Zertifizierung der eIDAS-Konformität von qualifizierten Signatur- und Siegelerstellungseinheiten

Die Verordnung (EU) 910/2014 (eIDAS) schreibt zertifizierte QSCDs als Voraussetzung für die Erstellung von qualifizierten elektronischen Signaturen und qualifizierten Siegeln vor. Artikel 1 [CID (EU) 2016/650] unterscheidet zwei Arten von QSCD:

1. QSCDs, bei denen sich die elektronischen Signatur- bzw. Siegelerstellungsdaten vollständig, aber nicht notwendigerweise ausschließlich in der Umgebung des Nutzers befinden. Hier basiert die Bewertung und Zertifizierung auf der Common Criteria-Bewertung.
2. QSCDs, bei denen ein qualifizierter Vertrauensdiensteanbieter die elektronischen Signatur- bzw. Siegelerstellungsdaten im Namen eines Unterzeichners oder eines Siegelerstellers verwaltet (Remote-QSCD oder Server-Signatur QSCD). Da es keine anwendbaren Normen für die Bewertung von Remote-QSCDs gibt, können alternative Zertifizierungsverfahren verwendet werden, die vergleichbare Sicherheitsstufen wie die Common Criteria-Bewertung erfüllen.

TÜViT hat dafür einen eigenen Zertifizierungsprozess entwickelt, der von der EU-Kommission anerkannt ist.

Als Bewertungs- und Zertifizierungsgrundlage bieten wir die Zertifizierung von QSCDs nach eIDAS an. Je nach QSCD-Typ erfolgt die Bewertung nach Common Criteria oder basiert auf einem von der TÜV Informationstechnik GmbH dafür entwickelten Zertifizierungsprozess mit gleichwertiger Sicherheit.

Unsere IT-Sicherheitsexperten wenden während des Projektes, der Prüfung und der Zertifizierung eine agile Vorgehensweise an. Somit haben Sie die Möglichkeit, nach jeder abgeschlossenen Phase – ob im Projekt oder in den Audits – unsere Experten zu Rate zu ziehen. Dadurch lässt sich das Risiko von Fehlinvestitionen reduzieren.

Für die Erstellung von Zertifikaten für QSCDs gelten folgende Standards:

• Verordnung (EU) Nr. 910/2014 (eIDAS)
• Anhang II[eIDAS]: Anforderungen an die Zertifizierung der Konformität von QSCDs
• Common Criteria (ISO/IEC 15408-1, -2, -3)
• Zertifizierungsprozess für eIDAS-konforme QSCDs der TÜV Informationstechnik GmbH

• Durchführung von Workshops, ein- oder mehrtägig
• Überblick über den Zertifizierungsprozess
• Überblick über die Prüfanforderungen und gemeinsame Bewertung der für Sie relevanten Anforderungen
• Koordination Ihrer Detailfragen zu Normanforderungen, zu Prüfungen und Zertifizierungen 
• Projektunterstützung nach unserem agilen Ansatz
• Bewertung und Zertifizierung der QSCD
  
  
• Ergebnis: QSCD-Zertifikat
• Gültigkeit: Abhängig von der Stärke der eingesetzten Sicherheitsmechanismen und Algorithmen darf ein Zeitraum von höchstens 5 Jahren nicht überschritten werden.
• Sind alle Kriterien erfüllt, wird ein Zertifikat ausgestellt und auf der TÜViT-Website veröffentlicht. 
• Einreichung des QSCD-Zertifikats bei der EU-Kommission zur Veröffentlichung auf der offiziellen Liste der QSCDs

• Minimierung von Fehlinvestitionen durch agiles Vorgehen
• Kostenreduzierung durch Gap-Analyse
• zielgerichtete Projektrealisierung bezüglich Ihres Budgets, Zeitplans und Ihrer Normenvorgaben
• QSCD Zertifikat
• Nachweis über die Erfüllung der Gesetze und Rechtsvorgaben, die sich aus den entsprechenden Anforderungen ableiten
• Nachweis, dass Ihre Sicherheitsmaßnahmen gezielt, wirksam und nachhaltig zum Einsatz kommen
• Auditierung und Zertifizierung durch den Marktführer: so hat zum Beispiel TÜViT über 350 Zertifikate nach dem deutschen Signaturgesetz bzw. eIDAS und 150 für PKI nach anderen Kriterien, wie bspw. ETSI ausgestellt