Comunica experienta
MonitorulJuridic.ro
Având în vedere prevederile următoarelor acte normative ce reglementează serviciile de încredere la nivelul Uniunii Europene, ce reprezintă la momentul de faţă legislaţia principală: 1. Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE; 2. Regulamentul de punere în aplicare (UE) nr. 1.501/2015 al Comisiei din 8 septembrie 2015 privind cadrul de interoperabilitate prevăzut la articolul 12 alineatul (8) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă + rectificarea din data de 9 septembrie 2015; 3. Regulamentul de punere în aplicare (UE) nr. 1.502/2015 al Comisiei din 8 septembrie 2015 de stabilire a unor specificaţii şi proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul articolului 8 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă; 4. Regulamentul de punere în aplicare (UE) 2015/806 al Comisiei din 22 mai 2015 de stabilire a specificaţiilor referitoare la forma mărcii de încredere a UE pentru serviciile de încredere calificate; 5. Decizia de punere în aplicare (UE) nr. 296/2015 a Comisiei din 24 februarie 2015 de stabilire a modalităţilor procedurale de cooperare între statele membre privind identificarea electronică în temeiul articolului 12 alineatul (7) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă; 6. Decizia de punere în aplicare (UE) nr. 1.505/2015 a Comisiei din 8 septembrie 2015 de stabilire a specificaţiilor tehnice şi a formatelor pentru listele sigure în temeiul articolului 22 alineatul (5) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă; 7. Decizia de punere în aplicare (UE) nr. 1.506/2015 a Comisiei din 8 septembrie 2015 de stabilire a specificaţiilor referitoare la formatele semnăturilor şi sigiliilor electronice avansate care trebuie recunoscute de către organismele din sectorul public în temeiul articolului 27 alineatul (5) şi al articolului 37 alineatul (5) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă; 8. Decizia de punere în aplicare (UE) nr. 1.984/2015 a Comisiei din 3 noiembrie 2015 de stabilire a circumstanţelor, a formatelor şi a procedurilor de notificare, în conformitate cu articolul 9 alineatul (5) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă; 9. Decizia de punere în aplicare (UE) nr. 650/2016 a Comisiei din 25 aprilie 2016 de stabilire a standardelor pentru evaluarea securităţii dispozitivelor de creare a semnăturilor şi a sigiliilor calificate în temeiul articolului 30 alineatul (3) şi al articolului 39 alineatul (2) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă, având în vedere prevederile art. 4 alin. (1) pct. 65 şi 66 din Hotărârea Guvernului nr. 36/2017 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin. ART. 1 (1) Prezentul ordin se aplică prestatorilor de servicii de încredere care doresc să îşi desfăşoare activitatea ca prestatori de servicii de încredere calificaţi şi stabileşte procedura privind acordarea, suspendarea şi retragerea statutului de prestator de servicii de încredere calificat în conformitate cu Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, denumit în continuare Regulamentul (UE) nr. 910/2014, de către Ministerul Comunicaţiilor şi Societăţii Informaţionale, organism de supraveghere specializat în domeniu. (2) Prezentul ordin stabileşte conţinutul documentaţiei pentru acordarea, durata de valabilitate şi efectele suspendării sau retragerii statutului de prestator de servicii de încredere calificat în conformitate cu Regulamentul (UE) nr. 910/2014. ART. 2 (1) În înţelesul prezentului ordin, următorii termeni se definesc astfel: a) organism de supraveghere înseamnă Ministerul Comunicaţiilor şi Societăţii Informaţionale în calitate de autoritate de reglementare şi supraveghere specializată în domeniu, conform Hotărârii Guvernului nr. 36/2017 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale; b) organism de evaluare a conformităţii înseamnă un organism definit la art. 2 pct. 13 din Regulamentul (CE) nr. 765/2008, care este acreditat conform cu regulamentul în cauză ca fiind competent să efectueze evaluarea conformităţii unui prestator de servicii de încredere calificat şi a serviciilor de încredere calificate pe care acesta le prestează; c) prestator de servicii de încredere înseamnă o persoană fizică sau juridică care prestează unul sau mai multe servicii de încredere ca prestator de servicii de încredere calificat sau necalificat; d) prestator de servicii de încredere calificat înseamnă un prestator de servicii de încredere care prestează unul sau mai multe servicii de încredere calificate şi căruia i se acordă statutul de calificat de către organismul de supraveghere; e) 1. serviciu de încredere înseamnă un