PROCEDURĂ nr. 0/2026

Notă

Aprobată prin ORDINUL nr. 102 din 29 ianuarie 2026, publicat în Monitorul Oficial al României, Partea I, nr. 81 din 2 februarie 2026.

Capitolul I – Dispoziții generale

Articolul 1

(1) Prezenta procedură reglementează cadrul unitar de supraveghere, control și sancționare a prestatorilor de servicii de încredere, în conformitate cu art. 19 alin. (1) din Legea nr. 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale și prestarea serviciilor de încredere bazate pe acestea, denumită în continuare Legea nr. 214/2024, respectiv prevederile Regulamentului (UE) nr. 910/2014, cu modificările și completările ulterioare.

(2) Competența principală de control aparține Autorității pentru Digitalizarea României, denumită în continuare ADR, în calitate de organism de supraveghere și reglementare specializată în domeniul serviciilor de încredere, în sensul Regulamentului (UE) nr. 910/2014, cu modificările și completările ulterioare.

(3) Instituțiile din domeniul apărării, ordinii publice și siguranței naționale desemnează la nivel intern un organism de supraveghere cu rol de instituire, menținere și supraveghere a modului de organizare a activității prestatorului de servicii de încredere necalificate.

(4) Organismele de supraveghere interne prevăzute la alin. (3) instituie și mențin relația cu organismul de supraveghere prevăzut la art. 19 alin. (1) din Legea nr. 214/2024.

Articolul 2

(1) Prezenta procedură se aplică tuturor prestatorilor de servicii de încredere - calificate și necalificate - care activează pe teritoriul României ori care oferă servicii de încredere pentru persoane aflate pe teritoriul României, în măsura în care sunt prevăzute competențe de control pentru ADR în Legea nr. 214/2024 și în Regulamentul (UE) nr. 910/2014, cu modificările și completările ulterioare.

(2) În exercitarea atribuțiilor, ADR colaborează cu alte autorități competente, inclusiv Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, dacă se constată încălcări ale normelor de protecție a datelor cu caracter personal.

Capitolul II – Obiectul și exercitarea controlului

Articolul 3

Controlul efectuat de ADR are următoarele obiective:

a) monitorizează conformitatea activităților prestatorilor cu cerințele și obligațiile prevăzute de Legea nr. 214/2024 și de Regulamentul (UE) nr. 910/2014, cu modificările și completările ulterioare;

b) monitorizează și analizează modul de organizare și desfășurare a serviciilor de încredere;

c) poate, din oficiu sau la solicitarea oricărei persoane interesate sau în cadrul controalelor periodice, să verifice sau să dispună verificarea conformității activităților unui prestator de servicii de încredere, precum și concordanța dintre informațiile cuprinse în documentația depusă și modul de desfășurare a activității prestatorului.

Articolul 4

În realizarea atribuțiilor de supraveghere și control, ADR:

a) cooperează cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, dacă în urma verificării se constată încălcări ale normelor de protecție a datelor cu caracter personal;

b) îndeplinește orice alte atribuții stabilite prin Regulamentul (UE) nr. 910/2014, cu modificările și completările ulterioare, și prin Legea nr. 214/2024;

c) dispune măsuri de remediere și sancțiuni, în conformitate cu legislația în vigoare.

Capitolul III – Drepturile și obligațiile personalului de control

Articolul 5

ADR poate, cu notificare prealabilă sau fără notificare, atunci când există indicii rezonabile privind nerespectarea legislației sau în urma raportării unor incidente de securitate:

a) să efectueze controale sau să solicite unui organism de evaluare a conformității să efectueze o evaluare a conformității privind prestatorii de servicii de încredere calificate, pe cheltuiala prestatorilor de servicii de încredere respectivi, pentru a confirma că aceștia și serviciile de încredere calificate pe care le prestează îndeplinesc cerințele prevăzute de legislația în vigoare;

b) să efectueze controale la prestatorii de servicii de încredere necalificate. În măsura în care rezultă în urma unui astfel de control necesitatea unui nou raport de audit pentru a confirma că serviciile prestate continuă să îndeplinească cerințele prevăzute de legislația în vigoare, ADR poate solicita prezentarea unui astfel de raport de audit emis de către un auditor înscris în Lista auditorilor de securitate cibernetică valabil atestați (LASC) din cadrul Directoratului Național de Securitate Cibernetică. Această prevedere nu se aplică operatorilor din anexa nr. 3 la ordin.

