Regulamentul 2160/27-oct-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă, specificaţiile şi procedurile pentru gestionarea riscurilor legate de prestarea de servicii de încredere necalificate
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 28 Octombrie 2025
Regulamentul 2160/27-oct-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă, specificaţiile şi procedurile pentru gestionarea riscurilor legate de prestarea de servicii de încredere necalificate
Dată act: 27-oct-2025
Emitent: Comisia Europeana
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (1), în special articolul 19a alineatul (2),
(1)JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Întrucât:
(1)Prestatorii de servicii de încredere necalificaţi au un rol important în mediul digital, oferind servicii de încredere care facilitează tranzacţiile electronice securizate. Regulamentul (UE) nr. 910/2014 prevede mai puţine cerinţe de reglementare pentru prestatorii de servicii de încredere necalificaţi decât pentru prestatorii de servicii de încredere calificaţi. Cu toate acestea, toţi prestatorii de servicii de încredere fac obiectul unor cerinţe privind securitatea şi responsabilitatea pentru a se asigura diligenţa necesară, transparenţa şi asumarea răspunderii pentru operaţiunile şi serviciile lor.
(2)Prestatorii de servicii de încredere necalificaţi pot fi consideraţi entităţi importante sau entităţi esenţiale în conformitate cu articolul 3 din Directiva (UE) 2022/2555 a Parlamentului European şi a Consiliului (2). Prin urmare, acestora li se aplică Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei (3) de stabilire a cerinţelor tehnice şi metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică. Cu toate acestea, domeniul de aplicare al cerinţelor prevăzute la articolul 19a alineatul (1) litera (a) din Regulamentul (UE) nr. 910/2014 se referă la procedurile de gestionare a riscurilor juridice, comerciale şi operaţionale, precum şi a altor riscuri directe sau indirecte legate de prestarea de servicii de încredere necalificate. Pentru a completa cadrul de gestionare a riscurilor prevăzut în Regulamentul de punere în aplicare (UE) 2024/2690 şi pentru a permite o abordare coerentă a gestionării tuturor tipurilor relevante de riscuri, ar trebui stabilite specificaţii şi proceduri privind gestionarea riscurilor respective de către prestatorii de servicii de încredere necalificaţi. Orientările furnizate de Agenţia Uniunii Europene pentru Securitate Cibernetică (ENISA) sau de autorităţile naţionale competente în temeiul Directivei (UE) 2022/2555 pot sprijini prestatorii de servicii de încredere necalificaţi în elaborarea şi punerea în aplicare a unor politici adecvate de gestionare a riscurilor.
(2)Directiva (UE) 2022/2555 a Parlamentului European şi a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 şi a Directivei (UE) 2018/1972 şi de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(3)Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei din 17 octombrie 2024 de stabilire a normelor de aplicare a Directivei (UE) 2022/2555 în ceea ce priveşte cerinţele tehnice şi metodologice ale măsurilor de gestionare a riscurilor în materie de securitate cibernetică şi specificarea suplimentară a cazurilor în care un incident este considerat semnificativ referitor la furnizorii de servicii DNS, registrele de nume TLD, furnizorii de servicii de cloud computing, furnizorii de servicii de centre de date, furnizorii de reţele de furnizare de conţinut, furnizorii de servicii gestionate, furnizorii de servicii de securitate gestionate, furnizorii de pieţe online, de motoare de căutare online şi de platforme de servicii de socializare în reţea, precum şi prestatorii de servicii de încredere (JO L, 2024/2690, 18.10.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2690/oj).
(3)Prezumţia de conformitate prevăzută la articolul 19a alineatul (2) din Regulamentul (UE) nr. 910/2014 ar trebui să se aplice numai în cazul în care prestatorii de servicii de încredere necalificaţi respectă cerinţele prevăzute în prezentul regulament. Standardele de referinţă menţionate în anexă ar trebui să reflecte practicile consacrate şi să fie recunoscute pe scară largă în sectoarele relevante. Pentru a se asigura că prestatorii de servicii de încredere necalificaţi gestionează riscurile juridice, comerciale şi operaţionale, precum şi alte riscuri directe sau indirecte pentru prestarea serviciului de încredere necalificat în conformitate cu articolul 19a alineatul (1) din Regulamentul (UE) nr. 910/2014, prestatorii de servicii de încredere necalificaţi ar trebui să respecte elementele de referinţă ale standardelor, astfel cum sunt prevăzute în anexă, şi cerinţele de gestionare a riscurilor prevăzute în prezentul regulament pentru prezumţia de conformitate.
(4)În cazul în care un prestator de servicii de încredere necalificat respectă cerinţele prevăzute în prezentul regulament de punere în aplicare, organismele de supraveghere ar trebui să prezumeze conformitatea cu cerinţele relevante din Regulamentul (UE) nr. 910/2014. Cu toate acestea, un prestator de servicii de încredere necalificat se poate baza în continuare pe alte practici pentru a demonstra conformitatea cu cerinţele Regulamentului (UE) nr. 910/2014.
(5)Pentru a se asigura că riscurile identificate sunt abordate în mod adecvat, politicile de gestionare a riscurilor urmate de prestatorii de servicii de încredere necalificaţi ar trebui să includă proceduri pentru documentarea şi evaluarea riscurilor, precum şi pentru identificarea, selectarea şi punerea în aplicare a unor măsuri adecvate de tratare a riscurilor. Punerea în aplicare a măsurilor de tratare a riscurilor ar trebui monitorizată în permanenţă. În ceea ce priveşte informaţiile pe care prestatorii de servicii de încredere necalificaţi le înregistrează şi le păstrează ca parte a măsurilor lor de tratare a riscurilor, prestatorii de servicii de încredere necalificaţi ar trebui să asigure integritatea şi confidenţialitatea acestor date. În plus, pentru a spori transparenţa şi a sprijini activităţile de supraveghere, prestatorii de servicii de încredere necalificaţi ar trebui să publice metodele de verificare a identităţii pe care le aplică. Întrucât nu toate riscurile identificate pot fi abordate pe deplin prin evitarea, atenuarea sau transferul lor către alte entităţi, orice riscuri reziduale ar trebui să fie aprobate de organele de conducere ale prestatorilor de servicii de încredere necalificaţi. Criteriile de acceptare a riscurilor reziduale ar trebui să fie justificate într-un mod inteligibil.
(6)Comisia evaluează periodic noile tehnologii, practici, standarde sau specificaţii tehnice. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului (4), Comisia ar trebui să revizuiască şi, dacă este necesar, să actualizeze prezentul regulament de punere în aplicare, pentru a îl menţine aliniat la evoluţiile mondiale, la noile tehnologii, practici, standarde sau specificaţii tehnice, precum şi pentru a respecta bunele practici de pe piaţa internă.
(4)Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(7)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (5) şi, după caz, Directiva 2002/58/CE a Parlamentului European şi a Consiliului (6) se aplică activităţilor de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.
(5)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(6)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (7) şi a emis un aviz la 8 august 2025 (8).
(7)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(8)EDPS Formal comments on the draft Implementing Regulation as regards specifications and procedures for the management of risks to the provision of non-qualified trust services | Autoritatea Europeană pentru Protecţia Datelor (Observaţii formale ale AEPD cu privire la proiectul de regulament de punere în aplicare în ceea ce priveşte specificaţiile şi procedurile de gestionare a riscurilor pentru furnizarea de servicii de încredere necalificate).
(9)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit prin articolul 48 din Regulamentul (UE) nr. 910/2014,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Standarde de referinţă
Standardele de referinţă menţionate la articolul 19a alineatul (2) din Regulamentul (UE) nr. 910/2014 sunt prevăzute în anexa la prezentul regulament.
Art. 2: Politici de gestionare a riscurilor
(1)Politicile de gestionare a riscurilor menţionate la articolul 19a alineatul (1) din Regulamentul (UE) nr. 910/2014 identifică în mod clar serviciile de încredere cărora li se aplică, sunt specifice serviciilor de încredere în cauză şi sunt aprobate de organul de conducere al prestatorului de servicii de încredere necalificat.
(2)Politicile de gestionare a riscurilor trebuie să includă cel puţin toate elementele următoare:
a)nivelul general de toleranţă la risc în conformitate cu criticalitatea şi nivelul necesar de securitate al serviciilor de încredere, având în vedere cele mai recente evoluţii tehnologice;
b)criteriile de risc relevante, inclusiv cel puţin probabilitatea, impactul şi nivelul riscului, ţinând seama de informaţiile privind ameninţările cibernetice şi de vulnerabilităţi;
c)o abordare pentru identificarea şi documentarea riscurilor pentru prestarea serviciilor de încredere, ţinând seama de domeniul complet de aplicare al sistemului informatic utilizat de prestatorul de servicii de încredere necalificat, inclusiv a riscurilor asociate componentelor sistemului, precum şi oricăror părţi active sau pasive implicate în punerea în aplicare a sistemului sau în prestarea serviciilor de încredere;
d)un proces de evaluare a riscurilor identificate pe baza criteriilor de risc menţionate la litera (b);
e)un proces de identificare, de stabilire a ordinii de prioritate şi de monitorizare continuă a punerii în aplicare a măsurilor adecvate de tratare a riscurilor;
f)un proces de monitorizare continuă a punerii în aplicare a politicilor de gestionare a riscurilor.
(3)Prestatorii de servicii de încredere necalificaţi stabilesc proceduri adecvate şi păstrează documente pentru a se asigura că sunt puse în aplicare cerinţele prevăzute în legislaţia aplicabilă.
(4)Prestatorii de servicii de încredere necalificaţi stabilesc proceduri documentate adecvate care să asigure monitorizarea modificărilor legislative şi de reglementare la nivelul Uniunii şi la nivel naţional care pot avea un impact asupra prestării de servicii de încredere.
