In Zukunft fallen Vertrauensdienste (Trust Service Provider) laut der NIS2-Richtlinie auch unter die kritischen Infrastrukturen. Allerdings sind die Anbieter bereits durch eIDAS reguliert. Droht den Diensten nun eine ausufernde Bürokratie und was bedeutet die mögliche Doppelregulierung für das Marktumfeld?
Ingolf Rauh, Head of Produkt und Innovation Management bei Swisscom Trust Services, zeigt, was die aktuelle Situation für Unternehmen bedeutet, die digitale Vertrauensdienste einsetzen.
Die NIS2-Richtlinie der EU ist am 16. Januar 2023 in Kraft getreten und muss bis spätestens Herbst 2024 in nationales Recht der Mitgliedsstaaten umgesetzt werden. Ziel ist es, den Rechtsrahmen für den Betrieb kritischer Infrastrukturen zu modernisieren, der mit der zunehmenden Bedrohung im Internet schritthalten muss.
Insgesamt wird damit sichergestellt, dass die Mitgliedstaaten die kritische Infrastruktur eines Landes, wie beispielsweise Wasserkraftwerke oder Energieversorgungseinrichtungen, entsprechend ausstatten und sichern. Wie bei großen Unternehmen sollen jetzt Computer Security Incident Response Teams (CSIRT) tätig werden und mit Zentralstellen des Staates, der Netz- und Informationssystembehörde (NIS) zusammenarbeiten.
Mitgliedstaaten sollen untereinander kooperieren und den Informationsaustausch sicherstellen und kritische Infrastrukturen sollen auf Einhaltung der Sicherheitstechnik überprüft werden.
Außerdem hat das EU-Parlamentskomitee am 9. Februar für den Vorschlag zu eIDAS2.0 gestimmt. In dieser Sache wird nun der übliche Trilog des EU-Gesetzgebungsprozesses beginnen. Anders als bei NIS2 handelt es sich bei eIDAS 2.0 allerdings um eine Verordnung, die nach dem Inkrafttreten direkt in der gesamten Union gültig wird, ohne dass eine vorherige Umsetzung in nationales Recht notwendig wäre.
Doppelter Aufwand für Audits
Die neue NIS2-Richtlinie soll indessen auch auf Vertrauens-Dienstanbieter Anwendung finden. Im Prinzip ist dies auch sinnvoll, da ein Vertrauens-Dienstanbieter eine kritische Infrastruktur des Landes oder sogar der gesamten EU ist. Das Problem liegt aber darin, dass Vertrauens-Dienstanbieter bereits seit 2014 durch die eIDAS-Verordnung stark reguliert, kontrolliert und auditiert sind. Dies werden sie natürlich auch zukünftig durch eIDAS 2.0 bleiben.
Zusätzlich müssen die Vertrauensdienste nun aber auch die Compliance mit NIS2 nachweisen, beziehungsweise den national abgewandelten Gesetzen, die daraus entstehen werden. Im ungünstigsten Fall könnte es zu widersprüchlichen Auditanforderungen kommen. Außerdem ist noch nicht geklärt, bei welchen staatlichen Stellen die Aufsichtsfunktion liegen wird.
Vermutlich wird dies in die Zuständigkeit unterschiedlicher Ministerien und Behörden und fallen und ebenfalls für zusätzliche Komplexität sorgen. Normungsorganisationen wie ETSI bemühen sich bereits, Verantwortliche von eIDAS und NIS2 zusammenzubringen, um die unterschiedlichen Auditanforderungen zumindest zu harmonisieren.
Auswirkungen auf den Trust Service Provider Markt
Einerseits werden die drohende Doppelregulierung und gesteigerte Auditanforderungen zu höheren Betriebskosten bei den Vertrauensdiensten führen. Dieser Kostendruck wird die Konsolidierung im Markt weiter fördern. Dazu kommen noch steigende Anforderungen an die Infrastruktur. Kleinere Trust Service Provider, die noch nicht über einen georedundanten Betrieb verfügen, könnten Probleme bekommen.
Die Konsolidierung des Marktes bedeutet für Unternehmen, dass sie bereits heute nach einem Trust-Partner suchen müssen, der über genügend Ressourcen, Erfahrung und strategische Weitsicht verfügt, um alle zukünftigen Regularien abzudecken.
Weiterhin stellt die Ausgestaltung von eIDAS 2.0 den gesamten Markt vor einen Scheideweg. Bei einer strengen Auslegung mit hohem Vertrauensniveau, wie von Rat und Parlament der EU-gefordert, könnte das Videoidentifikationsverfahren plötzlich nicht mehr möglich sein.
In manchen südlichen europäischen Ländern könnten elektronische Signaturen basierend auf die dort zugelassene eID sogar ganz unmöglich werden, da die eID Regularien dort bisher weniger streng sind als beispielsweise in Deutschland. Die Verordnung spricht hier von einem Vertrauensniveau „hoch“ anstelle von „substanziell“.
Die ursprüngliche eIDAS-Verordnung von 2014 war noch sehr stark von nationalen Regelungen bzw. Vorgaben der nationalen Aufsichtsstellen geprägt. So muss heute ein Vertrauensdienst für Fernsignaturen aus Deutschland oder Österreich für die Zulassung eine Auditierung nach dem ISO EN 419 241-1 Standard für Fernsignaturen nachweisen. Andere europäische Länder handhaben die Auditierung dagegen mitunter weniger streng.
In den beiden simultan ablaufenden Prozessen, eIDAS 2.0-Trilog und Umsetzung von NIS2 in nationales Recht, wird es nun darauf ankommen, einen Mittelweg zwischen starken Sicherheitsregeln einerseits und einem gesunden Marktumfeld andererseits zu finden. Ansonsten droht eine Überregulierung oder eine sich widersprechende Regulierung, einem ganzen Markt immensen Schaden zuzufügen und die Digitalisierung in Europa um Jahre zurückzuwerfen.