eIDAS 2-Zertifizierung für Signaturanbieter 2026

Warum eIDAS 2-Zertifizierung für Anbieter einen entscheidenden Unterschied macht

Seit das Regelwerk (EU) 2024/1183 vom 11. April 2024 — gemeinhin als eIDAS 2 bekannt — in Kraft trat, sehen sich Anbieter von Vertrauensdiensten (PSC) in der Europäischen Union mit einem grundlegend überarbeiteten Regelungsrahmen konfrontiert. Die Überprüfung der ursprünglichen eIDAS-Verordnung von 2014 beschränkt sich nicht nur auf die Erweiterung des Leistungsspektrums: Sie verschärft erheblich die Akkreditierungsbedingungen, führt neue Garantieebenen ein und verstärkt die Überwachungsanforderungen durch nationale Kontrollorgane. Für jeden Akteur, der qualifizierte (QES) oder fortgeschrittene (AdES) Signaturdienstleistungen auf dem europäischen Markt anbieten möchte, ist das Verstehen, wie man eine eIDAS-2-Zertifizierung für einen Signaturanbieter erhält, keine Option mehr — es ist eine strategische Verpflichtung.

Dieser Artikel bietet einen umfassenden Überblick über den Zertifizierungsprozess: anwendbare Rechtsnormen, zu beachtende technische Normen, Rolle der Konformitätsbewertungsstellen (CAB), realistische Zeiträume und operative Kontrollpunkte.

---

Die neue eIDAS-2-Regelungslandschaft: Was hat sich geändert

Von Verordnung 910/2014 zu Verordnung 2024/1183: Die Hauptveränderungen

Die ursprüngliche eIDAS-Verordnung (Nr. 910/2014) hatte die Grundlagen für einen einzigen europäischen Markt für digitales Vertrauen geschaffen. Sie definierte drei Signaturstufen — einfach, fortgeschritten und qualifiziert — und verpflichtete qualifizierte Anbieter, sich in die nationalen Vertrauensdienstelisten (TSL, Trust Service Lists) eintragen zu lassen. eIDAS 2 behält diese Architektur bei, erweitert sie aber an mehreren strukturellen Punkten:

• Erweiterung qualifizierter Dienste: Qualifiziertes elektronisches Archivieren, elektronische Attributbestätigungen (AEA), Fernverwaltung von Signaturschöpfungsgeräten (QSCD). Diese neuen Dienste unterliegen nun demselben Akkreditierungsverfahren wie qualifizierte Signaturen.
• Das europäische Portefeuille für digitale Identität (EUDIW): Anbieter, die mit dem zukünftigen digitalen Identitätsportefeuille interagieren möchten, müssen ihre Konformität mit technischen Spezifikationen nachweisen, die von der Kommission veröffentlicht wurden (ARF — Architecture and Reference Framework, v1.4, 2024).
• Verstärkte Aufsicht: Nationale Aufsichtsbehörden (in Frankreich die ANSSI) erhalten verstärkte Ermittlungs- und Anordnungsbefugnisse. Qualifizierte PSC können Gegenstand überraschender Audits sein.
• Verkürzte Benachrichtigungsfristen: Jeder wesentliche Sicherheitsvorfall muss der zuständigen Behörde innerhalb von 24 Stunden gemeldet werden (im Vergleich zu 72 Stunden in der früheren Fassung für bestimmte Vorfälle).

Für einen umfassenden Überblick über die Verordnung bietet der eIDAS-2.0-Leitfaden von Certyneo eine pädagogische Zusammenfassung aller Veränderungen.

Garantieebenen und ihre Auswirkungen auf die Zertifizierung

Die Unterscheidung zwischen fortgeschrittener und qualifizierter elektronischer Signatur bleibt der Kern des Systems. Nur QES genießt eine gesetzliche Vermutung der Unversehrtheit und Zurechenbarkeit gleichwertig zur handschriftlichen Signatur (Art. 25 eIDAS 2). Diese Vermutung ist direkt an die Zertifizierung des Anbieters gebunden.

| Ebene | Beweiskraft | Anforderung an Anbieter | |---|---|---| | Einfach (SES) | Begrenzt | Keine | | Fortgeschritten (AdES) | Erheblich | Best Practices + ETSI-Normen | | Qualifiziert (QES) | Maximal (gesetzliche Vermutung) | eIDAS-2-Zertifizierung obligatorisch |

