ORDIN nr. 449 din 30 mai 2017privind procedura de acordare, suspendare și retragere a statutului de prestator de servicii de încredere calificat în conformitate cu Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014
EMITENT
  • MINISTERUL COMUNICAȚIILOR ȘI SOCIETĂȚII INFORMAȚIONALE
  • Publicat în  MONITORUL OFICIAL nr. 459 din 20 iunie 2017
    Având în vedere prevederile următoarelor acte normative ce reglementează serviciile de încredere la nivelul Uniunii Europene, ce reprezintă la momentul de față legislația principală:1. Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE;2. Regulamentul de punere în aplicare (UE) nr. 1.501/2015 al Comisiei din 8 septembrie 2015 privind cadrul de interoperabilitate prevăzut la articolul 12 alineatul (8) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă + rectificarea din data de 9 septembrie 2015;3. Regulamentul de punere în aplicare (UE) nr. 1.502/2015 al Comisiei din 8 septembrie 2015 de stabilire a unor specificații și proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul articolului 8 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă;4. Regulamentul de punere în aplicare (UE) 2015/806 al Comisiei din 22 mai 2015 de stabilire a specificațiilor referitoare la forma mărcii de încredere a UE pentru serviciile de încredere calificate;5. Decizia de punere în aplicare (UE) nr. 296/2015 a Comisiei din 24 februarie 2015 de stabilire a modalităților procedurale de cooperare între statele membre privind identificarea electronică în temeiul articolului 12 alineatul (7) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă;6. Decizia de punere în aplicare (UE) nr. 1.505/2015 a Comisiei din 8 septembrie 2015 de stabilire a specificațiilor tehnice și a formatelor pentru listele sigure în temeiul articolului 22 alineatul (5) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă;7. Decizia de punere în aplicare (UE) nr. 1.506/2015 a Comisiei din 8 septembrie 2015 de stabilire a specificațiilor referitoare la formatele semnăturilor și sigiliilor electronice avansate care trebuie recunoscute de către organismele din sectorul public în temeiul articolului 27 alineatul (5) și al articolului 37 alineatul (5) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă;8. Decizia de punere în aplicare (UE) nr. 1.984/2015 a Comisiei din 3 noiembrie 2015 de stabilire a circumstanțelor, a formatelor și a procedurilor de notificare, în conformitate cu articolul 9 alineatul (5) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă;9. Decizia de punere în aplicare (UE) nr. 650/2016 a Comisiei din 25 aprilie 2016 de stabilire a standardelor pentru evaluarea securității dispozitivelor de creare a semnăturilor și a sigiliilor calificate în temeiul articolului 30 alineatul (3) și al articolului 39 alineatul (2) din Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă,
    având în vedere prevederile art. 4 alin. (1) pct. 65 și 66 din Hotărârea Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale,
    ministrul comunicațiilor și societății informaționale emite prezentul ordin.

    Articolul 1
    (1) Prezentul ordin se aplică prestatorilor de servicii de încredere care doresc să își desfășoare activitatea ca prestatori de servicii de încredere calificați și stabilește procedura privind acordarea, suspendarea și retragerea statutului de prestator de servicii de încredere calificat în conformitate cu Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE, denumit în continuare Regulamentul (UE) nr. 910/2014, de către Ministerul Comunicațiilor și Societății Informaționale, organism de supraveghere specializat în domeniu.(2) Prezentul ordin stabilește conținutul documentației pentru acordarea, durata de valabilitate și efectele suspendării sau retragerii statutului de prestator de servicii de încredere calificat în conformitate cu Regulamentul (UE) nr. 910/2014.


