Regulamentul 1943/29-sept-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă privind certificatele calificate pentru semnături electronice şi certificatele calificate pentru sigiliile electronice
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 30 Septembrie 2025
Regulamentul 1943/29-sept-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă privind certificatele calificate pentru semnături electronice şi certificatele calificate pentru sigiliile electronice
Dată act: 29-sept-2025
Emitent: Comisia Europeana
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (1), în special articolul 28 alineatul (6) şi articolul 38 alineatul (6),
(1)JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Întrucât:
(1)Certificatele calificate pentru semnăturile electronice şi certificatele calificate pentru sigiliile electronice joacă un rol esenţial în mediul de afaceri digital, promovând tranziţia de la procesele tradiţionale pe suport de hârtie la cele electronice echivalente. Prin corelarea datelor de validare a semnăturilor electronice sau a sigiliilor electronice cu o persoană fizică sau, respectiv, juridică şi prin confirmarea numelui persoanei respective, certificatele calificate sporesc certitudinea în ceea ce priveşte identitatea semnatarului şi a creatorului sigiliului.
(2)Prezumţia de conformitate prevăzută la articolul 28 alineatul (6) şi la articolul 38 alineatul (6) din Regulamentul (UE) nr. 910/2014 ar trebui să se aplice numai în cazul în care serviciile de încredere calificate pentru emiterea de certificate calificate pentru semnăturile electronice şi serviciile de încredere calificate pentru eliberarea de certificate calificate pentru sigiliile electronice respectă standardele prevăzute în prezentul regulament. Aceste standarde ar trebui să reflecte practicile consacrate şi să fie recunoscute pe scară largă în sectoarele relevante. Acestea ar trebui adaptate pentru a include controale suplimentare care să asigure securitatea şi credibilitatea serviciilor de încredere calificate şi a conţinutului certificatelor calificate.
(3)În cazul în care un prestator de servicii de încredere aderă la cerinţele prevăzute în anexa la prezentul regulament, organismele de supraveghere ar trebui să presupună conformitatea cu cerinţele relevante din Regulamentul (UE) nr. 910/2014 şi să ia în considerare în mod corespunzător o astfel de prezumţie pentru acordarea sau confirmarea statutului de calificat al serviciului de încredere. Cu toate acestea, un prestator de servicii de încredere calificat se poate baza în continuare pe alte practici pentru a demonstra conformitatea cu cerinţele Regulamentului (UE) nr. 910/2014.
(4)Comisia evaluează periodic noile tehnologii, practici, standarde sau specificaţii tehnice. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului (2), Comisia ar trebui să revizuiască şi să actualizeze prezentul regulament, dacă este necesar, pentru a îl menţine aliniat la evoluţiile mondiale, la noile tehnologii, standarde sau specificaţii tehnice, precum şi pentru a respecta bunele practici de pe piaţa internă.
(2)Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (3) şi, după caz, Directiva 2002/58/CE a Parlamentului European şi a Consiliului (4) se aplică activităţilor de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.
(3)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(6)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (5) şi a emis un aviz la 6 iunie 2025.
(5)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit prin articolul 48 din Regulamentul (UE) nr. 910/2014,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Standarde de referinţă şi specificaţii privind certificatele calificate pentru semnăturile electronice şi sigiliile electronice
(1)Standardele de referinţă şi specificaţiile menţionate la articolul 28 alineatul (6) din Regulamentul (UE) nr. 910/2014 sunt stabilite în anexa I la prezentul regulament.
(2)Standardele de referinţă şi specificaţiile menţionate la articolul 38 alineatul (6) din Regulamentul (UE) nr. 910/2014 sunt stabilite în anexa II la prezentul regulament.
Art. 2: Intrare în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 29 septembrie 2025.