---

Der eIDAS-2-Zertifizierungsprozess Schritt für Schritt

Schritt 1 — Organisatorische und technische Voraussetzungen

Bevor ein Anbieter das Zertifizierungsverfahren formell einleitet, muss er sein Reifegradniveau auf drei Achsen überprüfen:

1. Konformität mit ETSI-Normen Die Normen der Reihe EN 319 bilden das unverzichtbare technische Fundament. Die wichtigsten sind:

• ETSI EN 319 401: Allgemeine Anforderungen an Anbieter von Vertrauensdiensten
• ETSI EN 319 411-1 und 411-2: Richtlinien und Anforderungen für Zertifizierungsstellen, die Zertifikate ausstellen (PTC-QC-Profile für qualifizierte Zertifizierungen)
• ETSI EN 319 421: Richtlinie und Anforderungen für Zeitstempeldienstanbieter
• ETSI EN 319 132: Signaturformate XAdES (XML) und zugehörige Reihen CAdES (CMS) und PAdES (PDF)

Die Konformität mit diesen Normen ist für qualifizierte Anbieter nicht optional: Sie ist ausdrücklich von den Durchführungsrechtsakten der Europäischen Kommission vorgeschrieben.

2. Sicherheit der Informationssysteme QSCD (Signaturschöpfungsgeräte) müssen nach Common Criteria (CC) EAL4+ oder gleichwertig zertifiziert sein. Für Lösungen für Fernsignaturen — dominantes Modell im SaaS — erstrecken sich die Anforderungen auch auf HSM-Module (Hardware Security Module) und Verfahren zur Verwaltung kryptografischer Schlüssel (Konformität FIPS 140-2 Level 3 mindestens).

3. Sicherheitsrichtlinie (PSSI) und Risikomanagement Die Zertifizierungsakte erfordert eine formalisierte PSSI, ausgerichtet auf ISO/IEC 27001 (deren Zertifizierung dringend empfohlen und manchmal von CABs verlangt wird) und mit NIS2-Anforderungen für als „wichtig" oder „kritisch" eingestufte Entitäten integriert.

Schritt 2 — Auswahl und Engagement einer Konformitätsbewertungsstelle (CAB)

In Frankreich sind die vom COFRAC (Französischer Ausschuss für Akkreditierung) akkreditierten CABs zur Bewertung von Vertrauensdienstanbietern gering an Zahl. Beispielsweise sind LSTI (Laboratoire de Sécurité des Technologies de l'Information) und Bureau Veritas Certification unter den referenzierten Akteuren. Auf europäischer Ebene veröffentlicht jeder Mitgliedstaat die Liste seiner notifizierten CABs.

Die Aufgabe des CAB ist es, ein Konformitätsprüfung in zwei Phasen durchzuführen:

1. Dokumentenüberprüfung (Phase 1): Überprüfung von Richtlinien, Verfahren, Zertifizierungspraktikenerklärung (CPS) und technischen Nachweisen.
2. Audit vor Ort (Phase 2): Überprüfung operativer Kontrollen, Penetrationstests, Interviews mit Teams.

Die Gesamtdauer eines CAB-Audits beträgt normalerweise 4 bis 8 Wochen je nach vorheriger Reife des Kandidaten.

Schritt 3 — Bearbeitung durch die nationale Aufsichtsbehörde

In Frankreich ist es die ANSSI (Agentur für nationale Informationssystemsicherheit), die Anträge auf Eintragung in die nationale Vertrauensdiensteliste (TSL FR) bearbeitet. Auf Grundlage des CAB-Auditberichts führt die ANSSI ihre eigene Analyse durch und kann um zusätzliche Informationen oder Korrekturmaßnahmen bitten.

Die behördlich festgelegte Bearbeitungsfrist beträgt 3 Monate ab Eingang eines vollständigen Dossiers (Art. 17 eIDAS 2). In der Praxis sind die tatsächlichen Fristen oft länger, wenn das ursprüngliche Dossier unvollständig ist.

Nach Eintragung in die nationale TSL wird der Anbieter automatisch in die EUTL (EU Trusted List), veröffentlicht von der Europäischen Kommission, aufgenommen, was ihm sofortige grenzüberschreitende Anerkennung in allen 27 Mitgliedstaaten verleiht.

