Regulamentul 1945/29-sept-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte validarea semnăturilor electronice calificate şi a sigiliilor electronice calificate şi validarea semnăturilor electronice avansate bazate pe certificate calificate şi a sigiliilor electronice avansate bazate pe certificate calificate

Acte UE

Jurnalul Oficial seria L

În vigoare
Versiune de la: 30 Septembrie 2025
Regulamentul 1945/29-sept-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte validarea semnăturilor electronice calificate şi a sigiliilor electronice calificate şi validarea semnăturilor electronice avansate bazate pe certificate calificate şi a sigiliilor electronice avansate bazate pe certificate calificate
Dată act: 29-sept-2025
Emitent: Comisia Europeana
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (1), în special articolul 32 alineatul (3), articolul 32a alineatul (3), articolele 40 şi 40a,
(1)JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Întrucât:
(1)Cu condiţia ca valabilitatea acestora să poată fi confirmată, semnăturile electronice calificate, sigiliile electronice calificate, semnăturile electronice avansate bazate pe certificate calificate pentru semnături electronice şi sigiliile electronice avansate bazate pe certificate calificate pentru sigiliile electronice garantează beneficiarilor integritatea şi autenticitatea datelor semnate sau sigilate şi sporesc certitudinea în ceea ce priveşte identitatea semnatarului sau a creatorului sigiliului. Semnăturile şi sigiliile electronice respective joacă un rol esenţial în mediul de afaceri digital, promovând tranziţia de la procesele tradiţionale pe suport de hârtie la cele electronice echivalente.
(2)Prezumţia că sunt respectate cerinţele, prevăzută la articolul 32 alineatul (1), la articolul 40, la articolul 32a alineatul (3) şi la articolul 40a din Regulamentul (UE) nr. 910/2014, ar trebui să se aplice în cazul în care procesele de validare a semnăturilor electronice calificate, a sigiliilor electronice calificate, a semnăturilor electronice avansate bazate pe certificate calificate pentru semnăturile electronice şi a sigiliilor electronice avansate bazate pe certificate calificate pentru sigiliile electronice respectă standardele tehnice prevăzute în prezentul regulament. Aceste standarde ar trebui să reflecte practicile consacrate şi să fie recunoscute pe scară largă în sectoarele relevante. Acestea ar trebui să fie adaptate pentru a include controale suplimentare care să asigure capacitatea de a verifica valabilitatea tehnică a semnăturilor şi a sigiliilor respective şi, după caz, statutul lor de calificat.
(3)Comisia evaluează periodic noile tehnologii, practici, standarde sau specificaţii tehnice. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului (2), Comisia ar trebui să revizuiască şi să actualizeze prezentul regulament, dacă este necesar, pentru a îl menţine aliniat la evoluţiile mondiale şi la noile tehnologii, standarde sau specificaţii tehnice, precum şi pentru a respecta bunele practici de pe piaţa internă.
(2)Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (3) şi, după caz, Directiva 2002/58/CE a Parlamentului European şi a Consiliului (4) se aplică tuturor activităţilor de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.
(3)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (5) şi a emis un aviz la 6 iunie 2025.
(5)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(6)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit prin articolul 48 din Regulamentul (UE) nr. 910/2014,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Standarde de referinţă şi specificaţii
(1)Standardele de referinţă şi specificaţiile menţionate la articolul 32 alineatul (3) şi la articolul 40 din Regulamentul (UE) nr. 910/2014 sunt stabilite în anexa I la prezentul regulament.
(2)Standardele de referinţă şi specificaţiile menţionate la articolul 32a alineatul (3) şi la articolul 40a din Regulamentul (UE) nr. 910/2014 sunt stabilite în anexa II la prezentul regulament.
Art. 2: Intrare în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 29 septembrie 2025.

Pentru Comisie

Preşedinta

Ursula VON DER LEYEN

ANEXA I:Lista standardelor de referinţă şi a specificaţiilor pentru validarea semnăturilor electronice calificate şi a sigiliilor electronice calificate
Standardele ETSI TS 119 172-4 V1.1.1 (2021-05) (1) ("ETSI TS 119 172-4") şi ETSI TS 119 102-2 V1.4.1 (2023-06) (2) ("ETSI TS 119 102-2") se aplică cu următoarele adaptări:
(1)ETSI TS 119 172-4 - Semnături şi infrastructuri electronice (ESI); Politici în materie de semnătură; Partea 4: Norme privind aplicabilitatea semnăturii (politica de validare) pentru semnături/sigilii electronice calificate europene care utilizează liste sigure, V1.1.1 (2021-05).
(2)ETSI TS 119 102-2 - Semnături şi infrastructuri electronice (ESI); Proceduri pentru crearea şi validarea semnăturilor digitale AdES; Partea 2: Raport de validare a semnăturii, V1.4.1 (2023-06).
I.În cazul ETSI TS 119 172-4:
1.2.1 Referinţe normative:
- [1] ETSI EN 319 102-1 V1.4.1 (2024-06) "Semnături electronice şi infrastructuri de încredere (ESI); Proceduri pentru crearea şi validarea semnăturilor digitale AdES; Partea 1: Creare şi validare".
- Toate trimiterile la "ETSI TS 119 102-1 [1]" se interpretează ca trimiteri la "ETSI EN 319 102-1 [1]".
- [2] ETSI TS 119 612 V2.3.1 (2024-11) "Semnături electronice şi infrastructuri (ESI); Listele sigure".
- [13] ETSI TS 119 101 V1.1.1 (2016-03) "Semnături electronice şi infrastructuri (ESI); Cerinţe de politică şi de securitate pentru cererile de creare şi validare a semnăturii".
2.4.2 Constrângeri de validare şi proceduri de validare, cerinţa REQ-4.2-03, secţiunea "X.509 Constrângeri de validare", litera (c):
- (i) în cazul în care un certificat al entităţii finale reprezintă o ancoră de încredere, nu se utilizează RevocationCheckingConstraints;
- (ii) în cazul în care un certificat al entităţii finale nu reprezintă o ancoră de încredere, RevocationCheckingConstraints se setează la "eitherCheck", astfel cum este definit în ETSI TS 119 172-1 [3], clauza A.4.2.1, tabelul A.2 rândul (m)2.1;
- (iii) în cazul în care un certificat al entităţii finale reprezintă o ancoră de încredere, nu se utilizează RevocationFreshnessConstraints definit în ETSI TS 119 172-1 [3], clauza A.4.2.1, tabelul A.2 rândul (m)2.2;
- (iv) în cazul în care un certificat al entităţii finale nu reprezintă o ancoră de încredere, RevocationFreshnessConstraints definit în ETSI TS 119 172-1 [3], clauza A.4.2.1, tabelul A.2 rândul (m)2.2 trebuie utilizat cu o valoare maximă de 24 de ore pentru certificatul de semnare. Nu se stabileşte nicio valoare pentru RevocationFreshnessConstraints pentru alte certificate decât certificatul de semnare, inclusiv pentru certificatele compatibile cu marcajele temporale.
3.4.3 Cerinţe privind validarea semnăturii şi practicile de verificare a normelor privind aplicabilitatea
- REQ-4.3-02 Cererile de validare a semnăturilor trebuie să fie conforme cu ETSI TS 119 101 [13].
4.4.4 Procesul de verificare a aplicabilităţii tehnice (normelor privind aplicabilitatea tehnică)
- REQ-4.4.2-03 În cazul în care oricare dintre verificările specificate în REQ-4.4.2-01 eşuează, atunci:
(a)procesul se opreşte;
(b)semnătura se stabileşte din punct de vedere tehnic ca fiind nedeterminată, şi anume nu este nici o semnătură electronică calificată a UE, nici un sigiliu electronic calificat al UE; şi
(c)rezultatul de mai sus şi rezultatele tuturor proceselor intermediare trebuie să fie reflectate în raportul de verificare a normelor privind aplicabilitatea semnăturii.
ANEXA II:Lista standardelor de referinţă şi a specificaţiilor pentru validarea semnăturilor electronice avansate bazate pe certificate calificate şi a sigiliilor electronice avansate bazate pe certificate calificate
Standardele ETSI TS 119 172-4 V1.1.1 (2021-05) (1) ("ETSI TS 119 172-4") şi ETSI TS 119 102-2 V1.4.1 (2023-06) (2) ("ETSI TS 119 102-2") se aplică cu următoarele adaptări:
(1)ETSI TS 119 172-4 - Semnături şi infrastructuri electronice (ESI); Politici în materie de semnătură; Partea 4: Normele privind aplicabilitatea semnăturii (politica de validare) pentru semnături/sigilii electronice calificate europene care utilizează liste sigure, V1.1.1 (2021-05).
