CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Infrastructură digitală

🔏NIS2 pentru Trust Service Providers (TSP / QTSP) — termene, obligații, amenzi

Trust Service Providers (TSP / QTSP) cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology - echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Furnizorii de servicii de incredere (Trust Service Providers - TSP) si furnizorii calificati de servicii de incredere (Qualified Trust Service Providers - QTSP) sunt listati in Anexa I la Directiva (UE) 2022/2555 (NIS2), in sectorul de criticitate ridicata "Infrastructura digitala" [C1]. Spre deosebire de majoritatea sectoarelor, TSP-urile intra in scopul NIS2 INDIFERENT de marime — Art. 2(2)(f)(iii) suspenda pragul medie/mare intreprindere pentru servicii de incredere, considerate critice indiferent de cifra de afaceri sau numar de angajati [C2]. In Romania, transpunerea s-a facut prin OUG 155/2024 (publicata 30.12.2024), aprobata prin Legea 124/2025; DNSC este autoritatea nationala competenta pe cybersecurity sub NIS2, iar ADR (Autoritatea pentru Digitalizarea Romaniei) ramane organismul de supraveghere eIDAS pentru recunoasterea calificarii, audit conformity assessment si mentinerea Trusted List nationale [C7]. Cadrul material e dublu: NIS2 (Art. 21 risk-management, Art. 23 raportare incidente, Art. 34 sanctiuni) + eIDAS 1.0 (Reg. (UE) 910/2014) + eIDAS 2.0 (Reg. (UE) 2024/1183, adoptat 11 aprilie 2024) [C8]. Tehnic, Reg. (UE) 2024/2690 (17 octombrie 2024) detaliaza 13 titluri tehnice + Art. 14 cu praguri specifice TSP pentru incident semnificativ [C9][C10]. Pentru EUDI Wallet, patru regulamente de implementare (2024/2977, 2024/2978, 2024/2979, 2024/2980) adoptate pe 28 noiembrie 2024 stabilesc cerintele tehnice pe care TSP-urile vor trebui sa le sustina ca emitenti de atestari electronice [C13].

Exemple de entități acoperite în România

certSIGN S.A. - QTSP roman activ pe semnatura electronica calificata, sigiliu calificat, timestamp si validationDigiSign S.A. - QTSP roman activ pe certificate calificate pentru semnatura electronica si sigiliuTrans Sped S.R.L. - QTSP roman activ pe semnatura calificata, timestamp, e-deliveryFurnizori non-calificati (non-QTSP) de servicii de incredere stabiliti in Romania - sub regimul de supraveghere ex-post al ADROperatori UE care emit certificate website authentication (QWAC) si urmeaza sa le ofere catre operatorii romani

Praguri de aplicabilitate

Anexa I NIS2 listeaza "Trust service providers" in sectorul "Digital infrastructure" [C1]. Spre deosebire de DNS, cloud, telecom etc., regula de la Art. 2(2)(f)(iii) elimina pragul medie/mare intreprindere — orice TSP / QTSP stabilit pe teritoriul UE este in scopul NIS2 fara sa conteze cifra de afaceri sau numar de angajati [C2]. In practica, in Romania toti furnizorii listati pe Trusted List (certSIGN, DigiSign, Trans Sped si altii) sunt direct in scop ca entitati esentiale [C14]. Pentru cei non-calificati, statutul (esential vs. important) depinde de criteriile DNSC din Ordinul 4/2025 + Ordinul 2/2025 (criterii de perturbare) [C7]. Un QTSP pierde statutul daca: (a) refuza auditul de conformitate la 24 luni, (b) raporteaza incidente in afara ferestrei 24h-72h-1 luna pe NIS2 Art. 23 si in afara ferestrei 24h pe eIDAS Art. 19, sau (c) suporta o compromitere de tip integrity/authenticity a datelor de provisionare a serviciilor [C10][C12].

📅 Timeline regulatoriu

  1. Adoptarea Reg. (UE) 910/2014 (eIDAS 1.0) - cadrul de baza pentru servicii de incredere si identificare electronica in UE [C8]

  2. Adoptarea Directivei (UE) 2022/2555 (NIS2) - trust service providers in Anexa I, regardless of size [C1][C2]

  3. Adoptarea Reg. (UE) 2024/1183 (eIDAS 2.0) - introducerea EUDI Wallet + alinierea NIS2 pe cybersecurity [C8]

  4. Adoptarea Reg. (UE) 2024/2690 - 13 titluri tehnice + Art. 14 cu praguri specifice TSP pentru incident semnificativ [C9][C10]

  5. Termenul UE pentru transpunere NIS2 (Art. 41 NIS2) [C7]

  6. Adoptarea Reg. (UE) 2024/2977, 2978, 2979, 2980 - implementare tehnica EUDI Wallet + ARF v2.0 [C13]

  7. Intrarea in vigoare a Cyber Resilience Act (Reg. (UE) 2024/2847) - se aplica software-ului TSP din 11 decembrie 2027 [C17]

  8. Romania publica OUG 155/2024 - transpunere NIS2; DNSC = autoritate nationala competenta; ADR = supervisory body eIDAS [C7]

  9. ENISA publica Annual Report Trust Services Security Incidents 2024: 44 incidente, 84% impact pe servicii calificate [C15]

  10. Lege 124/2025 - aprobarea OUG 155/2024 [C7]

  11. DNSC publica Ordinul 4/2025 (masuri risc-management) si Ordinul 2/2025 (criterii si praguri de perturbare) [C7]

  12. Start raportare obligatorie sub Cyber Resilience Act pentru software TSP cu elemente digitale [C17]

  13. Termen UE pentru Statele Membre sa puna la dispozitie EUDI Wallet catre cetateni [C13]

  14. Termen-tinta ENISA + 18 agentii nationale UE pentru tranzitia infrastructurilor critice catre post-quantum cryptography [C16]

📋 Obligații cheie

Cadru tehnic NIS2 cumul: Art. 21(2) + Reg. (UE) 2024/2690 (13 titluri tehnice) + Art. 14 (praguri TSP-specifice pentru incident semnificativ)

efort: high

TSP-urile sunt unul dintre cele 8 grupuri de furnizori explicit acoperite de Reg. (UE) 2024/2690 — primul regulament de implementare al NIS2, adoptat pe 17 octombrie 2024 cu intrare in vigoare la a 20-a zi de la publicare [C9]. Anexa regulamentului detaliaza 13 titluri tehnice (policy securitate, risc, incident handling, BCM, supply chain, securitate in achizitie, anti-malware, securitate retea, criptografie, securitate fizica/mediu, personal, asset management, control acces) plus o sectiune specifica de criptografie aliniata cu standardele europene si internationale (ETSI EN 319 401, ETSI EN 319 411-1, ETSI EN 319 411-2) [C11]. Art. 14 stabileste praguri tari specifice TSP pentru ce inseamna "incident semnificativ": indisponibilitate >1 ora/saptamana, >1% sau >200.000 utilizatori afectati, compromis acces fizic la zone restrictionate, sau impact pe integritate/confidentialitate/autenticitate la >0,1% sau >100 utilizatori [C10]. Acestea sunt praguri stricte, mai joase decat pentru cloud, DNS si MSP, datorita naturii de "lant de incredere global" — un certificat compromis poate fi folosit pentru MITM in tot ecosistemul european.

Controale recomandate: NIS2 Art. 21(2)(a-j)OUG 155/2024Reg. (EU) 2024/2690 Annex (13 titles) + Art. 14ETSI EN 319 401ETSI EN 319 411-1 / -2ISO/IEC 27001:2022

Audit conformity assessment la 24 luni + notificare incidente sub eIDAS Art. 19 (24h) suprapus NIS2 Art. 23 (24h/72h/1 luna)

efort: high

QTSP-urile sunt obligate prin Art. 20(1) din Reg. (UE) 910/2014 sa fie auditate la fiecare 24 luni pe propria cheltuiala de catre un conformity assessment body acreditat (CAB) [C12]. Raportul de audit este transmis catre supervisory body (in Romania - ADR) pentru recunoasterea sau mentinerea statutului calificat. In paralel, Art. 19 din eIDAS (modificat de Reg. (UE) 2024/1183) cere notificarea catre supervisory body in maxim 24h de la constientizare pentru orice breach de securitate sau pierdere de integritate cu impact semnificativ [C8][C12]. NIS2 Art. 23 suprapune un al doilea flux: early warning catre CSIRT (DNSC) in 24h, notificare detaliata in 72h, raport final in maxim o luna [C4]. In practica, operatorii TSP romani trimit un singur runbook care alimenteaza ambele autoritati (ADR si DNSC). Esecul de a respecta oricare din cele doua ferestre poate atrage atat sanctiunile NIS2 Art. 34 (pana la 10 mil. EUR sau 2% cifra de afaceri pentru entitati esentiale) [C5], cat si pierderea statutului calificat de pe Trusted List.

Controale recomandate: eIDAS Art. 19 + Art. 20(1)NIS2 Art. 23 + OUG 155/2024ENISA Guidelines on Supervision of Qualified Trust ServicesETSI TS 119 403 (audit requirements)

Aliniere eIDAS 2.0 + EUDI Wallet: 4 regulamente de implementare (2024/2977, 2024/2978, 2024/2979, 2024/2980)

efort: high

Reg. (UE) 2024/1183 (eIDAS 2.0, adoptat 11 aprilie 2024) modifica Reg. (UE) 910/2014 si introduce EUDI Wallet ca pilon central al identitatii digitale UE [C8]. Cele patru regulamente de implementare adoptate pe 28 noiembrie 2024 si publicate pe 4 decembrie 2024 detaliaza cerintele tehnice: Reg. 2024/2977 (person identification data si electronic attestations of attributes), Reg. 2024/2978 (notificari), Reg. 2024/2979 (integritate si functionalitati de baza ale wallet-ului), Reg. 2024/2980 (protocoale si interfete) [C13]. Pentru TSP operationali in Romania, asta inseamna doua linii noi de business critice: (a) emitere de Qualified Electronic Attestations of Attributes (QEAA) care vor fi consumate de EUDI Wallet-urile cetatenilor; (b) certificate pentru Relying Parties care vor accepta atestari din wallet. Statele Membre sunt obligate sa puna la dispozitie portofele digitale catre cetateni pana la sfarsitul 2026 — asta inseamna ca QTSP-urile romani trebuie sa fie pregatite operational pentru acest val de cerere pana atunci [C13].

Controale recomandate: Reg. (EU) 2024/1183Reg. (EU) 2024/2977Reg. (EU) 2024/2979Reg. (EU) 2024/2980ARF v2.0 (Architecture Reference Framework)ETSI TS 119 471 / 472 (PID + QEAA)

Roadmap post-quantum cryptography + criptografie hibrid in lant de certificare

efort: high

ENISA + JRC + 18 agentii nationale UE au publicat in noiembrie 2024 un statement comun care identifica tranzitia infrastructurilor critice catre post-quantum cryptography pana in 2030 ca prioritate maxima, cu solutii hibrid (clasic + post-quantum) ca pas obligatoriu de tranzitie [C16]. Pentru TSP, asta inseamna planificarea de la ROOT CA / Intermediate CA pana la subscriber certificates: (a) audit complet al algoritmilor si lungimilor de chei in toate lant-urile active; (b) selectie de algoritmi post-quantum (ML-KEM, ML-DSA, FALCON, SLH-DSA din standarde NIST FIPS 203-205 publicate august 2024); (c) plan de migrare hibrid - certificate cu doua semnaturi (clasica + PQ) sau certificate dual-stack; (d) compatibilitate cu eIDAS 2.0 Art. 5a si cu specificatiile EUDI ARF. NIS2 Art. 21(2)(h) impune deja "policies and procedures regarding the use of cryptography" ca masura minima, iar Reg. 2024/2690 detaliaza ce inseamna asta operational [C3][C9]. Pentru piata enterprise care vrea identitate hibrida post-quantum native, CAI Technology ofera CAI-AUTH ca SDK identity provider cu suport criptografic hibrid (vezi cai_products_relevant).