Pentru Comisie Preşedinta Ursula VON DER LEYEN |
ANEXA I:Lista standardelor de referinţă şi a specificaţiilor privind certificatele calificate pentru semnăturile electronice
Standardele ETSI EN 319 411-2 V2.6.1 ("ETSI EN 319 411-2"), ETSI EN 319 412-1 V1.6.1 ("ETSI EN 319 412-1"), ETSI EN 319 412-2 V2.4.1 ("ETSI EN 319 412-2") şi ETSI EN 319 412-5 V2.5.1 ("ETSI EN 319 412-5") se aplică cu următoarele adaptări:
I.În cazul ETSI EN 319 411-2:
1.2.1 Referinţe normative
- [1] ETSI EN 319 401 V3.1.1 (2024-06) "Semnături electronice şi infrastructuri de încredere (ESI); Cerinţe de politică generală pentru prestatorii de servicii de încredere".
- [2] ETSI EN 319 411-1 V1.5.1 (2025-04) "Semnături electronice şi infrastructuri de încredere (ESI); Cerinţe de politică şi de securitate pentru prestatorii de servicii de încredere care emit certificate; Partea 1: Cerinţe generale", cu următoarele adaptări:
Clauza 2.1 Referinţe normative ale ETSI EN 319 411-1 V1.5.1 se modifică după cum urmează:
- [9] ETSI EN 319 401 V3.1.1 (2024-06) "Semnături electronice şi infrastructuri de încredere (ESI); Cerinţe de politică generală pentru prestatorii de servicii de încredere".
- [10] ETSI EN 319 412-2 V2.4.1 "Semnături electronice şi infrastructuri (ESI); Profiluri de certificat; Partea 2: Profilul de certificat pentru certificatele eliberate persoanelor fizice".
- [14] ETSI EN 319 412-1 V1.6.1 "Semnături electronice şi infrastructuri (ESI); Profiluri de certificat; Partea 1: Prezentare generală şi structuri comune de date".
- [3] ETSI EN 319 412-5 V2.5.1 "Semnături electronice şi infrastructuri de încredere (ESI); Profiluri de certificat; Partea 5: Declaraţii privind controlul calităţii".
- [5] ETSI EN 319 412-1 V1.6.1 "Semnături electronice şi infrastructuri de încredere (ESI); Profiluri de certificat; Partea 1: Prezentare generală şi structuri comune de date".
- [6] CEN/TS 419261:2015 "Cerinţe de securitate pentru sisteme fiabile de gestionare a certificatelor şi a marcajelor temporale".
- [7] Grupul european pentru certificarea securităţii cibernetice, Subgrupul privind criptografia: "Mecanismele criptografice convenite" publicate de Agenţia Uniunii Europene pentru Securitate Cibernetică ("ENISA") (1);
(1)https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.
- [8] Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei (2) de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 în ceea ce priveşte adoptarea sistemului european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC).
(2)JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj.
- [9] Regulamentul de punere în aplicare (UE) 2024/3144 al Comisiei (3) de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 în ceea ce priveşte adoptarea sistemului european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC).
(3)JO L, 2024/3144, 19.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3144/oj.
- [10] ISO/IEC 15408:2022 (părţile 1-5): "Securitatea informaţiilor, securitatea cibernetică şi protecţia vieţii private. Criterii de evaluare a securităţii IT".
- [11] FIPS PUB 140-3 (2019) "Cerinţe de securitate pentru modulele criptografice".
2.5.2 Cerinţe referitoare la declaraţia privind practicile de certificare (Certification Practice Statement - CPS)
- OVR-5.2-02 Politica (politicile) de certificare (Certificate Policy - CP) identificate în documentaţia prestatorului de servicii de încredere (TSP) trebuie să specifice cerinţele privind profilurile de certificat care trebuie utilizate.
3.5.3 Denumirea şi identificarea politicii de certificare
- OVR-5.3-01 În cazul în care se aduc modificări unei PC, astfel cum se descrie în clauza 4.2.2, care afectează aplicabilitatea, atunci identificatorul politicii trebuie modificat.
4.6.1 Responsabilităţi legate de publicare şi de registru
- OVR-6.1-02 Informaţiile identificate în DIS-6.1-04 din ETSI EN 319 411-1 [2] sunt puse la dispoziţia publicului la nivel internaţional.
5.6.2.2 Validarea iniţială a identităţii
- REG-6.2.2-01A Colectarea atributelor şi a dovezilor privind identitatea subiectului, precum şi validarea acestora sunt cele specificate în conformitate cu actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (1c) din Regulamentul (UE) nr. 910/2014 [i.1].