serviciu electronic prestat în mod obişnuit în schimbul unei remuneraţii, care constă în: (i) crearea, verificarea şi validarea semnăturilor electronice, a sigiliilor electronice sau a mărcilor temporale electronice, a serviciilor de distribuţie electronică înregistrată şi a certificatelor aferente serviciilor respective; sau (ii) crearea, verificarea şi validarea certificatelor pentru autentificarea unui site internet; sau (iii) păstrarea semnăturilor electronice, a sigiliilor sau a certificatelor aferente serviciilor respective; 2. serviciu de încredere calificat înseamnă un serviciu de încredere care îndeplineşte condiţiile aplicabile prevăzute în Regulamentul (UE) nr. 910/2014; f) dispozitiv de creare a semnăturilor electronice înseamnă software sau hardware configurat, utilizat pentru a crea o semnătură electronică; g) dispozitiv de creare a semnăturilor electronice calificat înseamnă un dispozitiv de creare a semnăturilor electronice care îndeplineşte cerinţele prevăzute în anexa II la Regulamentul (UE) nr. 910/2014 şi în Decizia de punere în aplicare (UE) 2016/650 a Comisiei din 25 aprilie 2016; h) sigiliu electronic înseamnă date în format electronic ataşate la sau asociate logic cu alte date în format electronic pentru asigurarea originii şi integrităţii acestora din urmă; i) sigiliu electronic avansat înseamnă un sigiliu electronic care îndeplineşte cerinţele prevăzute la art. 36 din Regulamentul (UE) nr. 910/2014 şi în Decizia de punere în aplicare (UE) 2015/1.506 a Comisiei din 8 septembrie 2015; j) sigiliu electronic calificat înseamnă un sigiliu electronic avansat care este creat de un dispozitiv de creare a sigiliilor electronice calificat şi care se bazează pe un certificat calificat pentru sigiliile electronice; k) certificat pentru semnătură electronică înseamnă o atestare electronică care face legătura între datele de validare a semnăturii electronice şi o persoană fizică şi care confirmă cel puţin numele sau pseudonimul persoanei respective; l) certificat calificat pentru semnătură electronică înseamnă un certificat pentru semnăturile electronice care este emis de un prestator de servicii de încredere calificat şi care îndeplineşte cerinţele prevăzute în anexa I la Regulamentul (UE) nr. 910/2014; m) semnătură electronică înseamnă date în format electronic, ataşate la sau asociate logic cu alte date în format electronic şi care sunt utilizate de semnatar pentru a semna; n) semnătură electronică avansată înseamnă o semnătură electronică ce îndeplineşte cerinţele prevăzute la art. 26 din Regulamentul (UE) nr. 910/2014 şi în Directiva de punere în aplicare (UE) 2015/1.506 a Comisiei din 8 septembrie 2015; o) semnătură electronică calificată înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat şi care se bazează pe un certificat calificat pentru semnăturile electronice; p) certificat pentru sigiliul electronic înseamnă o atestare electronică care face legătura între datele de validare a sigiliului electronic şi o persoană juridică şi care confirmă numele persoanei respective; q) certificat calificat pentru sigiliul electronic înseamnă un certificat pentru un sigiliu electronic care este emis de un prestator de servicii de încredere calificat şi care îndeplineşte cerinţele prevăzute în anexa III la Regulamentul (UE) nr. 910/2014; r) marcă temporală electronică înseamnă date în format electronic care leagă alte date în format electronic de un anumit moment, stabilind dovezi că acestea din urmă au existat la acel moment; s) marcă temporală electronică calificată înseamnă o marcă temporală electronică care îndeplineşte cerinţele prevăzute la art. 42 din Regulamentul (UE) nr. 910/2014; t) serviciu de distribuţie electronică înregistrată înseamnă un serviciu care permite transmiterea de date între părţi terţe prin mijloace electronice şi furnizează dovezi referitoare la manipularea datelor transmise, inclusiv dovezi privind trimiterea şi primirea datelor, şi care protejează datele transmise împotriva riscului de pierdere, furt, deteriorare sau orice modificare neautorizată; u) serviciu de distribuţie electronică înregistrată calificat înseamnă un serviciu de distribuţie electronică înregistrată care îndeplineşte cerinţele prevăzute la art. 44 din Regulamentul (UE) nr. 910/2014; v) certificat pentru autentificarea unui site internet înseamnă o atestare care face posibilă autentificarea unui site internet şi face legătura între site-ul internet şi persoana fizică sau juridică căreia i s-a emis certificatul; w) certificat calificat pentru autentificarea unui site internet înseamnă un certificat pentru autentificarea unui site internet care este emis de un prestator de servicii de încredere calificat şi care îndeplineşte cerinţele prevăzute în anexa IV din Regulamentul (UE) nr. 910/2014. (2) În cuprinsul prezentului ordin sunt, de asemenea, aplicabile definiţiile prevăzute la art. 3 din Regulamentul (UE) nr. 910/2014. ART. 3 Prestatorul de servicii de încredere care optează pentru dobândirea statutului de prestator calificat pentru un serviciu de încredere furnizat va înainta organismului de supraveghere o notificare (cerere) pentru începerea procedurii. Forma şi conţinutul şi modalităţile de transmitere ale acestei notificări sunt prevăzute în anexa nr. 1 care face parte integrantă din prezentul ordin. ART. 4 Toate documentele vor fi puse la dispoziţia organismului de supraveghere în limbile română şi engleză pentru a facilita cooperarea între Uniunea Europeană, statele membre şi organismele de supraveghere, atunci când este cazul, conform art. 18 din Regulamentul (UE) nr. 910/2014. ART. 5 Auditul/Verificarea conformităţii prestatorilor de servicii de încredere se realizează doar de către organismele de evaluare a conformităţii acreditate potrivit art. 3 pct. 18 din Regulamentul (UE) nr. 910/2014. Organismele de evaluare a conformităţii trebuie să fie acreditate la nivelul Uniunii Europene în conformitate cu standardul ETSI 319 403 v2.2.2 (Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers) sau ultima versiune a acestuia. ART. 6 Auditul prestatorilor de servicii de încredere trebuie să se realizeze de către organismele de evaluare a conformităţii în concordanţă cu standardele ETSI: ETSI EN 319 401, ETSI EN 319 411-1, ETSI EN 319 411-2, EN 319 412, ETSI EN 319 421, ETSI EN 319 422 sau ultimele versiuni ale acestora, precum şi standardele specifice fiecărui serviciu de încredere. ART. 7 Organismul de evaluare a conformităţii acreditat va emite un raport de evaluare a conformităţii. Raportul de evaluare a conformităţii trebuie să includă informaţii minime care să permită organismului de supraveghere să evalueze modalitatea în care prestatorul de servicii de încredere îndeplineşte cerinţele Regulamentului (UE) nr. 910/2014, cuprinzând cel puţin informaţiile prevăzute în anexa nr. 2 care face parte integrantă din prezentul ordin. ART. 8 Organismul de supraveghere verifică integritatea raportului de evaluare a conformităţii în întregime şi faptul că acesta a fost emis de un organism de evaluare a conformităţii acreditat. În acest scop raportul de evaluare a conformităţii trebuie: a) să fie semnat electronic folosind o semnătură electronică calificată de către auditorul principal desemnat de organismul de evaluare a conformităţii; sau b) să fie semnat electronic folosind sigiliul electronic calificat al organismului de evaluarea a conformităţii; sau c) să fie prezentat în original, în format tipărit, semnat olograf de auditorul principal desemnat de organismul de evaluare a conformităţii. ART. 9 Raportul de evaluare a conformităţii întocmit de către un organism de evaluare a conformităţii acreditat va fi transmis către organismul de supraveghere în următoarele situaţii: a) cel puţin o dată la 24 de luni, conform art. 20 alin. 1 din Regulamentul (UE) nr. 910/2014; b) ca urmare a unui audit conform art. 20 alin. 2 din Regulamentul (UE) nr. 910/2014; c) ca urmare a unui audit conform art. 21 alin. 1 din Regulamentul (UE) nr. 910/2014. ART. 10 Organismul de supraveghere poate, în orice moment, să efectueze un audit sau să solicite unui organism de evaluare a conformităţii acreditat la nivelul Uniunii Europene, în conformitate cu standardul ETSI 319 403 v2.2.2. (Trust Service Provider Conformity Assesment + Requirements for conformity assesment bodies assesing Trust Service Providers) sau ultima versiune a acestuia, să efectueze o evaluare a conformităţii privind prestatorii de servicii de încredere calificaţi, pe cheltuiala prestatorilor de servicii de încredere respectivi, pentru a confirma că aceştia şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în Regulamentul (UE) nr. 910/2014. În cazul în care există suspiciunea că normele de protecţie a datelor cu caracter personal au fost încălcate, organismul de supraveghere informează autorităţile pentru protecţia datelor cu privire la rezultatele auditării sale. ART. 11 După acordarea statutului de prestator de servicii de încredere calificat, Ministerul Comunicaţiilor şi Societăţii Informaţionale, în calitate de organism de supraveghere, va actualiza lista sigură (Trusted List) cu informaţii referitoare la prestatorii de servicii de încredere calificaţi în conformitate cu specificaţiile Deciziei de punere în aplicare (UE) 2015/1.505 a Comisiei din 8 septembrie 2015 de stabilire a specificaţiilor