Teil I: Wie bekommen wir Europa digital?
In diesem Blogbeitrag möchte ich das genauso umfangreiche, wie auch spannende Thema eIDAS vorstellen. Denn seit Beginn der eIDAS Verordnung 2016 liefern wir von Governikus wichtige Bestandteile zur Umsetzung der nationalen eIDAS Infrastruktur im Auftrag des Bundesamt für Sicherheit in der Informationstechnik (BSI) bzw. des Bundesministerium des Innern und für Heimat (BMI).
Was ist eigentlich eIDAS?
Die europäische „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt” („eIDAS Verordnung“ oder „(EU) Nr. 910/2014“) öffnet den europäischen Binnenmarkt und schafft so einen Rahmen zur Interaktion zwischen Bürger:innen, Unternehmen und öffentlichen Stellen.
Damit schaffte Europa etwas, was noch kein Staatenbund vorher geschaffen hat: Die gesetzliche Vereinheitlichung von grenzüberschreitenden elektronischen Identifizierungen und weiteren elektronischen Basisdiensten. Damit setzt sie den Grundstein für die europaweite Digitalisierung. Besonders wichtig und durch Durchführungsverordnungen konkretisiert ist die Sicherstellung der Interoperabilität.
Was wird geregelt?
Die Durchführungsverordnung (EU) 2015/1501 legt die Interoperabilität grundlegend fest. Im Bereich der elektronischen Identitäten ist dies beispielsweise die Definition der Attribute, da diese genau wie die Datensätze nicht in allen EU-Ländern identisch sind. Daher wurde ein Konstrukt gefunden, das eine möglichst breite länderübergreifende Anwendung finden kann: die optionalen und verpflichten Minimumdatensätze.
Ergänzend regelt die Durchführungsverordnung (EU) 2015/1502 die technischen Mindestanforderungen an die Sicherheitsniveaus „niedrig“, „substanziell“ und „hoch“ („low“, „substantial“, „high“). Diese drei Sicherheitsniveaus, der englische Begriff „Level of Assurance“ („LoA“) passt meiner Meinung nach besser, dienen als Bewertungsgrundlage für ein eID-System eines Landes. Die Einstufung in eines dieser LoA erfolgt zum einen durch Eigenschaften des Authentisierungsvorgangs und zum anderen durch Eigenschaften des gesamten eID-Systems.
Gegenseitige Anerkennung
Die eIDAS-Verordnung regelt die Bedingungen, unter denen ein nationales eID-System notifiziert werden kann. Mit der erfolgreichen Notifizierung startet mit einer Frist von 12 Monaten nach der Veröffentlichung im Amtsblatt die Anerkennungspflicht des notifizierten Systems für alle Mitgliedstaaten. Anerkennung bedeutet in diesem Fall, dass die Online-Dienste der öffentlichen Verwaltung, die ein bestimmtes LoA erfordern, auch die passenden eID-Mittel der notifizierten EU-Länder akzeptieren bzw. technisch integriert haben müssen. Die Bundesrepublik Deutschland hat als erster Mitgliedstaat das Notifizierungsverfahren erfolgreich durchlaufen. Zur reibungslosen Nutzung der Online-Ausweisfunktion im EU-Ausland entwickelten wir die eIDAS-Middleware im Auftrag des BSI.
Wie geht es mit der eIDAS weiter?
Die Einführung der eIDAS Verordnung war ein wichtiger und guter Schritt Richtung digitales Europa. Doch wie ist der Plan für die Zukunft fragen Sie sich? Ganz einfach: Im letzten Jahr unterzog sich die eIDAS-Verordnung einer Revision. Es gab europaweit Feedback, woran es liegt, dass die Etablierung der eIDAS-Logins so schleppend vorangeht und warum vor Allem der private Sektor sich so zurückhält. Denn nur wenn die praktischen Anwendungen in die Breite und den Alltag kommen, funktioniert die Digitalisierung Europas. Die vielen Rückmeldungen mündeten in einer Erneuerung der eIDAS-Verordnung. Seitdem reden alle von eIDAS 2.0, Wallets und vereinfachten Signaturen. Wie es für die eID-Welt mit eIDAS-2 weitergeht, erfahren Sie in meinem nächsten Blogbeitrag – es bleibt spannend.