- REG-6.2.2-02 [QCP-n] şi [QCP-n-qscd] Identitatea persoanei fizice şi, dacă este cazul, orice atribute specifice ale persoanei se verifică în conformitate cu actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (1c) din Regulamentul (UE) nr. 910/2014 [i.1].
- Nota 1 - necompletată.
6.6.3.3 Eliberarea certificatelor
- GEN-6.3.3-01 Se aplică cerinţele GEN-6.3.3-01 - GEN-6.3.3-10 identificate în ETSI EN 319 411-1 [2], clauza 6.3.3.
- GEN-6.3.3-02 [CONDIŢIONAT] În cazul în care se eliberează un certificat unei persoane fizice identificate în asociere cu persoana juridică, atributele subiectului care identifică organizaţia în certificat reprezintă persoana juridică sau entitatea subordonată persoanei juridice respective, iar identificatorul subiectului din certificat este persoana fizică.
- GEN-6.3.3-03 Identificatorul PC este [OPŢIUNE]:
(a)[QCP-n]
- astfel cum se specifică în clauza 5.3 litera (a); şi/sau
- un identificator digital al obiectului (OID), alocat de TSP, de alte părţi interesate relevante sau de o standardizare ulterioară pentru o politică de certificare care îmbunătăţeşte cerinţele corespunzătoare de politică aplicabile definite în prezentul document.
(b)[QCP-n-qscd]
- astfel cum se specifică în clauza 5.3 litera (c); şi/sau
- un OID, alocat de TSP, de alte părţi interesate relevante sau de o standardizare ulterioară pentru o politică de certificare care îmbunătăţeşte cerinţele corespunzătoare de politică aplicabile definite în prezentul document.
7.6.3.5 Utilizarea perechii de chei şi a certificatelor
- SDP-6.3.5-02A [CONDIŢIONAT] În cazul în care TSP gestionează QSCD pentru subiect, TSP este un prestator de servicii de încredere calificat care prestează un serviciu de încredere calificat pentru gestionarea unui dispozitiv calificat de creare a semnăturii electronice la distanţă, în conformitate cu Regulamentul (UE) nr. 910/2014 [i.1]
- SDP-6.3.5-11A Obligaţiile abonatului (a se vedea clauza 6.3.4) includ, în cazul în care abonatul sau subiectul generează cheile subiectului:
(a)obligaţia de a genera cheile subiectului utilizând un algoritm conform cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice [7] şi publicate de ENISA, pentru utilizările cheii certificate, astfel cum au fost identificate în PC;
(b)obligaţia de a utiliza lungimea şi algoritmul cheii conforme cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice [7] şi publicate de ENISA, pentru utilizările cheii certificate, astfel cum au fost identificate în PC, în perioada de valabilitate a certificatului.
8.6.3.10 Servicii privind statutul certificatelor
- CSS-6.3.10-08 [CONDIŢIONAT] Dacă sunt furnizate liste ale certificatelor revocate (CRL), TSP păstrează integritatea şi disponibilitatea celei mai recente CRL cel puţin pentru perioada specificată în CPS, astfel cum se solicită în CSS-6.3.10-12.
9.6.4.4 Controale ale personalului
- OVR-6.4.4-02 Personalul TSP cu roluri de încredere şi, dacă este cazul, subcontractanţii săi cu roluri de încredere trebuie să fie în măsură să îndeplinească cerinţa privind "cunoştinţele de specialitate, experienţa şi calificările" prin formare şi acreditări oficiale sau prin experienţă efectivă sau printr-o combinaţie a celor două.
- OVR-6.4.4-03 Conformitatea cu OVR-6.4.4-02 include actualizări periodice (cel puţin o dată la 12 luni) privind noile ameninţări şi practicile actuale în materie de securitate.
- OVR-6.4.4-04 Pe lângă rolurile de încredere identificate în ETSI EN 319 401 [1] (clauza 7.2-15), trebuie sprijinite rolurile de încredere ale responsabililor cu înregistrarea şi revocarea cu responsabilităţi, astfel cum sunt definite în TS 419261 [6]. În cazurile în care prestatorul de servicii de încredere calificat (QTSP) este gestionat direct de către un stat membru sau un organism din sectorul public sau este exploatat în numele unui stat membru sau al unui organism din sectorul public, aceste roluri suplimentare de încredere pot fi îndeplinite de unul sau mai mulţi reprezentanţi oficiali care acţionează pentru sau în numele responsabililor cu înregistrarea şi revocarea care exercită funcţii în administraţiile locale sau regionale.
10.6.4.9 Încetarea activităţii autorităţii de certificare (CA) sau a autorităţii de înregistrare (RA)
- OVR-6.4.9-02 Planul privind încetarea activităţii TSP respectă cerinţele prevăzute în actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (5) din Regulamentul (UE) nr. 910/2014 [i.1].
11.6.5.1 Generarea şi instalarea perechilor de chei
- OVR-6.5.1-01A Generarea perechilor de chei CA se efectuează utilizând un algoritm conform cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [7] în scopul semnării de către CA.
- OVR-6.5.1-01B Lungimea şi algoritmul cheii selectate pentru cheia de semnătură a CA sunt conforme cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [7] în scopul semnării de către CA.
- OVR-6.5.1-01C [CONDIŢIONAT] În cazul în care CA generează cheile subiectului, cheile subiectului generate de CA respectă mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [7] în scopurile menţionate în PC în perioada de valabilitate a certificatului.
12.6.5.2 Protecţia cheilor private şi controale tehnice ale modulelor criptografice
- GEN-6.5.2-01 Se aplică toate cerinţele identificate în ETSI EN 319 411-1 [2] clauza 6.5.2, cu excepţia cerinţelor OVR-6.5.2-01, OVR-6.5.2-03 şi OVR-6.5.2-04.
- GEN-6.5.2-02 Generarea perechilor de chei ale TSP, inclusiv cheile utilizate de serviciile de revocare şi înregistrare, se efectuează în cadrul unui dispozitiv criptografic securizat care este un sistem de încredere certificat, în conformitate cu:
- criteriile comune de evaluare a securităţii IT, astfel cum sunt stabilite în ISO/IEC 15408 [10] sau în criteriile comune de evaluare a securităţii IT, versiunea CC: 2002, părţile 1-5, publicate de participanţii la Acordul privind recunoaşterea certificatelor de criterii comune în domeniul securităţii informatice, certificat în conformitate cu EAL 4 sau cu un nivel de securitate mai ridicat; sau
- sistemul european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC) [8] [9], certificat în conformitate cu EAL 4 sau cu un nivel de securitate mai ridicat; sau
- până la 31.12.2030, FIPS PUB 140-3 [11] nivelul 3.
Această certificare se referă la un obiectiv de securitate sau un profil de protecţie sau un proiect de modul şi o documentaţie de securitate care îndeplinesc cerinţele prezentului document, pe baza unei analize a riscurilor şi ţinând seama de măsurile de securitate fizice şi de altă natură, fără caracter tehnic.
În cazul în care dispozitivul criptografic securizat beneficiază de o certificare EUCC [8] [9], dispozitivul respectiv se configurează şi se utilizează în conformitate cu certificarea respectivă.
- GEN-6.5.2-03 Cheia de semnătură privată a CA este ţinută şi utilizată în cadrul unui dispozitiv criptografic securizat care îndeplineşte cerinţele GEN-6.5.2-01 şi GEN-6.5.2-02.
13.6.5.7 Controale de securitate a reţelei
- OVR-6.5.7-02 Scanarea vulnerabilităţii solicitată de REQ-7.8-13 din ETSI EN 319 401 [1] se efectuează cel puţin o dată pe trimestru.
- OVR-6.5.7-03 Testul de penetrare prevăzut de REQ-7.8-17X din ETSI EN 319 401 [1] se efectuează cel puţin o dată pe an.
- OVR-6.5.7-04 Firewall-urile trebuie configurate astfel încât să se prevină toate protocoalele şi accesările care nu sunt necesare pentru desfăşurarea activităţii TSP.