tehnice şi a formatelor pentru listele sigure în temeiul art. 22 alin. (5) din Regulamentul (UE) nr. 910/2014. Prestatorii de servicii de încredere calificaţi pot începe furnizarea serviciului de încredere calificat după ce statutul de calificat a fost indicat în listele sigure menţionate la art. 22 alin. (1) din Regulamentul (UE) nr. 910/2014. ART. 12 Organismul de supraveghere suspendă statutul de prestator de servicii de încredere calificat, în cazul în care constată că acesta nu respectă cerinţele Regulamentului (UE) nr. 910/2014 şi ale prezentului ordin referitoare la serviciul de încredere pentru care a primit statutul de calificat. Pentru revocarea suspendării prestatorul de servicii de încredere trebuie să remedieze neconformităţile. ART. 13 Organismul de supraveghere verifică remedierea neconformităţilor fie prin mijloace proprii, fie pe baza unui raport de evaluare a conformităţii emis de un organism de evaluare a conformităţii acreditat în conformitate cu standardul ETSI 319 403 v2.2.2 sau ultima versiune a acestuia, prezentat de către prestator. ART. 14 Pe perioada suspendării statutului de prestator de servicii de încredere calificat, prestatorul nu are dreptul să presteze serviciul de încredere calificat pentru care i s-a suspendat activitatea. ART. 15 Dacă în termen de 3 luni de la momentul dispunerii suspendării prestatorul de servicii de încredere nu remediază neconformităţile şi nu înaintează un raport de evaluare a conformităţii emis de un organism de evaluare a conformităţii acreditat, prin care să confirme acest lucru, organismul de supraveghere retrage prin decizie motivată statutul de prestator de servicii de încredere calificat şi va fi eliminat din lista sigură - Trusted List. ART. 16 Prestatorii de servicii de încredere calificaţi trebuie să îndeplinească următoarele cerinţe, în funcţie de specificul serviciului calificat pe care îl prestează: a) atunci când emite un certificat calificat pentru un serviciu de încredere, un prestator de servicii de încredere calificat verifică, prin mijloace corespunzătoare şi în conformitate cu legislaţia naţională, identitatea şi, atunci când este cazul, atributele specifice ale persoanei fizice sau juridice căreia i s-a emis un certificat calificat; b) în sensul art. 24 alin. 1 din Regulamentul (UE) nr. 910/2014, verificarea identităţii în scopul emiterii de către un prestator de servicii de încredere a unui certificat calificat se face prin identificare directă, astfel: (i) de către prestatorul de servicii de încredere calificat; (ii) de către o parte terţă, cu respectarea legislaţiei naţionale în vigoare, aplicabilă în domeniul certificării/atestării identităţii; c) datele de identificare şi, atunci când este cazul, atributele specifice ale persoanelor fizice sau persoanelor juridice se verifică de către persoanele prevăzute la lit. b) a prezentului articol conform metodelor prevăzute în art. 24 alin. 1 lit. (a)-(d) din Regulamentul (UE) nr. 910/2014 şi în limitele stabilite de către legislaţia naţională; d) ori de câte ori intervin modificări în actele de identitate, respectiv de înregistrare în cazul persoanelor juridice, ale titularului certificatului calificat, este necesară reverificarea identităţii aşa cum este precizat la lit. b), când titularul certificatului anunţă acest lucru, conform obligaţiei înscrise în condiţiile contractuale; e) un prestator de servicii de încredere calificat trebuie să asigure în orice moment corespondenţa dintre un certificat calificat emis şi identitatea reală a titularului certificatului calificat respectiv; f) dispozitivele de creare a semnăturilor electronice calificate şi a sigiliilor electronice calificate folosite de prestatorii de servicii de încredere calificaţi şi oferite titularilor certificatelor calificate pentru semnăturile electronice şi pentru sigiliile calificate trebuie să fie în conformitate cu cerinţele şi profilele de protecţie definite în anexa II la Regulamentul (UE) nr. 910/2014 şi în Decizia de punere în aplicare (UE) nr. 650/2016 a Comisiei din 25 aprilie 2016 de stabilire a standardelor pentru evaluarea securităţii dispozitivelor de creare a semnăturilor şi a sigiliilor calificate în temeiul art. 30 alin. (3) şi al art. 39 alin. (2) din Regulamentul (UE) nr. 910/2014; g) prestatorul de servicii de încredere calificat trebuie să dovedească organismului de supraveghere că dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfăşurării serviciilor de încredere calificate şi trebuie să fie capabil să acopere pierderile suferite de către o persoană fizică/juridică care îşi întemeiază conduita pe efectele juridice ale serviciilor de încredere calificate, până