(Ulrich Latzenhofer)
Im Jahr 2014 wurde der Rechtsrahmen für elektronische Signaturen mit der eIDAS-VO ¹ grundlegend geändert. Dienste im Zusammenhang mit elektronischen Signaturen wurden durch das neue Regelwerk in den Kontext sogenannter Vertrauensdienste eingebettet, die neben elektronischen Signaturen (für natürliche Personen) auch elektronische Siegel (für juristische Personen), Zertifikate für die Website-Authentifizierung, elektronische Zeitstempel, die Zustellung elektronischer Einschreiben und damit einhergehende Zertifizierungs-, Validierungs- und Bewahrungsdienste umfassen können.
Vertrauensdienste greifen ihrerseits oft auf Dienste zurück, deren Anbieter in einem anderen Mitgliedstaat als der Vertrauensdiensteanbieter (kurz VDA) niedergelassen ist. Beispielsweise wird die für die Ausstellung eines qualifizierten Zertifikats erforderliche Identifizierung des Zertifikatswerbers meist nicht vom VDA selbst, sondern von Dienstleistern in verschiedenen Mitgliedstaaten vorgenommen.
Um die Sicherheit staatenübergreifend erbrachter Vertrauensdienste zu gewährleisten, ist eine enge Zusammenarbeit zwischen den Aufsichtsstellen der beteiligten Staaten erforderlich. So schrieb die eIDAS-VO im Hinblick auf den Austausch bewährter Verfahren von Anfang an eine Zusammenarbeit zwischen den nationalen Aufsichtsstellen vor. Besonderer Bedarf zur Zusammenarbeit ergab sich aus Art. 19 eIDAS-VO, dem zufolge VDA einerseits geeignete technische und organisatorische Maßnahmen zur Beherrschung der Sicherheitsrisiken im Zusammenhang mit den von ihnen erbrachten Vertrauensdiensten ergreifen mussten, andererseits Sicherheitsverletzungen und Integritätsverluste mit erheblichen Auswirkungen auf den erbrachten Vertrauensdienst unverzüglich der Aufsichtsstelle zu melden hatten.
Zur Förderung dieser Zusammenarbeit rief die Europäische Agentur für Cybersicherheit (ENISA) unter der Schirmherrschaft der Europäischen Kommission 2015 die "Article 19 Expert Group" ins Leben – in Analogie zu der schon 2010 eingerichteten "Article 13a Expert Group", die sich unter Bezug auf Art. 13a Rahmenrichtlinie² mit Sicherheitsaspekten elektronischer Kommunikationsnetze und -dienste befasste. Im Jahr 2018 wählten beide Expertengruppen erstmals eine(n) Vorsitzende(n) aus den Reihen ihrer Mitglieder. In der Article 19 Expert Group fiel die Wahl einstimmig auf Ulrich Latzenhofer, den Vertreter der RTR-GmbH. Dieser wurde seither zweimal wiedergewählt und wird seine Funktion voraussichtlich im Mai 2025 an eine(n) Nachfolger(in) abgeben.
Da in den letzten Jahren sowohl Art. 13a Rahmenrichtlinie als auch Art. 19 eIDAS-VO durch andere Vorschriften ersetzt wurden, sind mittlerweile beide Expertengruppen unter neuen Namen bekannt: Aus der Article 13a Expert Group ist die "European Competent Authorities for Secure Electronic Communications (ECASEC) Expert Group" hervorgegangen. Die Article 19 Expert Group öffnete sich für Behörden, die gemäß NIS-2-Richtlinie³ für die Cybersicherheit von Vertrauensdiensten zuständig sind, und änderte ihren Namen in "European Competent Authorities for Trust Services (ECATS) Expert Group".
In ihren Terms of Reference hat sich die ECATS Expert Group folgende Ziele gesetzt:
Die ECATS Expert Group besteht derzeit aus 115 Mitgliedern aus sämtlichen EU- und EWR-EFTA-Staaten sowie zwei Kandidatenländern. Seitens der Europäischen Kommission und der ENISA wirken überdies 27 Beobachter mit. Die Expertengruppe trifft sich regelmäßig, um aktuelle Sicherheitsfragen zu diskutieren und gemeinsame Lösungen zu entwickeln. Die Zusammenarbeit erfolgt überdies in Task Forces zu bestimmten Themen, in zusätzlichen Videokonferenzen und über eine von der ENISA eingerichtete Mailingliste.
Eine der ersten Tätigkeiten der Expertengruppe war die Schaffung eines einheitlichen Rahmens für die Meldung von Sicherheitsverletzungen und Integritätsverlusten mit erheblichen Auswirkungen auf Vertrauensdienste. Hierbei muss vor allem die Vergleichbarkeit der Meldungen auf supranationaler Ebene gewährleistet sein, damit die ENISA die Daten statistisch auswerten kann (solche Auswertungen sind ein wichtiges Werkzeug für die Risikoanalyse und kommen somit letztlich den VDA zugute). Im Jahr 2024 passte die Expertengruppe die Leitlinien für die Meldung von Sicherheitsvorfällen an, um den durch NIS 2 und eIDAS 2 ⁴ geänderten Meldepflichten Rechnung zu tragen.
Im Rahmen ihres Vorsitzes in der ECATS Expert Group wirkt die RTR auch als Beobachter in der NIS-Kooperationsgruppe mit, deren Aufgaben vor allem im Informationsaustausch und in der Bereitstellung von Orientierungshilfen für die zuständigen Behörden, aber auch im beratenden Austausch und in der beratenden Zusammenarbeit mit der Europäischen Kommission, insbesondere bei Entwürfen von Durchführungsrechtsakten, bestehen. Dabei wurden insbesondere spezifische Risikomanagementmaßnahmen für VDA im Bereich der Cybersicherheit eingebracht und im Dialog mit der Europäischen Kommission spezifische Kriterien für die Meldepflicht von Cybersicherheitsvorfällen formuliert.⁵
Überdies trägt die ECATS Expert Group regelmäßig mit ihrer Expertise zu Gesetzgebungsverfahren der EU bei. Dies war insbesondere bei NIS 2 und eIDAS 2 der Fall.
In einer Liaison mit dem Europäischen Institut für Telekommunikationsnormen (ETSI) leistet die ECATS Expert Group wichtige Beiträge zur Standardisierung im Bereich der Vertrauensdienste. Da VDA bei der Konformitätsbewertung bestimmte Risikomanagementmaßnahmen im Bereich der Cybersicherheit gemäß NIS-2-Richtlinie nachweisen müssen, brachte die ECATS Expert Group diesbezügliche Anforderungen in ETSI EN 319 401 V3.1.1 (2024-06), General Policy Requirements for Trust Service Providers, ein.
Die ECATS Expert Group erarbeitet auch Leitfäden mit dem Ziel, die staatenübergreifende Nutzung von Vertrauensdiensten zu vereinfachen, z. B. die "Guideline on delisting QSCDs". Für die Zertifizierung qualifizierter Signatur- bzw. Siegelerstellungseinheiten (QSCDs) sind notifizierte Stellen der Mitgliedstaaten zuständig. Wird die Zertifizierung eines QSCD annulliert, so darf dieses europaweit nicht mehr für die Erstellung qualifizierter elektronischer Signaturen oder Siegel verwendet werden. Damit es hierbei nicht zu bösen Überraschungen kommt, legt der von der Expertengruppe erarbeitete Leitfaden Regeln für einen möglichst frühzeitigen Informationsaustausch über bevorstehende Annullierungen fest.
Die Arbeit der ECATS Expert Group zeigt, wie entscheidend eine enge Zusammenarbeit auf europäischer Ebene für die Sicherheit und Weiterentwicklung von Vertrauensdiensten ist. Durch ihre Expertise trägt die Gruppe maßgeblich zur Harmonisierung regulatorischer Anforderungen, zur Verbesserung von Sicherheitsstandards und zur Förderung bewährter Verfahren bei. Mit der kontinuierlichen Anpassung an neue gesetzliche Rahmenbedingungen wie NIS 2 und eIDAS 2 bleibt die ECATS Expert Group ein zentraler Akteur im Bereich der Cybersicherheit und Vertrauensdienste – zum Nutzen aller Beteiligten im digitalen Binnenmarkt.
¹ Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. L 257 vom 28.8.2014, S. 73–114.
² Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie), ABl. L 108 vom 24.04.2002, S. 33–50.
³ Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABl. L 333 vom 27.12.2022, S. 80–152.
⁴ Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität, ABl. L, 2024/1183 vom 30.04.2024.
⁵ Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 mit Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555 im Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Präzisierung der Fälle, in denen ein Sicherheitsvorfall in Bezug auf DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter als erheblich gilt, ABl. L, 2024/2690, 18.10.2024.