Nichtqualifizierte Vertrauensdiensteanbieter
Nichtqualifizierte Vertrauensdiensteanbieter (VDA) brauchen ihre Tätigkeit der Aufsichtsstelle nicht anzuzeigen. Dennoch haben sie allgemeine Sicherheitsanforderungen gemäß Art. 19 eIDAS-VO zu erfüllen. Insbesondere müssen sie geeignete technische und organisatorische Maßnahmen zur Beherrschung der Sicherheitsrisiken im Zusammenhang mit den von ihnen erbrachten Vertrauensdiensten ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des jeweils neuesten Standes der Technik gewährleisten, dass das Sicherheitsniveau der Höhe des Risikos angemessen ist. Insbesondere sind Maßnahmen zu ergreifen, um Auswirkungen von Sicherheitsverletzungen zu vermeiden bzw. so gering wie möglich zu halten und die Beteiligten über die nachteiligen Folgen solcher Vorfälle zu informieren. Diese Maßnahmen können von der Europäischen Kommission im Wege von Durchführungsrechtsakten präzisiert werden. Solange derartige Rechtsakte nicht existieren, können einschlägige Standards (z. B. die für den jeweiligen Vertrauensdienst relevanten Policy Requirements von ETSI) herangezogen werden.
Auch nichtqualifizierte VDA haben der Aufsichtsstelle und ggf. auch anderen Stellen (z. B. der Datenschutzbehörde) Sicherheitsverletzungen und Integritätsverluste, die sich erheblich auf den erbrachten Vertrauensdienst oder die darin vorhandenen personenbezogenen Daten auswirken, unverzüglich, jedenfalls aber innerhalb von 24 Stunden ab Kenntnis des betreffenden Vorfalls, zu melden. Wenn sich ein Vorfall voraussichtlich nachteilig auf eine natürliche oder juristische Person auswirkt, für die der Vertrauensdienst erbracht wurde, so hat der VDA auch diese natürliche oder juristische Person unverzüglich über den Vorfall zu unterrichten. Form und Verfahren der Meldung können von der Europäischen Kommission im Wege von Durchführungsrechtsakten präzisiert werden. Solange derartige Rechtsakte nicht existieren, wird sich die Aufsichtsstelle bei der Auslegung der Vorschrift an einschlägigen Dokumenten der ENISA orientieren. Insbesondere das Dokument Proposal for Article 19 incident reporting eignet sich (auch) als Leitlinie für die Entscheidung, ob ein Vorfall zu melden ist oder nicht.
Nichtqualifizierte VDA und die von ihnen erbrachten Vertrauensdienste sind auf Antrag in die Vertrauensliste aufzunehmen. Interessenten werden ersucht, diesbezüglich mit der RTR-GmbH Kontakt aufzunehmen.
Qualifizierte Vertrauensdiensteanbieter
Alle Anforderungen für nichtqualifizierte Vertrauensdiensteanbieter (VDA) sind auch von qualifizierten VDA zu erfüllen. Darüber hinaus bestehen besondere Anforderungen für qualifizierte VDA.
Allgemeine Anforderungen an qualifizierte VDA sind in Art. 24 eIDAS-VO festgelegt. Besondere Anforderungen für bestimmte Arten qualifizierter Vertrauensdienste sind in Art. 25 bis 45 eIDAS-VO festgelegt.
Gemäß Art. 21 eIDAS-VO hat ein VDA die Absicht, die Erbringung qualifizierter Vertrauensdienste aufzunehmen, der Aufsichtsstelle mitzuteilen und dabei einen von einer akkreditierten Konformitätsbewertungsstelle ausgestellten Konformitätsbewertungsbericht vorzulegen. Prinzipiell kann jeder VDA selbst entscheiden, welche akkreditierte Konformitätsbewertungsstelle er beauftragt. Die Aufsichtsstelle kann jedoch auch selbst eine Überprüfung vornehmen oder auf Kosten des VDA eine Konformitätsbewertungsstelle mit der Durchführung einer Konformitätsbewertung beauftragen – insbesondere dann, wenn der vom VDA vorgelegte Konformitätsbewertungsbericht die Erfüllung der Anforderungen nur unzureichend darlegt.
Eine vom Europäischen Institut für Telekommunikationsnormen (ETSI) veröffentlichte informelle Liste umfasst Konformitätsbewertungsstellen für Vertrauensdienste, bei denen qualifizierte Zertifikate für die Website-Authentifizierung ausgestellt werden. Es sei jedoch darauf hingewiesen, dass über den Akkreditierungsstatus einer Konformitätsbewertungsstelle nur die Akkreditierungsstelle jenes Mitgliedstaats kompetent Auskunft erteilen kann, in dem die Konformitätsbewertungsstelle ihren Sitz hat. Eine Liste der nationalen Akkreditierungsstellen ist auf der Website der European co-operation for Accreditation (EA) veröffentlicht.
Hinweis: Anbietern, die qualifizierte Vertrauensdienste anbieten wollen, empfehlen wir, die RTR-GmbH aufgrund der hohen Anforderungen an diese Dienste bereits frühzeitig zu kontaktieren.