Art. 3: Identificarea, documentarea şi evaluarea riscurilor
Prestatorii de servicii de încredere necalificaţi identifică, documentează şi evaluează toate riscurile menţionate la articolul 19a alineatul (1) din Regulamentul (UE) nr. 910/2014 în conformitate cu politicile de gestionare a riscurilor menţionate la articolul 2 şi, în special:
(a)identifică riscurile în ceea ce priveşte părţile terţe;
(b)identifică potenţialele puncte unice de defecţiune în prestarea serviciilor de încredere;
(c)evaluează riscurile identificate pe baza criteriilor de risc menţionate la articolul 2 alineatul (2) litera (b).
Art. 4: Măsuri de tratare a riscurilor
(1)În conformitate cu politicile menţionate la articolul 2, prestatorii de servicii de încredere necalificaţi planifică, documentează şi pun în aplicare măsuri de tratare a riscurilor şi, în special, îndeplinesc următoarele sarcini:
a)identifică măsurile adecvate de tratare a riscurilor şi stabilesc ordinea de prioritate a acestora;
b)selectează, aprobă şi documentează măsurile de tratare a riscurilor alese, inclusiv cerinţele de securitate şi procedurile operaţionale ale acestora, într-un plan de tratare a riscurilor şi identifică partea care are responsabilitatea punerii în aplicare a măsurilor de tratare a riscurilor şi momentul în care acestea trebuie puse în aplicare;
c)monitorizează în permanenţă punerea în aplicare a măsurilor de tratare a riscurilor.
(2)Planul de tratare a riscurilor prevăzut la alineatul (1) litera (b) prezintă motivele care justifică acceptarea riscurilor reziduale într-un mod inteligibil.
(3)Ca parte a măsurilor de tratare a riscurilor menţionate la alineatul (1), prestatorii de servicii de încredere necalificaţi:
a)verifică, după caz, identitatea utilizatorilor serviciului de încredere în mod direct sau prin intermediul unei părţi terţe şi publică informaţii privind metodele de verificare a identităţii utilizate;
b)în scopul furnizării de probe în cadrul procedurilor judiciare şi al asigurării continuităţii serviciului, înregistrează şi a păstrează în condiţii de siguranţă, atât timp cât este necesar, în conformitate cu dreptul Uniunii sau cu dreptul intern, inclusiv după încetarea activităţilor prestatorului de servicii de încredere necalificat, următoarele informaţii:
- toate informaţiile relevante colectate în procesul de înregistrare şi de integrare a utilizatorilor serviciilor de încredere, inclusiv, după caz, în contextul verificării identităţii utilizatorilor;
- datele de autentificare atribuite utilizatorului serviciului de încredere, după caz, şi
- orice modificare a statutului certificatelor de cheie publică sau al altor materiale criptografice utilizate pentru prestarea serviciului de încredere;
c)se asigură, după caz, că datele de autentificare atribuite utilizatorului serviciului de încredere sunt unice.
(4)Atunci când identifică, selectează şi aprobă măsurile adecvate de tratare a riscurilor şi stabilesc ordinea de prioritate a acestora, prestatorii de servicii de încredere necalificaţi iau în considerare următoarele elemente:
a)rezultatele evaluării riscurilor menţionate la articolul 3;
b)eficacitatea măsurilor de tratare a riscurilor;
c)evaluările conformităţii;
d)incidentele semnificative;
e)costul punerii în aplicare în raport cu beneficiul preconizat;
f)clasificarea adecvată aplicabilă a activelor;
g)analiza oricărui impact comercial al riscurilor identificate în conformitate cu articolul 3.
(5)Organele de conducere ale prestatorilor de servicii de încredere necalificaţi aprobă riscurile reziduale rămase după punerea în aplicare a măsurilor de tratare a riscurilor, astfel cum sunt prevăzute în planul de tratare a riscurilor.
(6)Prestatorii de servicii de încredere necalificaţi revizuiesc, documentează şi, după caz, actualizează rezultatele evaluării riscurilor şi planul de tratare a riscurilor la intervale planificate şi cel puţin o dată pe an, precum şi atunci când apar modificări semnificative ale infrastructurii, ale operaţiunilor sau ale riscurilor sau intervin incidente semnificative.
(7)Prestatorii de servicii de încredere necalificaţi asigură disponibilitatea, integritatea şi confidenţialitatea informaţiilor menţionate la alineatul (3) litera (b).
Art. 5: Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 27 octombrie 2025.
Pentru Comisie Preşedinta Ursula VON DER LEYEN |
ANEXĂ:Lista standardelor de referinţă pentru prestatorii de servicii de încredere necalificaţi
Se aplică cerinţele în temeiul următoarelor secţiuni din standardul ETSI EN 319 401 V3.1.1 (2024-06): "Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers" [Semnăturile electronice şi infrastructurile de încredere (ESI); cerinţe de politică generală pentru prestatorii de servicii de încredere]:
5.Evaluarea riscurilor;
6.Politici şi practici;
7.1.Organizare internă;
7.2.Resurse umane;
7.3.Gestionarea activelor;
7.4.Controlul accesului;
7.6.Securitatea fizică şi de mediu.
Publicat în Jurnalul Oficial seria L din data de 28 octombrie 2025