Anzeige
Zebra - das Magazin für Sustainable Finance
STRATEGIE17. März 2023

eIDAS 2.0, NIS2 und Vertrauensdienste – Ist die EU auf dem Weg in die Überregulierung?

Ingolf Rauh seiht die Gefahr einer Überregulierung durch die NIS2-Richtlinie und eIDAS
Swisscom Trust Services>/q>

In Zukunft fallen Vertrauensdienste (Trust Service Provider) laut der NIS2-Richtlinie auch unter die kritischen Infrastrukturen. Allerdings sind die Anbieter bereits durch eIDAS reguliert. Droht den Diensten nun eine ausufernde Bürokratie und was bedeutet die mögliche Doppelregulierung für das Marktumfeld? Ingolf Rauh, Head of Produkt und Innovation Management bei Swisscom Trust Services, zeigt, was die aktuelle Situation für Unternehmen bedeutet, die digitale Vertrauensdienste einsetzen.

von Ingolf Rauh, Swisscom Trust Services

Die NIS2-Richtlinie der EU ist am 16. Januar 2023 in Kraft getreten und muss bis spätestens Herbst 2024 in nationales Recht der Mitgliedsstaaten umgesetzt werden.

Ziel ist es, den Rechtsrahmen für den Betrieb kritischer Infrastrukturen zu modernisieren, der mit der zunehmenden Bedrohung im Internet schritthalten muss.”

Insgesamt wird damit sichergestellt, dass die Mitgliedstaaten die kritische Infrastruktur eines Landes, wie beispielsweise Wasserkraftwerke oder Energieversorgungseinrichtungen, entsprechend ausstatten und sichern. Wie bei großen Unternehmen sollen jetzt Computer Security Incident Response Teams (CSIRT) tätig werden und mit Zentralstellen des Staates, der Netz- und Informationssystembehörde (NIS) zusammenarbeiten. Mitgliedstaaten sollen untereinander kooperieren und den Informationsaustausch sicherstellen und kritische Infrastrukturen sollen auf Einhaltung der Sicherheitstechnik überprüft werden.

Außerdem hat das EU-Parlamentskomitee am 9. Februar für den Vorschlag zu eIDAS2.0 gestimmt. In dieser Sache wird nun der übliche Trilog des EU-Gesetzgebungsprozesses beginnen. Anders als bei NIS2 handelt es sich bei eIDAS 2.0 allerdings um eine Verordnung, die nach dem Inkrafttreten direkt in der gesamten Union gültig wird, ohne dass eine vorherige Umsetzung in nationales Recht notwendig wäre.

Doppelter Aufwand für Audits

Die neue NIS2-Richtlinie soll indessen auch auf Vertrauensdienstanbieter Anwendung finden. Im Prinzip ist dies auch sinnvoll, da ein Vertrauensdienstanbieter eine kritische Infrastruktur des Landes oder sogar der gesamten EU ist.

Das Problem liegt aber darin, dass Vertrauensdienstanbieter bereits seit 2014 durch die eIDAS-Verordnung stark reguliert, kontrolliert und auditiert sind. Dies werden sie natürlich auch zukünftig durch eIDAS 2.0 bleiben.”

Zusätzlich müssen die Vertrauensdienste nun aber auch die Compliance mit NIS2 nachweisen, beziehungsweise den national abgewandelten Gesetzen, die daraus entstehen werden. Im ungünstigsten Fall könnte es zu widersprüchlichen Auditanforderungen kommen. Außerdem ist noch nicht geklärt, bei welchen staatlichen Stellen die Aufsichtsfunktion liegen wird. Vermutlich wird dies in die Zuständigkeit unterschiedlicher Ministerien und Behörden und fallen und ebenfalls für zusätzliche Komplexität sorgen. Normungsorganisationen wie ETSI bemühen sich bereits, Verantwortliche von eIDAS und NIS2 zusammenzubringen, um die unterschiedlichen Auditanforderungen zumindest zu harmonisieren.

Über Swisscom Trust Services
Swisscom Trust Services (Website) ist ein europäischer Anbieter, der eine qualifizierte elektronische Signatur in den Rechtsräumen EU (eIDAS Signaturverordnung) und Schweiz (ZertES Signaturgesetz) zur Verfügung stellt. Als Anbieter von Vertrauensdiensten ermöglicht Swisscom Trust Services seinen Partnern, im Rahmen der Transactional Economy, paneuropäisch digitale Innovationen durch die Bereitstellung identitätsbasierter und digitaler Services. Der Signatur-Service erlaubt Partnern eine Erweiterung der eigenen Business-Lösungen um eine elektronische Willensbekundung unter Berücksichtigung branchenspezifischer Anforderungen und Compliance-Vorschriften. Dadurch entstehen Möglichkeiten, die bisher auf Papier erledigt werden mussten, wie Verträge zu unterzeichnen, Versicherungen zu kaufen, einen Arbeitsvertrag zu unterschreiben, eine Kreditkarte zu beantragen oder Abnahmeprotokolle zu visieren – rechtskonform und digital.

Auswirkungen auf den Markt der Trust Service Provider

Einerseits werden die drohende Doppelregulierung und gesteigerte Auditanforderungen zu höheren Betriebskosten bei den Vertrauensdiensten führen. Dieser Kostendruck wird die Konsolidierung im Markt weiter fördern. Dazu kommen noch steigende Anforderungen an die Infrastruktur. Kleinere Trust Service Provider, die noch nicht über einen georedundanten Betrieb verfügen, könnten Probleme bekommen.

Die Konsolidierung des Marktes bedeutet für Unternehmen, dass sie bereits heute nach einem Trust-Partner suchen müssen, der über genügend Ressourcen, Erfahrung und strategische Weitsicht verfügt, um alle zukünftigen Regularien abzudecken.”

Weiterhin stellt die Ausgestaltung von eIDAS 2.0 den gesamten Markt vor einen Scheideweg.

Bei einer strengen Auslegung mit hohem Vertrauensniveau, wie von Rat und Parlament der EU-gefordert, könnte das Videoidentifikationsverfahren plötzlich nicht mehr möglich sein.”

In manchen südlichen europäischen Ländern könnten elektronische Signaturen basierend auf der dort zugelassenen eID sogar ganz unmöglich werden, da die eID-Regularien dort bisher weniger streng sind als beispielsweise in Deutschland. Die Verordnung spricht hier von einem Vertrauensniveau „hoch“ anstelle von „substanziell“.

Die ursprüngliche eIDAS-Verordnung von 2014 war noch sehr stark von nationalen Regelungen bzw. Vorgaben der nationalen Aufsichtsstellen geprägt. So muss heute ein Vertrauensdienst für Fernsignaturen aus Deutschland oder Österreich für die Zulassung eine Auditierung nach dem ISO EN 419 241-1 Standard für Fernsignaturen nachweisen. Andere europäische Länder handhaben die Auditierung dagegen mitunter weniger streng.

In den beiden simultan ablaufenden Prozessen, eIDAS 2.0-Trilog und Umsetzung von NIS2 in nationales Recht, wird es nun darauf ankommen, einen Mittelweg zwischen starken Sicherheitsregeln einerseits und einem gesunden Marktumfeld andererseits zu finden.”

Ansonsten droht eine Überregulierung oder eine sich widersprechende Regulierung, einem ganzen Markt immensen Schaden zuzufügen und die Digitalisierung in Europa um Jahre zurückzuwerfen.Ingolf Rauh, Swisscom Trust Services

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/151674

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert