National sind für die Anerkennung als Anbieter von Identifizierungs- und Authentisierungslösungen für interoperable Nutzerkonten die Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TR-03107-1 und TR-03147 zu beachten. Innerhalb der EU gelten die Vorgaben der eIDAS-Verordnung (Implementing Act 1502 und die Guidance).

Für die nationale Anerkennung privater Identifizierungs- und Authentisierungslösungen hat die Bundesregierung das Fachreferat DV I 5 im Bundesministerium des Innern und Heimat (BMI) als „Single Point of Contact“ festgelegt.

Verfahren des Anerkennungsprozesses

• Welche Vertrauensniveaus in interoperablen Nutzerkonten zum Einsatz kommen, entscheidet die PG eID-Strategie des IT-Planungsrats unter Beteiligung des BSI.
• Ebenso entscheidet die PG eID-Strategie des IT-Planungsrates unter Beteiligung des BSI, welche Identifizierungsmittel für die unterschiedlichen Vertrauensniveaus der interoperablen Nutzerkonten zum Einsatz kommen.
• Hat ein Anbieter einer Identifizierungs- und Authentisierungslösung Interesse an einer Anerkennung für die interoperablen Nutzerkonten, das heißt für die Registrierung für interoperable Nutzerkonten und die Authentisierung im Nutzerkonto, wendet er sich in einem ersten Schritt an das Fachreferat DV I 5 im BMI.

• Das Referat DV I 5 stimmt im Rahmen einer Grundsatzentscheidung einer detaillierteren Prüfung durch das BSI zu, oder lehnt den Antrag ab. Kriterien für die Entscheidung sind

  • die seitens Anbieter einbezogenen technischen und organisatorischen Rahmenbedingungen, zum Beispiel das Geschäftsmodell, sowie
  • die vorgesehene Verarbeitung und Speicherung von Nutzerdaten.
• Im Falle der Zustimmung bewertet das BSI anhand der vom Anbieter bereitgestellten Dokumentation, inwieweit die Anforderungen an das angestrebte Vertrauensniveau gemäß TR-03107-1 und TR-03147 erfüllt sind. Dazu ist es notwendig, dass der Anbieter alle erforderlichen Unterlagen zur Verfügung stellt.
• Das BSI übermittelt das Ergebnis der Prüfung an das BMI.
• Anschließend steht es Bund und Ländern frei, auf Basis der durch das BSI bestätigten Einhaltung der Vorgaben gemäß BSI-TR konkrete Vereinbarungen mit dem jeweiligen Anbieter zu treffen.
• Kommt das BSI zu der Bewertung, dass die Vorgaben gemäß BSI-TR eingehalten werden, steht es Bund und Ländern frei, konkrete Vereinbarungen mit dem Anbieter zu treffen.

Kontakt

Zu beachtende Hinweise

• Im Sinne einer einheitlichen Vorgehensweise sollten Mitglieder des IT-PLR davon absehen, bilaterale Vereinbarungen mit einzelnen Anbietern zu schließen, so lange diese keine nationale Anerkennung gemäß des oben erläuterten Prozesses erhalten haben.
• Eine Bewertung durch das BSI kann nicht mit einer TÜV-Zertifizierung oder Ähnlichem umgangen werden.
• Anbieter, die eine nationale Anerkennung anstreben, müssen für den Prüfprozess alle erforderlichen Dokumente und Informationen bereitstellen, um eine vollständige Prüfung zu ermöglichen.
• Ein Prüfprozess kann frühestens nach Vorlage aller Dokumente beginnen.
• Das BSI hat eine Prüfvorlage und eine Vorgehensbeschreibung für Prüfungen gemäß TR-03107-1 und TR-03147 veröffentlicht.

Häufig nachgefragt