Erlass technischer Prüfvorschriften für elektronische Signaturen und Vertrauensdienste: Sicherheit gewährleisten und Vertrauen im digitalen Raum stärken

Das Rundschreiben ist eine wichtige Rechtsgrundlage für die Standardisierung technischer Prüfprozesse und stellt sicher, dass Systeme und Organisationen, die elektronische Signaturen bereitstellen und verwenden, den technischen Standards und der Informationssicherheit entsprechen. Dies trägt dazu bei, das Vertrauen von Menschen, Unternehmen und Verwaltungsbehörden in die digitale Transaktionsumgebung zu stärken.

Gemäß den Vorschriften gilt dieses Rundschreiben für Organisationen und Einzelpersonen, die an technischen Auditaktivitäten für Informationssysteme, Prozesse zur Bereitstellung sicherer elektronischer Signaturdienste, sicherer elektronischer Signaturzertifikate, digitaler Signaturen, digitaler Signaturzertifikate und anderer vertrauenswürdiger Dienste teilnehmen oder damit in Zusammenhang stehen.

Insbesondere Agenturen und Organisationen, die sichere elektronische Signaturen erstellen und verwenden, werden ermutigt, proaktiv technische Audits durchzuführen, um die Konformität und Sicherheit ihrer Systeme und Serviceprozesse selbst zu bewerten. Dies ist ein wichtiger Schritt und zeigt, dass Cybersicherheitsrisiken proaktiv vorgebeugt werden soll, anstatt nur Vorfälle zu behandeln, wenn Verstöße auftreten.

Vertrauenswürdige Dienstanbieter müssen alle zwei Jahre technische Audits durchführen, um sicherzustellen, dass die Systeme und Prozesse zur Bereitstellung der Dienste in einem sicheren und stabilen Zustand gehalten werden und die technischen Anforderungen gemäß den nationalen Standards erfüllen.

Grundlage für die technische Prüfungsbewertung sind laut Rundschreiben die spezifischen Anforderungen an Informationssysteme und Dienstleistungsprozesse, die in technischen Vorschriften, technischen Standards und technischen Anforderungen für elektronische Signaturen, elektronische Zertifikate und Vertrauensdienste festgelegt sind.

Technische Auditaktivitäten werden in zwei Hauptphasen durchgeführt: Auswertung von Informationen und Dokumenten während des Planungsprozesses und tatsächliche Auswertung in der auditierten Organisation. Alle Inhalte müssen objektiv, transparent und im Einklang mit dem zuvor vereinbarten Plan und Umfang sein.

Die maximale Dauer eines Audits beträgt sechs Monate und kann bei Bedarf um bis zu 45 Tage verlängert werden, um Korrekturmaßnahmen abzuschließen. Nach Abschluss prüft die Prüforganisation auf Grundlage der Bewertungsergebnisse und der gegebenenfalls ergriffenen Korrekturmaßnahmen die Ausstellung eines Zertifikats mit einem technischen Auditbericht an die geprüfte Organisation. Werden die Anforderungen nicht erfüllt, muss die Prüforganisation dies schriftlich unter Angabe der Gründe und Beifügung des technischen Auditberichts mitteilen.

Das Rundschreiben enthält außerdem Einzelheiten zu den obligatorischen Inhalten des technischen Auditberichts, darunter: Allgemeine Informationen zum Audit, Durchführungszeit, Bewertungsmethode, Ergebnisse der Risikoanalyse zur Informationssicherheit, Ergebnisse der Systemtests, technische Empfehlungen und Grundlage für Zertifizierungsentscheidungen.

Vertrauenswürdige Dienstanbieter müssen technische Prüfberichte über das National Electronic Authentication Center (NEAC), die zentrale Anlaufstelle für die Synthese, Überwachung und Durchführung staatlicher Verwaltungsaufgaben, an das Ministerium für Wissenschaft und Technologie senden.

Regelmäßige Berichte helfen nicht nur dabei, den Betriebsstatus vertrauenswürdiger Dienstanbieter zu beurteilen, sondern schaffen auch eine einheitliche Datenbank für die Politikgestaltung und das Risikomanagement und unterstützen staatliche Stellen bei der Verbesserung der Qualität und Sicherheit der nationalen digitalen Transaktionsinfrastruktur.

Das Rundschreiben legt fest, dass technische Prüforganisationen für die Ausübung ihrer Rechte und Pflichten gemäß den gesetzlichen Bestimmungen zu technischen Normen und Vorschriften verantwortlich sind und dass sie Unabhängigkeit, Objektivität und die vollständige Einhaltung der technischen Prüfverfahren gemäß den Vorschriften zur Produkt- und Warenqualität sowie zur Netzwerkinformationssicherheit gewährleisten müssen.

Das Nationale Komitee für Normen, Metrologie und Qualität beim Ministerium für Wissenschaft und Technologie ist die zentrale Anlaufstelle für den Empfang und die Bewertung von Registrierungsunterlagen zur Benennung technischer Prüforganisationen und legt diese dem Minister für Wissenschaft und Technologie vor, der über die Benennung qualifizierter Organisationen gemäß dem Gesetz über Normen und Qualität entscheidet.

Gleichzeitig ist das Nationale Zentrum für elektronische Authentifizierung für den Empfang und die Synthese technischer Prüfberichte von geprüften Organisationen verantwortlich und erstattet dem Minister für Wissenschaft und Technologie regelmäßig Bericht, um der staatlichen Verwaltung bei der Bereitstellung zuverlässiger Dienste zu helfen.

Die Veröffentlichung des Rundschreibens zur technischen Prüfung elektronischer Signaturen und vertrauenswürdiger Dienste gilt als wichtiger Schritt zur Vervollständigung des nationalen Rechtskorridors für Informationssicherheit, elektronische Authentifizierung und digitale Transformation.

Das Rundschreiben trägt dazu bei, das unabhängige Bewertungssystem zu standardisieren, die Risikokontrolle zu stärken, die technologische Autonomie zu verbessern und digitales Vertrauen für Benutzer im Prozess der Transaktion, Unterzeichnung und des Austauschs elektronischer Daten zu schaffen.

Das Rundschreiben tritt am 1. Januar 2026 in Kraft und markiert einen neuen Schritt vorwärts im technischen Management und bei der Gewährleistung der Sicherheit und Zuverlässigkeit der nationalen Infrastruktur für elektronische Signaturen mit dem Ziel, eine sichere, transparente und nachhaltig entwickelte digitale Regierung, digitale Wirtschaft und digitale Gesellschaft aufzubauen.