    Articolul 2
    (1) În înțelesul prezentului ordin, următorii termeni se definesc astfel:
    a) organism de supraveghere înseamnă Ministerul Comunicațiilor și Societății Informaționale în calitate de autoritate de reglementare și supraveghere specializată în domeniu, conform Hotărârii Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale;
    b) organism de evaluare a conformității înseamnă un organism definit la art. 2 pct. 13 din Regulamentul (CE) nr. 765/2008, care este acreditat conform cu regulamentul în cauză ca fiind competent să efectueze evaluarea conformității unui prestator de servicii de încredere calificat și a serviciilor de încredere calificate pe care acesta le prestează;
    c) prestator de servicii de încredere înseamnă o persoană fizică sau juridică care prestează unul sau mai multe servicii de încredere ca prestator de servicii de încredere calificat sau necalificat;
    d) prestator de servicii de încredere calificat înseamnă un prestator de servicii de încredere care prestează unul sau mai multe servicii de încredere calificate și căruia i se acordă statutul de calificat de către organismul de supraveghere;
    e) 1. serviciu de încredere înseamnă un serviciu electronic prestat în mod obișnuit în schimbul unei remunerații, care constă în:(i) crearea, verificarea și validarea semnăturilor electronice, a sigiliilor electronice sau a mărcilor temporale electronice, a serviciilor de distribuție electronică înregistrată și a certificatelor aferente serviciilor respective; sau(ii) crearea, verificarea și validarea certificatelor pentru autentificarea unui site internet; sau(iii) păstrarea semnăturilor electronice, a sigiliilor sau a certificatelor aferente serviciilor respective;2. serviciu de încredere calificat înseamnă un serviciu de încredere care îndeplinește condițiile aplicabile prevăzute în Regulamentul (UE) nr. 910/2014;
    f) dispozitiv de creare a semnăturilor electronice înseamnă software sau hardware configurat, utilizat pentru a crea o semnătură electronică;
    g) dispozitiv de creare a semnăturilor electronice calificat înseamnă un dispozitiv de creare a semnăturilor electronice care îndeplinește cerințele prevăzute în anexa II la Regulamentul (UE) nr. 910/2014 și în Decizia de punere în aplicare (UE) 2016/650 a Comisiei din 25 aprilie 2016;
    h) sigiliu electronic înseamnă date în format electronic atașate la sau asociate logic cu alte date în format electronic pentru asigurarea originii și integrității acestora din urmă;
    i) sigiliu electronic avansat înseamnă un sigiliu electronic care îndeplinește cerințele prevăzute la art. 36 din Regulamentul (UE) nr. 910/2014 și în Decizia de punere în aplicare (UE) 2015/1.506 a Comisiei din 8 septembrie 2015;
    j) sigiliu electronic calificat înseamnă un sigiliu electronic avansat care este creat de un dispozitiv de creare a sigiliilor electronice calificat și care se bazează pe un certificat calificat pentru sigiliile electronice;
    k) certificat pentru semnătură electronică înseamnă o atestare electronică care face legătura între datele de validare a semnăturii electronice și o persoană fizică și care confirmă cel puțin numele sau pseudonimul persoanei respective;
    l) certificat calificat pentru semnătură electronică înseamnă un certificat pentru semnăturile electronice care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa I la Regulamentul (UE) nr. 910/2014;
    m) semnătură electronică înseamnă date în format electronic, atașate la sau asociate logic cu alte date în format electronic și care sunt utilizate de semnatar pentru a semna;
    n) semnătură electronică avansată înseamnă o semnătură electronică ce îndeplinește cerințele prevăzute la art. 26 din Regulamentul (UE) nr. 910/2014 și în Directiva de punere în aplicare (UE) 2015/1.506 a Comisiei din 8 septembrie 2015;
    o) semnătură electronică calificată înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat și care se bazează pe un certificat calificat pentru semnăturile electronice;
    p) certificat pentru sigiliul electronic înseamnă o atestare electronică care face legătura între datele de validare a sigiliului electronic și o persoană juridică și care confirmă numele persoanei respective;
    q) certificat calificat pentru sigiliul electronic înseamnă un certificat pentru un sigiliu electronic care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa III la Regulamentul (UE) nr. 910/2014;
    r) marcă temporală electronică înseamnă date în format electronic care leagă alte date în format electronic de un anumit moment, stabilind dovezi că acestea din urmă au existat la acel moment;
    s) marcă temporală electronică calificată înseamnă o marcă temporală electronică care îndeplinește cerințele prevăzute la art. 42 din Regulamentul (UE) nr. 910/2014;
    t) serviciu de distribuție electronică înregistrată înseamnă un serviciu care permite transmiterea de date între părți terțe prin mijloace electronice și furnizează dovezi referitoare la manipularea datelor transmise, inclusiv dovezi privind trimiterea și primirea datelor, și care protejează datele transmise împotriva riscului de pierdere, furt, deteriorare sau orice modificare neautorizată;
    u) serviciu de distribuție electronică înregistrată calificat înseamnă un serviciu de distribuție electronică înregistrată care îndeplinește cerințele prevăzute la art. 44 din Regulamentul (UE) nr. 910/2014;
    v) certificat pentru autentificarea unui site internet înseamnă o atestare care face posibilă autentificarea unui site internet și face legătura între site-ul internet și persoana fizică sau juridică căreia i s-a emis certificatul;
    w) certificat calificat pentru autentificarea unui site internet înseamnă un certificat pentru autentificarea unui site internet care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa IV din Regulamentul (UE) nr. 910/2014.
    (2) În cuprinsul prezentului ordin sunt, de asemenea, aplicabile definițiile prevăzute la art. 3 din Regulamentul (UE) nr. 910/2014.


    Articolul 3

    Prestatorul de servicii de încredere care optează pentru dobândirea statutului de prestator calificat pentru un serviciu de încredere furnizat va înainta organismului de supraveghere o notificare (cerere) pentru începerea procedurii. Forma și conținutul și modalitățile de transmitere ale acestei notificări sunt prevăzute în anexa nr. 1 care face parte integrantă din prezentul ordin.


    Articolul 4

    Toate documentele vor fi puse la dispoziția organismului de supraveghere în limbile română și engleză pentru a facilita cooperarea între Uniunea Europeană, statele membre și organismele de supraveghere, atunci când este cazul, conform art. 18 din Regulamentul (UE) nr. 910/2014.


    Articolul 5

    Auditul/Verificarea conformității prestatorilor de servicii de încredere se realizează doar de către organismele de evaluare a conformității acreditate potrivit art. 3 pct. 18 din Regulamentul (UE) nr. 910/2014. Organismele de evaluare a conformității trebuie să fie acreditate la nivelul Uniunii Europene în conformitate cu standardul ETSI 319 403 v2.2.2 (Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers) sau ultima versiune a acestuia.


    Articolul 6

    Auditul prestatorilor de servicii de încredere trebuie să se realizeze de către organismele de evaluare a conformității în concordanță cu standardele ETSI: ETSI EN 319 401, ETSI EN 319 411-1, ETSI EN 319 411-2, EN 319 412, ETSI EN 319 421, ETSI EN 319 422 sau ultimele versiuni ale acestora, precum și standardele specifice fiecărui serviciu de încredere.


    Articolul 7

    Organismul de evaluare a conformității acreditat va emite un raport de evaluare a conformității. Raportul de evaluare a conformității trebuie să includă informații minime care să permită organismului de supraveghere să evalueze modalitatea în care prestatorul de servicii de încredere îndeplinește cerințele Regulamentului (UE) nr. 910/2014, cuprinzând cel puțin informațiile prevăzute în anexa nr. 2 care face parte integrantă din prezentul ordin.


    Articolul 8

    Organismul de supraveghere verifică integritatea raportului de evaluare a conformității în întregime și faptul că acesta a fost emis de un organism de evaluare a conformității acreditat. În acest scop raportul de evaluare a conformității trebuie:
    a) să fie semnat electronic folosind o semnătură electronică calificată de către auditorul principal desemnat de organismul de evaluare a conformității; sau
    b) să fie semnat electronic folosind sigiliul electronic calificat al organismului de evaluarea a conformității; sau
    c) să fie prezentat în original, în format tipărit, semnat olograf de auditorul principal desemnat de organismul de evaluare a conformității.


    Articolul 9

    Raportul de evaluare a conformității întocmit de către un organism de evaluare a conformității acreditat va fi transmis către organismul de supraveghere în următoarele situații:
    a) cel puțin o dată la 24 de luni, conform art. 20 alin. 1 din Regulamentul (UE) nr. 910/2014;
    b) ca urmare a unui audit conform art. 20 alin. 2 din Regulamentul (UE) nr. 910/2014;
    c) ca urmare a unui audit conform art. 21 alin. 1 din Regulamentul (UE) nr. 910/2014.


    Articolul 10

    Organismul de supraveghere poate, în orice moment, să efectueze un audit sau să solicite unui organism de evaluare a conformității acreditat la nivelul Uniunii Europene, în conformitate cu standardul ETSI 319 403 v2.2.2. (Trust Service Provider Conformity Assesment + Requirements for conformity assesment bodies assesing Trust Service Providers) sau ultima versiune a acestuia, să efectueze o evaluare a conformității privind prestatorii de servicii de încredere calificați, pe cheltuiala prestatorilor de servicii de încredere respectivi, pentru a confirma că aceștia și serviciile de încredere calificate pe care le prestează îndeplinesc cerințele prevăzute în Regulamentul (UE) nr. 910/2014. În cazul în care există suspiciunea că normele de protecție a datelor cu caracter personal au fost încălcate, organismul de supraveghere informează autoritățile pentru protecția datelor cu privire la rezultatele auditării sale.


    Articolul 11

    După acordarea statutului de prestator de servicii de încredere calificat, Ministerul Comunicațiilor și Societății Informaționale, în calitate de organism de supraveghere, va actualiza lista sigură (Trusted List) cu informații referitoare la prestatorii de servicii de încredere calificați în conformitate cu specificațiile Deciziei de punere în aplicare (UE) 2015/1.505 a Comisiei din 8 septembrie 2015 de stabilire a specificațiilor tehnice și a formatelor pentru listele sigure în temeiul art. 22 alin. (5) din Regulamentul (UE) nr. 910/2014. Prestatorii de servicii de încredere calificați pot începe furnizarea serviciului de încredere calificat după ce statutul de calificat a fost indicat în listele sigure menționate la art. 22 alin. (1) din Regulamentul (UE) nr. 910/2014.


    Articolul 12

    Organismul de supraveghere suspendă statutul de prestator de servicii de încredere calificat, în cazul în care constată că acesta nu respectă cerințele Regulamentului (UE) nr. 910/2014 și ale prezentului ordin referitoare la serviciul de încredere pentru care a primit statutul de calificat. Pentru revocarea suspendării prestatorul de servicii de încredere trebuie să remedieze neconformitățile.


    Articolul 13

    Organismul de supraveghere verifică remedierea neconformităților fie prin mijloace proprii, fie pe baza unui raport de evaluare a conformității emis de un organism de evaluare a conformității acreditat în conformitate cu standardul ETSI 319 403 v2.2.2 sau ultima versiune a acestuia, prezentat de către prestator.


    Articolul 14

    Pe perioada suspendării statutului de prestator de servicii de încredere calificat, prestatorul nu are dreptul să presteze serviciul de încredere calificat pentru care i s-a suspendat activitatea.


    Articolul 15

    Dacă în termen de 3 luni de la momentul dispunerii suspendării prestatorul de servicii de încredere nu remediază neconformitățile și nu înaintează un raport de evaluare a conformității emis de un organism de evaluare a conformității acreditat, prin care să confirme acest lucru, organismul de supraveghere retrage prin decizie motivată statutul de prestator de servicii de încredere calificat și va fi eliminat din lista sigură - Trusted List.


    Articolul 16

    Prestatorii de servicii de încredere calificați trebuie să îndeplinească următoarele cerințe, în funcție de specificul serviciului calificat pe care îl prestează:
    a) atunci când emite un certificat calificat pentru un serviciu de încredere, un prestator de servicii de încredere calificat verifică, prin mijloace corespunzătoare și în conformitate cu legislația națională, identitatea și, atunci când este cazul, atributele specifice ale persoanei fizice sau juridice căreia i s-a emis un certificat calificat;
    b) în sensul art. 24 alin. 1 din Regulamentul (UE) nr. 910/2014, verificarea identității în scopul emiterii de către un prestator de servicii de încredere a unui certificat calificat se face prin identificare directă, astfel:(i) de către prestatorul de servicii de încredere calificat;(ii) de către o parte terță, cu respectarea legislației naționale în vigoare, aplicabilă în domeniul certificării/atestării identității;
    c) datele de identificare și, atunci când este cazul, atributele specifice ale persoanelor fizice sau persoanelor juridice se verifică de către persoanele prevăzute la lit. b) a prezentului articol conform metodelor prevăzute în art. 24 alin. 1 lit. (a)-(d) din Regulamentul (UE) nr. 910/2014 și în limitele stabilite de către legislația națională;
    d) ori de câte ori intervin modificări în actele de identitate, respectiv de înregistrare în cazul persoanelor juridice, ale titularului certificatului calificat, este necesară reverificarea identității așa cum este precizat la lit. b), când titularul certificatului anunță acest lucru, conform obligației înscrise în condițiile contractuale;
    e) un prestator de servicii de încredere calificat trebuie să asigure în orice moment corespondența dintre un certificat calificat emis și identitatea reală a titularului certificatului calificat respectiv;
    f) dispozitivele de creare a semnăturilor electronice calificate și a sigiliilor electronice calificate folosite de prestatorii de servicii de încredere calificați și oferite titularilor certificatelor calificate pentru semnăturile electronice și pentru sigiliile calificate trebuie să fie în conformitate cu cerințele și profilele de protecție definite în anexa II la Regulamentul (UE) nr. 910/2014 și în Decizia de punere în aplicare (UE) nr. 650/2016 a Comisiei din 25 aprilie 2016 de stabilire a standardelor pentru evaluarea securității dispozitivelor de creare a semnăturilor și a sigiliilor calificate în temeiul art. 30 alin. (3) și al art. 39 alin. (2) din Regulamentul (UE) nr. 910/2014;
    g) prestatorul de servicii de încredere calificat trebuie să dovedească organismului de supraveghere că dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfășurării serviciilor de încredere calificate și trebuie să fie capabil să acopere pierderile suferite de către o persoană fizică/juridică care își întemeiază conduita pe efectele juridice ale serviciilor de încredere calificate, până la concurența echivalentului în lei al sumei de cel puțin 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este pentru fiecare prejudiciu produs, chiar dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de către prestator a unei obligații prevăzute de lege. Pentru fiecare serviciu de încredere calificat pe care îl prestează, prestatorul va trebui să depună o scrisoare de garanție din partea unei instituții financiar-bancare sau o poliță de asigurare la o societate de asigurări, cesionată în favoarea organismului de supraveghere, în valoare cel puțin egală cu echivalentul în lei al sumei de 500.000 euro pentru fiecare serviciu de încredere calificat prestat; scrisoarea de garanție bancară are forma prevăzută în anexa nr. 3 care face parte integrantă din prezentul ordin;
    h) doar prestatorul de servicii de încredere calificat în conformitate cu Regulamentul (UE) nr. 910/2014 are dreptul să menționeze pe site sau în documentele promoționale că este calificat, respectând cerințele Regulamentului (UE) nr. 806/2015 de stabilire a specificațiilor referitoare la forma mărcii de încredere a UE pentru serviciile de încredere calificate;
    i) atunci când emit certificate digitale, atât prestatorii de servicii de încredere care operează în conformitate cu Regulamentul (UE) nr. 910/2014, cât și furnizorii de servicii de certificare care operează în conformitate cu Legea nr. 455/2001 privind semnătura electronică, republicată, trebuie să informeze clienții în mod clar, fără echivoc, cu privire la tipul certificatului pe care aceștia din urmă îl achiziționează;
    j) atunci când oferă servicii de marcare temporală, atât prestatorii de servicii de încredere care operează în conformitate cu Regulamentul (UE) nr. 910/2014, cât și furnizorii de servicii de marcare temporală care operează în conformitate cu Legea nr. 451/2004 privind marca temporală trebuie să informeze clienții în mod clar, fără echivoc, cu privire la tipul serviciului de marcare temporală pe care aceștia din urmă îl achiziționează.


    Articolul 17
    (1) Dispozitivele securizate de creare a semnăturilor electronice a căror conformitate a fost determinată în conformitate cu art. 38 din Legea nr. 455/2001, republicată, sunt considerate dispozitive de creare a semnăturilor electronice calificate în temeiul Regulamentului (UE) nr. 910/2014.(2) Certificatele calificate emise pentru persoane fizice în conformitate cu Legea nr. 455/2001, republicată, sunt considerate drept certificate calificate pentru semnături electronice în temeiul Regulamentului (UE) nr. 910/2014, până la expirarea lor.(3) Un prestator de servicii de certificare care eliberează certificate calificate în temeiul Legii nr. 455/2001, republicată, prezintă un raport de evaluare a conformității către organismul de supraveghere cât mai curând posibil, dar nu mai târziu de 1 iulie 2017. Până la prezentarea unui astfel de raport de evaluare a conformității și până la finalizarea de către organismul de supraveghere a evaluării sale, prestatorul de servicii de certificare respectiv este considerat ca fiind prestator de servicii de încredere calificat în temeiul Regulamentului (UE) nr. 910/2014.(4) În cazul în care un prestator de servicii de certificare care eliberează certificate calificate în temeiul Legii nr. 455/2001, republicată, nu prezintă un raport de evaluare a conformității către organismul de supraveghere în termenul prevăzut la alin. (3), respectivul prestator de servicii de certificare nu mai este considerat ca fiind prestator de servicii de încredere calificat, în temeiul Regulamentului (UE) nr. 910/2014 începând cu data de 2 iulie 2017.


    Articolul 17^1

    Prezentul ordin nu se aplică prestării de servicii de încredere care sunt utilizate exclusiv în sisteme închise, potrivit legii.
    (la 05-07-2017, Actul a fost completat de Articolul I din ORDINUL nr. 514 din 26 iunie 2017, publicat în MONITORUL OFICIAL nr. 520 din 05 iulie 2017 )


    Articolul 18

    Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

    Ministrul comunicațiilor și societății informaționale,
    Augustin Jianu

    București, 30 mai 2017.
    Nr. 449.

    Anexa nr. 1

    - model -
    Cerere (notificare)

    Stimată/Stimate Doamnă/Domnule Ministru,

    Având în vedere prevederile art. 4 alin. (1) pct. 65 și 66 din Hotărârea Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale și în temeiul prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE, cu deciziile și regulamentele derivate, vă solicit să dispuneți începerea procedurii de acordare a statutului de „prestator de servicii de încredere calificat“ pentru serviciul de încredere (se menționează serviciul), pentru (numele și prenumele/denumirea solicitantului), prestator de servicii de ...................., cu domiciliul/sediul în ........................ (adresa completă, inclusiv telefon și fax), înregistrată la Oficiul Registrului Comerțului de pe lângă Tribunalul ........................, cod unic de înregistrare/cod de identificare fiscală ................., reprezentat legal prin ................ (numele și prenumele), domiciliat(ă) în ....................... (adresa completă, inclusiv telefon), identificat(ă) prin actul de identitate ................... (serie, număr, cod numeric personal).
    Semnătura reprezentantului legal
    Lista de documente anexate formularului de notificare:1. raportul de evaluare a conformității (CAR) emis de un organism de evaluare a conformității (CAB) acreditat în mod corespunzător în conformitate cu Regulamentul (UE) nr. 910/2014 și Regulamentul nr. 765/2008 pentru serviciul de încredere calificat ................;2. certificatul de înregistrare la oficiul registrului comerțului;3. actul constitutiv al prestatorului de servicii de încredere din care să rezulte că are specificată în obiectul de activitate desfășurarea de activități în domeniile tehnologiei informației sau serviciilor informaționale;4. certificat constatator eliberat de către oficiul registrului comerțului, nu mai vechi de 30 de zile, în care să se specifice datele de identificare ale firmei și administratorul;5. copie a cărții de identitate a administratorului societății, înscris în certificatul constatator;6. împuternicire și copie a cărții de identitate pentru persoana delegată să semneze în numele administratorului;7. dovezi că prestatorul de servicii de încredere deține resurse financiare suficiente și a obținut o asigurare de răspundere corespunzătoare în ceea ce privește furnizarea serviciilor de încredere pentru care se solicită un statut calificat, incluzând:
    a) copie a contului de profit și pierderi și a balanței contabile pentru ultimii 3 ani pentru conturile care au fost înscrise; în lipsa acesteia, declarații bancare corespunzătoare;
    b) asigurare de răspundere pentru fiecare serviciu pentru care solicită autorizare, cesionată în favoarea organismului de supraveghere (poliță sau scrisoare de garanție bancară);
    8. politica de servicii de încredere ce se aplică serviciilor de încredere pentru care se solicită un statut calificat;9. declarația practicilor care se aplică serviciilor de încredere pentru care se solicită un statut calificat;10. arhitectura detaliată a serviciului de încredere (de exemplu, ierarhia PKI - infrastructura cheii publice, împreună cu indicarea politicilor de servicii de încredere sprijinite) pentru care se solicită un statut calificat;11. plan de continuitate a afacerii și recuperare în caz de dezastru;12. lista standardelor în baza cărora operațiile sunt efectuate, auditate, evaluate sau certificate pentru a fi conforme;13. certificat de conformitate pentru dispozitivele de creare a semnăturii electronice și a sigiliului electronic în concordanță cu cerințele Regulamentului (UE) nr. 910/2014 și ale Deciziei Comisiei de punere în aplicare (UE) nr. 650/2016;14. termenii și condițiile pe care prestatorul de servicii de încredere le va semna cu utilizatorul final în ceea ce privește furnizarea serviciilor de încredere pentru care se solicită un statut calificat;15. modelul notificării organismului de supraveghere și prezentarea măsurilor tehnice și organizaționale luate pentru gestionarea riscurilor la adresa securității serviciilor de încredere, menite să sprijine demonstrarea cerinței art. 19.1 din Regulamentul (UE) nr. 910/2014;16. procedura de notificare a autorității de supraveghere și protecția datelor cu caracter personal privind încălcarea securității sau pierderea integrității care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii menită să sprijine demonstrarea cerinței art. 19.2 din Regulamentul (UE) nr. 910/2014;17. planul de încetare a activității în conformitate cu cerințele art. 24.2. (i) din Regulamentul (UE) nr. 910/2014;18. adresa WEB a prestatorului.

    Toate documentele atașate notificării vor fi semnate/confirmate de către administratorul prestatorului sau de către o persoană împuternicită de către acesta în scris.
    Notificarea și documentele atașate pot fi semnate și electronic folosind un sigiliu electronic calificat al persoanei juridice sau folosind o semnătură electronică calificată de către administratorul acesteia și transmise prin e-mail la adresa indicată de către organismul de supraveghere.


    Anexa nr. 2

    Informații minime cuprinse în raportul de evaluare a conformității

    Raportul de evaluare a conformității trebuie să includă cel puțin următoarele informații:1. să indice în mod clar denumirea organismului de evaluare a conformității și, unde este cazul, numărul său de înregistrare, așa cum este declarat în înregistrările oficiale, adresa sa poștală oficială și adresa de poștă electronică;2. să indice în mod clar numele organismului de acreditare recunoscut la nivel național din statul membru care i-a acordat acreditarea organismului de evaluare a conformității și, unde este cazul, numărul de înregistrare, așa cum este declarat în înregistrările oficiale, adresa poștală oficială și adresa de poștă electronică ale organismului național de acreditare;3. să includă certificatul de acreditare sau un link către locația de unde poate fi accesat certificatul de acreditare emis de organismului național de acreditare identificat în conformitate cu pct. 2, împreună cu descrierea detaliată, sau un link către locația de unde pot fi obținute descrierea detaliată a schemei de acreditare, inclusiv indicarea relevanței sale în raport cu Regulamentul (UE) nr. 910/2014;4. să indice în mod clar numele auditorului principal (lead auditorul) sau al organismului de evaluare a conformității care a emis și semnat raportul de audit;5. opinia de audit din care să reiasă dacă prestatorul îndeplinește sau nu cerințele Regulamentului (UE) nr. 910/2014 pentru serviciul de încredere pentru care a fost auditat;6. serviciul de încredere pentru care a fost evaluat prestatorul de servicii de încredere;7. standardul/standardele în conformitate cu care a fost realizată evaluarea conformității;8. să indice în mod clar serviciile prestatorului de încredere pentru care raportul de evaluare a conformității certifică conformitatea cu cerințele Regulamentului (UE) nr. 910/2014. Identificarea serviciului/serviciilor se va alinia la Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei și clauza 5.5.1.1 din ETSI TS 119 612 V2.1.1 sau ultima versiune (notă: în acest sens, acesta va trebui să includă cel puțin Identificatorul Subject Key RFC 5280 sau cheia publică a serviciilor de încredere auditate și reprezentarea Base64 PEM a certificatului digital X.509 v3 asociat);9. să furnizeze pentru fiecare serviciu de încredere calificat identificat la pct. 8 informațiile necesare cu scopul de a permite identificarea serviciului/serviciilor pentru includerea în lista națională de încredere aplicabilă, în conformitate cu Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei din 8 septembrie 2015;10. să enumere lista completă a documentelor publice și a documentelor interne ale prestatorului de servicii de încredere care au făcut parte din domeniul de aplicare al auditului.
    Documentele publice ar trebui să fie atașate la raportul de evaluare a conformității sau să fie furnizate linkuri accesibile public care să permită descărcarea documentelor.
    a) Documentele publice care au făcut parte din domeniul de aplicare al auditului trebuie să includă cel puțin:(i) declarația practicilor utilizate de prestatorul de servicii de încredere pentru furnizarea serviciilor de încredere calificate;(ii) politica/politicile serviciilor de încredere calificate, de exemplu, setul de reguli care indică aplicabilitatea serviciilor de încredere calificate unei anumite comunități și/sau aplicații cu cerințe de securitate comune;(iii) contract de prestare a serviciilor de încredere și termenii și condițiile aferente.
    b) Documentele interne care au făcut parte din domeniul de aplicare al auditului trebuie să includă cel puțin:(i) planul în caz de încetare a serviciului, menționat în art. 24.2. (i) din Regulamentul (UE) nr. 910/2014;(ii) documentația aferentă evaluării riscului menită să sprijine demonstrarea cerinței art. 19.1 din Regulamentul (UE) nr. 910/2014;(iii) procedura de notificare privind încălcarea securității sau pierderea integrității care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii menită să sprijine demonstrarea cerinței art. 19.2 din Regulamentul (UE) nr. 910/2014;(iv) lista tuturor documentelor interne care susțin declarația practicilor utilizate de prestatorul de servicii de încredere pentru a furniza servicii de încredere calificate și politica/politicile serviciilor de încredere calificată(e);
    11. să indice, pentru fiecare etapă a auditului (de exemplu, audit de documentare și audit de punere în aplicare, inclusiv inspecții la fața locului), perioada în care a fost efectuat auditul (timpul scurs) și efortul în om-zile angajate de organismul de evaluare a conformității pentru a efectua auditul;12. să furnizeze, pentru fiecare dintre următoarele cerințe din Regulamentul (UE) nr. 910/2014, un raport privind îndeplinirea de către prestatorul de servicii de încredere și prin implementarea serviciilor sale de încredere calificate a cerinței identificate sau, atunci când este cazul, cu privire la existența unor proceduri adecvate și a sistemului de management pentru manipularea acestei cerințe.

    A. Cerințe generale pentru prestatorii de servicii de încredere calificați și pentru fiecare tip de servicii de încredere calificate [cu indicarea articolelor relevante din Regulamentul (UE) nr. 910/2014]1. Procesarea și protecția datelor (art. 5 și art. 5.1). Prelucrarea datelor cu caracter personal se efectuează în conformitate cu legislația privind prelucrarea datelor cu caracter personal în vigoare.2. Prevederile privind răspunderea și sarcina probei îndeplinesc cerințele art. 13.3. Prevederile privind accesibilitatea pentru persoanele cu dizabilități îndeplinesc cerințele art. 15.4. Îndeplinirea cerințelor de securitate aplicabile prestatorilor de servicii de încredere (art. 19 alin. 1 și alin. 2).5. Prevederile privind supravegherea prestatorilor de servicii de încredere calificați (art. 20)6. Îndeplinirea cerințelor din art. 24 alin. 2.
    B. Cerințe specifice suplimentare pentru tipul aplicabil al serviciului de încredere calificat [cu indicarea articolelor relevante din Regulamentul (UE) nr. 910/2014] 1. Certificat calificat pentru semnătura electronică
    a. art. 24 alin. 1 lit. (a) la (d)
    b. art. 24 alin. 2. lit. (k)
    c. art. 24 alin. 3
    d. art. 24 alin. 4
    e. art. 28 alin. 1 - anexa I
    f. art. 28 alin. 3
    g. art. 28 alin. 4
    h. art. 28 alin. 5
    2. Certificat calificat pentru sigiliu electronic
    a. art. 24 alin. 1 lit. (a) la (d)
    b. art. 24 alin. 2 lit. (k)
    c. art. 24 alin. 3
    d. art. 24 alin. 4
    e. art. 38 alin. 1 - anexa III
    f. art. 38 alin. 3
    g. art. 38 alin. 4
    h. art. 38 alin. 5
    3. Certificat calificat pentru autentificarea unui site
    a. art. 24 alin. 1 lit. (a) la (d)
    b. art. 24 alin. 2 lit. (k)
    c. art. 24 alin. 3
    d. art. 24 alin. 4
    e. art. 45 alin. 1 - anexa IV
    4. Serviciul de validare calificat pentru semnăturile electronice calificate (art. 33 alin. 1)5. Serviciul de validare calificat pentru sigilii electronice calificate (art. 40)6. Serviciul de conservare calificat pentru semnăturile electronice calificate (art. 34 alin. 1)7. Serviciul de conservare calificat pentru sigilii electronice calificate (art. 40)8. Mărci temporale electronice calificate [art. 42. alin. 1 lit. (a) la (c)]9. Serviciile de distribuție electronică înregistrată calificate [art. 44 alin. 1 lit. (a) la (f)]10. În raportul de audit care se eliberează pe baza standardelor sau pe baza unor specificații accesibile publicului se evidențiază separat neconformitățile și impactul lor asupra serviciilor de încredere calificate furnizate de prestatorul de servicii de încredere.11. Detaliază lista părților terțe contractate de către prestatorul de servicii de încredere pentru a efectua toate sau părți ale proceselor-suport în vederea prestării serviciilor sale de încredere calificate (de exemplu, furnizori de servicii internet, curierat, infrastructură etc.). Raportul de evaluare a conformității trebuie să precizeze care dintre aceste părți au fost supuse auditului.12. Se indică, atunci când este solicitat de către schema aplicabilă de evaluare a acreditării/conformității, când trebuie să fie efectuat următorul audit de supraveghere și următorul audit de conformitate.13. Se indică circumstanțele în care un organism acreditat de evaluare a conformității trebuie să fie implicat în reevaluarea prestatorului de servicii de încredere și a serviciilor de încredere calificate, în plus față de auditările planificate.14. Declarație auditor - conflict de interese.


    Anexa nr. 3

                                      - model -

                           Scrisoare de garanție bancară

        ANTETUL INSTITUȚIEI FINANCIARE BANCARE
        Data .....................
        Subiect .......................

        Această scrisoare confirmă că .......(instituție financiară bancară)......
    garantează irevocabil efectuarea plății/plăților ordonate de ................
    ....(prestatorul de servicii de încredere).......... până la limita de ......
    .......(minimum 500.000 euro)............... din contul .....................
    ........(contul prestatorului)..........
        Această garanție se referă la condițiile prevăzute în legislația națională
    cu privire la implementarea Regulamentului (UE) nr. 910/2014 pentru
    serviciul ........(denumirea serviciului de încredere pentru care este
    valabilă scrisoarea de garanție)........
        Această scrisoare de garanție este validă până la data de .............
    .......(data-limită de valabilitate a scrisorii de garanție).....
        Pentru verificări, contactați .....(contact instituție financiară).....


            .........................................
               (Semnătura reprezentantului legal/
            împuternicitului instituției financiare)

            ....................................................
                (Semnătura reprezentantului legal/
          împuternicitului prestatorului de servicii de încredere)

    ----