eIDAS 2 Zertifizierung von Signaturleistungserbringern 2026

Warum die eIDAS 2-Zertifizierung für Leistungserbringer spielverändernd ist

Seit der Anwendbarkeit der Verordnung (EU) 2024/1183 vom 11. April 2024 — gemeinhin als eIDAS 2 bekannt — sind Anbieter von Vertrauensdiensten (PSC) in der Europäischen Union mit einem grundlegend überarbeiteten Regelungsrahmen konfrontiert. Die Überarbeitung der ursprünglichen eIDAS-Verordnung von 2014 beschränkt sich nicht darauf, den Umfang der anerkannten Dienste zu erweitern: Sie verschärft die Akkreditierungsbedingungen erheblich, führt neue Garantieniveaus ein und verschärft die Überwachungsanforderungen durch nationale Kontrollstellen. Für jeden Akteur, der qualifizierte elektronische Signaturen (QES) oder fortgeschrittene Signaturen (AdES) auf dem europäischen Markt anbieten möchte, ist das Verständnis wie Sie eine eIDAS 2-Zertifizierung für Signaturleistungserbringer erhalten nicht mehr optional — es ist eine strategische Notwendigkeit.

Dieser Artikel bietet einen umfassenden Überblick über den Zertifizierungspfad: anwendbare Vorschriften, zu beachtende technische Normen, Rolle der Konformitätsbewertungsstellen (CAB), realistische Fristen und operative Kontrollpunkte.

---

Die neue eIDAS 2-Regulierungslandschaft: Was sich geändert hat

Von Verordnung 910/2014 zu Verordnung 2024/1183: Die wichtigsten Entwicklungen

Die ursprüngliche eIDAS-Verordnung (Nr. 910/2014) hatte die Grundlagen eines einzigen europäischen Marktes für digitales Vertrauen geschaffen. Sie definierte drei Signatur-Ebenen — einfach, fortgeschritten und qualifiziert — und verpflichtete Anbieter, sich in nationale Vertrauenslisten (TSL, Trust Service Lists) einzutragen. eIDAS 2 behält diese Architektur bei, erweitert sie jedoch an mehreren strukturellen Punkten:

• Erweiterung der qualifizierten Dienste: Qualifizierte elektronische Archivierung, elektronische Attributbescheinigungen (AEA), Remote-Verwaltung von Geräten zur Erstellung qualifizierter Signaturen (QSCD). Diese neuen Dienste unterliegen jetzt demselben Akkreditierungsverfahren wie qualifizierte Signaturen.
• Das europäische Portemonnaie für digitale Identität (EUDIW): Leistungserbringer, die mit dem zukünftigen Identitätsportemonnaie interagieren möchten, müssen ihre Konformität mit technischen Spezifikationen nachweisen, die von der Kommission veröffentlicht wurden (ARF — Architecture and Reference Framework, v1.4, 2024).
• Verschärfte Überwachung: Nationale Aufsichtsbehörden (in Frankreich die ANSSI) verfügen über erweiterte Untersuchungs- und Anordnungsbefugnisse. Qualifizierte PSC können Überraschungsprüfungen unterliegen.
• Verkürzte Benachrichtigungsfristen: Jeder erhebliche Sicherheitsvorfall muss der zuständigen Behörde innerhalb von 24 Stunden mitgeteilt werden (gegenüber 72 Stunden in der vorherigen Fassung für bestimmte Vorfälle).

Für einen umfassenden Überblick über die Verordnung bietet der eIDAS 2.0-Leitfaden von Certyneo eine pädagogische Zusammenfassung all dieser Entwicklungen.

Die Garantieniveaus und ihre Auswirkungen auf die Zertifizierung

Die Unterscheidung zwischen fortgeschrittener und qualifizierter elektronischer Signatur bleibt das Herzstück des Systems. Nur QES genießt eine gesetzliche Vermutung der Integrität und Zurechenbarkeit, die einer handschriftlichen Signatur gleichwertig ist (Art. 25 der eIDAS 2-Verordnung). Diese Vermutung ist direkt von der Zertifizierung des Anbieters abhängig.

| Niveau | Beweiskraft | Anforderung an Anbieter | |---|---|---| | Einfach (SES) | Begrenzt | Keine | | Fortgeschritten (AdES) | Erheblich | Best Practices + ETSI-Normen | | Qualifiziert (QES) | Maximal (gesetzliche Vermutung) | eIDAS 2-Zertifizierung erforderlich |