(2)ETSI TS 119 102-2 - Semnături şi infrastructuri electronice (ESI); Proceduri pentru crearea şi validarea semnăturilor digitale AdES; Partea 2: Raport de validare a semnăturii, V1.4.1 (2023-06).
I.În cazul ETSI TS 119 172-4:
1.2.1 Referinţe normative:
- [1] ETSI EN 319 102-1 V1.4.1 (2024-06) "Semnături electronice şi infrastructuri de încredere (ESI); Proceduri pentru crearea şi validarea semnăturilor digitale AdES; Partea 1: Creare şi validare".
- Toate trimiterile la "ETSI TS 119 102-1 [1]" se interpretează ca trimiteri la "ETSI EN 319 102-1 [1]".
- [2] ETSI TS 119 612 V2.3.1 (2024-11) "Semnături electronice şi infrastructuri (ESI); Listele sigure".
- [13] ETSI TS 119 101 V1.1.1 (2016-03) "Semnături electronice şi infrastructuri (ESI); Cerinţe de politică şi de securitate pentru cererile de creare şi validare a semnăturii".
2.4.2 Constrângeri de validare şi proceduri de validare, cerinţa REQ-4.2-03, secţiunea "X.509 Constrângeri de validare", litera (c):
- (i) în cazul în care un certificat al entităţii finale reprezintă o ancoră de încredere, nu se utilizează RevocationCheckingConstraints;
- (ii) în cazul în care un certificat al entităţii finale nu reprezintă o ancoră de încredere, RevocationCheckingConstraints se setează la "eitherCheck", astfel cum este definit în ETSI TS 119 172-1 [3], clauza A.4.2.1, tabelul A.2 rândul (m)2.1;
- (iii) în cazul în care un certificat al entităţii finale reprezintă o ancoră de încredere, nu se utilizează RevocationFreshnessConstraints definit în ETSI TS 119 172-1 [3], clauza A.4.2.1, tabelul A.2 rândul (m)2.2;
- (iv) în cazul în care un certificat al entităţii finale nu reprezintă o ancoră de încredere, RevocationFreshnessConstraints definit în ETSI TS 119 172-1 [3], clauza A.4.2.1, tabelul A.2 rândul (m)2.2 trebuie utilizat cu o valoare maximă de 24 de ore pentru certificatul de semnare. Nu se stabileşte nicio valoare pentru RevocationFreshnessConstraints pentru alte certificate decât certificatul de semnare, inclusiv pentru certificatele compatibile cu marcajele temporale.
3.4.3 Cerinţe privind validarea semnăturii şi practicile de verificare a normelor privind aplicabilitatea
- REQ-4.3-02 Cererile de validare a semnăturilor trebuie să fie conforme cu ETSI TS 119 101 [13].
4.4.4 Procesul de verificare a aplicabilităţii tehnice (normelor privind aplicabilitatea tehnică)
- REQ-4.4.2-03 În cazul în care oricare dintre verificările specificate în REQ-4.4.2-01 eşuează, atunci:
(a)procesul se opreşte;
(b)semnătura se stabileşte din punct de vedere tehnic ca fiind nedeterminată, şi anume nu este nici o semnătură electronică avansată bazată pe un certificat calificat UE, nici un sigiliu electronic avansat bazat pe un certificat calificat UE; şi
(c)rezultatul de mai sus şi rezultatele tuturor proceselor intermediare trebuie să fie reflectate în raportul de verificare a normelor privind aplicabilitatea semnăturii.
- REQ-4.4.2-04 - necompletat.
- REQ-4.4.2-05 - necompletat.
- REQ-4.4.2-06 În acel moment al procesului TARC, dacă sunt îndeplinite următoarele condiţii:
a)certificatul de semnare este stabilit, la momentul cel mai potrivit al semnăturii, ca fiind un certificat calificat al UE pentru semnăturile electronice (respectiv pentru sigiliile electronice), astfel cum se specifică în REQ-4.4.2-02 a); şi
b)rezultatul procesului efectuat astfel cum se specifică în clauza 4.2 din prezentul document este TOTAL-PASSED,
semnătura digitală se stabileşte ca fiind adecvată din punct de vedere tehnic pentru implementarea unei semnături electronice avansate a UE bazate pe un certificat calificat (respectiv un sigiliu electronic avansat al UE bazat pe un certificat calificat); în caz contrar, semnătura nu este determinată din punct de vedere tehnic nici ca fiind o semnătură electronică avansată a UE bazată pe un certificat calificat, nici un sigiliu electronic avansat al UE bazat pe un certificat calificat.
Publicat în Jurnalul Oficial seria L din data de 30 septembrie 2025