Vertrauensdiensteanbieter (VDA), die qualifizierte Signaturerstellungseinheiten (QSCD) zusammen mit qualifizierten Zertifikaten für die Erstellung qualifizierter elektronischer Signaturen und Siegel verwenden oder ausstellen, müssen zertifizierte Einheiten, entweder durch die Auswahl einer QSCD von der veröffentlichten Liste der QSCDs oder durch Zertifizierung ihrer entsprechenden Einheit einsetzen.
Als akkreditierte Bewertungs- und Zertifizierungsstelle für Common Criteria und QSCDs unterstützt TÜViT Vertrauensdiensteanbieter von der Planung über die Bewertung und Zertifizierung bis hin zum letzten Schritt bei der Veröffentlichung der QSCD durch die Europäische Kommission.
Zertifizierung von QSCDs
Die Verordnung (EU) 910/2014 (eIDAS) schreibt zertifizierte QSCDs als Voraussetzung für die Erstellung von qualifizierten elektronischen Signaturen und qualifizierten Siegeln vor. Artikel 1 [CID (EU) 2016/650] unterscheidet zwei Arten von QSCD:
- QSCDs, bei denen sich die elektronischen Signatur- bzw. Siegelerstellungsdaten vollständig, aber nicht notwendigerweise ausschließlich in der Umgebung des Nutzers befinden. Hier basiert die Bewertung und Zertifizierung auf der Common Criteria-Bewertung.
- QSCDs, bei denen ein qualifizierter Vertrauensdiensteanbieter die elektronischen Signatur- bzw. Siegelerstellungsdaten im Namen eines Unterzeichners oder eines Siegelerstellers verwaltet (Remote-QSCD oder Server-Signatur QSCD). Da es keine anwendbaren Normen für die Bewertung von Remote-QSCDs gibt, können alternative Zertifizierungsverfahren verwendet werden, die vergleichbare Sicherheitsstufen wie die Common Criteria-Bewertung erfüllen.
TÜViT hat dafür ein eigenes Zertifizierungsverfahren entwickelt und dieses der Europäischen Kommission gemäß Artikel 30.3(b) und 39.2 der eIDAS-Verordnung (EU) 910/2014 mitgeteilt.
Unser Ansatz
Als Bewertungs- und Zertifizierungsgrundlage bieten wir die Zertifizierung von QSCDs nach eIDAS an. Je nach QSCD-Typ erfolgt die Bewertung nach Common Criteria oder basiert auf einem von der TÜV Informationstechnik GmbH dafür entwickelten Zertifizierungsprozess mit gleichwertiger Sicherheit.
Unsere IT-Sicherheitsexperten wenden während des Projektes, der Prüfung und der Zertifizierung eine agile Vorgehensweise an. Somit haben Sie die Möglichkeit, nach jeder abgeschlossenen Phase – ob im Projekt oder in den Audits – unsere Experten zu Rate zu ziehen. Dadurch lässt sich das Risiko von Fehlinvestitionen reduzieren.
Für die Erstellung von Zertifikaten für QSCDs gelten folgende Standards:
- Verordnung (EU) Nr. 910/2014 (eIDAS)
- Anhang II[eIDAS]: Anforderungen an die Zertifizierung der Konformität von QSCDs
- Common Criteria (ISO/IEC 15408-1, -2, -3)
- Zertifizierungsprozess für eIDAS-konforme QSCDs der TÜV Informationstechnik GmbH
Unsere Leistungen auf einen Blick
- Durchführung von Workshops, ein- oder mehrtägig
- Überblick über den Zertifizierungsprozess
- Überblick über die Prüfanforderungen und gemeinsame Bewertung der für Sie relevanten Anforderungen
- Koordination Ihrer Detailfragen zu Normanforderungen, zu Prüfungen und Zertifizierungen
- Projektunterstützung nach unserem agilen Ansatz
- Bewertung und Zertifizierung der QSCD
- Ergebnis: QSCD-Zertifikat
- Gültigkeit: Abhängig von der Stärke der eingesetzten Sicherheitsmechanismen und Algorithmen darf ein Zeitraum von höchstens 5 Jahren nicht überschritten werden.
- Sind alle Kriterien erfüllt, wird ein Zertifikat ausgestellt und auf der TÜViT-Website veröffentlicht.
- Einreichung des QSCD-Zertifikats bei der EU-Kommission zur Veröffentlichung auf der offiziellen Liste der QSCDs
Ihre Vorteile auf einen Blick
- Minimierung von Fehlinvestitionen durch agiles Vorgehen
- Kostenreduzierung durch Gap-Analyse
- zielgerichtete Projektrealisierung bezüglich Ihres Budgets, Zeitplans und Ihrer Normenvorgaben
- QSCD Zertifikat
- Nachweis über die Erfüllung der Gesetze und Rechtsvorgaben, die sich aus den entsprechenden Anforderungen ableiten
- Nachweis, dass Ihre Sicherheitsmaßnahmen gezielt, wirksam und nachhaltig zum Einsatz kommen
- Auditierung und Zertifizierung durch den Marktführer: so hat zum Beispiel TÜViT über 350 Zertifikate nach dem deutschen Signaturgesetz bzw. eIDAS und 150 für PKI nach anderen Kriterien, wie bspw. ETSI ausgestellt
TÜViT testet seit 15 Jahren Treuhanddienstleistungen und deren Produkte.
Sie haben Fragen? Wir helfen gerne!
Mario Henn
Auditor & Account Manager
eID & Vertrauensdienste
+49 201 8999-535
Fax
: +49 201 8999-555
Matthias Wiedenhorst
Leiter des Zertifizierungsfachbereichs Trust Service Provider
+49 201 8999-536
Fax
: +49 201 8999-555