Controale recomandate: NIS2 Art. 21(2)(h)Reg. (EU) 2024/2690 (Cryptography title)ENISA Post-Quantum Cryptography roadmapNIST FIPS 203-205 (ML-KEM, ML-DSA, SLH-DSA)ETSI TR 103 619 (PQC migration)

Securitatea lantului de aprovizionare HSM + RA + supply chain hardware/software (NIS2 Art. 21(2)(d))

efort: medium

Cele mai multe incidente in lantul global de TSP au fost cauzate de furnizori compromisi (Comodo 2011 [I2], DigiNotar 2011 [I1]) sau de afiliati Registration Authority cu controale slabe. NIS2 Art. 21(2)(d) si Reg. 2024/2690 (titlul Supply chain security) impun TSP-urilor sa documenteze, sa evalueze si sa controleze toti furnizorii directi - inclusiv producatorii de HSM, vendorii de software CA, partenerii RA si dezvoltatorii de middleware [C3][C9]. Lectiile Symantec 2017 [I4] si Entrust 2024 [I5] arata ca incalcari sistemice de baseline requirements (CA/Browser Forum + ETSI EN 319 411) pot duce la distrust browser-level - iar pe TSP roman care depinde de chain catre browsere, un distrust al unui CA upstream e echivalent cu pierderea de business. Controale concrete: autentificare cu MFA pentru orice RA / partner; logging si audit trails complete; HSM-uri certificate Common Criteria EAL4+ sau FIPS 140-3 Level 3+; contracte cu obligatii NIS2-clone pentru subcontractori - NIS2 Art. 21(2)(d) cere asta direct [C3].

Controale recomandate: NIS2 Art. 21(2)(d)Reg. (EU) 2024/2690 (Supply Chain title)CA/Browser Forum Baseline RequirementsCommon Criteria EAL4+ / FIPS 140-3 (HSM)ETSI EN 319 421 (timestamping authority)

📰 Incidente reale, lecții concrete

DigiNotar (Olanda)

2011 · Olanda

Tip: Compromitere CA root + emitere de 531 de certificate frauduloase folosite pentru MITM pe servicii Google in Iran

Impact: Atacatorii (un actor numit "ComodoHacker", revendicat iranian, atribuit ulterior drept state-sponsored) au compromis DigiNotar in iunie 2011 si au emis certificate pentru google.com, skype.com, addons.mozilla.org, microsoft update si altele. Aproximativ 300.000 de utilizatori iranieni Gmail au fost expusi la MITM. DigiNotar a intrat in faliment in septembrie 2011 - prima CA majora UE care a cazut din cauza unei compromiteri operationale. ENISA a publicat raportul "Operation Black Tulip" - referinta inca activa pe pagina ENISA in 2024.

Lecția: DigiNotar nu rula anti-virus pe servere si nu avea segregare de retea care sa blocheze deplasarea laterala dupa initial compromise. NIS2 Art. 21(2)(b) (incident handling), (e) (network security) si (i) (asset management) acopera exact aceste cerinte; Reg. 2024/2690 le detaliaza pe titluri tehnice [C3][C9]. Lectia pentru QTSP-uri romani: anuntarea targetelor de status "compromised" trebuie sa fie activa, multi-tiered, cu segregare a retelei CA fata de toate celelalte sisteme.

