 910/2014;

3. standardul ETSI TS 119 461 V2.1.1 (2025-02) - ESI; Policy and security requirements for trust service components providing identity proofing of trust service subjects sau versiunile ulterioare, pentru nivel minim Baseline LoIP;

b) o scrisoare de garanție din partea unei instituții financiar-bancare sau o poliță de asigurare de răspundere civilă pentru riscurile legate de prestarea serviciilor de încredere, în valoare de 100.000 euro;

c) descrierea soluției tehnice;

d) declarația pe propria răspundere a reprezentantului legal al prestatorului cu privire la respectarea, în cadrul procesului de prestare a serviciilor de încredere, a cerințelor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);

e) planul de securitate al sistemului informatic utilizat;

f) politicile și procedurile de prestare a serviciilor de încredere;

g) arhitectura detaliată a serviciului de încredere (de exemplu, ierarhia PKI - infrastructura cheii publice);

h) declarația pe propria răspundere a reprezentantului legal din care să rezulte că în procesul de emitere a serviciilor de încredere este implicat personal cu cunoștințe de specialitate, experiență și calificare și planul de instruire în conformitate cu prevederile art. 12 alin. (2) lit. e) din Legea nr. 214/2024;

i) termenii și condițiile comunicate de către prestatorul de servicii de încredere și acceptate de utilizatorul final, în cazul emiterii de semnături avansate cu certificat, precum și descrierea detaliată a mecanismului de validare a semnăturii avansate, în cazul în care nu a fost solicitată aprobarea acestuia de către ADR, prin procedura descrisă în anexa nr. 5 la ordin;

j) datele de contact ale prestatorului de servicii de încredere (e-mail, număr de telefon, site web);

k) actul constitutiv al prestatorului de servicii de încredere din care să rezulte că are specificată în obiectul de activitate desfășurarea de activități în domeniul tehnologiei informației sau al serviciilor informaționale, cu excepția situației în care serviciile de încredere sunt conexe activităților pentru a căror desfășurare este autorizat, caz în care nu trebuie să facă dovada deținerii codului CAEN corespunzător activității desfășurate în domeniul tehnologiei informației sau al serviciilor informaționale;

l) împuternicire pentru persoana delegată să semneze în numele reprezentantului legal al prestatorului de servicii de încredere;

m) dovezi că prestatorul de servicii de încredere deține resurse financiare suficiente și a obținut o asigurare de răspundere corespunzătoare în ceea ce privește prestarea serviciilor de încredere pentru care se solicită un statut de furnizor de servicii de încredere necalificate, incluzând copii ale contului de profit și pierdere și ale balanței contabile pentru ultimii 3 ani pentru conturile care au fost înscrise; în lipsa acesteia, declarații bancare corespunzătoare sau, în cazul în care prestatorul de servicii de încredere este persoană juridică nou-înființată, dovada deținerii capitalului social în cuantum de 10.000 lei;

n) plan de continuitate a afacerii și recuperare în caz de dezastru;

o) lista standardelor în baza cărora operațiile sunt efectuate, auditate, evaluate sau certificate pentru a fi conforme;

p) procedura de notificare a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal privind încălcarea securității sau pierderea integrității, care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii, menită să sprijine demonstrarea cerinței art. 19 alin. (2) din Regulamentul (UE) nr. 910/2014;

q) certificate de conformitate a dispozitivelor utilizate în emiterea certificatelor pentru semnătură electronică avansată;

r) planul de încetare a activității;

s) adresa web a prestatorului;

t) decizia de acreditare ca administrator de arhivă electronică, în conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor electronice, republicată, cu modificările și completările ulterioare, sau contractul încheiat cu un administrator de arhivă electronică acreditat;

u) schema de încadrare a personalului implicat în procesul de emitere a serviciilor de încredere, certificările/calificările acestuia și planul de instruire în conformitate cu art. 12 alin. (2) lit. e) din Legea nr. 214/2024;

v) minimum o sursă de timp precisă, legată de ora universală, cu respectarea cerințelor de continuitate a activității și de recuperare în caz de dezastru.

Articolul 6

Prestatorii de servicii de încredere care emit certificate pentru semnătură electronică avansată sunt obligați să utilizeze, în procesul de identificare a solicitantului certificatului, mijloace de identificare reglementate și recunoscute la nivel național, inclusiv, dacă sunt disponibile, mijloace de identificare electronică și servicii de încredere relevante prevăzute de:

a) Regulamentul (UE) nr. 910/2014;

b) Legea nr. 214/2024;

c) orice alt proces de identificare sigur, la distanță sau electronic, care este reglementat, recunoscut, aprobat sau acceptat la nivel național de către Autoritatea pentru Digitalizarea României.

Articolul 7

(1) ADR analizează cererea și documentația în termen de 30 de zile de la data primirii.

(2) Avizul tehnic se acordă cu luarea în considerare a specificațiilor tehnice de reglementare (RTS/ITS) emise în aplicarea Regulamentului (UE) nr. 910/2014, precum și a validării raportului de securitate cibernetică de către DNSC. Dacă sunt îndeplinite condițiile legale, prestatorul este înscris în Registrul prestatorilor de servicii de încredere necalificate și se emite decizia prin care se acordă statutul de prestator de servicii de încredere necalificate.

Articolul 8

(1) Pentru menținerea în registru, prestatorii au obligația de a efectua, pe cheltuiala proprie, un audit complet al sistemului informatic o dată la maximum 2 ani, utilizând un auditor extern inclus în lista DNSC și deținător al unui atestat de tip General. În cazul în care prestatorul a fost implicat într-un incident de securitate cibernetică care a generat daune, termenul pentru realizarea auditului se reduce la 1 an de la data producerii incidentului.

(2) Același prestator de servicii de audit de securitate cibernetică nu poate fi utilizat pentru mai mult de două audituri consecutive.

(3) În situația în care intervin modificări semnificative în arhitectura tehnică, administrativă, funcțională sau de securitate a sistemului informatic utilizat pentru furnizarea serviciilor de semnătură electronică necalificată - cum ar fi înlocuirea sau reconfigurarea motoarelor de semnătură, modulelor criptografice, mecanismelor de autentificare, fluxurilor de procesare sau interfețelor critice - prestatorul are obligația de a notifica ADR cu cel puțin 10 zile calendaristice anterior implementării modificării și de a solicita efectuarea unui nou audit de securitate cibernetică, anterior reluării sau continuării furnizării serviciului.

(4) Raportul de audit se transmite ADR în termen de 3 zile lucrătoare de la finalizarea acestuia.

(5) Instituțiile publice care emit certificate digitale pentru semnătură avansată sunt obligate să depună aceeași documentație prevăzută la art. 5 alin. (2).

Articolul 9

Prestatorii au obligația de a notifica ADR cu cel puțin 30 de zile înainte de începerea oricărui audit, ADR putând desemna reprezentanți care să participe în calitate de observatori.

Articolul 10

Orice modificare a datelor sau documentelor depuse la înregistrare trebuie comunicată ADR în termen de cel mult 60 de zile, împreună cu dovada actualizării acestora.

Capitolul IV – Radierea din Registrul prestatorilor de servicii de încredere necalificate

Articolul 11

(1) Radierea din Registrul prestatorilor de servicii de încredere necalificate se dispune în următoarele cazuri:

a) la cererea prestatorului;

b) în cazul dizolvării sau intrării în insolvență;

c) pentru nerespectarea prezentei proceduri sau a altor obligații legale;

d) la expirarea valabilității documentelor prevăzute la art. 5 alin. (2) lit. b);

e) în cazul neconformării la măsurile dispuse de ADR în urma unui control.

(2) Radierea din Registrul prestatorilor de servicii de încredere necalificate se comunică prestatorului de către ADR.

Articolul 12

(1) Prestatorii care emit certificate pentru semnătură electronică avansată sunt obligați să păstreze datele referitoare la trasabilitatea certificatelor pe o perioadă de minimum 10 ani și să asigure menținerea lanțului de încredere.

(2) În cazul încetării activității, ADR asigură, după caz:

a) revocarea certificatelor;

b) transferul evidenței către un alt prestator, cu acordul acestuia;

c) revocarea tuturor certificatelor, în cazul în care lit. b) nu este posibilă, pe cheltuiala prestatorului.

ANEXĂ

la procedură

Model de cerere de înscriere în Registrul prestatorilor de servicii de încredere necalificate

Stimată doamnă/Stimate domnule președinte,

Subscrisa ………… (denumirea prestatorului de servicii de încredere)

.., cu sediul în …

.(adresa completă)

….., înmatriculată/înregistrată la oficiul registrului comerțului cu nr.

.(numărul de înregistrare/codul unic de înregistrare)

, cod fiscal

.(CUI/CIF)

., telefon

.., e-mail

., reprezentată legal prin

(numele și prenumele)

.., identificat(ă) prin

(actul de identitate serie, număr, cod numeric personal)

, în temeiul prevederilor Hotărârii Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările și completările ulterioare, și ale Legii nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale și prestarea serviciilor de încredere bazate pe acestea, vă solicit înscrierea în Registrul prestatorilor de servicii de încredere necalificate pentru următorul serviciu de încredere:

.(denumirea exactă a serviciului)

Scurtă descriere a serviciului:

.

.

Sistemul funcționează (sau va funcționa) la sediul din

(adresa completă, dacă este diferită de a sediului social)

.

Data: ………

..

Numele și prenumele solicitantului:

.

Semnătura (olografă sau electronică calificată):

..

Anexă: Documentația prevăzută la art. 5 alin. (2) din Procedura de înregistrare și radiere a prestatorilor de servicii de încredere necalificate în Registrul prestatorilor de servicii de încredere necalificate, aprobată prin Ordinul ministrului economiei, digitalizării, antreprenoriatului și turismului nr. 102/2026, semnată și numerotată corespunzător.