Nou Regulamentul 2532/16-dec-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă şi specificaţiile privind serviciile calificate de arhivare electronică

Acte UE

Jurnalul Oficial seria L

Neintrat în vigoare
Versiune de la: 17 Decembrie 2025
Regulamentul 2532/16-dec-2025 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte standardele de referinţă şi specificaţiile privind serviciile calificate de arhivare electronică
Dată act: 16-dec-2025
Emitent: Comisia Europeana
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (1), în special articolul 45j alineatul (2),
(1)JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Întrucât:
(1)Prin Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului (2), a fost introdusă în Regulamentul (UE) nr. 910/2014 o listă de noi servicii de încredere şi de servicii de încredere calificate, inclusiv serviciul calificat de arhivare electronică. Comisia trebuie să stabilească o listă de standarde de referinţă şi, dacă este necesar, să stabilească specificaţii privind aceste servicii.
(2)Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(2)Arhivarea electronică este un serviciu care asigură primirea, stocarea, recuperarea şi ştergerea datelor electronice şi a documentelor electronice pentru a asigura durabilitatea şi lizibilitatea acestora, precum şi pentru a păstra integritatea, confidenţialitatea şi dovada originii acestora pe parcursul întregii perioade de păstrare. Serviciile calificate de arhivare electronică joacă un rol esenţial în mediul de afaceri digital prin promovarea tranziţiei de la procesele tradiţionale pe suport de hârtie la echivalentele lor electronice. Pentru a se asigura faptul că datele electronice şi documentele electronice păstrează prezumţia de integritate şi de origine a datelor şi documentelor respective pe durata perioadei lor de păstrare de către prestatorul de servicii de încredere calificat şi pentru a se atinge un nivel ridicat de transparenţă şi de încredere în rândul tuturor participanţilor la ciclul de viaţă al informaţiilor, este necesar să se stabilească un set comun de specificaţii privind serviciile calificate de arhivare electronică.
(3)Pentru a spori valoarea probatorie, securitatea şi credibilitatea serviciilor calificate de arhivare electronică, în cazul în care se utilizează semnături electronice, sigilii electronice sau mărci temporale electronice pentru a crea, a semna, a sigila sau a atesta data şi ora ale, de exemplu, dovezilor arhivării, înregistrării dovezilor, înregistrării evenimentelor, înregistrărilor privind punerea în aplicare corectă a procedurilor sau rapoartelor de confirmare a arhivării, ar trebui să se utilizeze servicii de încredere calificate.
(4)Prezumţia de respectare a cerinţelor prevăzută la articolul 45j alineatul (2) din Regulamentul (UE) nr. 910/2014 ar trebui să se aplice numai în cazul în care serviciile calificate de arhivare electronică respectă cerinţele prevăzute în prezentul regulament. Standardele de referinţă privind serviciile calificate de arhivare electronică ar trebui să reflecte practicile consacrate şi să fie recunoscute pe scară largă în sectoarele relevante. Aceste standarde ar trebui adaptate pentru a include controale suplimentare care să asigure securitatea şi credibilitatea serviciilor calificate de arhivare electronică.
(5)În cazul în care un prestator de servicii de încredere aderă la cerinţele prevăzute în prezentul regulament, organismele de supraveghere ar trebui să prezume conformitatea cu cerinţele relevante ale Regulamentului (UE) nr. 910/2014 şi să ia în considerare în mod corespunzător o astfel de prezumţie pentru acordarea sau confirmarea statutului de serviciu de încredere calificat al serviciului de încredere în cauză. Cu toate acestea, un prestator de servicii de încredere calificat se poate baza în continuare pe alte practici pentru a-şi demonstra conformitatea cu cerinţele Regulamentului (UE) nr. 910/2014.
(6)Pentru a păstra integritatea şi dovada de origine a datelor electronice şi a documentelor electronice care conţin una sau mai multe semnături sau sigilii electronice calificate, serviciile calificate de arhivare electronică ar trebui să utilizeze proceduri şi tehnologii în măsură să prelungească credibilitatea respectivelor semnături şi sigilii electronice dincolo de perioada lor de valabilitate tehnologică şi cel puţin pe toată perioada de păstrare.
(7)Comisia evaluează periodic tehnologiile, practicile, standardele sau specificaţiile tehnice nou-apărute. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183, Comisia ar trebui să revizuiască şi, dacă este necesar, să actualizeze prezentul regulament pentru a-l menţine aliniat la evoluţiile mondiale, la tehnologiile, practicile, standardele sau specificaţiile tehnice nou-apărute şi pentru a respecta bunele practici de pe piaţa internă.
(8)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (3) şi, după caz, Directiva 2002/58/CE a Parlamentului European şi a Consiliului (4) se aplică activităţilor de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.
(3)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(9)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (5) şi a emis un aviz la 21 octombrie 2025 (6).
(5)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data. europa.eu/eli/reg/2018/1725/oj).
(6)Observaţiile formale ale AEPD cu privire la proiectul de regulament de punere în aplicare de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte standardele de referinţă şi specificaţiile privind serviciile calificate de arhivare electronică.
(10)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit prin articolul 48 din Regulamentul (UE) nr. 910/2014,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Arhivarea electronică a documentelor care poartă o semnătură electronică calificată sau un sigiliu electronic calificat
(1)Atunci când arhivează date electronice sau documente electronice care conţin semnături electronice calificate sau sigilii electronice calificate, prestatorii de servicii calificate de arhivare electronică se asigură că se menţine credibilitatea respectivelor semnături electronice calificate sau sigilii electronice calificate, inclusiv dincolo de perioada lor de valabilitate tehnologică, şi că se menţine, totodată, integritatea şi acurateţea originii semnăturilor şi sigiliilor electronice calificate, cel puţin până la sfârşitul perioadei de păstrare legale sau contractuale.
(2)În sensul alineatului (1), prestatorii de servicii calificate de arhivare electronică se pot baza pe un serviciu calificat de păstrare a semnăturilor electronice calificate sau pe un serviciu calificat de păstrare a sigiliilor electronice calificate.
Art. 2: Standarde de referinţă şi specificaţii privind prestarea serviciilor calificate de arhivare electronică
Standardele de referinţă şi specificaţiile menţionate la articolul 45j alineatul (2) din Regulamentul (UE) nr. 910/2014 sunt prevăzute în anexa la prezentul regulament.
Art. 3: Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 16 decembrie 2025.

Pentru Comisie

Preşedinta

Ursula VON DER LEYEN

ANEXĂ:Lista standardelor de referinţă şi a specificaţiilor privind serviciile calificate de arhivare electronică
CEN/TS 18170:2025 ("CEN/TS 18170") se aplică cu următoarele adaptări:
(a)Referinţe normative (clauza 2)
- ETSI EN 319 401 V3.1.1 (2024-06), Semnături electronice şi infrastructuri de încredere (ESI); Cerinţe de politică generală pentru prestatorii de servicii de încredere.
- ETSI EN 319 421 V1.3.1 (2025-07), Semnături electronice şi infrastructuri (ESI); Cerinţe de politică şi de securitate pentru prestatorii de servicii de încredere care emit mărci temporale.
- ISO 14721: 2025, Practici ale sistemelor de date spaţiale - Model de referinţă pentru un sistem deschis de arhivare a informaţiilor (OAIS).
- ACM-ECGG, Grupul european pentru certificarea securităţii cibernetice, Subgrupul privind criptografia: "Mecanisme criptografice convenite", publicat de Agenţia Uniunii Europene pentru Securitate Cibernetică (ENISA).
- CIR (UE) 2024/482, Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei (1).
(1)Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei din 31 ianuarie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului în ceea ce priveşte adoptarea sistemului european de certificare a securităţii cibernetice bazat pe criterii comune (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).
- CIR (UE) 2024/3144, Regulamentul de punere în aplicare (UE) 2024/3144 al Comisiei (2).
(2)Regulamentul de punere în aplicare (UE) 2024/3144 al Comisiei din 18 decembrie 2024 de modificare a Regulamentului de punere în aplicare (UE) 2024/482 în ceea ce priveşte standardele internaţionale aplicabile şi de rectificare a regulamentului de punere în aplicare respectiv (JO L, 2024/3144, 19.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3144/oj).
- ISO/IEC 15408:2022 (părţile 1-5), "Securitatea informaţiilor, securitatea cibernetică şi protecţia vieţii private - Criterii de evaluare pentru securitatea IT".
- FIPS PUB 140-3 (2019) "Cerinţe de securitate pentru modulele criptografice".
(b)Declaraţia privind politicile şi practicile (clauza 6.1)
- Se aplică cerinţele specificate în CEN/TS 18170, clauza 6.1.
- Se aplică cerinţele specificate în CEN/TS 319 401, clauza 5.
- Prestatorul de servicii de încredere de arhivare electronică stabileşte proceduri de notificare a organismului de supraveghere cu privire la orice modificare survenită în prestarea serviciului calificat de arhivare electronică şi cu privire la intenţia sa de a înceta aceste activităţi, în conformitate cu cerinţele comerciale şi cu actele cu putere de lege şi normele administrative relevante, inclusiv în conformitate cu cerinţele prevăzute în actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (5) din Regulamentul (UE) nr. 910/2014 [i.2].
- Prestatorul de servicii de încredere de arhivare electronică transmite notificări organismului de supraveghere competent cel puţin:
- cu o lună înainte de punerea în aplicare a oricărei modificări;
- cu trei luni înainte de încetarea planificată a prestării unui serviciu de încredere.
(c)Termene şi condiţii (clauza 6.2)
- Se aplică cerinţele specificate în CEN/TS 18170, clauza 6.2.
- Abonaţii şi părţile care se bazează pe serviciul de încredere de arhivare electronică sunt informaţi într-un mod clar, cuprinzător şi uşor accesibil, într-un spaţiu accesibil publicului şi în mod individual, cu privire la termenele şi condiţiile precise, înainte de a intra într-o relaţie contractuală.
(d)Resurse umane (clauza 7.3)
- Se aplică cerinţele specificate în CEN/TS 18170, clauza 7.3.
- Personalul prestatorului de servicii de încredere de arhivare electronică cu roluri de încredere şi, dacă este cazul, subcontractanţii săi cu roluri de încredere trebuie să fie în măsură să îndeplinească cerinţa privind "cunoştinţele de specialitate, experienţa şi calificările" prin formare şi acreditări oficiale, prin experienţă efectivă sau printr-o combinaţie a celor două. Acest lucru presupune inclusiv actualizări periodice (cel puţin o dată la 12 luni) cu privire la noile ameninţări şi la practicile actuale în materie de securitate.
(e)Controale criptografice şi monitorizare (clauza 7.6)
- Sistemul de arhivare trebuie să garanteze confidenţialitatea datelor şi a documentelor pe parcursul ciclului de viaţă al arhivei, de la depunerea acesteia până la eliminarea sa.
- Se aplică cerinţele specificate în ETSI EN 319 401, subclauza 7.5 "Controale criptografice".