Sursă publică ↗

Comodo CA (afiliat reseller InstantSSL.it)

2011 · Italia / UK

Tip: Compromis Registration Authority afiliat + emitere 9 certificate frauduloase pentru 7 domenii

Impact: Pe 15 martie 2011, un RA afiliat in sudul Europei (InstantSSL.it) a fost compromis; atacatorii au emis certificate frauduloase pentru mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.com si login.live.com. Atacul a fost atribuit unei adrese IP din Iran. Comodo a accelerat rolling-out MFA pentru toti resellerii; 2 RA-uri suplimentare au fost compromise ulterior dar fara emitere de certificate noi.

Lecția: Incidentul a aratat ca punctul de risc nu e doar CA-root, ci si lantul de RA afiliati. NIS2 Art. 21(2)(d) (supply chain) si (j) (MFA pe toate accesele administrative) sunt exact ce a lipsit Comodo in 2011 [C3]. Pentru QTSP-urile romani cu retea de parteneri RA/business agents - contract clauses NIS2-clone, audit periodic, MFA obligatorie, logging centralizat.

Sursă publică ↗

TURKTRUST

2013 · Turcia

Tip: Mis-issued intermediate CA certificate (eroare procedurala) folosit pentru MITM pe *.google.com

Impact: Pe 24 decembrie 2012, Google a detectat un certificat fraudulos pentru "*.google.com" emis de un intermediate CA legat de TURKTRUST. Cel putin un intermediate certificate a fost folosit pentru "MITM traffic management" pe domenii pe care clientul nu le detinea. Google, Mozilla si Microsoft au actionat coordonat - Chrome update pe 25 decembrie, Firefox a suspendat root certificatul, Windows a actualizat Certificate Trust List.

Lecția: Un intermediate CA certificate emis gresit are autoritatea completa a CA-root — adica poate emite certificate pentru ORICE domeniu. NIS2 Art. 21(2)(e) (acquisition, development, maintenance) + Reg. 2024/2690 (Cryptography si Access Control) impun controale stricte de procedura pe orice emitere de intermediate sau cross-certificate. Pentru QTSP-uri romani: separation of duties, dual-control pe orice operatie CA-root.

Sursă publică ↗

Symantec CA (business vandut catre DigiCert)

2017 · SUA

Tip: Mis-issuance sistemica (initial 127 certificate, scope final >30.000 certificate pe ani)

Impact: Google Chrome a anuntat in martie 2017 un investigation impotriva Symantec dupa o serie de esecuri de validare; scope-ul a crescut de la 127 la peste 30.000 de certificate. Google a anuntat distrust incremental peste versiunile Chrome 66+ (martie/aprilie 2018), retragerea statutului EV si validitate maxima de 9 luni (279 zile) pentru certificate noi. Symantec a vandut business-ul CA catre DigiCert in 2017 - efectiv exit din market.

Lecția: Pentru o CA, mis-issuance la scara mare e fatal - browser distrust echivaleaza cu pierderea totala a business-ului. ETSI EN 319 411-1 si Reg. 2024/2690 (titlul "Security in acquisition") + Art. 14 (praguri TSP) sunt cadrul minim de monitoring. Pentru QTSP romani, monitorul continuu pe CT logs (Certificate Transparency), alerting pe orice emitere in afara perimetrului si auditing automatic e baseline-ul actual.

Sursă publică ↗

Entrust

2024 · SUA / Canada

Tip: Pattern de compliance failures: revocari intarziate, lipsa incident reports, erori administrative

Impact: Google a anuntat pe 28 iunie 2024 distrust al certificatelor Entrust emise dupa 31 octombrie 2024 (incepand cu Chrome 127). Mozilla a urmat pe 1 august 2024 cu distrust dupa 30 noiembrie 2024 in Firefox. Microsoft si Apple urmau sa puna in aplicare masuri similare. Entrust a parteneriat cu SSL.com si actioneaza acum efectiv ca Registration Authority care revinde certificate SSL.com. Istoric, nici una din cele 14 CA distrustui-te public nu a reusit sa recupereze increderea.

Lecția: Lectia 2024 este ca distrust-ul nu mai e pus pe pauza pentru CA mari - Google si Mozilla acum aplica criterii strict standardizate. NIS2 Art. 21(2)(b) (incident handling) + eIDAS Art. 19 (notificare 24h) + Reg. 2024/2690 Art. 14 (praguri TSP) toate impun un raportaj proactiv si transparent. Pentru QTSP romani: incident response runbook integrat ADR + DNSC, plus monitorul activ al feedback-ului din browser root programs (Mozilla Root Store Policy, CCADB - Common CA Database).

Sursă publică ↗

⚠️ Amenințări tipice

  • • Atacuri pe CA infrastructure
  • • Code-signing key theft
  • • Identity theft pentru certificare digitală

💰 Amenzi maxime

Max 10 mil. EUR sau 2% cifra afaceri

📊 Status conformitate România

QTSP-urile RO conforme cu eIDAS 1.0. eIDAS 2.0 + NIS2 = upgrade major în 2026.

🛡️ Cum ajută CAI Technology

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

IRIS — AI Orchestrator persistent

Agent AI care primește comenzi în limbaj natural, propune un plan și execută doar după aprobare.

📚 Reglementări adiacente care se suprapun

Regulamentul (UE) 910/2014 (eIDAS 1.0) - cadrul de baza al serviciilor de incredere · Direct aplicabil din 1 iulie 2016; consolidat 18 octombrie 2024 cu amendamentele introduse de Reg. 2024/1183 si NIS2 [C8]

Cadrul material de baza pentru TSP/QTSP. Art. 19 (notificare incidente 24h), Art. 20 (audit conformity assessment la 24 luni), Art. 21-24 (cerinte specifice pentru certificate calificate de semnatura/sigiliu/website authentication), Art. 25-34 (timestamp + e-delivery), Art. 35-40 (semnaturi/sigilii) raman direct aplicabile. NIS2 nu inlocuieste eIDAS, ci se suprapune pe cybersecurity. Audit eIDAS = ETSI EN 319 401 + EN 319 411-2 + ETSI TS 119 403.

Regulamentul (UE) 2024/1183 (eIDAS 2.0) - European Digital Identity · Adoptat 11 aprilie 2024, publicat in OJ 30 aprilie 2024, in vigoare 20 mai 2024 [C8]

Modifica Reg. 910/2014 si introduce EUDI Wallet + categorii noi de servicii de incredere calificate: electronic ledgers, electronic attestations of attributes (QEAA), remote signing services. Recital 50 aliniaza obligatiile de cybersecurity ale TSP cu Directiva NIS2 [C8]. In practica, orice QTSP roman care vrea sa serveasca cazul de EUDI Wallet (certificate pentru wallet provider, QEAA pentru atributele utilizatorului) trebuie sa fie deja in conformitate cu cadrul NIS2 + eIDAS 2.0 + 4 implementing acts (2024/2977-2980).

Regulamentul (UE) 2024/2690 - masuri tehnice NIS2 (acopera TSP direct) · Adoptat 17 octombrie 2024, in vigoare 7 noiembrie 2024 (a 20-a zi dupa publicare) [C9]

Spre deosebire de telecom, TSP-urile SUNT acoperite explicit de Reg. 2024/2690. Anexa contine 13 titluri tehnice care fac operational Art. 21(2) NIS2; Art. 14 stabileste praguri stricte specifice TSP pentru ce inseamna "incident semnificativ" (>1 ora indisponibilitate, >1% sau >200.000 utilizatori afectati etc.) [C10]. DNSC va folosi acest regulament direct in audituri NIS2 pe TSP.