Schritt 4 — Erhalt der Qualifizierung und Erneuerung

Die eIDAS-2-Zertifizierung ist nicht unbegrenzt. Qualifizierte Anbieter unterliegen:

• Einem jährlichen Überwachungsprüfung durch das CAB
• Einer vollständigen Erneuerungsprüfung alle 24 Monate (verkürzter Zyklus gegenüber früherer Praxis)
• Überraschenden Kontrollen auf Initiative der ANSSI möglich

Jede wesentliche Änderung der Infrastruktur (HSM-Wechsel, PKI-Entwicklung, neuer qualifizierter Dienst) löst ein Vorankündigungsverfahren aus und kann ein Teilaudit erfordern.

---

Kosten, Fristen und Risikofaktoren: Was DSI antizipieren sollten

Budget und Humanressourcen

Die Kosten für eine erste eIDAS-2-Zertifizierung sind erheblich. Die Ausgabenpositionen umfassen:

• CAB-Audit: zwischen 40.000 € und 120.000 € je nach Komplexität des Umfangs
• Technische Konformität (HSM, PKI, CC-zertifizierte QSCD): von 80.000 € bis zu mehreren hundertausend Euro für eine proprietäre Infrastruktur
• ISO-27001-Zertifizierung (vorab empfohlen): 15.000 bis 50.000 € je nach Größe
• Kosten für Rechtsberatung und CPS-Erstellung: 10.000 bis 30.000 €
• Interne Kosten: Mobilisierung eines dedizierten Teams (CISO, DPO, Compliance-Manager) für 12 bis 18 Monate

Zusammengefasst stellt eine vollständige Zertifizierung eine Gesamtinvestition in Höhe von etwa 200.000 bis 500.000 € für einen mittleren Anbieter dar, ohne wiederkehrende Wartungskosten.

Operative Risikofaktoren

Die häufigsten Ursachen für Fehler oder Verzögerungen in Zertifizierungsverfahren sind:

1. Eine unzureichend detaillierte CPS: Die Zertifizierungspraktikenerklärung muss jede Kontrolle manchmal mit unterschätzter Granularität dokumentieren.
2. Lücken bei der Schlüssellebenszyklus-Verwaltung: Sperrung, Archivierung, Vernichtung privater Schlüssel.
3. Unzureichende Incident-Governance: Fehlendes SIEM, getestete Krisenmanagementverfahren, Runbooks.
4. Unterschätzung von NIS2: Seit Oktober 2024 werden qualifizierte PSC automatisch als „wichtige" Entitäten gemäß NIS2-Richtlinie klassifiziert, mit zusätzlichen Meldungs- und Risikomanagementverpflichtungen.

Für Unternehmen, die diese Belastungen lieber an einen bereits zertifizierten Anbieter delegieren möchten, als eine eigene Infrastruktur aufzubauen, hilft der Vergleich der elektronischen Signaturlösungen auf Certyneo bei der Objektivierung dieser Build-vs-Buy-Entscheidung.

---

eIDAS 2 und elektronische Signaturen im Unternehmen: Übergangsfragen

Für Unternehmensnutzer — im Gegensatz zu Anbietern — ist die eIDAS-2-Zertifizierung ihres SaaS-Signaturanbieters inzwischen ein unverzichtbares Auswahlkriterium. Das Integrieren von Ausschreibungsklauseln, die Eintragung in der nationalen TSL verlangen, ist in regulierten Branchen (Finanz, Gesundheit, Immobilien) zur Standard-Praxis geworden.

Die elektronische Signatur im Unternehmen setzt nämlich voraus, dass klar zwischen Anwendungsfällen unterschieden wird, die QES erfordern — Privaturkunden mit hohem Risiko, Vollmachten, elektronische Notariatsurkunden — und solchen, für die AdES ausreicht. Diese Kartografierung der Anwendungsfälle bestimmt direkt die vertraglich von dem Anbieter zu fordernde Serviceleistung.

Organisationen, die von einer bestehenden Lösung zu einem eIDAS-2-zertifizierten Anbieter migrieren, müssen auch die Portabilität von Nachweisarchiven antizipieren. Der Leitfaden zur Migration von DocuSign oder YouSign zu Certyneo detailliert Best Practices zur Wahrung des Beweiswertes bereits signierter Dokumente während des Übergangs.

Auf die Zertifizierung eIDAS 2 anwendbarer Regelungsrahmen

Grundlagenrechtstexte

Die Zertifizierung von Vertrauensdiensten stützt sich auf ein dichtes Regelwerk, das vollständig beherrscht werden muss:

Verordnung (EU) 2024/1183 vom 11. April 2024 (eIDAS 2): Referenztext, der die entsprechenden Bestimmungen der Verordnung 910/2014 aufhebt und ersetzt. Er definiert die Bedingungen zum Erlangen und Beibehalt des Status eines qualifizierten Anbieters, die Verpflichtungen zur nationalen Überwachung und Anforderungen zu neuen Diensten (EUDIW, AEA).

Verordnung (EU) Nr. 910/2014 (eIDAS 1): Teilweise noch anwendbar für nicht geänderte Bestimmungen; unter dieser Verordnung verabschiedete Durchführungs- und Delegierte Rechtsakte bleiben gültig bis zu ihrer formellen Überprüfung.

Französisches Bürgerliches Gesetzbuch, Artikel 1366 und 1367: Artikel 1366 begründet das Prinzip der Gleichstellung elektronischer Signaturen mit handschriftlichen Signaturen unter Zuverlässigkeitsbedingung; Artikel 1367 gibt an, dass die Zuverlässigkeit bis zum Gegenbeweis angenommen wird, wenn die qualifizierte Signatur verwendet wird. Diese nationalen Bestimmungen artikulieren sich direkt mit der gesetzlichen Vermutung des Art. 25 eIDAS 2.

Richtlinie (EU) 2022/2555 (NIS2): In französisches Recht umgesetzt durch Gesetz vom 15. Oktober 2024, sie klassifiziert qualifizierte Vertrauensdienstanbieter automatisch als wichtige Entitäten. Verpflichtungen: Benachrichtigung der ANSSI innerhalb von 72 Stunden für jeden wesentlichen Vorfall, Etablierung von formalisiertem Cybersicherheitsrisikomanagement, regelmäßiges Sicherheitsaudit.

Verordnung (EU) 2016/679 (GDPR): Signaturdienstanbieter verarbeiten sensible persönliche Daten (Signataridentität, Audit-Logs). Die Einhaltung von Minimierungs-, Speicherbegrenzungs- und Integritätsprinzipien erfordert eine diensspezifische Datenschutz-Folgenabschätzung (DPIA). Die Rechtsgrundlage der Verarbeitung muss für jeden Dienst dokumentiert werden.

Technische Normen mit Regelungswert

Die Durchführungsrechtsakte der Europäischen Kommission (insbesondere Durchführungsbeschluss (EU) 2015/1506 und seine Überarbeitungen) bezeichnen ETSI-Normen als vermutungsweise konform:

• ETSI EN 319 401: Allgemeine TSP-Anforderungen
• ETSI EN 319 411-1 und 411-2: Zertifizierungsrichtlinien
• ETSI EN 319 421: Qualifizierter Zeitstempel
• ETSI EN 319 132 / 122 / 102: AdES-Formate (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: Fernsignaturdienstleistungen

Rechtliche Risiken bei Nichtkonformität

Die betrügerische oder fahrlässige Nutzung des qualifizierten Anbieterstatus führt zu von der ANSSI verhängten Verwaltungssanktionen (Aussetzung, Streichung aus der Vertrauensdiensteliste) und strafrechtlicher Verfolgung (Art. 226-17 StGB für Datenschutzmängel). Zivilrechtlich kann die Infragestellung des Beweiswertes während einer Nichtkonformitätsperiode ausgegebener Signaturen die vertragliche Haftung des Anbieters gegenüber seinen Kunden begründen.

Anwendungsszenarien: eIDAS-2-Zertifizierung in der Praxis

Szenario 1 — Ein mittleres SaaS-Tool mit Ziel QES-Qualifizierung

Ein auf Dokumentendemateriierung spezialisiertes Unternehmen mit etwa hundert Mitarbeitern, das mehrere Millionen Signaturtransaktionen jährlich für Kunden in den Branchen Banking und Versicherung verwaltet, entscheidet sich für die eIDAS-2-Qualifizierung seines Signaturdienstes. Bislang bot das Unternehmen fortgeschrittene Signaturen auf Zertifikatsbasis (AdES) an, ausreichend für die meisten Kundenverträge, aber unzureichend für Urkunden, die maximalen Beweiskraft erfordern (SEPA-Vollmachten, notarielle Nachweise).

Nach einem dreimonatigen internen Audit, das etwa fünfzehn wesentliche Abweichungen von eIDAS-EN-319-411-2-Anforderungen offenbarte, startet das Unternehmen ein 14-monatiges Konformitätsprogramm. Die Hauptinitiativenbereiche betreffen den Austausch bestehender HSMs durch FIPS-140-2-Level-3-zertifizierte Module, die Erstellung einer CPS mit 180 Seiten und das Erhalten der ISO-27001-Zertifizierung vor dem CAB-Audit. Die Gesamtinvestition erreicht 340.000 €. Nach Abschluss des Prozesses ermöglicht die Eintragung in die französische TSL dem Unternehmen den Zugang zu Ausschreibungen, von denen es systematisch ausgeschlossen war, was ein Umsatzpotenzial von geschätzten 20 % zusätzlicher Einnahmen darstellt.

Szenario 2 — Ein Krankenhausverbund mit QES für medizinisch-rechtliche Akte

Ein Krankenhausverbund mit etwa 1.200 Betten möchte seine Prozesse für Aufklärung, ärztliche Bevollmächtigungen und Verträge der klinischen Forschung digitalisieren. Diese Dokumente fallen in die Kategorie der Urkunden, für die QES erforderlich oder stark empfohlen ist durch HAS-Referenzrahmen und rechtliche Rahmenbedingungen zu Gesundheitsdaten (Art. L. 1110-4 CSP).

Anstatt eine interne Infrastruktur zu zertifizieren — Option als zu kostspielig und außerhalb des Kerngeschäfts bewertet — wählt der Verbund die Integration eines bereits auf der TSL eingetragenen Dritten. Das IT-Team führt eine Anbieter-Konformitätsprüfung auf Grundlage der ETSI-EN-319-401-Kontrollliste durch und überprüft die tatsächliche Eintragung in der EUTL vor jeder Vertragsierung. Das Rollout, in 4 Monaten durchgeführt, reduziert die Signatursammlungszeit auf Forschungsakten um 65 % und beseitigt das Rechtskonteststationsrisiko, das mit vorheriger Verwendung einfacher Signaturen für sensible Akte verbunden ist.

Szenario 3 — Ein Boutique-Anwaltsbüro mit Sicherung von Privaturkunden

Ein Boutique-Anwaltsbüro mit etwa dreißig Partnern, das jährlich gegen 400 M&A-Operationen und Geschäftsfonds-Verkäufe bearbeitet, möchte die Zuverlässigkeit seiner komplexen Privaturkundenunterschriften verbessern. Der einheitliche Transaktionswert übersteigt häufig eine Million Euro, und jeder Formfehler kann die berufliche Haftung des Büros engagieren.

Nach Analyse einigen sich IT-Team und Managing Partner auf die Mindestvertragsverpflichtung einer QES von einem eIDAS-2-zertifizierten Anbieter für jede Urkunde über 100.000 € Wert. Das Auswahlkriterium des Anbieters integriert obligatorisch die Überprüfung der Eintragung in der nationalen TSL und die Verfügbarkeit eines aktuellen ETSI-Konformitätszertifikats (weniger als 12 Monate). Dieser Rahmen ermöglicht dem Büro, die Anforderungen nach Gegen-Expertise über Signaturgültigkeit bei späteren Rechtsstreitigkeiten um über 80 % zu reduzieren, laut Rückmeldungen von vergleichbaren Strukturen im Sektor.

Fazit

Eine eIDAS-2-Zertifizierung als Anbieter von elektronischen Signaturdiensten zu erhalten ist ein anspruchsvoller, kostspieliger und zeitaufwendiger Prozess — aber unverzichtbar für jeden Akteur, der maximale rechtliche Garantien seinen Kunden auf dem europäischen Markt bieten möchte. Zwischen Konformität mit ETSI-Normen, CAB-Auditdurchlauf, ANSSI-Bearbeitung und Qualifizierungserhalt über die Zeit mobilisiert das Verfahren erhebliche Ressourcen über 12 bis 24 Monate.

Für Unternehmensnutzer ist die gute Nachricht, dass es nicht notwendig ist, diese Infrastruktur intern aufzubauen: Die Wahl eines bereits eIDAS-2-zertifizierten und in die nationale Vertrauensdiensteliste eingetragenen SaaS-Anbieters ermöglicht die sofortige Nutzung der gesetzlichen QES-Vermutung ohne Trageung der Zertifizierungskosten.

Certyneo ist ein zertifizierter Vertrauensanbieter, konzipiert für B2B-Unternehmen, die juristische Strenge und Bedienungsfreundlichkeit verlangen. Entdecken Sie unsere Preisgestaltung und starten Sie noch heute Ihren kostenlosen Test.