---

Der eIDAS 2-Zertifizierungsprozess Schritt für Schritt

Schritt 1 — Organisatorische und technische Voraussetzungen

Bevor ein Anbieter den formellen Zertifizierungsprozess beginnt, muss er sein Reifeniveau in drei Bereichen überprüfen:

1. Konformität mit ETSI-Normen Die Normen der Serie EN 319 bilden das unverzichtbare technische Fundament. Die wichtigsten sind:

• ETSI EN 319 401: Allgemeine Anforderungen an Anbieter von Vertrauensdiensten
• ETSI EN 319 411-1 und 411-2: Richtlinien und Anforderungen für Zertifizierungsstellen, die Zertifikate ausstellen (PTC-QC-Profile für qualifizierte Zertifizierungen)
• ETSI EN 319 421: Richtlinie und Anforderungen für Anbieter von Zeitstempelungsservices
• ETSI EN 319 132: Signaturformate XAdES (XML) und zugehörige Reihen CAdES (CMS) und PAdES (PDF)

Die Konformität mit diesen Normen ist für qualifizierte Leistungserbringer nicht fakultativ: Sie wird von den Durchführungsrechtsakten der Europäischen Kommission explizit gefordert.

2. Sicherheit der Informationssysteme QSCD-Geräte (Geräte zur Erstellung qualifizierter Signaturen) müssen gemäß Common Criteria (CC) EAL4+ oder Äquivalentem zertifiziert sein. Für Fernzugriffslösungen für Signaturen — das dominante SaaS-Modell — gelten auch Anforderungen an HSM-Module (Hardware Security Module) und Verfahren zur Verwaltung kryptografischer Schlüssel (FIPS 140-2 Stufe 3 Minimum-Konformität).

3. Sicherheitsrichtlinie (PSSI) und Risikomanagement Das Zertifizierungsdossier erfordert eine formalisierte PSSI, die an ISO/IEC 27001 ausgerichtet ist (deren Zertifizierung von CAB stark empfohlen und manchmal erforderlich ist) und die Anforderungen von NIS2 für Einrichtungen, die als „wichtig" oder „essentiell" eingestuft sind, einbezieht.

Schritt 2 — Wahl und Engagement einer Konformitätsbewertungsstelle (CAB)

In Frankreich sind die von COFRAC (Comité Français d'Accréditation) akkreditierten CAB zur Bewertung von Anbietern von Vertrauensdiensten gering. Beispielsweise gehören LSTI (Laboratoire de Sécurité des Technologies de l'Information) und Bureau Veritas Certification zu den aufgelisteten Akteuren. Auf europäischer Ebene veröffentlicht jeder Mitgliedstaat die Liste seiner benannten CAB.

Die Rolle des CAB ist es, eine Konformitätsprüfung in zwei Phasen durchzuführen:

1. Dokumentenprüfung (Phase 1): Überprüfung von Richtlinien, Verfahren, Zertifizierungspraktikenerklärung (DPC / CPS) und technischen Nachweisen.
2. Prüfung vor Ort (Phase 2): Überprüfung der operativen Kontrollen, Penetrationstests, Gespräche mit Teams.

Die Gesamtdauer einer CAB-Prüfung variiert in der Regel zwischen 4 und 8 Wochen, abhängig von der vorherigen Reife des Kandidaten.

Schritt 3 — Bearbeitung durch die nationale Aufsichtsbehörde

In Frankreich bearbeitet die ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) die Anträge auf Eintragung in die nationale Vertrauensliste (TSL FR). Basierend auf dem CAB-Prüfungsbericht führt die ANSSI eine eigene Analyse durch und kann Zusatzinformationen oder Abhilfemaßnahmen anfordern.

Die regulatorische Bearbeitungsfrist beträgt 3 Monate ab Eingang eines vollständigen Dossiers (Art. 17 eIDAS 2). In der Praxis sind die tatsächlichen Fristen oft länger, wenn das ursprüngliche Dossier unvollständig ist.

Einmal in die nationale TSL eingetragen, wird der Anbieter automatisch in die EUTL (EU Trusted List) aufgenommen, die von der Europäischen Kommission veröffentlicht wird, was ihm sofortige grenzüberschreitende Anerkennung in allen 27 Mitgliedstaaten verleiht.

Schritt 4 — Aufrechterhaltung der Qualifikation und Erneuerung

Die eIDAS 2-Zertifizierung ist nicht dauerhaft. Qualifizierte Anbieter unterliegen:

• Eine jährliche Überwachungsprüfung durch die CAB
• Eine Erneuerungsprüfung alle 24 Monate (verkürzter Zyklus im Vergleich zu früheren Praktiken)
• Überraschungsprüfungen möglich auf Initiative der ANSSI

Jede wesentliche Infrastrukturänderung (HSM-Wechsel, PKI-Weiterentwicklung, neuer qualifizierter Service) löst ein vorheriges Benachrichtigungsverfahren aus und kann eine Teilprüfung erforderlich machen.

---

Kosten, Fristen und Risikofaktoren: Was IT-Leiter antizipieren sollten

Budget und Humanressourcen

Die Kosten für eine erste eIDAS 2-Zertifizierung sind erheblich. Die Kostenpositionen umfassen:

• CAB-Prüfung: zwischen 40.000 € und 120.000 € je nach Komplexität des Umfangs
• Technische Compliance-Maßnahmen (HSM, PKI, CC-zertifizierte QSCD): von 80.000 € bis mehrere hundert tausend Euro für eine proprietäre Infrastruktur
• ISO 27001-Zertifizierung (als Vorbedingung empfohlen): 15.000 bis 50.000 € je nach Größe
• Gebühren für Rechtsberatung und DPC-Entwurf: 10.000 bis 30.000 €
• Interne Kosten: Mobilisierung eines dedizierten Teams (RSSI, DPO, Compliance-Verantwortlicher) über 12 bis 18 Monate

Unter Berücksichtigung aller dieser Posten stellt eine vollständige Zertifizierung eine Gesamtinvestition in der Größenordnung von 200.000 bis 500.000 € für einen Anbieter mittlerer Größe dar, ohne laufende Wartungskosten.

Operative Risikofaktoren

Die häufigsten Ursachen für Fehler oder Verzögerungen in Zertifizierungsverfahren sind:

1. Eine unzureichend detaillierte DPC: Die Zertifizierungspraktikenerklärung muss jede Kontrolle manchmal mit unterschätzter Granularität dokumentieren.
2. Lücken in der Verwaltung des Schlüsselzyklus: Widerruf, Archivierung, Vernichtung privater Schlüssel.
3. Unzureichende Governance für Vorfälle: Fehlendes SIEM, getestete Krisenmanagementsverfahren, Runbooks.
4. Unterschätzung von NIS2: Seit Oktober 2024 werden qualifizierte PSC automatisch als „wichtige" Einrichtungen im Sinne der NIS2-Richtlinie eingestuft, mit zusätzlichen Meldungs- und Risikomanagementverpflichtungen.

Für Unternehmen, die diese Anforderungen lieber an einen bereits zertifizierten Anbieter delegieren möchten, als ihre eigene Infrastruktur aufzubauen, hilft der Vergleich der verfügbaren elektronischen Signaturlösungen auf Certyneo bei der Objektivierung dieser Build-vs-Buy-Entscheidung.

---

eIDAS 2 und elektronische Signaturen im Unternehmen: Übergangsfragen

Für Unternehmensnutzer — im Gegensatz zu Leistungserbringern — ist die eIDAS 2-Zertifizierung ihres SaaS-Signaturanbieters ein jetzt unverzichtbares Auswahlkriterium. Die Einbeziehung einer Klausel in Ausschreibungen, die die Präsenz auf der nationalen TSL erfordert, ist in regulierten Sektoren (Finanzen, Gesundheit, Immobilien) zur Standardpraxis geworden.

Elektronische Signaturen im Unternehmen erfordern in der Tat eine klare Unterscheidung zwischen Anwendungsfällen, die eine QES erfordern — Urkunden mit hohem Risiko, Vollmachten, elektronische notarielle Urkunden — und solchen, für die eine AdES ausreicht. Diese Zuordnung von Anwendungsfällen bestimmt direkt das vertraglich vom Anbieter erforderliche Serviceniveau.

Organisationen, die von einer bestehenden Lösung zu einem bereits auf der TSL eingetragenen Anbieter migrieren, müssen auch die Portabilität von Nachweisarchiven antizipieren. Der Leitfaden zur Migration von DocuSign oder YouSign zu Certyneo beschreibt Best Practices zur Bewahrung des Beweiswertes bereits signierter Dokumente während der Transition.

Rechtlicher Rahmen für die eIDAS 2-Zertifizierung

Gründungstexte

Die Zertifizierung von Anbietern von Vertrauensdiensten basiert auf einem dichten normativen Schichtsystem, das vollständig verstanden werden muss:

Verordnung (EU) 2024/1183 vom 11. April 2024 (eIDAS 2): Referenztext, der die entsprechenden Bestimmungen der Verordnung 910/2014 aufhebt und ersetzt. Sie definiert die Bedingungen für den Erwerb und die Aufrechterhaltung des Status eines qualifizierten Anbieters, die Überwachungsverpflichtungen der Mitgliedstaaten und die Anforderungen an neue Dienste (EUDIW, AEA).

Verordnung (EU) Nr. 910/2014 (eIDAS 1): weiterhin teilweise anwendbar für nicht geänderte Bestimmungen; die unter dieser Verordnung angenommenen Durchführungs- und Delegierten Rechtsakte bleiben bis zu ihrer formellen Überprüfung gültig.

Französisches Bürgerliches Gesetzbuch, Artikel 1366 und 1367: Artikel 1366 legt das Äquivalenzprinzip der elektronischen Signatur zur handschriftlichen Signatur unter Zuverlässigkeitsbedingungen fest; Artikel 1367 präzisiert, dass die Zuverlässigkeit bis zum Gegenbeweis vermutbar ist, wenn die qualifizierte Signatur verwendet wird. Diese nationalen Bestimmungen funktionieren direkt mit der gesetzlichen Vermutung von Artikel 25 eIDAS 2.

Richtlinie (EU) 2022/2555 (NIS2): Mit Gesetz vom 15. Oktober 2024 in französisches Recht umgesetzt, sie klassifiziert Anbieter von qualifizierten Vertrauensdiensten automatisch unter wichtige Einrichtungen. Verpflichtungen: Benachrichtigung der ANSSI innerhalb von 72 Stunden für jeden erheblichen Vorfall, Etablierung eines formalisierten Cyber-Risikomanagements, periodische Sicherheitsprüfung.

Verordnung (EU) 2016/679 (DSGVO): Anbieter von Signaturservices verarbeiten sensible personenbezogene Daten (Identität von Unterzeichnern, Audit-Logs). Die Einhaltung der Prinzipien der Minimierung, Speicherbegrenzung und Integrität erfordert eine spezifische Auswirkungsanalyse (AIPD). Die Rechtsgrundlage für die Verarbeitung muss für jeden Service dokumentiert werden.

Technische Normen mit regulatorischem Wert

Durchführungsrechtsakte der Europäischen Kommission (insbesondere Durchführungsentscheidung (EU) 2015/1506 und ihre Überarbeitungen) bestimmen ETSI-Normen als Konformitätsvermutungen:

• ETSI EN 319 401: Allgemeine TSP-Anforderungen
• ETSI EN 319 411-1 und 411-2: Zertifizierungsrichtlinien
• ETSI EN 319 421: Qualifizierter Zeitstempel
• ETSI EN 319 132 / 122 / 102: AdES-Formate (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: Fernzugriff-Signaturdienste

Rechtliche Risiken bei Nichtkonformität

Die betrügerische oder fahrlässige Nutzung des Status eines qualifizierten Anbieters setzt Verwaltungssanktionen durch die ANSSI aus (Aussetzen, Entfernung aus der Vertrauensliste) und strafrechtliche Verfolgung (Art. 226-17 des Strafgesetzbuches für Datenschutzmängel). Zivilrechtlich kann die Aufhebung des Beweiswertes von während einer Nichtkonformitätsperiode ausgestellten Signaturen die Haftung des Anbieters gegenüber seinen Kunden engagieren.

Anwendungsszenarien: eIDAS 2-Zertifizierung in der Praxis

Szenario 1 — Ein SaaS-Editor mittlerer Größe mit Ziel QES-Qualifizierung

Ein auf Dokumentendemateriaisierung spezialisiertes Unternehmen mit etwa hundert Mitarbeitern, das jährlich mehrere Millionen Signaturvorgänge für Kunden in Bank- und Versicherungssektoren verwaltet, entscheidet sich, die eIDAS 2-Qualifizierung für seinen elektronischen Signaturdienst anzustreben. Bislang bot das Unternehmen fortgeschrittene zertifikatbasierte Signaturen (AdES) an, ausreichend für die meisten Kundenverträge, aber unzureichend für Urkunden, die maximale Beweiskraft erfordern (SEPA-Mandate, notarisch beurkund Vereinbarungen).