Articolul 6

În exercitarea atribuțiilor de serviciu, personalul cu atribuții de supraveghere și control are dreptul:

a) să aibă acces fizic și logic, conform competențelor stabilite prin acte normative, în toate spațiile unde își desfășoară activitatea prestatorul de servicii de încredere;

b) să solicite reprezentantului prestatorului de servicii de încredere orice documente sau materiale care conțin date relevante în legătură cu obiectul controlului și să ceară să i se pună la dispoziție copii ale acestora în format electronic, pentru fundamentarea constatărilor și măsurilor dispuse. Documentele vor fi puse la dispoziție sub formă de copii în format electronic, într-un termen rezonabil, precizat în raportul întocmit în urma controlului;

c) să beneficieze periodic de programe de pregătire/instruire profesională specifice, raportate la legislația aflată în aria de competență.

Articolul 7

În exercitarea atribuțiilor de serviciu, personalul cu atribuții de supraveghere și control este obligat:

a) să obțină date despre punctele de lucru utilizate de prestatorul de servicii de încredere, consultând Oficiul Național al Registrului Comerțului sau alte baze de date oficiale;

b) să prezinte reprezentantului prestatorului de servicii de încredere controlat, la începerea acțiunii de supraveghere și control, ordinul de serviciu/delegația/decizia și legitimația care confirmă calitatea și statutul;

c) să solicite prezentarea registrului unic de control, conform prevederilor Legii nr. 252/2003 privind registrul unic de control, și să asigure completarea acestuia;

d) să comunice reprezentantului prestatorului de servicii de încredere că documentele, materialele și alte înscrisuri obținute în timpul controlului își păstrează caracterul de confidențialitate;

e) să își fundamenteze constatările, concluziile și măsurile pe baza documentelor, informațiilor și datelor provenite de la reprezentanții prestatorului de servicii de încredere și a celor rezultate din analiza directă, precum și alte date și informații verificabile.

Capitolul IV – Constatările, măsurile de remediere și sancțiunile

Secțiunea 1 – Constatările și măsurile de remediere

Articolul 8

(1) La finalul fiecărei acțiuni de control, personalul ADR întocmește un raport de control, care va cuprinde, fără a se limita la acestea:

a) obiectul și perioada controlului;

b) datele de identificare ale prestatorului;

c) documentele și sistemele verificate;

d) abaterile constate, cu indicarea exactă a articolelor din Legea nr. 214/2024, Regulamentul (UE) nr. 910/2014, cu modificările și completările ulterioare, sau alte norme încălcate;

e) recomandări, termene de remediere și responsabilități;

f) măsurile de remediere și sancțiunile (dacă este cazul).

(2) Raportul de control se semnează de personalul de control și se aprobă de președintele ADR.

Articolul 9

(1) În cazul în care prestatorul de servicii de încredere nu îndeplinește oricare dintre cerințele prevăzute de legislația în vigoare, ADR îi solicită să remedieze situația întrun termen stabilit, care nu poate fi mai mare de 60 de zile.

(2) În cazul prestatorilor de servicii de încredere calificate, nerespectarea termenului de remediere poate determina inițierea procedurii de suspendare sau retragere a statutului calificat, potrivit anexei nr. 1 la ordin, și aplicarea sancțiunilor prevăzute de lege.

(3) În cazul prestatorilor de servicii de încredere necalificate, nerespectarea termenului de remediere atrage aplicarea sancțiunilor conform capitolului VIII din Legea nr. 214/2024.

Secțiunea a 2-a – Sancțiuni și răspundere

Articolul 10

Sancțiunile contravenționale aplicabile prestatorilor se stabilesc în conformitate cu dispozițiile Legii nr. 214/2024, Regulamentului (UE) nr. 910/2014, cu modificările și completările ulterioare, și Ordonanței Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare.