REGULAMENTUL DE PUNERE ÎN APLICARE (UE) …/… AL COMISIEI

din 27.10.2025

de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European și al Consiliului în ceea ce privește standardele de referință, specificațiile și procedurile pentru gestionarea riscurilor legate de prestarea de servicii de încredere necalificate

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE 1 , în special articolul 19a alineatul (2),

întrucât:

(1)Prestatorii de servicii de încredere necalificați au un rol important în mediul digital, oferind servicii de încredere care facilitează tranzacțiile electronice securizate. Regulamentul (UE) nr. 910/2014 prevede mai puține cerințe de reglementare pentru prestatorii de servicii de încredere necalificați decât pentru prestatorii de servicii de încredere calificați. Cu toate acestea, toți prestatorii de servicii de încredere fac obiectul unor cerințe privind securitatea și responsabilitatea pentru a se asigura diligența necesară, transparența și asumarea răspunderii pentru operațiunile și serviciile lor.

(2)Prestatorii de servicii de încredere necalificați pot fi considerați entități importante sau entități esențiale în conformitate cu articolul 3 din Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului 2 . Prin urmare, acestora li se aplică Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei 3 de stabilire a cerințelor tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică. Cu toate acestea, domeniul de aplicare al cerințelor prevăzute la articolul 19a alineatul (1) litera (a) din Regulamentul (UE) nr. 910/2014 se referă la procedurile de gestionare a riscurilor juridice, comerciale și operaționale, precum și a altor riscuri directe sau indirecte legate de prestarea de servicii de încredere necalificate. Pentru a completa cadrul de gestionare a riscurilor prevăzut în Regulamentul de punere în aplicare (UE) 2024/2690 și pentru a permite o abordare coerentă a gestionării tuturor tipurilor relevante de riscuri, ar trebui stabilite specificații și proceduri privind gestionarea riscurilor respective de către prestatorii de servicii de încredere necalificați. Orientările furnizate de Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sau de autoritățile naționale competente în temeiul Directivei (UE) 2022/2555 pot sprijini prestatorii de servicii de încredere necalificați în elaborarea și punerea în aplicare a unor politici adecvate de gestionare a riscurilor.

(3)Prezumția de conformitate prevăzută la articolul 19a alineatul (2) din Regulamentul (UE) nr. 910/2014 ar trebui să se aplice numai în cazul în care prestatorii de servicii de încredere necalificați respectă cerințele prevăzute în prezentul regulament. Standardele de referință menționate în anexă ar trebui să reflecte practicile consacrate și să fie recunoscute pe scară largă în sectoarele relevante. Pentru a se asigura că prestatorii de servicii de încredere necalificați gestionează riscurile juridice, comerciale și operaționale, precum și alte riscuri directe sau indirecte pentru prestarea serviciului de încredere necalificat în conformitate cu articolul 19a alineatul (1) din Regulamentul (UE) nr. 910/2014, prestatorii de servicii de încredere necalificați ar trebui să respecte elementele de referință ale standardelor, astfel cum sunt prevăzute în anexă, și cerințele de gestionare a riscurilor prevăzute în prezentul regulament pentru prezumția de conformitate.

(4)În cazul în care un prestator de servicii de încredere necalificat respectă cerințele prevăzute în prezentul regulament de punere în aplicare, organismele de supraveghere ar trebui să prezumeze conformitatea cu cerințele relevante din Regulamentul (UE) nr. 910/2014. Cu toate acestea, un prestator de servicii de încredere necalificat se poate baza în continuare pe alte practici pentru a demonstra conformitatea cu cerințele Regulamentului (UE) nr. 910/2014.

(5)Pentru a se asigura că riscurile identificate sunt abordate în mod adecvat, politicile de gestionare a riscurilor urmate de prestatorii de servicii de încredere necalificați ar trebui să includă proceduri pentru documentarea și evaluarea riscurilor, precum și pentru identificarea, selectarea și punerea în aplicare a unor măsuri adecvate de tratare a riscurilor. Punerea în aplicare a măsurilor de tratare a riscurilor ar trebui monitorizată în permanență. În ceea ce privește informațiile pe care prestatorii de servicii de încredere necalificați le înregistrează și le păstrează ca parte a măsurilor lor de tratare a riscurilor, prestatorii de servicii de încredere necalificați ar trebui să asigure integritatea și confidențialitatea acestor date. În plus, pentru a spori transparența și a sprijini activitățile de supraveghere, prestatorii de servicii de încredere necalificați ar trebui să publice metodele de verificare a identității pe care le aplică. Întrucât nu toate riscurile identificate pot fi abordate pe deplin prin evitarea, atenuarea sau transferul lor către alte entități, orice riscuri reziduale ar trebui să fie aprobate de organele de conducere ale prestatorilor de servicii de încredere necalificați. Criteriile de acceptare a riscurilor reziduale ar trebui să fie justificate într-un mod inteligibil.

(6)Comisia evaluează periodic noile tehnologii, practici, standarde sau specificații tehnice. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului 4 , Comisia ar trebui să revizuiască și, dacă este necesar, să actualizeze prezentul regulament de punere în aplicare, pentru a îl menține aliniat la evoluțiile mondiale, la noile tehnologii, practici, standarde sau specificații tehnice, precum și pentru a respecta bunele practici de pe piața internă.

(7)Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului 5 și, după caz, Directiva 2002/58/CE a Parlamentului European și a Consiliului 6 se aplică activităților de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.

(8)Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului 7 și a emis un aviz la 8 august 2025 8 .

(9)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit prin articolul 48 din Regulamentul (UE) nr. 910/2014,

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

Standarde de referință

Standardele de referință menționate la articolul 19a alineatul (2) din Regulamentul (UE) nr. 910/2014 sunt prevăzute în anexa la prezentul regulament.

Articolul 2

Politici de gestionare a riscurilor

1.Politicile de gestionare a riscurilor menționate la articolul 19a alineatul (1) din Regulamentul (UE) nr. 910/2014 identifică în mod clar serviciile de încredere cărora li se aplică, sunt specifice serviciilor de încredere în cauză și sunt aprobate de organul de conducere al prestatorului de servicii de încredere necalificat.

2.Politicile de gestionare a riscurilor trebuie să includă cel puțin toate elementele următoare:

(a)nivelul general de toleranță la risc în conformitate cu criticalitatea și nivelul necesar de securitate al serviciilor de încredere, având în vedere cele mai recente evoluții tehnologice;

(b)criteriile de risc relevante, inclusiv cel puțin probabilitatea, impactul și nivelul riscului, ținând seama de informațiile privind amenințările cibernetice și de vulnerabilități;

(c)o abordare pentru identificarea și documentarea riscurilor pentru prestarea serviciilor de încredere, ținând seama de domeniul complet de aplicare al sistemului informatic utilizat de prestatorul de servicii de încredere necalificat, inclusiv a riscurilor asociate componentelor sistemului, precum și oricăror părți active sau pasive implicate în punerea în aplicare a sistemului sau în prestarea serviciilor de încredere;

(d)un proces de evaluare a riscurilor identificate pe baza criteriilor de risc menționate la litera (b);

(e)un proces de identificare, de stabilire a ordinii de prioritate și de monitorizare continuă a punerii în aplicare a măsurilor adecvate de tratare a riscurilor;

(f)un proces de monitorizare continuă a punerii în aplicare a politicilor de gestionare a riscurilor.

3.Prestatorii de servicii de încredere necalificați stabilesc proceduri adecvate și păstrează documente pentru a se asigura că sunt puse în aplicare cerințele prevăzute în legislația aplicabilă.

4.Prestatorii de servicii de încredere necalificați stabilesc proceduri documentate adecvate care să asigure monitorizarea modificărilor legislative și de reglementare la nivelul Uniunii și la nivel național care pot avea un impact asupra prestării de servicii de încredere.

Articolul 3

Identificarea, documentarea și evaluarea riscurilor

Prestatorii de servicii de încredere necalificați identifică, documentează și evaluează toate riscurile menționate la articolul 19a alineatul (1) din Regulamentul (UE) nr. 910/2014 în conformitate cu politicile de gestionare a riscurilor menționate la articolul 2 și, în special:

(a)identifică riscurile în ceea ce privește părțile terțe;

(b)identifică potențialele puncte unice de defecțiune în prestarea serviciilor de încredere;

(c)evaluează riscurile identificate pe baza criteriilor de risc menționate la articolul 2 alineatul (2) litera (b).

Articolul 4

Măsuri de tratare a riscurilor

1.În conformitate cu politicile menționate la articolul 2, prestatorii de servicii de încredere necalificați planifică, documentează și pun în aplicare măsuri de tratare a riscurilor și, în special, îndeplinesc următoarele sarcini:

(a)identifică măsurile adecvate de tratare a riscurilor și stabilesc ordinea de prioritate a acestora;

(b)selectează, aprobă și documentează măsurile de tratare a riscurilor alese, inclusiv cerințele de securitate și procedurile operaționale ale acestora, într-un plan de tratare a riscurilor și identifică partea care are responsabilitatea punerii în aplicare a măsurilor de tratare a riscurilor și momentul în care acestea trebuie puse în aplicare;

(c)monitorizează în permanență punerea în aplicare a măsurilor de tratare a riscurilor.

