Die Durchführungsrechtsakte für die EU-Verordnung 2024/1183 (eIDAS 2.0) verstehen 

Die EU-Verordnung 2024/1183 etabliert einen umfassenden europäischen digitalen Identitätsrahmen. Sie ermöglicht es den EU-Bürger:innen, ihre Identität sicher und bequem online in allen Mitgliedstaaten zu verifizieren. Die Verordnung legt Standards und Verfahren zur Erstellung, Verwaltung und Anerkennung digitaler Identitäten fest. Sie fördert die Interoperabilität und das Vertrauen in digitale Transaktionen innerhalb der EU. Diese Verordnung trat am 20. Mai 2024 in Kraft und ändert die EU-Verordnung 910/2014 über elektronische Identifizierung und vertrauenswürdige Dienste (abgekürzt: eIDAS). 

Ein entscheidender Aspekt dieser Verordnung ist die Schaffung und Umsetzung detaillierter Standards und Verfahren durch eine Reihe von Durchführungsrechtsakten. Hier ist eine Übersicht über die Ziele dieser Rechtsakte und die Gründe für ihre schrittweise Umsetzung. 

Ziele der Durchführungsrechtsakte  

Die Durchführungsrechtsakte für die EU-Verordnung 2024/1183 haben mehrere wesentliche Ziele: 

1. Festlegung von Referenzstandards: Diese Rechtsakte legen die Referenzstandards und Verfahren fest, die zur Umsetzung der verschiedenen Aspekte der Verordnung erforderlich sind. Dazu gehört die Sicherstellung, dass die Anforderungen der Europäischen Digitalen Identitäts-Wallets und der damit verbundenen Cybersicherheitszertifizierungssysteme eingehalten werden. Durch klare Standards soll die Verordnung ein hohes Maß an Sicherheit und Interoperabilität in der gesamten EU gewährleisten. 
2. Zertifizierungsverfahren: Die Durchführungsrechtsakte definieren die Zertifizierungsprozesse zur Konformität der Europäischen Digitalen Identitäts-Wallets und anderer damit verbundener Dienste. Diese Prozesse umfassen sowohl relevante als auch nicht relevante Anforderungen im Bereich der Cybersicherheit und gewährleisten, dass nationale Zertifizierungssysteme mit diesen EU-weiten Standards übereinstimmen. Dieser einheitliche Ansatz trägt dazu bei, Vertrauen und Sicherheit in den verschiedenen Mitgliedstaaten aufrechtzuerhalten. 
3. Betriebliche Compliance: Sie stellen sicher, dass die Bereitstellung und Verwaltung elektronischer Attributbestätigungen, elektronischer Archivierungsdienste und anderer vertrauenswürdiger Dienste den regulatorischen Anforderungen entsprechen. Diese Compliance ist entscheidend für den reibungslosen Betrieb digitaler Identitätsdienste und stärkt die Zuverlässigkeit und das Vertrauen in elektronische Transaktionen innerhalb der EU. 

Verantwortung für die Durchführungsrechtsakte  

Die Verantwortung für die Arbeit an den Durchführungsrechtsakten liegt hauptsächlich bei der Europäischen Kommission. Insbesondere ist die Kommission beauftragt mit: 

1. Festlegung von Standards und Spezifikationen: Bis zum 21. November 2024 muss die Kommission eine Liste von Referenzstandards und erforderlichen Spezifikationen und Verfahren für das Katalog von Attributen, Bestätigungssystemen und Verifizierungsverfahren für qualifizierte elektronische Attributbestätigungen festlegen. 
2. Laufende Aufsicht und Verfeinerung: Die Kommission wird den Umsetzungsprozess weiterhin überwachen, notwendige Anpassungen vornehmen und weitere Durchführungsrechtsakte bis zum 21. Mai 2025 erlassen. Dies stellt sicher, dass die Verordnung wirksam bleibt und auf die sich entwickelnde digitale Identitätslandschaft reagiert. 
3. Zusammenarbeit mit den Mitgliedstaaten: Die Kommission wird eng mit den Mitgliedstaaten zusammenarbeiten, um sicherzustellen, dass öffentliche Stellen, die elektronische Attributbestätigungen ausstellen, die festgelegten Standards und Verfahren einhalten und ein zuverlässiges und vertrauensvolles Niveau bieten, das dem qualifizierter Vertrauensdiensteanbieter entspricht. 