Cyber Resilience Act - Regulamentul (UE) 2024/2847 · In vigoare 10 decembrie 2024; raportare obligatorie din 11 septembrie 2026; obligatii principale aplicabile din 11 decembrie 2027 [C17]

CRA se aplica produselor cu elemente digitale - inclusiv software-ul CA, HSM firmware-ul, middleware-ul pentru semnatura electronica, aplicatiile EUDI Wallet [C17]. Pentru TSP, asta inseamna o a doua diligenta de supply chain: orice produs cu elemente digitale folosit in lant trebuie sa fie CE-marked conform cerintelor CRA - ceea ce schimba radical contractele cu vendori HSM si software providers. Combinatia NIS2 (procese) + CRA (produse) inchide bucla.

ETSI EN 319 401, EN 319 411-1, EN 319 411-2 + ETSI TS 119 403 · Standarde tehnice europene armonizate; non-legale dar referinta de audit pentru CAB-uri si supervisory bodies [C11]

EN 319 401 (general policy requirements TSP) + EN 319 411-1 (certificate issuance) + EN 319 411-2 (EU qualified certificates) constituie pachetul tehnic pe baza caruia CAB-urile auditeaza QTSP-uri. ENISA a aliniat Reg. 2024/2690 cu aceste standarde - 13 titlurile tehnice ale anexei sunt direct mapate. Versiunile curente: EN 319 401 V3.2.1 (ianuarie 2026), EN 319 411-1 V1.5.1 (aprilie 2025), EN 319 411-2 V2.6.1 (iunie 2025) [C11].

Întrebări frecvente

Suntem un QTSP roman (certificate calificate, sigiliu, timestamp) - suntem direct sub NIS2?

Da, fara discutie si fara prag de marime. Anexa I NIS2 listeaza "Trust service providers" in sectorul "Digital infrastructure" [C1], iar Art. 2(2)(f)(iii) elimina pragul medie/mare intreprindere pentru TSP - este unul din putinele sectoare unde marimea nu conteaza [C2]. Orice QTSP de pe Trusted List Romania (certSIGN, DigiSign, Trans Sped si altii) intra direct ca entitate esentiala. Pentru TSP non-calificati, depinde de criteriile DNSC din Ordinul 2/2025 privind perturbarea serviciilor, dar in practica majoritatea intra ca entitati importante [C7].

Cine este autoritatea competenta pentru NIS2 si pentru eIDAS in Romania? Sunt diferite?

Da, sunt doua autoritati separate. DNSC (Directoratul National de Securitate Cibernetica) este autoritatea nationala competenta pe NIS2 conform OUG 155/2024 [C7] - inregistrarea entitatilor, audituri, sanctiuni. ADR (Autoritatea pentru Digitalizarea Romaniei) ramane organismul de supraveghere pe eIDAS pentru QTSP - acreditare conformity assessment, mentinerea Trusted List, supravegherea ex-post pentru TSP non-calificati [C7][C14]. In practica, runbook-ul de raportare a incidentelor alimenteaza ambele autoritati simultan - un singur eveniment de securitate cu impact pe certificate-uri inseamna notificare paralela la ADR (eIDAS Art. 19) si DNSC (NIS2 Art. 23) [C4][C12].

Care e termenul de raportare a incidentelor? Avem 24h pe eIDAS si 24h-72h-1 luna pe NIS2 — care primeaza?

Ambele se aplica in paralel. eIDAS Art. 19 cere notificarea catre supervisory body (ADR) in maxim 24h de la constientizare, pentru orice breach cu impact semnificativ pe trust service sau pe datele personale [C12]. NIS2 Art. 23 cere early warning catre CSIRT-ul national (DNSC) in 24h, notificare detaliata in 72h si raport final in maxim o luna [C4]. Practica recomandata: un singur incident response runbook care alimenteaza simultan cele doua autoritati cu un template comun. Daca incidentul afecteaza si date personale, se adauga al treilea flux - GDPR Art. 33 (72h catre ANSPDCP).

Ce pragul TSP-specifice de incident semnificativ avem sub Reg. 2024/2690?

Art. 14 din Reg. (UE) 2024/2690 stabileste 4 categorii de praguri pentru ce constituie incident semnificativ la TSP [C10]: (1) indisponibilitate >1 ora pe saptamana calendaristica; (2) impact pe >1% sau >200.000 utilizatori UE (oricare e mai mic); (3) compromis acces fizic la zone restrictionate; (4) impact pe integritate/confidentialitate/autenticitate la >0,1% sau >100 utilizatori UE. Pragurile sunt mai joase decat pentru cloud sau DNS - exact pentru ca un certificat compromis poate fi folosit la scara global pe MITM. Daca oricare prag e atins, incidentul devine "semnificativ" si declanseaza fluxul 24h-72h-1 luna pe NIS2 Art. 23 + 24h pe eIDAS Art. 19.

Cum ne pregatim de EUDI Wallet? Care e timeline-ul?

EUDI Wallet este reglementat prin patru regulamente de implementare adoptate pe 28 noiembrie 2024 si publicate pe 4 decembrie 2024: Reg. 2024/2977 (person identification data + QEAA), Reg. 2024/2978 (notificari), Reg. 2024/2979 (integritate + functionalitati de baza), Reg. 2024/2980 (protocoale + interfete) [C13]. Statele Membre sunt obligate sa puna la dispozitie portofele digitale catre cetateni pana la sfarsitul 2026. Pentru QTSP-urile romani - doua noi linii de business: (a) emitere de Qualified Electronic Attestations of Attributes (QEAA) consumate de wallet-uri; (b) certificate Relying Party pentru entitatile care accepta atestari din wallet. Pregatire: implementare ETSI TS 119 471/472, integrare cu ARF v2.0, certificare conformity assessment pe noua schema.

Care e plafonul de amenda? Si daca ne pierdem statutul calificat?

Sub NIS2 Art. 34, pentru entitati esentiale - maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala (oricare e mai mare); pentru importante - 7.000.000 EUR sau 1,4% [C5]. Aceasta sunt sanctiuni administrative DNSC. Independent, pierderea statutului calificat pe Trusted List (decizie ADR pe eIDAS Art. 20-21) inseamna un risc business mai mare decat sanctiunea financiara - clienti pierd capacitatea de a folosi certificate calificate cu valoare juridica probatorie. Daca incidentul afecteaza date personale, se cumuleaza GDPR Art. 83 (pana la 20 mil. EUR sau 4%).

Pe ce ar trebui sa ne concentram operational anul acesta - top 3 prioritati?

Pe baza incidentelor 2011-2024 [I1-I5] si a raportului ENISA Trust Services 2024 (44 incidente, 84% impact pe servicii calificate, 58% cauzate de system failures, 26% de erori umane) [C15]: (1) Mapping complet 13 titluri Reg. 2024/2690 vs. ETSI EN 319 401 + 411 - gap analysis si plan de remediere pe titlurile slabe; majoritatea operatorilor au lucrat doar pe baseline ETSI, acum trebuie suprapus si Reg. 2024/2690 + Art. 14 cu praguri TSP-specifice [C9][C10]. (2) Pregatire EUDI Wallet - implementare QEAA + relying party certificates, pentru ca cererea va exploda pana la sfarsitul 2026 [C13]. (3) Roadmap post-quantum cu solutii hibrid - infrastructura de chei trebuie sa fie compatibila cu algoritmii NIST FIPS 203-205 si cu ENISA roadmap-ul catre 2030 [C16]. Pentru segmentul enterprise care vrea identitate hibrida nativa, CAI-AUTH ofera un SDK identity provider cu support criptografic hibrid (clasic + post-quantum) - util ca punte intre infrastructura QTSP existenta si cazurile de uz B2B/enterprise.

🔗 Surse oficiale

Ești în sectorul trust service providers (tsp / qtsp)?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →