Gartner: Entrust zum führenden Unternehmen im Bereich Identitätsprüfung ernannt

Webportal öffnen UnterstützungKontact
Signhost logoSignhost logo
Einloggen

Alles über eIDAS 2.0: Was Unternehmen wissen müssen.

Team Signhost

December 6, 2024

image

Die Verordnung über elektronische Identifizierung, Authentifizierung und vertrauenswürdige Dienste – besser bekannt als die eIDAS-Verordnung – trat 2014 in Kraft, wobei die Mitgliedstaaten bis 2016 die Einhaltung sicherstellen mussten. Sie war Teil der Mission der Europäischen Union, eine faire, offene und sichere digitale Umgebung im gesamten Block zu gewährleisten.

Nach der Auswertung der Auswirkungen von eIDAS im Jahr 2020 stellte die Europäische Kommission jedoch fest, dass die Verordnung die Erwartungen nicht erfüllt hatte und geändert werden musste. Die Kommission erklärte, dass eIDAS „nur teilweise sein Ziel erreicht habe, den grenzüberschreitenden Zugang zu öffentlichen Online-Diensten zu ermöglichen“. Es wurde auch festgestellt, dass die Verordnung nicht den Bedürfnissen von Sektoren wie der Bildung gerecht wurde und nur 14 Mitgliedstaaten eine nationale elektronische Identifizierung (eID) eingeführt hatten, wobei nur 59 % der Bürger Zugang zu einer vertrauenswürdigen eID hatten.

Die Lösung, so die Kommission, war die Entwicklung einer Änderung, die als „Rahmen für eine europäische digitale Identität“ bekannt wurde, die als eIDAS 2.0 bezeichnet wird.

Dieser Artikel beleuchtet die wichtigsten Elemente von eIDAS 2.0 und zeigt, wie es sich von der ursprünglichen Gesetzgebung unterscheidet. Sie finden auch den voraussichtlichen Zeitrahmen für die Umsetzung der neuen Elemente.

Was ist eIDAS 2.0?

eIDAS 2.0 ist eine Erweiterung von eIDAS, die die zunehmende Digitalisierung in Europa widerspiegelt und die Mängel der ursprünglichen Verordnung beheben soll, um sicherzustellen, dass alle Bürger auf sichere und vertrauenswürdige Weise an dieser digitalen Zukunft teilnehmen können.

Es ist das Ergebnis einer Überprüfung, die in Artikel 49 der ursprünglichen eIDAS-Verordnung festgelegt wurde, der besagte: „Die Kommission überprüft die Anwendung dieser Verordnung und erstattet spätestens am 1. Juli 2020 Bericht an das Europäische Parlament und den Rat.“

Dies führte im Juni 2021 zu einem Vorschlag der Europäischen Kommission zur Aktualisierung des Rahmens für digitale Identitäten in Europa, dem das Europäische Parlament und der Europäische Rat im November 2023 zustimmten. Am 29. Februar 2024 wurde der Vorschlag genehmigt.

Die Hauptziele von eIDAS 2.0 sind:

  • Vertrauenswürdige, sichere grenzüberschreitende digitale Identifikationsprozesse anzubieten, die den modernen Anforderungen gerecht werden
  • Sowohl öffentliche als auch private Dienste bei der Nutzung von grenzüberschreitenden digitalen ID-Lösungen zu unterstützen
  • Den Bürgern vollständige Kontrolle über ihre persönlichen Daten zu geben und ihre digitalen Identifikationsprozesse sicher zu halten
  • Ein faires Spielfeld für die Akzeptanz von qualifizierten Vertrauensdiensten in der EU zu schaffen

Wie unterscheidet sich eIDAS 2.0 von eIDAS 1.0?

Es gibt eine Reihe von Unterschieden zwischen dem ursprünglichen eIDAS und eIDAS 2.0. Diese beinhalten:

ElementeIDAS 1.0eIDAS 2.0
Digitale IDsKeine Verpflichtung der Mitgliedstaaten zur Entwicklung und Meldung einer nationalen eIDMitgliedstaaten müssen Bürgern und juristischen Personen eID-Wallets zur Verfügung stellen
Qualifizierte VertrauensdiensteFokussiert auf elektronische Signaturen, Siegel, Zeitstempel, elektronische Zustelldienste und Zertifikatsdienste für Website-AuthentifizierungBeinhaltet zusätzliche Vertrauensdienste wie elektronische Register und Archivierungsdienste und erweitert den Rahmen auf die Validierung elektronischer Signaturen und Siegel in einem breiteren Kontext
SektorKonzentration auf den grenzüberschreitenden Zugang zu öffentlichen DienstenErweiterung des Rahmens, um europaweiten Zugang zu eIDs und Authentifizierung für private Organisationen zu ermöglichen
InteroperabilitätKeine Bestimmungen zur Interoperabilität zwischen den eIDs der MitgliedstaatenFördert die Interoperabilität zwischen den eIDs der Mitgliedstaaten
BenutzerkontrolleNur für einen engen Bereich von IDs mit begrenzter BenutzerkontrolleVerpflichtung zur selbstbestimmten Identität (SSI), um den Bürgern mehr Kontrolle über ihre Identifikationsinformationen zu geben