Warum es zwei Phasen der Durchführungsrechtsakte geben wird  

Die Umsetzung der Rechtsakte ist in zwei Phasen geplant, um einen schrittweisen und gründlichen Ansatz zu gewährleisten: 

1. Erste Festlegung (bis zum 21. November 2024): Die erste Phase konzentriert sich auf die Festlegung der ersten Standards, Spezifikationen und Verfahren, die für die Einrichtung der Europäischen Digitalen Identitäts-Wallets und der damit verbundenen Dienste erforderlich sind. Dies umfasst auch, dass sichergestellt wird, dass grundlegende Standards und Prozesse für die Umsetzung des digitalen Identitätsrahmens vorhanden sind. Diese erste Phase ist entscheidend, um die Grundlage für den umfassenderen regulatorischen Rahmen zu schaffen. 
2. Weitere Verfeinerung und Integration (bis zum 21. Mai 2025): Die zweite Phase zielt darauf ab, die ersten Standards und Verfahren weiter zu verfeinern und auszubauen. Diese Phase umfasst weitere detaillierte Spezifikationen und Verfahren für verschiedene fortgeschrittene Dienste wie die Validierung elektronischer Unterschriften, elektronischer Siegel und andere damit verbundene vertrauenswürdige Dienste. Dieser schrittweise Ansatz ermöglicht es, Probleme oder Lücken zu beheben, die während der ersten Umsetzungsphase identifiziert wurden und eine umfassende regulatorische Compliance sicherzustellen. 

Frühere Durchführungsrechtsakte bleiben bis auf weiteres verbindlich

Im Juli 2024 befanden wir uns in einer Übergangsphase. Die vorherigen Durchführungsrechtsakte im Zusammenhang mit der EU-Verordnung 910/2014 bleiben gültig – insbesondere hinsichtlich der Listung von vertrauenswürdigen Diensten in nationalen vertrauenswürdigen Listen und deren entsprechenden Einträgen im EU/EEA Trusted List Browser – weil: 

• Derzeit gibt es keine neuen verbindlichen Marktnormen, für die Konformitätsbewertungsstellen akkreditiert werden könnten. 

• Die Umsetzung der NIS-2 ist noch nicht in Kraft. 

Parallel zur Arbeit an den rechtlichen Durchführungsrechtsakten:

• wird an technischen Standards gearbeitet, 

• ist die Arbeit an Marktnormen in vollem Gange. ETSI und CEN arbeiten zusammen an der Entwicklung mehrerer Standards zur Unterstützung dieses neuen regulatorischen Rahmens, basierend auf den neuesten weltweit anerkannten Standards für Website-Authentifizierung, offene Identitäten und mobile Wallets. 

Im September 2024 wird der ETSI/CEN-Workshop zu den Standards des Europäischen Digitalen Identitätsrahmens den aktuellen Stand dieser Standards präsentieren und beabsichtigt, Demonstrationen aus groß angelegten Pilotprojekten zu integrieren, die das EU Digital Identity Wallet (EUDI Wallet) anwenden. Namirial-Expert:innen werden an diesem und anderen bevorstehenden Veranstaltungen teilnehmen, die die Entwicklung dieser Standards beeinflussen werden.

Arbeit an groß angelegten Pilotprojekten

Die Arbeit an groß angelegten Pilotprojekten ist eng mit der Entwicklung und Umsetzung der Rechtsakte unter der EU-Verordnung 2024/1183 verbunden. Groß angelegte Pilotprojekte dienen als praktische Testumgebung für die Standards, Spezifikationen und Verfahren, die in den Durchführungsrechtsakten beschrieben sind, und ermöglichen eine Validierung und Verfeinerung in der realen Welt. 

Die groß angelegten Pilotprojekte (Digital Credentials For Europe (DC4EU), EU Digital Wallet Consortium (EWC) NOBID Consortium, Potential) bieten eine Gelegenheit, die Referenzstandards und Verfahren in einer kontrollierten, aber realistischen Umgebung zu testen. Dies trägt dazu bei, sicherzustellen, dass die vorgeschlagenen Maßnahmen machbar, effektiv und problemlos in den verschiedenen Mitgliedstaaten integriert werden können. 

Ihre Ziele sind: 

• Praktische Herausforderungen oder Lücken in den Durchführungsrechtsakten zu identifizieren. 

• Das Engagement der Stakeholder zu fördern, einschließlich öffentlicher Stellen, privater Unternehmen und Endverbraucher:innen. 

• Iterative Verbesserungen der Durchführungsrechtsakte zu ermöglichen. 

Empfohlene Lektüre: 

• Konsolidierter Text: Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über die elektronische Identifizierung und vertrauenswürdige Dienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG.