Nichtqualifizierte Vertrauensdiensteanbieter

Nichtqualifizierte Vertrauensdiensteanbieter (VDA) brauchen ihre Tätigkeit der Aufsichtsstelle nicht anzuzeigen. Dennoch haben sie allgemeine Sicherheitsanforderungen gemäss Art. 19 eIDAS-VO zu erfüllen. Insbesondere müssen sie geeignete technische und organisatorische Massnahmen zur Beherrschung der Sicherheitsrisiken im Zusammenhang mit den von ihnen erbrachten Vertrauensdiensten ergreifen. Diese Massnahmen müssen unter Berücksichtigung des jeweils neuesten Standes der Technik gewährleisten, dass das Sicherheitsniveau der Höhe des Risikos angemessen ist. Insbesondere sind Massnahmen zu ergreifen, um Auswirkungen von Sicherheitsverletzungen zu vermeiden bzw. so gering wie möglich zu halten und die Beteiligten über die nachteiligen Folgen solcher Vorfälle zu informieren. Diese Massnahmen können von der Europäischen Kommission im Wege von Durchführungsrechtsakten präzisiert werden. Solange derartige Rechtsakte nicht existieren, können einschlägige Standards (z. B. die für den jeweiligen Vertrauensdienst relevanten Policy Requirements von ETSI) herangezogen werden.

Auch nichtqualifizierte VDA haben der Aufsichtsstelle und gegebenenfalls auch anderen Stellen (z. B. der Datenschutzstelle) Sicherheitsverletzungen und Integritätsverluste, die sich erheblich auf den erbrachten Vertrauensdienst oder die darin vorhandenen personenbezogenen Daten auswirken, unverzüglich, jedenfalls aber innerhalb von 24 Stunden ab Kenntnis des betreffenden Vorfalls, zu melden. Wenn sich ein Vorfall voraussichtlich nachteilig auf eine natürliche oder juristische Person auswirkt, für die der Vertrauensdienst erbracht wurde, so hat der VDA auch diese natürliche oder juristische Person unverzüglich über den Vorfall zu unterrichten. Form und Verfahren der Meldung können von der Europäischen Kommission im Wege von Durchführungsrechtsakten präzisiert werden. Solange derartige Rechtsakte nicht existieren, wird sich die Aufsichtsstelle bei der Auslegung der Vorschrift an einschlägigen Dokumenten der ENISA orientieren. Insbesondere das Dokument Proposal for Article 19 incident reporting eignet sich (auch) als Leitlinie für die Entscheidung, ob ein Vorfall zu melden ist oder nicht.

Nichtqualifizierte VDA und die von ihnen erbrachten Vertrauensdienste sind auf Antrag in die Vertrauensliste aufzunehmen. Interessenten werden ersucht, diesbezüglich mit dem AK Kontakt aufzunehmen.

Ansprechpersonen