Schlüsselelemente von eIDAS 2.0

Europäische Digitale Identitäts-Wallet (EUDI)

Eine der wichtigsten Entwicklungen in eIDAS 2.0 ist die Entwicklung der EUDI (manchmal auch als EDIW bezeichnet), einer digitalen Brieftasche für alle Bürger, die ihnen hilft, sich selbst zu identifizieren und persönliche Informationen auf eine einfachere und EU-weit anerkannte Weise zu bestätigen. Derzeit ermöglichen nur 14 % der wichtigsten öffentlichen Dienstleister in der EU eine grenzüberschreitende Authentifizierung mit einem eID-System. eIDAS 2.0 hofft, dies zu ändern.

Menschen nutzen Apps auf Smartphones und anderen Geräten, um sich sowohl online als auch offline zu identifizieren. Die Wallet kann verwendet werden, um Regierungsinformationen wie Name, Geburtsdatum und Nationalität zu speichern und auszutauschen, sowie andere öffentliche und private Informationen, die praktisch sein können, um sie griffbereit zu haben.

Bürger können die EUDI verwenden, um ihr Alter nachzuweisen, Bankkonten zu eröffnen, öffentliche Dienste zu nutzen, in Hotels einzuchecken und eine Reihe anderer Aktionen durchzuführen. Die Wallet enthält die eID der Person sowie ihre elektronische Signatur.

Das Ziel ist es, eine zentrale Identität für Bürger im Internet zu schaffen, anstatt für jede Plattform, die sie nutzen, neue Konten zu erstellen und immer wieder dieselben Bestätigungsinformationen zu suchen. Dies gibt den Menschen mehr Kontrolle.

Grenzüberschreitende Interoperabilität

Die EUDI hilft eIDAS 2.0, seine Mission der größeren Interoperabilität in der EU zu erfüllen. Sie setzt Standards für die EUDI und digitale Identitäten im Allgemeinen, um sicherzustellen, dass sie strenge Sicherheits- und Datenschutzanforderungen erfüllen. Durch die Einhaltung des technischen Standards sollten die Systeme jedes Mitgliedstaates besser eingerichtet sein, um die Akzeptanz und Nutzung digitaler IDs in ganz Europa und darüber hinaus zu erleichtern.

Dies kommt nicht nur den Bürgern zugute, sondern auch den Unternehmen. Die Möglichkeit, Kunden auf dem gesamten Kontinent einfach zu identifizieren und zu verifizieren, trägt dazu bei, den Zugang zu neuen Märkten auf nahtlose Weise und ohne bürokratische Hürden zu ermöglichen.

Vertrauensdienste

eIDAS 2.0 wird eine größere Palette an Vertrauensdiensten abdecken als sein Vorgänger. Während das ursprüngliche eIDAS elektronische Signaturen und Siegel, Zeitstempel, Verifizierung und Website-Authentifizierung umfasste, erweitert die neue Gesetzgebung den Rahmen um elektronische Archivierung und Register. Sie umfasst auch Dienste wie Siegelerstellungsgeräte und das Management von elektronischen Signaturen, die aus der Ferne erstellt werden, um die Sicherheit dieser Aktivitäten zu erhöhen.

Das Toolbox von eIDAS 2.0, das den Beteiligten hilft, sich mit den neuen Vorschriften vertraut zu machen, wird Maßnahmen umfassen, um eine breitere Palette von Dokumentationen zu überprüfen und einen tiefergehenden Verifizierungsprozess zu ermöglichen. Dies wird Sektoren wie Bildung und Reisen zugutekommen. In diesen Bereichen erfordert der Verifizierungsprozess mehr als nur die Identifizierung einer Person. Zum Beispiel muss man bei der Anmietung eines Autos sowohl seine Identität für Sicherheitszwecke nachweisen als auch die Berechtigung zum Fahren durch die Authentifizierung seines Führerscheins bestätigen.

eIDAS 2.0 wird dies durch eine qualifizierte elektronische Bestätigung von Attributen (QEAA) erreichen. Der Vertrauensdiensteanbieter überprüft diese zusätzlichen Dokumente, einschließlich Lizenzen, Genehmigungen, Geburtsurkunden, Bildungsabschlüsse und ähnliche Attribute. Diese können dann in der EUDI-Wallet der Person gespeichert werden.

Wann wird eIDAS 2.0 in Kraft treten?

Da eIDAS 2.0 nun vom Europäischen Parlament und dem Europäischen Rat verabschiedet wurde, könnte es relativ schnell in Kraft treten. Natürlich wird es einige Zeit dauern, bis die Anforderungen der Gesetzgebung vollständig umgesetzt sind, aber ein Zeitplan wird veröffentlicht, da es nun bestätigt wurde und bald veröffentlicht wird, um den Beteiligten bei der Vorbereitung zu helfen.

Derzeit sieht der Fahrplan für eIDAS 2.0 wie folgt aus:

  • April 2024 – Der Verordnungstext wird im Amtsblatt der Europäischen Union veröffentlicht
  • Mai 2024 – eIDAS 2.0 tritt in Kraft
  • Oktober 2026 – Mitgliedstaaten müssen EUDIs für Bürger zur Nutzung bereitstellen

Welche Länder und Sektoren werden von eIDAS 2.0 betroffen sein?

eIDAS 2.0 betrifft alle EU-Länder sowie die Staaten des Europäischen Wirtschaftsraums (EWR). Wo Menschen digitale Identitäten nutzen, wird das neue System für alle, die die Transaktionen durchführen und diejenigen, die das Verfahren betreffen, in Kraft sein.

Dies wird alle Sektoren betreffen, die Online-Dienste anbieten, eine Kundenverifizierung erfordern oder Online-Transaktionen durchführen. Ein Grund für die Aktualisierung der Gesetzgebung durch die EU ist jedoch, Sektoren zu unterstützen, die viele Kritiker der ursprünglichen eIDAS-Verordnung als unzureichend berücksichtigt ansahen. eIDAS wird einen substantielleren Rahmen für alle Sektoren bieten.

In ihrem Vorschlag zu eIDAS 2.0 nennt das Europäische Parlament Beispiele für Sektoren, die besonders von dem neuen digitalen Wallet-System profitieren könnten. Es heißt:

"Private, die auf Dienstleistungen in Bereichen wie Verkehr, Energie, Bank- und Finanzdienstleistungen, Sozialversicherung, Gesundheit, Trinkwasser, Postdienste, digitale Infrastruktur, Telekommunikation oder Bildung angewiesen sind, sollten die Verwendung von EDIWs für die Bereitstellung von Dienstleistungen akzeptieren, bei denen eine starke Nutzer-Authentifizierung für die Online-Identifikation durch Union- oder nationales Recht erforderlich ist."

Wie können sich Organisationen auf eIDAS 2.0 vorbereiten?

Relevante Änderungen identifizieren

Der erste Schritt zur Einhaltung von eIDAS 2.0 besteht darin, zu verstehen, welche Änderungen an Ihren Prozessen erforderlich sind. Eine der wichtigsten Änderungen wird sein, dass Unternehmen die neue EUID bei der Verifizierung und Authentifizierung von Kunden akzeptieren müssen. Dies wird Ihre Onboarding-Prozesse verändern.

Theoretisch sollte dies den Prozess vereinfachen, da Kunden einfach ihre Brieftasche verbinden, anstatt sich zu registrieren, zu verifizieren, zu bewerben, Zahlungsdaten hinzuzufügen, ID-Dokumente zu scannen und hochzuladen und auf Ihre manuelle Verifizierung zu warten. Aber Sie müssen diesen neuen Prozess testen und implementieren.

Achten Sie auf Updates

Mit einer neuen Gesetzgebung kann es im Vorfeld der Umsetzung und der Entwicklung der technischen Standards neue Informationen geben. Das bedeutet, dass Sie regelmäßig nach relevanten Updates suchen sollten. Überprüfen Sie die Fachpresse und richten Sie Google-Benachrichtigungen ein, um auf dem neuesten Stand zu bleiben.

Lücken identifizieren und Ressourcen zuweisen

Untersuchen Sie Ihre aktuellen Systeme und identifizieren Sie Lücken, die vor Inkrafttreten von eIDAS 2.0 behoben werden müssen. Datenschutz und Datensicherheit stehen im Mittelpunkt der neuen Verordnung. Stellen Sie sicher, dass Ihre aktuellen Prozesse die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen.

Sobald Sie die Lücken identifiziert haben, weisen Sie Ressourcen zu, um diese rechtzeitig zu schließen, damit Sie die Einhaltung der Vorschriften sicherstellen können. Möglicherweise müssen Sie Ihre Systeme neu gestalten und Ihre Mitarbeiter über die neuen Verpflichtungen schulen, also berücksichtigen Sie dies in Ihrem Budget.

Zusammenarbeit

Arbeiten Sie mit Ihren eID-Partnern und Trust-Service-Anbietern zusammen, um die bevorstehenden Änderungen zu besprechen und zu überlegen, was von Ihnen verlangt wird. Ein Teil der Arbeit wird von diesen Dritten erledigt, aber nur durch die Zusammenarbeit mit ihnen können Sie wirklich verstehen, was Sie tun müssen, um sich auf die Einhaltung vorzubereiten.

Bereiten Sie sich auf neue Chancen vor

Mit den reibungslosen grenzüberschreitenden Transaktionen, die unter der neuen Verordnung Realität werden, ergeben sich neue Geschäftsmöglichkeiten für Ihr Unternehmen. Überlegen Sie, wie Sie davon profitieren können. Lassen Sie Ihre Website in andere europäische Sprachen übersetzen, überlegen Sie, wie Sie Ihre Produkte und Dienstleistungen kostengünstig auf dem Kontinent anbieten können, und setzen Sie diese Änderungen in der Praxis um, damit Sie bereit für die Einführung der EUID sind.

Häufig gestellte Fragen

Werden sich die EU-Vertrauenskataloge unter eIDAS 2.0 ändern?

Während spezifische Änderungen der EU-Vertrauenskataloge unter eIDAS 2.0 vom endgültigen regulatorischen Text abhängen, wird erwartet, dass der Katalog weiterhin eine Schlüsselrolle spielt, um ein öffentliches Verzeichnis von qualifizierten Trust-Service-Anbietern (QTSPs) und ihren Diensten bereitzustellen. Es könnte Aktualisierungen geben, um neue Dienste oder Standards zu berücksichtigen, die durch eIDAS 2.0 eingeführt werden, aber das wird klarer, sobald die Verordnung fortschreitet.

Wie passt eIDAS 2.0 zu anderen EU-Verordnungen wie der DSGVO?

eIDAS 2.0 wurde so konzipiert, dass es mit anderen EU-Verordnungen, einschließlich der DSGVO, in Einklang steht. Es soll sicherstellen, dass elektronische Identifizierungs- und Vertrauensdienste nicht nur hohe Sicherheitsstandards erfüllen, sondern auch die Grundsätze des Datenschutzes und der Datensicherheit respektieren und einen kohärenten rechtlichen Rahmen für digitale Transaktionen bieten.

Welche Herausforderungen könnten Organisationen bei der Einhaltung von eIDAS 2.0 begegnen?

Organisationen könnten vor Herausforderungen stehen wie der Notwendigkeit von technologischen Upgrades, der Anpassung interner Richtlinien an die neue Verordnung, der Schulung von Mitarbeitern zu neuen Verfahren und der Sicherstellung der Interoperabilität mit EU-weiten eID-Systemen.

Außerdem könnte es komplex sein, auf dem laufenden Stand der sich entwickelnden regulatorischen Landschaft zu bleiben und sich in qualifizierte Trust-Services zu integrieren.

Fazit

eIDAS 2.0 wird von Unternehmen in allen Sektoren in allen EU- und EWR-Ländern genau beobachtet werden müssen. Es bringt Chancen aufgrund der Möglichkeit, grenzüberschreitend Geschäfte zu tätigen und digitale Transaktionen sowie Onboarding zu optimieren, erfordert jedoch auch, dass Organisationen sicherstellen, dass sie mit konformen digitalen Identifizierungsdiensten arbeiten, die ihnen helfen, diese Chancen zu nutzen.

Entrust Signhost bietet einen digitalen Identifizierungsdienst, um Kunden gemäß den höchsten Standards des Marktes remote an Bord zu nehmen und dabei so wenig Reibung wie möglich zu erzeugen, um das Kundenerlebnis zu verbessern. Melden Sie sich noch heute an, um ein kostenloses Konto zu erstellen und herauszufinden, wie Entrust Signhost Ihnen helfen kann.

Quellen und weiterführende Lektüre

  • EU/EEA-Vertrauenskatalog
  • eIDAS-Toolbox
  • Europäischer Rat zur EU-Digital-Wallet
  • CERRE zu eIDAS 2.0
  • Aktualisierung des europäischen digitalen Identitätsrahmens

*Haftungsausschluss: Dieser Inhalt stellt keine Rechtsberatung dar. Die Eignung, Durchsetzbarkeit oder Zulässigkeit elektronischer Dokumente hängt wahrscheinlich von vielen Faktoren ab, wie z.B. dem Land oder Staat, in dem Sie tätig sind, dem Land oder Staat, in dem das elektronische Dokument verteilt wird, sowie der Art des betroffenen elektronischen Dokuments. Es sollte geeignete rechtliche Beratung eingeholt werden, um potenzielle rechtliche Auswirkungen und Fragen im Zusammenhang mit der Nutzung elektronischer Dokumente zu analysieren.