Art. 4. - Art. 4: Măsuri de tratare a riscurilor - Regulamentul 2160/27-oct-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă, specificaţiile şi procedurile pentru gestionarea riscurilor legate de prestarea de servicii de încredere necalificate
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 28 Octombrie 2025
Art. 4: Măsuri de tratare a riscurilor
(1)În conformitate cu politicile menţionate la articolul 2, prestatorii de servicii de încredere necalificaţi planifică, documentează şi pun în aplicare măsuri de tratare a riscurilor şi, în special, îndeplinesc următoarele sarcini:
a)identifică măsurile adecvate de tratare a riscurilor şi stabilesc ordinea de prioritate a acestora;
b)selectează, aprobă şi documentează măsurile de tratare a riscurilor alese, inclusiv cerinţele de securitate şi procedurile operaţionale ale acestora, într-un plan de tratare a riscurilor şi identifică partea care are responsabilitatea punerii în aplicare a măsurilor de tratare a riscurilor şi momentul în care acestea trebuie puse în aplicare;
c)monitorizează în permanenţă punerea în aplicare a măsurilor de tratare a riscurilor.
(2)Planul de tratare a riscurilor prevăzut la alineatul (1) litera (b) prezintă motivele care justifică acceptarea riscurilor reziduale într-un mod inteligibil.
(3)Ca parte a măsurilor de tratare a riscurilor menţionate la alineatul (1), prestatorii de servicii de încredere necalificaţi:
a)verifică, după caz, identitatea utilizatorilor serviciului de încredere în mod direct sau prin intermediul unei părţi terţe şi publică informaţii privind metodele de verificare a identităţii utilizate;
b)în scopul furnizării de probe în cadrul procedurilor judiciare şi al asigurării continuităţii serviciului, înregistrează şi a păstrează în condiţii de siguranţă, atât timp cât este necesar, în conformitate cu dreptul Uniunii sau cu dreptul intern, inclusiv după încetarea activităţilor prestatorului de servicii de încredere necalificat, următoarele informaţii:
- toate informaţiile relevante colectate în procesul de înregistrare şi de integrare a utilizatorilor serviciilor de încredere, inclusiv, după caz, în contextul verificării identităţii utilizatorilor;
- datele de autentificare atribuite utilizatorului serviciului de încredere, după caz, şi
- orice modificare a statutului certificatelor de cheie publică sau al altor materiale criptografice utilizate pentru prestarea serviciului de încredere;
c)se asigură, după caz, că datele de autentificare atribuite utilizatorului serviciului de încredere sunt unice.
(4)Atunci când identifică, selectează şi aprobă măsurile adecvate de tratare a riscurilor şi stabilesc ordinea de prioritate a acestora, prestatorii de servicii de încredere necalificaţi iau în considerare următoarele elemente:
a)rezultatele evaluării riscurilor menţionate la articolul 3;
b)eficacitatea măsurilor de tratare a riscurilor;
c)evaluările conformităţii;
d)incidentele semnificative;
e)costul punerii în aplicare în raport cu beneficiul preconizat;
f)clasificarea adecvată aplicabilă a activelor;
g)analiza oricărui impact comercial al riscurilor identificate în conformitate cu articolul 3.
(5)Organele de conducere ale prestatorilor de servicii de încredere necalificaţi aprobă riscurile reziduale rămase după punerea în aplicare a măsurilor de tratare a riscurilor, astfel cum sunt prevăzute în planul de tratare a riscurilor.
(6)Prestatorii de servicii de încredere necalificaţi revizuiesc, documentează şi, după caz, actualizează rezultatele evaluării riscurilor şi planul de tratare a riscurilor la intervale planificate şi cel puţin o dată pe an, precum şi atunci când apar modificări semnificative ale infrastructurii, ale operaţiunilor sau ale riscurilor sau intervin incidente semnificative.
(7)Prestatorii de servicii de încredere necalificaţi asigură disponibilitatea, integritatea şi confidenţialitatea informaţiilor menţionate la alineatul (3) litera (b).