Nou Regulamentul 2531/16-dec-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă şi specificaţiile privind registrele electronice calificate

Acte UE

Jurnalul Oficial seria L

Neintrat în vigoare
Versiune de la: 17 Decembrie 2025
Regulamentul 2531/16-dec-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă şi specificaţiile privind registrele electronice calificate
Dată act: 16-dec-2025
Emitent: Comisia Europeana
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (1), în special articolul 45l alineatul (3),
(1)JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Întrucât:
(1)Prin Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului (2), a fost introdusă în Regulamentul (UE) nr. 910/2014 o listă de noi servicii de încredere şi de servicii de încredere calificate, inclusiv înregistrarea datelor electronice într-un registru electronic calificat. Comisia trebuie să stabilească o listă de standarde de referinţă şi, dacă este necesar, să stabilească specificaţii privind aceste servicii.
(2)Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(2)Un registru electronic este o secvenţă de înregistrări electronice de date destinată să asigure integritatea înregistrărilor respective şi acurateţea ordinii cronologice a înregistrărilor respective. Pentru a se asigura faptul că înregistrarea datelor într-un registru electronic calificat este ordonată cronologic, coerentă şi fiabilă, este necesar să se stabilească un set comun de specificaţii pentru înregistrarea datelor electronice într-un registru electronic calificat.
(3)Prezumţia de respectare a cerinţelor prevăzută la articolul 45l alineatul (2) din Regulamentul (UE) nr. 910/2014 ar trebui să se aplice numai în cazul în care serviciile de încredere calificate pentru înregistrarea datelor electronice într-un registru electronic calificat respectă standardele prevăzute în prezentul regulament. Aceste standarde ar trebui să reflecte practicile consacrate şi să fie recunoscute pe scară largă în sectoarele relevante. Standardele ar trebui adaptate pentru a include controale suplimentare care să asigure securitatea şi credibilitatea serviciului de încredere calificat.
(4)În cazul în care un prestator de servicii de încredere aderă la cerinţele prevăzute în anexa la prezentul regulament, organismele de supraveghere ar trebui să prezume conformitatea cu cerinţele relevante ale Regulamentului (UE) nr. 910/2014 şi să ia în considerare în mod corespunzător o astfel de prezumţie pentru acordarea sau confirmarea statutului de serviciu de încredere calificat al serviciului de încredere. Cu toate acestea, un prestator de servicii de încredere calificat se poate baza în continuare pe alte practici pentru a-şi demonstra conformitatea cu cerinţele Regulamentului (UE) nr. 910/2014.
(5)Comisia evaluează periodic tehnologiile, practicile, standardele sau specificaţiile tehnice nou-apărute. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183, Comisia ar trebui să revizuiască şi, dacă este necesar, să actualizeze prezentul regulament pentru a-l menţine aliniat la evoluţiile mondiale, la tehnologiile, practicile, standardele sau specificaţiile tehnice nou-apărute şi pentru a respecta bunele practici de pe piaţa internă.
(6)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (3) şi, după caz, Directiva 2002/58/CE a Parlamentului European şi a Consiliului (4) se aplică activităţilor de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament, ţinând seama, de asemenea, de Orientările 02/2025 ale Comitetului european pentru protecţia datelor privind prelucrarea datelor cu caracter personal prin intermediul tehnologiilor blockchain (5).
(3)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5)edpb_guidelines_202502_blockchain_en.
(7)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (6) şi a emis un aviz la 21 octombrie 2025 (7).
(6)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data. europa.eu/eli/reg/2018/1725/oj).
(7)Observaţiile formale ale AEPD cu privire la proiectul de regulament de punere în aplicare de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte standardele de referinţă şi specificaţiile privind registrele electronice calificate.
(8)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit prin articolul 48 din Regulamentul (UE) nr. 910/2014,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Standarde de referinţă şi specificaţii
Standardele de referinţă şi specificaţiile menţionate la articolul 45l alineatul (3) din Regulamentul (UE) nr. 910/2014, referitoare la registrele electronice calificate, sunt prevăzute în anexa la prezentul regulament.