14.6.6.1 Profilul de certificat
- GEN-6.6.1-05 Certificatul include unul dintre identificatorii de politică identificaţi în GEN-6.3.3-03 [OPŢIUNE]. Certificatul poate include şi alte OID alocate de TSP.
II.În cazul ETSI EN 319 412-2:
1.2.1 Referinţe normative
- [2] ETSI EN 319 412-5 V2.5.1 "Semnături electronice şi infrastructuri de încredere (ESI); Profiluri de certificat; Partea 5: Declaraţii privind controlul calităţii".
- [9] Grupul european pentru certificarea securităţii cibernetice, Subgrupul privind criptografia "Mecanisme criptografice convenite", publicat de ENISA.
2.4.2.2 Semnătură
- GEN-4.2.2-2 Algoritmul de semnătură este selectat în conformitate cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [9].
- NOTA - necompletată.
3.4.2.3.1 Emitenţi persoane juridice
- GEN-4.2.3.1-3 În cazul în care se ştie că există un număr de înregistrare adecvat, identitatea emitentului conţine identificatorul organizationIdentifier cu valoarea respectivului număr de înregistrare, astfel cum se menţionează în registrul oficial corespunzător care stabileşte numărul de înregistrare respectiv.
4.4.2.5 Informaţii cu privire la cheia publică a subiectului
- GEN-4.2.5-2 Cheia publică a subiectului este selectată în conformitate cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [9].
- NOTA - necompletată.
5.4.2.6 Numărul de serie
- GEN-4.2.6-01 Numărul de serie al certificatului (astfel cum se specifică în IETF RFC 5280 [1] clauza 4.1.2.2) este unic pentru fiecare certificat eliberat de TSP.
ANEXA II:Lista standardelor de referinţă şi a specificaţiilor pentru certificatele calificate pentru sigiliile electronice
Standardele ETSI EN 319 411-2 V2.6.1 ("ETSI EN 319 411-2"), ETSI EN 319 412-1 V1.6.1 ("ETSI EN 319 412-1"), ETSI EN 319 412-3 V1.3.1 ("ETSI EN 319 412-3"), ETSI EN 319 412-2 V2.4.1 ("ETSI EN 319 412-2") şi ETSI EN 319 412-5 V2.5.1 ("ETSI EN 319 412-5") se aplică cu următoarele adaptări:
I.În cazul ETSI EN 319 411-2:
1.2.1 Referinţe normative
- [1] ETSI EN 319 401 V3.1.1 (2024-06) "Semnături electronice şi infrastructuri de încredere (ESI); Cerinţe de politică generală pentru prestatorii de servicii de încredere".
- [2] ETSI EN 319 411-1 V1.5.1 (2025-04) "Semnături electronice şi infrastructuri de încredere (ESI); Cerinţe de politică şi de securitate pentru prestatorii de servicii de încredere care emit certificate; Partea 1: Cerinţe generale", cu următoarele adaptări:
Clauza 2.1 Referinţe normative ale ETSI EN 319 411-1 V1.5.1 se modifică după cum urmează:
- [9] ETSI EN 319 401 V3.1.1 (2024-06) "Semnături electronice şi infrastructuri de încredere (ESI); Cerinţe de politică generală pentru prestatorii de servicii de încredere".
- [10] ETSI EN 319 412-2 V2.4.1 "Semnături electronice şi infrastructuri (ESI); Profiluri de certificat; Partea 2: Profilul de certificat pentru certificatele eliberate persoanelor fizice".
- [14] ETSI EN 319 412-1 V1.6.1 "Semnături electronice şi infrastructuri (ESI); Profiluri de certificat; Partea 1: Prezentare generală şi structuri comune de date".
- [3] ETSI EN 319 412-5 V2.5.1 "Semnături electronice şi infrastructuri de încredere (ESI); Profiluri de certificat; Partea 5: Declaraţii privind controlul calităţii".
- [5] ETSI EN 319 412-1 V1.6.1 "Semnături electronice şi infrastructuri de încredere (ESI); Profiluri de certificat; Partea 1: Prezentare generală şi structuri comune de date".
- [6] CEN/TS 419261:2015 "Cerinţe de securitate pentru sisteme fiabile de gestionare a certificatelor şi a marcajelor temporale" (elaborate de CEN).
- [7] Grupul european pentru certificarea securităţii cibernetice, Subgrupul privind criptografia: "Mecanisme criptografice convenite" publicate de ENISA.
- [8] Regulamentul de punere în aplicare (UE) 2024/482 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 în ceea ce priveşte adoptarea sistemului european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC).
- [9] Regulamentul de punere în aplicare (UE) 2024/3144 de modificare a Regulamentului de punere în aplicare (UE) 2024/482 în ceea ce priveşte standardele internaţionale aplicabile şi de rectificare a regulamentului de punere în aplicare respectiv.
- [10] ISO/IEC 15408: 2022 (părţile 1-5) "Securitatea informaţiilor, securitatea cibernetică şi protecţia vieţii private - Criterii de evaluare pentru securitatea IT".
- [11] FIPS PUB 140-3 (2019) "Cerinţe de securitate pentru modulele criptografice".
2.5.2 Cerinţe referitoare la declaraţia privind practicile de certificare (Certification Practice Statement - CPS)
- OVR-5.2-02 Politica (politicile) de certificare (Certificate Policy - CP) identificate în documentaţia TSP trebuie să specifice cerinţele privind profilurile de certificat care trebuie utilizate.
3.5.3 Denumirea şi identificarea politicii de certificare
- OVR-5.3-01 În cazul în care se aduc modificări unei PC, astfel cum se descrie în clauza 4.2.2, care afectează aplicabilitatea, atunci identificatorul politicii trebuie modificat.
4.6.1 Responsabilităţi legate de publicare şi de registru
- OVR-6.1-02 Informaţiile identificate în DIS-6.1-04 din ETSI EN 319 411-1 [2] sunt puse la dispoziţia publicului la nivel internaţional.
5.6.2.2 Validarea iniţială a identităţii
- REG-6.2.2-01A Colectarea atributelor şi a dovezilor privind identitatea subiectului, precum şi validarea acestora sunt cele specificate în conformitate cu actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (1c) din Regulamentul (UE) nr. 910/2014 [i.1].
- REG-6.2.2-03 [QCP-l] şi [QCP-l-qscd] Identitatea persoanei juridice şi, dacă este cazul, orice atribute specifice ale persoanei se verifică în conformitate cu actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (1c) din Regulamentul (UE) nr. 910/2014 [i.1].
- NOTA 3 A se vedea nota 2.
6.6.3.3 Eliberarea certificatelor
- GEN-6.3.3-01 Se aplică cerinţele GEN-6.3.3-01 - GEN-6.3.3-10 identificate în ETSI EN 319 411-1 [2], clauza 6.3.3.
- GEN-6.3.3-02 Identificatorul PC este [OPŢIUNE]:
(a)[QCP-l]
- astfel cum se specifică în clauza 5.3 litera (b); şi/sau
- un OID, alocat de TSP, de alte părţi interesate relevante sau de o standardizare ulterioară pentru o politică de certificare care îmbunătăţeşte cerinţele corespunzătoare de politică aplicabile definite în prezentul document.
(b)[QCP-l-qscd]
- astfel cum se specifică în clauza 5.3 litera (d); şi/sau
- un OID, alocat de TSP, de alte părţi interesate relevante sau de o standardizare ulterioară pentru o politică de certificare care îmbunătăţeşte cerinţele de politică aplicabile definite în prezentul document.
7.6.3.5 Utilizarea perechii de chei şi a certificatelor
- SDP-6.3.5-02A [CONDIŢIONAT] În cazul în care TSP gestionează QSCD pentru subiect, TSP este un prestator de servicii de încredere calificat care prestează un serviciu de încredere calificat pentru gestionarea unui dispozitiv calificat de creare a sigiliului electronic la distanţă, în conformitate cu Regulamentul (UE) nr. 910/2014 [i.1]
- SDP-6.3.5-11A Obligaţiile abonatului (a se vedea clauza 6.3.4) includ, în cazul în care abonatul sau subiectul generează cheile subiectului:
(a)obligaţia de a genera cheile subiectului utilizând un algoritm conform cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [7], pentru utilizările cheii certificate, astfel cum au fost identificate în PC; şi
(b)obligaţia de a utiliza lungimea şi algoritmul cheii conforme cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [7], pentru utilizările cheii certificate, astfel cum au fost identificate în PC, în perioada de valabilitate a certificatului.
8.6.3.10 Servicii privind statutul certificatelor
- CSS-6.3.10-08 [CONDIŢIONAT] Dacă sunt furnizate liste ale certificatelor revocate (CRL), TSP păstrează integritatea şi disponibilitatea celei mai recente CRL cel puţin pentru perioada specificată în CPS, astfel cum se solicită în CSS-6.3.10-12.
9.6.4.4 Controale ale personalului
- OVR-6.4.4-02 Personalul TSP cu roluri de încredere şi, dacă este cazul, subcontractanţii săi cu roluri de încredere trebuie să fie în măsură să îndeplinească cerinţa privind "cunoştinţele de specialitate, experienţa şi calificările" prin formare şi acreditări oficiale sau prin experienţă efectivă sau printr-o combinaţie a celor două.
- OVR-6.4.4-03 Conformitatea cu OVR-6.4.4-02 include actualizări periodice (cel puţin o dată la 12 luni) privind noile ameninţări şi practicile actuale în materie de securitate.
- OVR-6.4.4-04 Pe lângă rolurile de încredere identificate în ETSI EN 319 401 [1] (clauza 7.2-15), trebuie sprijinite rolurile de încredere ale responsabililor cu înregistrarea şi revocarea cu responsabilităţi, astfel cum sunt definite în TS 419261 [6]. În cazurile în care QTSP este gestionat direct de către un stat membru sau un organism din sectorul public sau este exploatat în numele unui stat membru sau al unui organism din sectorul public, aceste roluri suplimentare de încredere pot fi îndeplinite de unul sau mai mulţi reprezentanţi oficiali care acţionează pentru sau în numele responsabililor cu înregistrarea şi revocarea care exercită funcţii în administraţiile locale sau regionale.
10.6.4.9 Rezilierea de către autoritatea de certificare (CA) sau autoritatea de înregistrare (RA)
- OVR-6.4.9-02 Planul privind încetarea activităţii TSP respectă cerinţele prevăzute în actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (5) din Regulamentul (UE) nr. 910/2014 [i.1]].
11.6.5.1 Generarea şi instalarea perechilor de chei
- OVR-6.5.1-01A Generarea perechilor de chei CA se efectuează utilizând un algoritm conform cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [7] în scopul semnării de către CA.
- OVR-6.5.1-01B Lungimea şi algoritmul cheii selectate pentru cheia de semnătură a CA sunt conforme cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [7] în scopul semnării de către CA.
- OVR-6.5.1-01C [CONDIŢIONAT] În cazul în care CA generează cheile subiectului, cheile subiectului generate de CA respectă mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [7] în scopurile menţionate în PC în perioada de valabilitate a certificatului.
12.6.5.2 Protecţia cheilor private şi controale tehnice ale modulelor criptografice
- GEN-6.5.2-01 Se aplică toate cerinţele identificate în ETSI EN 319 411-1 [2] clauza 6.5.2, cu excepţia cerinţelor OVR-6.5.2-01, OVR-6.5.2-03 şi OVR-6.5.2-04.
- GEN-6.5.2-02 Generarea perechilor de chei ale TSP, inclusiv cheile utilizate de serviciile de revocare şi înregistrare, se efectuează în cadrul unui dispozitiv criptografic securizat care este un sistem de încredere certificat, în conformitate cu:
- criteriile comune de evaluare a securităţii IT, astfel cum sunt stabilite în ISO/IEC 15408 [10] sau în criteriile comune de evaluare a securităţii IT, versiunea CC: 2002, părţile 1-5, publicate de participanţii la Acordul privind recunoaşterea certificatelor de criterii comune în domeniul securităţii informatice, certificat în conformitate cu EAL 4 sau cu un nivel de securitate mai ridicat; sau
- sistemul european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC) [8] [9], certificat în conformitate cu EAL 4 sau cu un nivel de securitate mai ridicat; sau
- până la 31.12.2030, FIPS PUB 140-3 [11] nivelul 3.
Această certificare se referă la un obiectiv de securitate sau un profil de protecţie sau un proiect de modul şi o documentaţie de securitate care îndeplinesc cerinţele prezentului document, pe baza unei analize a riscurilor şi ţinând seama de măsurile de securitate fizice şi de altă natură, fără caracter tehnic.
În cazul în care dispozitivul criptografic securizat beneficiază de o certificare EUCC [8] [9], dispozitivul respectiv se configurează şi se utilizează în conformitate cu certificarea respectivă.
- GEN-6.5.2-03 Cheia de semnătură privată a CA este ţinută şi utilizată în cadrul unui dispozitiv criptografic securizat care îndeplineşte cerinţele GEN-6.5.2-01 şi GEN-6.5.2-02.
13.6.5.7 Controale de securitate a reţelei
- OVR-6.5.7-02 Scanarea vulnerabilităţii solicitată de REQ-7.8-13 din ETSI EN 319 401 [1] se efectuează cel puţin o dată pe trimestru.
- OVR-6.5.7-03 Testul de penetrare prevăzut de REQ-7.8-17X din ETSI EN 319 401 [1] se efectuează cel puţin o dată pe an.
- OVR-6.5.7-04 Firewall-urile trebuie configurate astfel încât să se prevină toate protocoalele şi accesările care nu sunt necesare pentru desfăşurarea activităţii TSP.
14.6.6.1 Profilul de certificat
- GEN-6.6.1-05 Certificatul include unul dintre identificatorii de politică identificaţi în GEN-6.3.3-02 [OPŢIUNE].
II.În cazul ETSI EN 319 412-3:
1.2.1 Referinţe normative
- [2] ETSI EN 319 412-2 V2.4.1 "Semnături electronice şi infrastructuri (ESI); Profiluri de certificat; Partea 2: Profilul de certificat pentru certificatele eliberate persoanelor fizice".
2.4.2.1 Subiect
- LEG-4.2.1-6 Atributul organizationIdentifier conţine o identificare a organizaţiei în cauză, diferită de denumirea organizaţiei. În cazul în care se cunoaşte existenţa unui număr de înregistrare corespunzător, atributul organizationIdentifier conţine o valoare a respectivului număr de înregistrare, astfel cum se menţionează în registrul oficial corespunzător care stabileşte numărul de înregistrare respectiv.
III.În cazul ETSI EN 319 412-2:
1.2.1 Referinţe normative
- [2] ETSI EN 319 412-5 V2.5.1 "Semnături electronice şi infrastructuri de încredere (ESI); Profiluri de certificat; Partea 5: Declaraţii privind controlul calităţii".
- [9] Grupul european pentru certificarea securităţii cibernetice, Subgrupul privind criptografia: "Mecanisme criptografice convenite" publicate de ENISA.
2.2.2 Referinţe informative
- [i.7] necompletat.
3.4.2.2 Semnătură
- GEN-4.2.2-2 Algoritmul de semnătură este selectat în conformitate cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [9].
- NOTA - necompletată.
4.4.2.3.1 Emitenţi persoane juridice
- GEN-4.2.3.1-3 În cazul în care se ştie că există un număr de înregistrare adecvat, identitatea emitentului conţine identificatorul organizationIdentifier cu valoarea respectivului număr de înregistrare, astfel cum se menţionează în registrul oficial corespunzător care stabileşte numărul de înregistrare respectiv.
5.4.2.5 Informaţii cu privire la cheia publică a subiectului
- GEN-4.2.5-2 Cheia publică a subiectului este selectată în conformitate cu mecanismele criptografice convenite, aprobate de Grupul european pentru certificarea securităţii cibernetice şi publicate de ENISA [9].
- NOTA - necompletată.
6.4.2.6 Numărul de serie
- GEN-4.2.6-01 Numărul de serie al certificatului (astfel cum se specifică în IETF RFC 5280 [1] clauza 4.1.2.2) este unic pentru fiecare certificat eliberat de TSP.
Publicat în Jurnalul Oficial seria L din data de 30 septembrie 2025