la concurenţa echivalentului în lei al sumei de cel puţin 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este pentru fiecare prejudiciu produs, chiar dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de către prestator a unei obligaţii prevăzute de lege. Pentru fiecare serviciu de încredere calificat pe care îl prestează, prestatorul va trebui să depună o scrisoare de garanţie din partea unei instituţii financiar-bancare sau o poliţă de asigurare la o societate de asigurări, cesionată în favoarea organismului de supraveghere, în valoare cel puţin egală cu echivalentul în lei al sumei de 500.000 euro pentru fiecare serviciu de încredere calificat prestat; scrisoarea de garanţie bancară are forma prevăzută în anexa nr. 3 care face parte integrantă din prezentul ordin; h) doar prestatorul de servicii de încredere calificat în conformitate cu Regulamentul (UE) nr. 910/2014 are dreptul să menţioneze pe site sau în documentele promoţionale că este calificat, respectând cerinţele Regulamentului (UE) nr. 806/2015 de stabilire a specificaţiilor referitoare la forma mărcii de încredere a UE pentru serviciile de încredere calificate; i) atunci când emit certificate digitale, atât prestatorii de servicii de încredere care operează în conformitate cu Regulamentul (UE) nr. 910/2014, cât şi furnizorii de servicii de certificare care operează în conformitate cu Legea nr. 455/2001 privind semnătura electronică, republicată, trebuie să informeze clienţii în mod clar, fără echivoc, cu privire la tipul certificatului pe care aceştia din urmă îl achiziţionează; j) atunci când oferă servicii de marcare temporală, atât prestatorii de servicii de încredere care operează în conformitate cu Regulamentul (UE) nr. 910/2014, cât şi furnizorii de servicii de marcare temporală care operează în conformitate cu Legea nr. 451/2004 privind marca temporală trebuie să informeze clienţii în mod clar, fără echivoc, cu privire la tipul serviciului de marcare temporală pe care aceştia din urmă îl achiziţionează. ART. 17 (1) Dispozitivele securizate de creare a semnăturilor electronice a căror conformitate a fost determinată în conformitate cu art. 38 din Legea nr. 455/2001, republicată, sunt considerate dispozitive de creare a semnăturilor electronice calificate în temeiul Regulamentului (UE) nr. 910/2014. (2) Certificatele calificate emise pentru persoane fizice în conformitate cu Legea nr. 455/2001, republicată, sunt considerate drept certificate calificate pentru semnături electronice în temeiul Regulamentului (UE) nr. 910/2014, până la expirarea lor. (3) Un prestator de servicii de certificare care eliberează certificate calificate în temeiul Legii nr. 455/2001, republicată, prezintă un raport de evaluare a conformităţii către organismul de supraveghere cât mai curând posibil, dar nu mai târziu de 1 iulie 2017. Până la prezentarea unui astfel de raport de evaluare a conformităţii şi până la finalizarea de către organismul de supraveghere a evaluării sale, prestatorul de servicii de certificare respectiv este considerat ca fiind prestator de servicii de încredere calificat în temeiul Regulamentului (UE) nr. 910/2014. (4) În cazul în care un prestator de servicii de certificare care eliberează certificate calificate în temeiul Legii nr. 455/2001, republicată, nu prezintă un raport de evaluare a conformităţii către organismul de supraveghere în termenul prevăzut la alin. (3), respectivul prestator de servicii de certificare nu mai este considerat ca fiind prestator de servicii de încredere calificat, în temeiul Regulamentului (UE) nr. 910/2014 începând cu data de 2 iulie 2017. ART. 18 Prezentul ordin se publică în Monitorul Oficial al României, Partea I. Ministrul comunicaţiilor şi societăţii informaţionale, Augustin Jianu Bucureşti, 30 mai 2017. Nr. 449. ANEXA NR. 1 - model - Cerere (notificare) Stimată/Stimate Doamnă/Domnule Ministru, Având în vedere prevederile art. 4 alin. (1) pct. 65 şi 66 din Hotărârea Guvernului nr. 36/2017 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale şi în temeiul prevederilor Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, cu deciziile şi regulamentele derivate, vă solicit să dispuneţi începerea procedurii de acordare a statutului de „prestator de servicii de încredere calificat“ pentru serviciul de încredere (se menţionează serviciul), pentru (numele şi prenumele/denumirea solicitantului), prestator de servicii de ...................., cu domiciliul/sediul în ........................ (adresa completă, inclusiv telefon şi fax), înregistrată la Oficiul Registrului Comerţului de pe lângă Tribunalul ........................, cod unic de înregistrare/cod de identificare fiscală ................., reprezentat legal prin ................ (numele şi prenumele), domiciliat(ă) în ....................... (adresa completă, inclusiv telefon), identificat(ă) prin actul de identitate ................... (serie, număr, cod numeric personal). Semnătura reprezentantului legal Lista de documente anexate formularului de notificare: 1. raportul de evaluare a conformităţii (CAR) emis de un organism de evaluare a conformităţii (CAB) acreditat în mod corespunzător în conformitate cu Regulamentul (UE) nr. 910/2014 şi Regulamentul nr. 765/2008 pentru serviciul de încredere calificat ................; 2. certificatul de înregistrare la oficiul registrului comerţului; 3. actul constitutiv al prestatorului de servicii de încredere din care să rezulte că are specificată în obiectul de activitate desfăşurarea de activităţi în domeniile tehnologiei informaţiei sau serviciilor informaţionale; 4. certificat constatator eliberat de către oficiul registrului comerţului, nu mai vechi de 30 de zile, în care să se specifice datele de identificare ale firmei şi administratorul; 5. copie a cărţii de identitate a administratorului societăţii, înscris în certificatul constatator; 6. împuternicire şi copie a cărţii de identitate pentru persoana delegată să semneze în numele administratorului; 7. dovezi că prestatorul de servicii de încredere deţine resurse financiare suficiente şi a obţinut o asigurare de răspundere corespunzătoare în ceea ce priveşte furnizarea serviciilor de încredere pentru care se solicită un statut calificat, incluzând: a) copie a contului de profit şi pierderi şi a balanţei contabile pentru ultimii 3 ani pentru conturile care au fost înscrise; în lipsa acesteia, declaraţii bancare corespunzătoare; b) asigurare de răspundere pentru fiecare serviciu pentru care solicită autorizare, cesionată în favoarea organismului de supraveghere (poliţă sau scrisoare de garanţie bancară); 8. politica de servicii de încredere ce se aplică serviciilor de încredere pentru care se solicită un statut calificat; 9. declaraţia practicilor care se aplică serviciilor de încredere pentru care se solicită un statut calificat; 10. arhitectura detaliată a serviciului de încredere (de exemplu, ierarhia PKI - infrastructura cheii publice, împreună cu indicarea politicilor de servicii de încredere sprijinite) pentru care se solicită un statut calificat; 11. plan de continuitate a afacerii şi recuperare în caz de dezastru; 12. lista standardelor în baza cărora operaţiile sunt efectuate, auditate, evaluate sau certificate pentru a fi conforme; 13. certificat de conformitate pentru dispozitivele de creare a semnăturii electronice şi a sigiliului electronic în concordanţă cu cerinţele Regulamentului (UE) nr. 910/2014 şi ale Deciziei Comisiei de punere în aplicare (UE) nr. 650/2016; 14. termenii şi condiţiile pe care prestatorul de servicii de încredere le va semna cu utilizatorul final în ceea ce priveşte furnizarea serviciilor de încredere pentru care se solicită un statut calificat; 15. modelul notificării organismului de supraveghere şi prezentarea măsurilor tehnice şi organizaţionale luate pentru gestionarea riscurilor la adresa securităţii serviciilor de încredere, menite să sprijine demonstrarea cerinţei art. 19.1 din Regulamentul (UE) nr. 910/2014; 16. procedura de notificare a autorităţii de supraveghere şi protecţia datelor cu caracter personal privind încălcarea securităţii sau pierderea integrităţii care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii menită să sprijine demonstrarea cerinţei art. 19.2 din Regulamentul (UE) nr. 910/2014; 17. planul de încetare a activităţii în conformitate cu cerinţele art. 24.2. (i) din Regulamentul (UE) nr. 910/2014; 18. adresa WEB a prestatorului. Toate documentele ataşate notificării vor fi semnate/confirmate de către administratorul prestatorului sau de către o persoană împuternicită de către acesta în scris. Notificarea şi documentele ataşate pot fi semnate şi electronic folosind un sigiliu electronic calificat al persoanei juridice sau folosind o semnătură electronică calificată de către administratorul acesteia şi transmise prin e-mail la adresa indicată de către organismul de supraveghere. ANEXA NR. 2 Informaţii minime cuprinse în raportul de evaluare a conformităţii Raportul de evaluare a conformităţii trebuie să includă cel puţin următoarele informaţii: 1. să indice în mod clar denumirea organismului de evaluare a conformităţii şi, unde este cazul, numărul său de înregistrare, aşa cum este declarat în înregistrările oficiale, adresa sa poştală oficială şi adresa de poştă electronică; 2. să indice în mod clar numele organismului de acreditare recunoscut la nivel naţional din statul membru care i-a acordat acreditarea organismului de evaluare a conformităţii şi, unde este cazul, numărul de înregistrare, aşa cum este declarat în înregistrările oficiale, adresa poştală oficială şi adresa de poştă electronică ale organismului naţional de acreditare; 3. să includă certificatul de acreditare sau un link către locaţia de unde poate fi accesat certificatul de acreditare emis de organismului naţional de acreditare identificat în conformitate cu pct. 2, împreună cu descrierea detaliată, sau un link către locaţia de unde pot fi obţinute descrierea detaliată a schemei de acreditare, inclusiv indicarea relevanţei sale în raport cu Regulamentul (UE) nr. 910/2014; 4. să indice în mod clar numele auditorului principal (lead auditorul) sau al organismului de evaluare a conformităţii care a emis şi semnat raportul de audit; 5. opinia de audit din care să reiasă dacă prestatorul îndeplineşte sau nu cerinţele Regulamentului (UE) nr. 910/2014 pentru serviciul de încredere pentru care a fost auditat; 6. serviciul de încredere pentru care a fost evaluat prestatorul de servicii de încredere; 7. standardul/standardele în conformitate cu care a fost realizată evaluarea conformităţii; 8. să indice în mod clar serviciile prestatorului de încredere pentru care raportul de evaluare a conformităţii certifică conformitatea cu cerinţele Regulamentului (UE) nr. 910/2014. Identificarea serviciului/serviciilor se va alinia la Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei şi clauza 5.5.1.1 din ETSI TS 119 612 V2.1.1 sau ultima versiune (notă: în acest sens, acesta va trebui să includă cel puţin Identificatorul Subject Key RFC 5280 sau cheia publică a serviciilor de încredere auditate şi reprezentarea Base64 PEM a certificatului digital X.509 v3 asociat); 9. să furnizeze pentru fiecare serviciu de încredere calificat identificat la pct. 8 informaţiile necesare cu scopul de a permite identificarea serviciului/serviciilor pentru includerea în lista naţională de încredere aplicabilă, în conformitate cu Decizia de punere în aplicare (UE) 2015/1.505 a Comisiei din 8 septembrie 2015; 10. să enumere lista completă a documentelor publice şi a documentelor interne ale prestatorului de servicii de încredere care au făcut parte din domeniul de aplicare al auditului. Documentele publice ar trebui să fie ataşate la raportul de evaluare a conformităţii sau să fie furnizate linkuri accesibile public care să permită descărcarea documentelor. a) Documentele publice care au făcut parte din domeniul de aplicare al auditului trebuie să includă cel puţin: (i) declaraţia practicilor utilizate de prestatorul de servicii de încredere pentru furnizarea serviciilor de încredere calificate; (ii) politica/politicile serviciilor de încredere calificate, de exemplu, setul de reguli care indică aplicabilitatea serviciilor de încredere calificate unei anumite comunităţi şi/sau aplicaţii cu cerinţe de securitate comune; (iii) contract de prestare a serviciilor de încredere şi termenii şi condiţiile aferente. b) Documentele interne care au făcut parte din domeniul de aplicare al auditului trebuie să includă cel puţin: (i) planul în caz de încetare a serviciului, menţionat în art. 24.2. (i) din Regulamentul (UE) nr. 910/2014; (ii) documentaţia aferentă evaluării riscului menită să sprijine demonstrarea cerinţei art. 19.1 din Regulamentul (UE) nr. 910/2014; (iii) procedura de notificare privind încălcarea securităţii sau pierderea integrităţii care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de prestatorul de servicii menită să sprijine demonstrarea cerinţei art. 19.2 din Regulamentul (UE) nr. 910/2014; (iv) lista tuturor documentelor interne care susţin declaraţia practicilor utilizate de prestatorul de servicii de încredere pentru a furniza servicii de încredere calificate şi politica/politicile serviciilor de încredere calificată(e); 11. să indice, pentru fiecare etapă a auditului (de exemplu, audit de documentare şi audit de punere în aplicare, inclusiv inspecţii la faţa locului), perioada în care a fost efectuat auditul (timpul scurs) şi efortul în om-zile angajate de organismul de evaluare a conformităţii pentru a efectua auditul; 12. să furnizeze, pentru fiecare dintre următoarele cerinţe din Regulamentul (UE) nr. 910/2014, un raport privind îndeplinirea de către prestatorul de servicii de încredere şi prin implementarea serviciilor sale de încredere calificate a cerinţei identificate sau, atunci când este cazul, cu privire la existenţa unor proceduri adecvate şi a sistemului de management pentru manipularea acestei cerinţe. A. Cerinţe generale pentru prestatorii de servicii de încredere calificaţi şi pentru fiecare tip de servicii de încredere calificate [cu indicarea articolelor relevante din Regulamentul (UE) nr. 910/2014] 1. Procesarea şi protecţia datelor (art. 5 şi art. 5.1). Prelucrarea datelor cu caracter personal se efectuează în conformitate cu legislaţia privind prelucrarea datelor cu caracter personal în vigoare. 2. Prevederile privind răspunderea şi sarcina probei îndeplinesc cerinţele art. 13. 3. Prevederile privind accesibilitatea pentru persoanele cu dizabilităţi îndeplinesc cerinţele art. 15. 4. Îndeplinirea cerinţelor de securitate aplicabile prestatorilor de servicii de încredere (art. 19 alin. 1 şi alin. 2). 5. Prevederile privind supravegherea prestatorilor de servicii de încredere calificaţi (art. 20) 6. Îndeplinirea cerinţelor din art. 24 alin. 2. B. Cerinţe specifice suplimentare pentru tipul aplicabil al serviciului de încredere calificat [cu indicarea articolelor relevante din Regulamentul (UE) nr. 910/2014] 1. Certificat calificat pentru semnătura electronică a. art. 24 alin. 1 lit. (a) la (d) b. art. 24 alin. 2. lit. (k) c. art. 24 alin. 3 d. art. 24 alin. 4 e. art. 28 alin. 1 - anexa I f. art. 28 alin. 3 g. art. 28 alin. 4 h. art. 28 alin. 5 2. Certificat calificat pentru sigiliu electronic a. art. 24 alin. 1 lit. (a) la (d) b. art. 24 alin. 2 lit. (k) c. art. 24 alin. 3 d. art. 24 alin. 4 e. art. 38 alin. 1 - anexa III f. art. 38 alin. 3 g. art. 38 alin. 4 h. art. 38 alin. 5 3. Certificat calificat pentru autentificarea unui site a. art. 24 alin. 1 lit. (a) la (d) b. art. 24 alin. 2 lit. (k) c. art. 24 alin. 3 d. art. 24 alin. 4 e. art. 45 alin. 1 - anexa IV 4. Serviciul de validare calificat pentru semnăturile electronice calificate (art. 33 alin. 1) 5. Serviciul de validare calificat pentru sigilii electronice calificate (art. 40) 6. Serviciul de conservare calificat pentru semnăturile electronice calificate (art. 34 alin. 1) 7. Serviciul de conservare calificat pentru sigilii electronice calificate (art. 40) 8. Mărci temporale electronice calificate [art. 42. alin. 1 lit. (a) la (c)] 9. Serviciile de distribuţie electronică înregistrată calificate [art. 44 alin. 1 lit. (a) la (f)] 10. În raportul de audit care se eliberează pe baza standardelor sau pe baza unor specificaţii accesibile publicului se evidenţiază separat neconformităţile şi impactul lor asupra serviciilor de încredere calificate furnizate de prestatorul de servicii de încredere. 11. Detaliază lista părţilor terţe contractate de către prestatorul de servicii de încredere pentru a efectua toate sau părţi ale proceselor-suport în vederea prestării serviciilor sale de încredere calificate (de exemplu, furnizori de servicii internet, curierat, infrastructură etc.). Raportul de evaluare a conformităţii trebuie să precizeze care dintre aceste părţi au fost supuse auditului. 12. Se indică, atunci când este solicitat de către schema aplicabilă de evaluare a acreditării/conformităţii, când trebuie să fie efectuat următorul audit de supraveghere şi următorul audit de conformitate. 13. Se indică circumstanţele în care un organism acreditat de evaluare a conformităţii trebuie să fie implicat în reevaluarea prestatorului de servicii de încredere şi a serviciilor de încredere calificate, în plus faţă de auditările planificate. 14. Declaraţie auditor - conflict de interese. ANEXA NR. 3
- model -
Scrisoare de garanţie bancară
ANTETUL INSTITUŢIEI FINANCIARE BANCARE
Data .....................
Subiect .......................
Această scrisoare confirmă că .......(instituţie financiară bancară)......
garantează irevocabil efectuarea plăţii/plăţilor ordonate de ................
....(prestatorul de servicii de încredere).......... până la limita de ......
.......(minimum 500.000 euro)............... din contul .....................
........(contul prestatorului)..........
Această garanţie se referă la condiţiile prevăzute în legislaţia naţională
cu privire la implementarea Regulamentului (UE) nr. 910/2014 pentru
serviciul ........(denumirea serviciului de încredere pentru care este
valabilă scrisoarea de garanţie)........
Această scrisoare de garanţie este validă până la data de .............
.......(data-limită de valabilitate a scrisorii de garanţie).....
Pentru verificări, contactaţi .....(contact instituţie financiară).....
.........................................
(Semnătura reprezentantului legal/
împuternicitului instituţiei financiare)
....................................................
(Semnătura reprezentantului legal/
împuternicitului prestatorului de servicii de încredere)
----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.