Capitolul v - Certificate pentru semnături electronice - Legea 214/2024 privind utilizarea semnăturii electronice, a mărcii temporale şi prestarea serviciilor de încredere bazate pe acestea
M.Of. 647
În vigoare Versiune de la: 8 Iulie 2024
CAPITOLUL V:Certificate pentru semnături electronice
Art. 14: Registrul electronic de evidenţă a certificatelor calificate şi necalificate
(1)Prestatorii de servicii de încredere care emit certificate au obligaţia de a crea şi de a menţine un registru electronic de evidenţă a certificatelor eliberate.
(2)Registrul electronic de evidenţă a certificatelor eliberate trebuie să cuprindă următoarele informaţii:
a)data şi ora exactă a eliberării certificatului;
b)data şi ora exactă a expirării certificatului;
c)dacă este cazul, data şi ora exactă a suspendării sau revocării certificatului, precum şi motivele care au condus la luarea acestei măsuri.
(3)Registrul electronic de evidenţă a certificatelor eliberate este public şi disponibil permanent pentru consultare în regim online.
(4)La nivelul sistemelor electronice închise acreditate potrivit legislaţiei privind protecţia informaţiilor clasificate, disponibilitatea consultării registrului prevăzut la alin. (1) este accesibilă în conformitate cu legislaţia aplicabilă protejării sistemului respectiv.
Art. 15: Cuprinsul certificatului
(1)Certificatul calificat pentru semnătura electronică are structura prevăzută în anexa I la Regulamentul (UE) nr. 910/2014. Certificatele calificate vor fi emise în concordanţă cu standardele Institutului European de Standardizare în Telecomunicaţii specifice în vigoare sau cu ultimele versiuni ale acestora, după caz.
(2)Certificatul pentru semnătura electronică avansată cuprinde în mod obligatoriu următoarele:
a)indicarea faptului că certificatul a fost eliberat cu titlu de certificat pentru semnătură electronică avansată;
b)informaţii cu privire la cel care are sarcina probei în caz de litigiu;
c)datele de identificare ale prestatorului de servicii de încredere, precum şi statul membru în care este stabilit prestatorul respectiv;
d)numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum şi alte atribute specifice ale semnatarului, dacă sunt relevante, în funcţie de scopul pentru care este eliberat certificatul pentru semnătură electronică avansată;
e)datele de verificare a semnăturii, care corespund datelor de creare a semnăturii aflate sub controlul exclusiv al semnatarului;
f)indicarea începutului şi sfârşitului perioadei de valabilitate a certificatului;
g)codul de identificare a certificatului digital pentru semnătura electronică avansată;
h)semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere care eliberează certificatul pentru semnătura electronică avansată;
i)dacă este cazul, limitele utilizării certificatului pentru semnătura electronică avansată sau limitele valorice ale operaţiunilor pentru care acesta poate fi utilizat;
j)orice alte informaţii stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
(3)La solicitarea beneficiarului, prestatorul de servicii de încredere poate înscrie în certificat şi alte informaţii decât cele prevăzute la alin. (1) şi (2), după o prealabilă verificare a exactităţii acestor informaţii.
(4)Certificatul indică în mod expres faptul că este utilizat un pseudonim, atunci când titularul se identifică printr-un pseudonim.
(5)Prestatorul de servicii de încredere poate să indice în cuprinsul unui certificat restricţii ale utilizării acestuia, precum şi limite ale valorii operaţiunilor pentru care acesta poate fi utilizat, cu condiţia ca respectivele restricţii să poată fi cunoscute de către terţi. Prestatorul de servicii de încredere nu este răspunzător pentru prejudiciile rezultând din utilizarea unui certificat cu încălcarea restricţiilor prevăzute în cuprinsul acestuia.
Art. 16: Eliberarea certificatului sau a oricărui alt instrument de creare a semnăturilor electronice calificate şi necalificate
(1)Înainte de eliberarea certificatului calificat sau necalificat ori a oricărui alt instrument de creare a semnăturilor electronice pentru o persoană fizică, prestatorii de servicii de încredere au obligaţia de a verifica identitatea respectivei persoane.
(2)Certificatul sau instrumentul de creare a semnăturilor electronice se eliberează de către prestatorul de servicii de încredere în format digital, conform cu standardele şi reglementările naţionale şi europene aplicabile. Prestatorul de servicii de încredere este obligat să păstreze certificatele emise, respectiv instrumentele de creare a semnăturilor electronice, pentru o perioadă de minimum 10 ani de la data încetării valabilităţii certificatului.
(3)Verificarea identităţii unei persoane în vederea eliberării unui certificat calificat, respectiv a unui certificat pentru semnătură electronică avansată se poate face prin oricare dintre următoarele modalităţi:
a)de către prestatorul de servicii de încredere, pe baza actului de identitate, a paşaportului sau a permisului de şedere emis de autorităţile competente, în original, al solicitantului şi prin prezenţa fizică a solicitantului în faţa unui reprezentant al prestatorului de servicii de încredere calificate, care trebuie să aibă un contract cu respectivul prestator de servicii de încredere şi să fie desemnat şi pregătit de acesta să efectueze activităţi de identificare a persoanei;
b)de către prestatorul de servicii de încredere, pe baza unui certificat calificat pentru semnătură electronică sau pentru sigiliu electronic calificat, valid la momentul identificării, emis de un prestator de servicii de încredere calificate;
c)de la distanţă, utilizând mijloace de identificare electronică pentru care, înainte de eliberarea certificatului, a fost asigurată fie prezenţa fizică, fie prezenţa de la distanţă, dacă nivelul de asigurare este echivalent din punctul de vedere al încrederii cu prezenţa fizică a persoanei fizice sau a unui reprezentant al persoanei juridice, care îndeplinesc specificaţiile tehnice şi procedurile pentru nivelurile de asigurare substanţial şi ridicat prevăzute în Regulamentul de punere în aplicare (UE) 2015/1.502;
d)de la distanţă, prin orice tehnici şi mijloace de identificare electronică care asigură securitatea, certitudinea, integritatea şi confidenţialitatea datelor de identificare, dacă nivelul de asigurare este echivalent din punctul de vedere al încrederii cu prezenţa fizică a persoanei fizice sau a unui reprezentant al persoanei juridice, potrivit normelor aprobate în 90 de zile de la intrarea în vigoare a prezentei legi prin act administrativ al conducătorului autorităţii de reglementare şi supraveghere specializate în domeniu, care se publică în Monitorul Oficial al României, Partea I. Sistemul de identificare electronică este notificat autorităţii de reglementare şi supraveghere specializate în domeniu cu 30 de zile înainte de începerea activităţii, cu respectarea normelor respective;
e)prin intermediul unui terţ de verificare a identităţii, în conformitate cu prevederile lit. a)-d).
Art. 17: Revocarea, suspendarea şi încetarea valabilităţii certificatelor
(1)Prestatorul de servicii de încredere are obligaţia de a suspenda certificatul în termen de 24 de ore din momentul la care a luat cunoştinţă despre apariţia unuia dintre următoarele cazuri:
a)la cererea semnatarului, după o prealabilă verificare a identităţii acestuia;
b)în cazul în care o hotărâre judecătorească dispune suspendarea certificatului;
c)în cazul în care informaţiile conţinute în certificat nu mai corespund realităţii, dacă nu se impune revocarea certificatului;
d)la solicitarea justificată a autorităţii de reglementare şi supraveghere specializate în domeniu;
e)în orice alte situaţii care constituie cazuri de suspendare a certificatelor eliberate, potrivit procedurilor de securitate şi de certificare declarate de prestatorul de servicii de încredere în baza art. 10 alin. (2) şi a Regulamentului (UE) nr. 910/2014.
(2)Prestatorul de servicii de încredere are obligaţia de a revoca certificatul în termen de 24 de ore din momentul la care a luat cunoştinţă despre apariţia unuia dintre următoarele cazuri:
a)la cererea semnatarului, după o prealabilă verificare a identităţii acestuia;
b)la decesul semnatarului;
c)în cazul în care o hotărâre judecătorească definitivă dispune revocarea;
d)dacă se dovedeşte în mod neîndoielnic că certificatul a fost emis în baza unor informaţii eronate sau false;
e)în cazul în care informaţiile esenţiale conţinute în certificat nu mai corespund realităţii;
f)atunci când a fost încălcată confidenţialitatea datelor de creare a semnăturii;
g)în cazul în care certificatul a fost utilizat în mod fraudulos;
h)în orice alte situaţii care constituie cazuri de revocare a certificatelor eliberate, potrivit procedurilor de securitate şi de certificare declarate de prestator potrivit art. 10 alin. (2) şi Regulamentului (UE) nr. 910/2014;
i)în situaţia în care este semnalat un posibil incident de securitate, care ar putea duce la compromiterea certificatului.
(3)Prestatorul de servicii de încredere îl informează de îndată pe utilizator despre suspendarea sau revocarea certificatului, împreună cu motivele care au stat la baza deciziei sale, şi îi oferă dreptul de a solicita verificarea acestei decizii.
(4)Prestatorul de servicii de certificare înscrie menţiunea de suspendare sau de revocare a certificatului în Registrul electronic de evidenţă a certificatelor eliberate prevăzut la art. 14, în termen de 24 de ore de la data la care a fost adoptată decizia respectivă. Suspendarea sau revocarea devine opozabilă terţilor de la data înscrierii sale în registru.
(5)În măsura în care sunt aplicabile, prevederile prezentului capitol sunt valabile şi în cazul semnăturilor electronice avansate care nu se bazează pe un certificat digital, ci folosesc alte tehnologii.
Art. 18: Recunoaşterea certificatelor eliberate de prestatorii de servicii de încredere străini
(1)Certificatul calificat eliberat de către un prestator de servicii de încredere cu domiciliul sau cu sediul într-un alt stat membru al Uniunii Europene este recunoscut ca fiind echivalent din punctul de vedere al efectelor juridice cu certificatul calificat eliberat de un prestator de servicii de încredere cu domiciliul sau cu sediul în România.
(2)Prestatorii de servicii de încredere calificate, înfiinţaţi într-un stat membru al Uniunii Europene şi înscrişi în cel puţin o listă sigură naţională prevăzută la art. 22 alin. (1) din Regulamentul (UE) nr. 910/2014 pot presta servicii de încredere în România fără a fi supuşi altor condiţii sau proceduri de avizare.