Nou Regulamentul 2527/16-dec-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă privind certificatele calificate pentru autentificarea unui site internet
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 17 Decembrie 2025
Regulamentul 2527/16-dec-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă privind certificatele calificate pentru autentificarea unui site internet
Dată act: 16-dec-2025
Emitent: Comisia Europeana
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (1), în special articolul 45 alineatul (2),
(1)JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Întrucât:
(1)Certificatele calificate pentru autentificarea unui site internet sunt esenţiale pentru asigurarea încrederii şi a transparenţei în interacţiunile online. Ele fac posibilă autentificarea unui site internet şi fac legătura între site-ul internet şi persoana fizică sau juridică căreia i s-a emis certificatul. Comisia trebuie să stabilească o listă de standarde de referinţă privind aceste certificate.
(2)Standardele de referinţă ar trebui să permită punerea în aplicare a diferite tipuri de certificate calificate pentru autentificarea unui site internet pentru diferite cazuri de utilizare, inclusiv pentru utilizarea acestora în temeiul Directivei (UE) 2015/2366 a Parlamentului European şi a Consiliului (2). Acestea ar trebui să reflecte practicile consacrate şi să fie recunoscute pe scară largă în sectoarele relevante. Pentru a crea condiţii favorabile inovării şi pentru a răspunde diverselor nevoi tehnice şi operaţionale, standardele de referinţă ar trebui să permită, de asemenea, emiterea de certificate calificate pentru autentificarea unui site internet în diferite forme, şi anume ca certificate de sine stătătoare, ca certificate legate de alte certificate sau în alte configuraţii care îndeplinesc cerinţele stabilite în Regulamentul (UE) nr. 910/2014. O astfel de flexibilitate în ceea ce priveşte emiterea certificatelor calificate pentru autentificarea unui site internet asigură faptul că certificatele pot fi adaptate pentru a răspunde nevoilor unei mari varietăţi de cazuri de utilizare, care asigură încrederea şi interoperabilitatea între statele membre, fără a afecta libertatea furnizorilor de browsere web de a asigura securitatea web, autentificarea domeniului şi criptarea traficului web apelând la modalităţile şi cu ajutorul tehnologiilor pe care le consideră cele mai adecvate.
(2)Directiva (UE) 2015/2366 a Parlamentului European şi a Consiliului din 25 noiembrie 2015 privind serviciile de plată în cadrul pieţei interne, de modificare a Directivelor 2002/65/CE, 2009/110/CE şi 2013/36/UE şi a Regulamentului (UE) nr. 1093/2010, şi de abrogare a Directivei 2007/64/CE (JO L 337, 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(3)Pentru a asigura un interval de timp suficient pentru auditul prestatorilor de servicii de încredere calificaţi în ceea ce priveşte respectarea cerinţelor prezentului regulament, prezentul regulament ar trebui să se aplice după 12 luni de la intrarea sa în vigoare.
(4)Comisia evaluează periodic tehnologiile, practicile, standardele sau specificaţiile tehnice nou-apărute. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului (3), Comisia ar trebui să revizuiască şi, dacă este necesar, să actualizeze prezentul regulament pentru a-l menţine aliniat la evoluţiile mondiale, la tehnologiile, practicile, standardele sau specificaţiile tehnice nou-apărute şi pentru a respecta bunele practici de pe piaţa internă.
(3)Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (4) şi, după caz, Directiva 2002/58/CE a Parlamentului European şi a Consiliului (5) se aplică activităţilor de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.
(4)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(6)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (6) şi a emis un aviz la 21 octombrie 2025 (7).
(6)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7)Observaţiile formale ale AEPD cu privire la proiectul de regulament de punere în aplicare de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte standardele de referinţă privind certificatele calificate pentru autentificarea unui site internet.
(7)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit prin articolul 48 din Regulamentul (UE) nr. 910/2014,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1
Standardele de referinţă menţionate la articolul 45 alineatul (2) din Regulamentul (UE) nr. 910/2014 sunt prevăzute în anexa la prezentul regulament.
Art. 2
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică de la 6 ianuarie 2027.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 16 decembrie 2025.
Pentru Comisie Preşedinta Ursula VON DER LEYEN |
ANEXĂ:Lista standardelor de referinţă privind certificatele calificate pentru autentificarea unui site internet
1.Pentru certificatele calificate pentru autentificarea unui site internet care sunt emise pentru a fi utilizate în vederea autentificării de securitate pe nivelul de transport în afara contextului unui browser web:
- ETSI EN 319 411-2 V2.6.1 (2025-06); aceste certificate sunt emise în conformitate cu politica de certificare QNCP-w-gen, cu politica de certificare QEVCP-w sau cu politica de certificare QNCP-w, astfel cum se specifică în standardul respectiv sau
- ETSI TS 119 495 V1.7.1 (2024-07).
2.Pentru alte certificate calificate pentru autentificarea unui site internet decât cele menţionate la punctul 1, inclusiv în contextul unui browser web:
- ETSI TS 119 411-5 V2.1.1 (2025-02).
Publicat în Jurnalul Oficial seria L din data de 17 decembrie 2025