Art. 2: Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 16 decembrie 2025.

Pentru Comisie

Preşedinta

Ursula VON DER LEYEN

ANEXĂ:Lista specificaţiilor tehnice şi a standardelor de referinţă privind registrele electronice distribuite calificate
1.În sensul prezentului regulament, se aplică următoarele definiţii:
(a)"caracter definitiv" înseamnă starea unei înregistrări de date dintr-un registru electronic care corespunde faptului că aceasta a devenit ireversibilă şi nu poate fi modificată sau eliminată;
(b)"registru electronic distribuit" înseamnă un registru electronic care este partajat între un set de noduri de registre electronice distribuite şi care este sincronizat între nodurile de registre electronice distribuite cu ajutorul unui mecanism de consens;
(c)"nod de registru electronic distribuit" înseamnă un dispozitiv sau un proces care face parte dintr-o reţea de registre electronice distribuite şi care stochează o copie completă sau parţială a înregistrărilor de date dintr-un registru electronic;
(d)"reţea de registre electronice distribuite" înseamnă o reţea de noduri de registre electronice distribuite care alcătuiesc un sistem de registre electronice distribuite;
(e)"sistem de registre electronice distribuite" înseamnă un sistem care implementează un registru electronic distribuit;
(f)"consens" înseamnă un acord între nodurile de registre electronice distribuite cu privire la validitatea tranzacţiilor şi menţinerea unui set coerent şi ordonat de tranzacţii validate în cadrul sistemului de registre electronice distribuite;
(g)"mecanism de consens" înseamnă setul de norme şi proceduri prin care se ajunge la un consens;
(h)"norme de reglementare" înseamnă setul de protocoale, politici şi mecanisme care dictează modul în care funcţionează sistemul de registre electronice distribuite, modul în care datele sunt validate şi adăugate într-un registru electronic şi modul în care interacţionează participanţii;
(i)"tranzacţie" înseamnă cea mai mică unitate a unui proces de lucru din cadrul unui registru electronic;
(j)"proces de lucru" înseamnă una sau mai multe secvenţe de acţiuni necesare pentru a produce un rezultat care este conform cu normele de reglementare ale unui registru electronic;
(k)"tranzacţie validată" înseamnă o tranzacţie pentru care integritatea, autenticitatea şi condiţiile specifice protocolului necesare au fost verificate în conformitate cu normele de reglementare ale sistemului de registre electronice distribuite;
(l)"legătură criptografică" înseamnă o trimitere la date care este stabilită utilizând tehnici criptografice adecvate pentru a asigura integritatea, autenticitatea sau trasabilitatea datelor de referinţă şi secvenţa corectă a înregistrărilor de date;
(m)"raport privind registrul" înseamnă o prezentare structurată a informaţiilor verificabile extrase din înregistrările de date ale unui registru electronic şi care oferă informaţii cu privire la anumite activităţi ori stări sau cu privire la conformitatea cu normele predefinite;
(n)"furnizor de registru electronic calificat" înseamnă un prestator de servicii de încredere calificat care prestează un serviciu de încredere calificat ce constă în înregistrarea datelor într-un registru electronic calificat;
(o)"registru electronic distribuit calificat" înseamnă un registru electronic distribuit care îndeplineşte cerinţele aplicabile unui registru electronic calificat.
2.În cazul în care prestatorul de servicii de încredere calificat trebuie să elaboreze un raport privind registrul, raportul respectiv trebuie întocmit într-o manieră automată.
3.Furnizorii de registre electronice calificate creează un registru electronic calificat, înregistrează date electronice într-un astfel de registru, actualizează şi menţin registrul respectiv în conformitate cu specificaţiile stabilite în:
(a)Pentru toţi furnizorii de registre electronice calificate, ETSI EN 319 401 v3.1.1 (2024-06), cu următoarele adaptări:
- 2.1 Referinţe normative:
[1] Grupul european pentru certificarea securităţii cibernetice, Subgrupul privind criptografia: "Mecanisme criptografice convenite", publicat de Agenţia Uniunii Europene pentru Securitatea Reţelelor şi a Informaţiilor ("ENISA").
[2] IETF RFC 7515 (mai 2015): "Semnătura web JSON (JWS)".
[3] FIPS PUB 140-3 (2019) "Cerinţe de securitate pentru modulele criptografice".
[4] Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei din 31 ianuarie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului în ceea ce priveşte adoptarea sistemului european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC).
[5] Regulamentul de punere în aplicare (UE) 2024/3144 al Comisiei din 18 decembrie 2024 de modificare a Regulamentului de punere în aplicare (UE) 2024/482 în ceea ce priveşte standardele internaţionale aplicabile şi de rectificare a regulamentului de punere în aplicare respectiv.
[6] ISO/IEC 15408:2022 (părţile 1-5): "Securitatea informaţiilor, securitatea cibernetică şi protecţia vieţii private - Criterii de evaluare a securităţii IT".
- 6.1 Declaraţia privind practicile referitoare la serviciile de încredere:
- REQ-6.1-12 Declaraţia privind practicile referitoare la registrele electronice include cel puţin următoarele informaţii:
- capabilităţile funcţionale şi tehnice ale platformei registrului electronic şi utilizarea acesteia pe toată durata prestării serviciului de înregistrare a datelor într-un registru electronic calificat ca serviciu de încredere calificat;
- mecanismele specifice de autentificare a originii datelor utilizate în momentul prestării serviciului;
- mecanismele specifice de ordonare cronologică secvenţială utilizate în momentul prestării serviciului;
- dacă este cazul, legătura criptografică utilizată pentru a garanta secvenţa de înregistrări de date;
- dacă este cazul, mecanismul de consens care asigură caracterul definitiv şi integritatea înregistrărilor de date şi a tranzacţiilor stocate în registru, inclusiv orice perioadă de precauţie până la obţinerea caracterului definitiv şi a integrităţii;
- mecanismele specifice de asigurare a integrităţii datelor utilizate în momentul prestării serviciului.
- 6.2 Termene şi condiţii:
- REQ-6.2-03 Înainte de a intra într-o relaţie contractuală, abonaţii şi părţile care se bazează pe serviciul de încredere sunt informaţi într-un mod clar, cuprinzător şi uşor accesibil, într-un spaţiu accesibil publicului şi în mod individual, cu privire la termenele şi condiţiile precise, inclusiv cu privire la elementele enumerate mai sus.
- 6.3 Politica în domeniul securităţii informaţiilor:
- REQ-6.3-04X Prestatorul de servicii de încredere stabileşte proceduri pentru notificarea organismului de supraveghere cu privire la orice modificare survenită în prestarea serviciului de încredere, în conformitate cu cerinţele comerciale şi cu actele cu putere de lege şi normele administrative relevante. Prestatorul de servicii de încredere transmite notificări organismului de supraveghere cel puţin:
- cu o lună înainte de punerea în aplicare a oricărei modificări;
- cu trei luni înainte de încetarea planificată a prestării unui serviciu de încredere.
- 7.2 Resurse umane:
- REQ-7.2-04X Personalul prestatorului de servicii de încredere cu roluri de încredere trebuie să fie în măsură să îndeplinească cerinţa privind "cunoştinţele de specialitate, experienţa şi calificările" prin formare şi acreditări oficiale, prin experienţă efectivă sau printr-o combinaţie a celor două.
- REQ-7.2-05X Acest lucru include actualizări periodice (cel puţin o dată la 12 luni) cu privire la noile ameninţări şi la practicile actuale în materie de securitate.
- 7.5 Controale criptografice:
- REQ-7.5-01X Trebuie instituite controale de securitate adecvate pentru gestionarea oricăror chei criptografice, algoritmi criptografici şi dispozitive criptografice pe parcursul întregului lor ciclu de viaţă, urmând, după caz, o abordare bazată pe agilitatea criptografică.
- REQ-7.5-02 În vederea prestării serviciilor de încredere, prestatorul de servicii de încredere selectează şi utilizează tehnici criptografice adecvate, conforme cu documentul "Mecanisme criptografice convenite" aprobat de Grupul european pentru certificarea securităţii cibernetice şi publicat de ENISA [1].
În mod concret:
- REQ-7.5-03 Furnizorii de registre electronice calificate stabilesc originea înregistrărilor de date din registrul electronic. În acest sens, aceştia utilizează semnături electronice avansate bazate pe certificate calificate sau sigilii electronice avansate bazate pe certificate calificate create de utilizatorii serviciului în conformitate cu următoarele standarde şi specificaţii:
(a)ETSI EN 319 122-1 V1.3.1 (2023-06). Semnături electronice şi infrastructuri (ESI); Semnături digitale în format CAdES; Partea 1: Elemente de construcţie şi semnături de bază CAdES.
(b)ETSI EN 319 132-1 V1.3.1 (2024-07). Semnături electronice şi infrastructuri de încredere (ESI); Semnături digitale în format XAdES; Partea 1: Elemente de construcţie şi semnături de bază XAdES.
(c)ETSI TS 119 182-1 V1.2.1 (2024-07). Semnături electronice şi infrastructuri de încredere (ESI); Semnături digitale în format JAdES; Partea 1: Elemente de construcţie şi semnături de bază JAdES, cu următoarea adaptare:
- 5.1.8 Parametrul de antet x5c (X.509 Lanţul de certificate)
- Parametrul de antet x5c, astfel cum este definit în clauza 4.1.6 din IETF RFC 7515 [2], trebuie să fie prezent în semnătura în format JAdES fie ca parametru de antet semnat, fie ca parametru de antet nesemnat.
- Parametrul de antet x5c trebuie să aibă semantica specificată în IETF RFC 7515 [2], clauza 4.1.6.
- Parametrul de antet x5c trebuie să aibă semantica specificată în IETF RFC 7515 [2], clauza 4.1.6.
- REQ-7.5-04: Furnizorii de registre electronice calificate garantează ordinea cronologică secvenţială unică a înregistrărilor de date din registrul electronic. În acest scop, ei utilizează legături criptografice bazate pe liste hash sau arbori hash, utilizând funcţii hash criptografice, în conformitate cu următoarele specificaţii şi standarde:
(a)SHA-256 sau dimensiuni ale rezultatului funcţiei hash mai mari, în conformitate cu documentul "Mecanisme criptografice convenite" aprobat de Grupul european pentru certificarea securităţii cibernetice şi publicat de ENISA [1].
(b)SHA3-256 sau dimensiuni ale rezultatului funcţiei hash mai mari, în conformitate cu documentul "Mecanisme criptografice convenite" aprobat de Grupul european pentru certificarea securităţii cibernetice şi publicat de ENISA [1].
Ca alternativă, atunci când recurg la înregistrarea timpului pentru a garanta ordinea cronologică secvenţială unică a înregistrărilor de date din registrul electronic, furnizorii de registre electronice calificate trebuie să utilizeze mărci temporale calificate.
- REQ-7.5-05 Furnizorii de registre electronice calificate asigură integritatea înregistrărilor de date dintr-un registru electronic calificat. În acest scop, ei utilizează semnături electronice avansate bazate pe certificate calificate sau sigilii electronice avansate bazate pe certificate calificate, în conformitate cu următoarele standarde şi specificaţii:
(a)orice format de semnătură sau sigiliu conform cu documentul "Mecanisme criptografice convenite" aprobat de Grupul european pentru certificarea securităţii cibernetice şi publicat de ENISA [1];
(b)SHA-256 sau dimensiuni ale rezultatului funcţiei hash mai mari, în conformitate cu documentul "Mecanisme criptografice convenite" aprobat de Grupul european pentru certificarea securităţii cibernetice şi publicat de ENISA [1];
(c)SHA3-256 sau dimensiuni ale rezultatului funcţiei hash mai mari, în conformitate cu documentul "Mecanisme criptografice convenite" aprobat de Grupul european pentru certificarea securităţii cibernetice şi publicat de ENISA [1].
(d)Furnizorii de registre electronice calificate asigură detectibilitatea imediată a oricărei modificări ulterioare a datelor înregistrate într-un registru electronic calificat.
- REQ-7.5-06 În cazul în care se utilizează mecanisme de semnătură digitală, cheile private de semnătură ale furnizorilor de registre electronice calificate sunt păstrate şi utilizate într-un dispozitiv criptografic securizat care este un sistem credibil, certificat în conformitate cu:
(a)criteriile comune de evaluare a securităţii IT, astfel cum sunt stabilite în ISO/IEC 15408 (1) [6] sau în criteriile comune de evaluare a securităţii IT, versiunea CC: 2022, părţile 1-5, publicate de participanţii la Acordul privind recunoaşterea certificatelor de criterii comune în domeniul securităţii informatice, şi certificat la nivelul EAL 4 sau la un nivel de securitate mai ridicat sau
(1)ISO/IEC 15408:2022 (părţile 1-5): "Securitatea informaţiilor, securitatea cibernetică şi protecţia vieţii private - Criterii de evaluare a securităţii IT".
(b)sistemul european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC) (2) (3)[4] [5] şi certificat la nivelul EAL 4 sau la un nivel de securitate mai ridicat sau
(2)Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei din 31 ianuarie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului în ceea ce priveşte adoptarea sistemului european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
(3)Regulamentul de punere în aplicare (UE) 2024/3144 al Comisiei din 18 decembrie 2024 de modificare a Regulamentului de punere în aplicare (UE) 2024/482 în ceea ce priveşte standardele internaţionale aplicabile şi de rectificare a regulamentului de punere în aplicare respectiv (JO L, 2024/3144, 19.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3144/oj).
(c)până la 31.12.2030, FIPS PUB 140-3 (4) [3] nivelul 3.
(4)FIPS PUB 140-3 (2019): "Cerinţe de securitate pentru modulele criptografice".
Această certificare se referă la un obiectiv de securitate sau un profil de protecţie ori la un proiect de modul şi o documentaţie de securitate care îndeplinesc cerinţele prezentului document, pe baza unei analize a riscurilor şi ţinând seama de măsurile de securitate fizice şi de altă natură fără caracter tehnic.
În cazul în care dispozitivul criptografic securizat beneficiază de o certificare EUCC [4][5], dispozitivul respectiv se configurează şi se utilizează în conformitate cu certificarea respectivă.
- 7.8 Securitatea reţelelor
- REQ-7.8-14X Scanarea pentru a detecta vulnerabilităţilor prevăzută de REQ-7.8-13 se efectuează cel puţin o dată pe trimestru.
- REQ-7.8-18X Testul de penetrare prevăzut de REQ-7.8-17X se efectuează cel puţin o dată pe an.
- REQ-7.8-21X: Firewall-urile trebuie configurate astfel încât să se împiedice toate protocoalele şi accesările care nu sunt necesare pentru desfăşurarea activităţii prestatorului de servicii de încredere.
- 7.9.1 Monitorizare şi jurnalizare
- REQ-7.9.1-02X Activităţile de monitorizare ţin seama de sensibilitatea oricăror informaţii colectate sau analizate.
- 7.12 Încetarea activităţii prestatorului de servicii de încredere şi planul în caz de încetare a serviciilor
- REQ-7.12-02A Planul prestatorului de servicii de încredere în caz de încetare a serviciilor respectă cerinţele prevăzute în actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (5) din Regulamentul (UE) nr. 910/2014 [i.1].
(b)În plus, pentru toţi furnizorii de registre electronice calificate care utilizează tehnologiile registrelor electronice distribuite:
1.ISO 23257:2022 Tehnologia blockchain şi tehnologia registrelor distribuite - Arhitectura de referinţă, clauza 9, care oferă o descriere completă a sistemului tehnologic al registrelor electronice distribuite, a reţelei tehnologice a registrelor electronice distribuite corespunzătoare şi a nodurilor tehnologice ale registrelor electronice distribuite;
2.ISO/TS 23635:2022. Tehnologia blockchain şi tehnologia registrelor distribuite - Orientări privind guvernanţa, în ceea ce priveşte politicile şi practicile scrise şi accesibile publicului legate de structura de guvernanţă a serviciului de registre electronice furnizat.
Publicat în Jurnalul Oficial seria L din data de 17 decembrie 2025