- Originea datelor care trebuie arhivate în sistemul electronic de arhivare este stabilită de prestatorii de servicii de încredere de arhivare electronică. Dacă aceştia utilizează semnături sau sigilii electronice în acest scop, semnăturile sau sigiliile electronice respective trebuie să fie calificate.
- Atunci când prestatorul de servicii de încredere de arhivare electronică aplică o semnătură digitală pe un obiect sau pe o înregistrare digitală (sau pe o parte a acestora), cheia de semnătură privată a acestuia este păstrată şi utilizată fie în cadrul unui dispozitiv calificat de creare a semnăturii sau a sigiliului electronic, fie în cadrul unui dispozitiv criptografic securizat care este un sistem credibil certificat în conformitate cu:
a)criteriile comune de evaluare a securităţii IT, astfel cum sunt stabilite în ISO/IEC 15408 sau în criteriile comune de evaluare a securităţii IT, versiunea CC:2022, părţile 1-5, publicate de participanţii la Acordul privind recunoaşterea certificatelor de criterii comune în domeniul securităţii informatice, şi certificat la nivelul EAL 4 sau la un nivel de securitate mai ridicat sau
b)sistemul european de certificare a securităţii cibernetice bazat pe criterii comune [CIR (UE) 2024/482, CIR (UE) 2024/3144] şi certificat la nivelul EAL 4 sau la un nivel de securitate mai ridicat sau
c)până la 31.12.2030, FIPS PUB 140-3 nivelul 3.
- Această certificare se referă la un obiectiv de securitate sau un profil de protecţie ori la un proiect de modul şi o documentaţie de securitate care îndeplinesc cerinţele prezentului document, pe baza unei analize a riscurilor şi ţinând seama de măsurile de securitate fizice şi de altă natură fără caracter tehnic.
- În cazul în care dispozitivul criptografic securizat beneficiază de o certificare EUCC [IR (UE) 2024/482, CIR (UE) 2024/3144], dispozitivul respectiv se configurează şi se utilizează în conformitate cu certificarea respectivă.
- Prestatorul de servicii de încredere de arhivare electronică monitorizează soliditatea algoritmilor criptografici care au fost utilizaţi în trecut şi care sunt utilizaţi în continuare. În cazul în care se consideră că unul dintre algoritmii sau parametrii utilizaţi nu mai este adecvat prin raportare la ceea ce se defineşte în gestionarea riscurilor, prestatorul de servicii de încredere de arhivare electronică fie actualizează politica de arhivare aferentă, fie creează un nou profil de arhivare pentru a gestiona pachetele de informaţii de arhivare şi pentru a defini şi a pune în aplicare măsurile adecvate.
- Evaluarea algoritmilor criptografici şi a utilizării lor de către prestatorul de servicii de încredere de arhivare electronică este conformă cu documentul "Mecanisme criptografice convenite", aprobat de Grupul european pentru certificarea securităţii cibernetice şi publicat de ENISA (ACM-ECCG).
- Componentele tehnice ale serviciilor de încredere de arhivare electronică se autentifică reciproc, înainte de a comunica, pe baza tehnicilor criptografice.
(f)Reţele (clauza 7.9)
- Se aplică cerinţele specificate în ETSI EN 319 401, subclauza 7.8 "Securitatea reţelelor".
- Scanarea pentru a detecta vulnerabilităţile prevăzută de REQ-7.8-13 din ETSI EN 319 401 se efectuează cel puţin o dată pe trimestru.
- Testul de penetrare prevăzut de REQ-7.8-17X din ETSI EN 319 401 se efectuează cel puţin o dată pe an.
- Firewall-urile trebuie configurate astfel încât să se împiedice toate protocoalele şi accesările care nu sunt necesare pentru desfăşurarea activităţii prestatorului de servicii de încredere de arhivare electronică.
(g)Colectarea dovezilor (clauza 7.11)
- Se aplică cerinţele specificate în ETSI EN 319 401 subclauza 7.10 "Colectarea dovezilor", inclusiv pentru evenimente critice şi necritice (a se vedea subclauza 13.2).
(h)Încetarea activităţii prestatorului de servicii de încredere de arhivare electronică şi planul în caz de încetare a serviciilor (clauza 7.13)
- Se aplică cerinţele specificate în CEN/TS 18170, clauza 7.13.
- Planul prestatorului de servicii de încredere de arhivare electronică în caz de încetare a serviciilor respectă cerinţele prevăzute în actele de punere în aplicare adoptate în temeiul articolului 24 alineatul (5) din Regulamentul (UE) nr. 910/2014.
(i)Ora fiabilă a evenimentelor (clauza 13.3.1)
- Se aplică cerinţele specificate în CEN/TS 18170, clauza 13.3.1.
- Atunci când utilizează mărci temporale, prestatorul de servicii de încredere de arhivare electronică trebuie să utilizeze o marcă temporală calificată.
Publicat în Jurnalul Oficial seria L din data de 17 decembrie 2025