2.Planul de tratare a riscurilor prevăzut la alineatul (1) litera (b) prezintă motivele care justifică acceptarea riscurilor reziduale într-un mod inteligibil.

3.Ca parte a măsurilor de tratare a riscurilor menționate la alineatul (1), prestatorii de servicii de încredere necalificați:

(a)verifică, după caz, identitatea utilizatorilor serviciului de încredere în mod direct sau prin intermediul unei părți terțe și publică informații privind metodele de verificare a identității utilizate;

(b)în scopul furnizării de probe în cadrul procedurilor judiciare și al asigurării continuității serviciului, înregistrează și a păstrează în condiții de siguranță, atât timp cât este necesar, în conformitate cu dreptul Uniunii sau cu dreptul intern, inclusiv după încetarea activităților prestatorului de servicii de încredere necalificat, următoarele informații:

–toate informațiile relevante colectate în procesul de înregistrare și de integrare a utilizatorilor serviciilor de încredere, inclusiv, după caz, în contextul verificării identității utilizatorilor;

–datele de autentificare atribuite utilizatorului serviciului de încredere, după caz, și

–orice modificare a statutului certificatelor de cheie publică sau al altor materiale criptografice utilizate pentru prestarea serviciului de încredere;

(c)se asigură, după caz, că datele de autentificare atribuite utilizatorului serviciului de încredere sunt unice.

4.Atunci când identifică, selectează și aprobă măsurile adecvate de tratare a riscurilor și stabilesc ordinea de prioritate a acestora, prestatorii de servicii de încredere necalificați iau în considerare următoarele elemente:

(a)rezultatele evaluării riscurilor menționate la articolul 3;

(b)eficacitatea măsurilor de tratare a riscurilor;

(c)evaluările conformității;

(d)incidentele semnificative;

(e)costul punerii în aplicare în raport cu beneficiul preconizat;

(f)clasificarea adecvată aplicabilă a activelor;

(g)analiza oricărui impact comercial al riscurilor identificate în conformitate cu articolul 3.

5.Organele de conducere ale prestatorilor de servicii de încredere necalificați aprobă riscurile reziduale rămase după punerea în aplicare a măsurilor de tratare a riscurilor, astfel cum sunt prevăzute în planul de tratare a riscurilor.

6.Prestatorii de servicii de încredere necalificați revizuiesc, documentează și, după caz, actualizează rezultatele evaluării riscurilor și planul de tratare a riscurilor la intervale planificate și cel puțin o dată pe an, precum și atunci când apar modificări semnificative ale infrastructurii, ale operațiunilor sau ale riscurilor sau intervin incidente semnificative.

7.Prestatorii de servicii de încredere necalificați asigură disponibilitatea, integritatea și confidențialitatea informațiilor menționate la alineatul (3) litera (b).

Articolul 5

Intrarea în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 27.10.2025

(1)    JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj .

(2)    Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj ).

(3)    Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2555 în ceea ce privește cerințele tehnice și metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică și specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de rețele de furnizare de conținut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de piețe online, de motoare de căutare online și de platforme de servicii de socializare în rețea, precum și prestatorii de servicii de încredere (JO L, 2024/2690, 18.10.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj ).

(4)    Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce privește instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj ).

(5)    Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj ).

(6)    Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj ).

(7)    Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(8)     EDPS Formal comments on the draft Implementing Regulation as regards specifications and procedures for the management of risks to the provision of non-qualified trust services (Observații formale ale AEPD cu privire la proiectul de regulament de punere în aplicare în ceea ce privește specificațiile și procedurile de gestionare a riscurilor pentru furnizarea de servicii de încredere necalificate) | Autoritatea Europeană pentru Protecția Datelor .

ANEXĂ

Lista standardelor de referință pentru prestatorii de servicii de încredere necalificați

Se aplică cerințele în temeiul următoarelor secțiuni din standardul ETSI EN 319 401 V3.1.1 (2024-06): „Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers” [Semnăturile electronice și infrastructurile de încredere (ESI); cerințe de politică generală pentru prestatorii de servicii de încredere]:

5. Evaluarea riscurilor;

6. Politici și practici;

7.1 Organizare internă

7.2 Resurse umane

7.3 Gestionarea activelor;

7.4 Controlul accesului;

7.6 Securitatea fizică și de mediu.