Nach einer dreimonatigen internen Prüfung, die etwa fünfzehn größere Abweichungen von ETSI EN 319 411-2-Anforderungen offenbart, führt das Unternehmen ein vierzehnmonatiges Konformitätsprogramm durch. Die Hauptprojekte umfassen den Austausch bestehender HSM durch FIPS 140-2 Stufe 3-zertifizierte Module, die Erstellung einer 180-seitigen DPC und die ISO 27001-Zertifizierung vor der CAB-Prüfung. Die Gesamtinvestition erreicht 340.000 €. Nach Abschluss des Prozesses ermöglicht die Eintragung in die französische TSL dem Unternehmen, auf Ausschreibungen zuzugreifen, von denen es systematisch ausgeschlossen war, was ein kommerzielles Potenzial von geschätzten 20 % zusätzlicher Einnahmen darstellt.

Szenario 2 — Eine Krankenhausgruppe mit qualifizierter Signatur für medico-rechtliche Urkunden

Eine Krankenhausgruppe mit etwa 1.200 Betten möchte ihre Prozesse der Aufklärung, der Delegation ärztlicher Befugnisse und von Forschungsverträgen demateriaisieren. Diese Dokumente fallen unter die Kategorie von Urkunden, für die QES erforderlich oder stark empfohlen ist von HAS-Referenzrahmen und dem rechtlichen Rahmen für Gesundheitsdaten (Art. L. 1110-4 CSP).

Statt eine interne Infrastruktur zu zertifizieren — Option, die zu kostspielig und außerhalb des Kerngeschäfts beurteilt wird — entscheidet sich die Gruppe für die Integration eines bereits auf der TSL eingetragenen Drittanbieters. Die IT überprüft die Anbieterkonformität basierend auf der ETSI EN 319 401-Checkliste und überprüft die tatsächliche Präsenz auf der EUTL vor jeder Vertragsabwicklung. Die Bereitstellung, die in vier Monaten durchgeführt wird, reduziert die Signaturerfassungsfrist bei Forschungsdossiers um 65 % und beseitigt das rechtliche Risiko aufgrund früherer Verwendung einfacher Signaturen für sensible Urkunden.

Szenario 3 — Eine Law Firm sichert ihre unterzeichneten Vertragsurkunden

Eine Law Firm mit etwa dreißig Partnern, die jährlich nahe 400 Fusionen und Betriebsübernahmen verwaltet, sucht die Zuverlässigkeit der Signatur ihrer komplexen unterzeichneten Vertragsurkunden zu verbessern. Der Einzelwert verwalteter Transaktionen übersteigt häufig eine Million Euro, und jeder Formmangel kann die Berufshaftung der Kanzlei engagieren.

Nach Analyse einigen sich das IT-Team und der geschäftsführende Partner auf die Mindestvorgabe einer von einem zertifizierten eIDAS 2-Anbieter ausgestellten QES für jede Urkunde, deren Wert 100.000 € übersteigt. Das Auswahlkriterium des Anbieters umfasst obligatorisch die Überprüfung der Eintragung in die nationale TSL und die Verfügbarkeit eines aktuellen Konformitätszertifikats ETSI (weniger als 12 Monate alt). Dieser Rahmen ermöglicht es der Kanzlei, die Anforderungen von Gegenachten zur Gültigkeit von Signaturen bei späteren Rechtsstreitigkeiten um mehr als 80 % zu reduzieren, gemäß Rückmeldungen von vergleichbaren Strukturen im Sektor.

Schlussfolgerung

Eine eIDAS 2-Zertifizierung als Anbieter von elektronischen Signaturdiensten zu erhalten ist ein anspruchsvoller, kostspieliger und langwieriger Prozess — aber unverzichtbar für jeden Akteur, der seinen Kunden maximale rechtliche Garantien auf dem europäischen Markt bieten möchte. Zwischen Konformität mit ETSI-Normen, CAB-Prüfung, Bearbeitung durch die ANSSI und Aufrechterhaltung der Qualifikation langfristig mobilisiert die Maßnahme wesentliche Ressourcen über 12 bis 24 Monate.

Für Unternehmensnutzer die gute Nachricht ist, dass es nicht notwendig ist, diese Infrastruktur intern zu konstruieren: Die Wahl eines bereits zertifizierten eIDAS 2 SaaS-Anbieters und eingetragen in der nationalen Vertrauensliste ermöglicht es, unmittelbar von der gesetzlichen Vermutung, die an QES gekoppelt ist, zu profitieren, ohne die Zertifizierungskosten zu tragen.

Certyneo ist ein zertifizierter Vertrauensanbieter, konzipiert für B2B-Unternehmen, die juristische Strenge und Benutzerfreundlichkeit erfordern. Entdecken Sie unsere Preise und starten Sie Ihren kostenlosen Test noch heute.