- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Praxishilfe zur EU-Verordnung elDAS


TÜV Trust IT GmbH Unternehmensgruppe TÜV Austria mit Fragen und Antworten zu den wichtigsten Aspekten für Diensteanbieter und Anwender
Mit elDAS ist erstmals die digitale Kommunikation von Wirtschaft, Verwaltung und Bürgern rechtsverbindlich, grenzüberschreitend, vollständig medienbruchfrei und sicher möglich

- Anzeigen -





Mit elDAS ist seit Mitte 2016 eine EU-Verordnung wirksam, auf deren Basis die elektronische Identifizierung und die Erbringung von Vertrauensdiensten innerhalb des Europäischen Wirtschaftsraums neu geregelt wurde. Sie zeigt bereits deutliche Erfolge, allerdings verbirgt sich hinter der Umsetzung für Diensteanbieter und Anwender ein fachlich komplexer Prozess. TÜV Trust IT hat deshalb hierzu eine umfangreiche Praxishilfe herausgegeben.

Mit elDAS ist erstmals die digitale Kommunikation von Wirtschaft, Verwaltung und Bürgern rechtsverbindlich, grenzüberschreitend, vollständig medienbruchfrei und sicher möglich. Dass diese Verordnung tatsächlich schon zu einer deutlichen Zunahme der qualifizierten Vertrauensdienste in Europa geführt hat, lässt sich an dem durch die EU geführten Verzeichnis der qualifizierten Anbieter ablesen: EU Trusted List of Trust Service Providers (TSL). Zudem wird die Nutzung von Vertrauensdiensten nach eIDAS in immer neuen Anwendungsbereichen zur Pflicht. Dies gilt beispielsweise im Finanzwesen, wo zur Erfüllung der Anforderungen der Payment Services Directive 2 (PSD2) die Nutzung von sogenannten Qualifizierten Siegeln und Zertifikaten (QWACS) zur Absicherung der Maschinenkommunikation vorgegeben wurde.

Zudem bietet eIDAS durch seine EU-weite Rechtsverbindlichkeit die Möglichkeit vieler neuer E-Economy-Anwendungen, die zuvor undenkbar waren. So entstehen immer häufiger integrierte Verkaufsprozesse, die online abgewickelt werden und in einen elektronisch qualifiziert signierten Vertrag münden. Der Prozess ist dabei vollkommen unterbrechungsfrei implementiert und beinhaltet alle erforderlichen Schritte von der Identifikation eines Kunden bis zur EU-weit rechtsverbindlichen Vertrags-Signatur (QSign).

Allerdings hat sich sowohl die Erbringung als auch die verordnungskonforme Nutzung Qualifizierter Vertrauensdienste in der Praxis als fachlich recht komplex erwiesen. So sind die Anforderungen der EU-Verordnung selbst, jedoch auch die jeweilige rechtliche Detaillierung durch nationale Gesetze und deren Auslegung durch die lokalen Aufsichtsstellen zu beachten. Ferner müssen technische und organisatorische Prozesse sowie der betriebliche Rahmen normenkonform umgesetzt sein. Das betrifft alle im Umfeld qualifizierter und nicht qualifizierter Dienste tätigen Unternehmen.

Um konkrete Hilfestellungen zu geben, hat die TÜV Trust IT eine Praxishilfe im FAQ-Format mit Fragen und Antworten herausgegeben. Mit den FAQ geht die TÜV Trust IT auf die wichtigsten Aspekte der eIDAS-Verordnung ein. Dies geschieht im Hinblick auf die Anforderungen von Dienstanbietern, berücksichtigt jedoch ebenso die speziellen Anforderungen von Anwendern.
(TÜV Trust IT: ra)

eingetragen: 07.06.19
Newsletterlauf: 05.07.19

TÜV Trust IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ansprüche Compliance-fest dokumentieren

    Der Schutz des Intellectual Property im produzierenden Gewerbe ist angesichts globaler Wirtschaftsverflechtungen ein virulentes Problem: Der Schaden, der der deutschen Wirtschaft im vergangenen Jahr durch kriminelle Attacken entstanden ist, übersteigt laut einer aktuellen Bitkom Studie bereits die 100 Milliarden Euro-Grenze. 75 Prozent der befragten Unternehmen waren von einer solchen Attacke betroffen. Besonders auf dem Vormarsch dabei: Das Social Engineering. Dabei werden Mitarbeiter manipuliert, um sie zur Preisgabe von Informationen oder zur unwissentlichen Einschleusung von Spionagesoftware zu bringen.

  • Datenschutz: Was ändert sich 2020?

    Ende November 2019 trat das "Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU" in Kraft. Damit justierte die Bundesregierung erneut das im letzten Jahr verabschiedete Bundesdatenschutzgesetz, das an die Anforderungen der EU angepasst wurde, nach. Unter anderem besteht nunmehr eine Pflicht der Unternehmen zur Ernennung eines Datenschutzbeauftragten erst ab 20 Mitarbeitern. Vorher galt diese Vorgabe schon ab einer Größe von zehn Mitarbeitern. "Mit diesem Anpassungsgesetz wurden noch weitere Änderungen vorgenommen, bei denen es sich teilweise nur um kleine Umformulierungen - beispielsweise die Nutzung des Wortes ‚Verarbeitung' anstelle von ‚Verwendung' - handelt. Es sind noch weitere Anpassungen geplant, über deren Details bisher wenig bekannt ist. Doch es steht fest: Der Datenschutz bleibt weiter im Fokus. Dies zeigt sich auch in der für 2020 geplanten Einführung der ePrivacy-Verordnung, die ursprünglich 2018 zusammen mit der DSGVO in Kraft treten sollte. Da jedoch ein neuer Vorschlag für die Verordnung ausgearbeitet werden muss, verzögert sich die Einführung möglicherweise weiter", berichtet Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

  • IT-Risikoanalyse sichert kritische Vermögenswerte

    "Die Sicherheitsstrategie eines Unternehmens kann dann erfolgreich angesehen werden, wenn es gelingt, Risiken zu senken. Damit dies gelingt, muss verstanden werden, worum es in der Cybersicherheit geht: Nicht nur darum, die Risiken für kritische Vermögenswerte zu verstehen, sondern auch darum, sie zu verwalten, zu kontrollieren und eben zu mindern. Das hat zur Folge, dass sich IT-Sicherheitsverantwortliche mit dem Thema Risikomanagement auseinandersetzen müssen", ist IT-Sicherheitsexpertin Patrycja Tulinska überzeugt. Die Geschäftsführerin der PSW Group Consulting begründet: "Eine Risikoanalyse deckt Schwachstellen auf, sowohl im technischen als auch im menschlichen Umfeld. Mithilfe methodischer Verfahren liefert sie quantitative sowie qualitative Wahrscheinlichkeiten für Gefahren und Ausfälle."

  • Sensibilisierung und Selbstreflexion

    Wenn Mitarbeiter Bilder oder Videos von ihrem Arbeitsplatz posten, dann gefällt das nicht nur dem Freundeskreis, sondern auch Cyberkriminellen: Fotos mit sichtbaren Passwörtern, Notizen auf Whiteboards oder Produktionsanlagen im Hintergrund werden von Hackern gezielt gesucht. "Je mehr Informationen zu einem Unternehmen, seinen Mitarbeitern und Prozessen recherchierbar sind, desto gefährdeter ist dieses Unternehmen", sagt Markus Schaffrin, Sicherheitsexperte und Geschäfsbereichsleiter Mitgliederservices im eco - Verband der Internetwirtschaft e. V. Denn mit den Informationen lassen sich gezielte und individuelle Phishing-Mails erstellen oder Mitarbeiter in Social-Engineering-Attacken wie CEO-Fraud unter Druck setzen.

  • Compliance: Integraler Teil der Geschäftsstrategie

    Compliance-Verstöße können ernsthaftere Auswirkungen haben: Bisher machten vor allem Strafzahlungen in Rekordhöhe, wie die 870 Millionen im Fall des Daimler-Dieselskandals, Schlagzeilen. Erste Präzedenzfälle zeigen jedoch, dass auch Geschäftsführern kleinerer Unternehmen eine sofortige Kündigung drohen kann, wenn sie beispielsweise gegen Vorgaben im Bereich Kommissionsvergabe verstoßen, wie ein aktuelles Urteil des Oberlandesgerichts Hamm belegt. Bekannter sind die zahlreichen Fälle, in denen Sicherheitslücken dazu geführt haben, dass Kundendaten in die falschen Hände gerieten. Dies zeigt, dass das Einhalten von Compliance-Vorgaben nicht nur die Management-Ebene, sondern die gesamte Belegschaft betrifft, wenn es beispielsweise um Daten- und IT-Sicherheit geht. Compliance-Richtlinien betreffen aber auch viele weitere Bereiche, wie die Einhaltung von Branchenvorgaben, Transparenz gegenüber Produkteigenschaften, die Arbeitssicherheit, ethische Verhaltensgrundsätze, etc. Compliance-Unterweisungen sind also notwendig, um die haftungstechnischen und rechtlichen Risiken, die ein Unternehmen jeden Tag bewältigen muss, zu minimieren. Aber wie lassen sich diese Compliance-Schulungen in die Geschäftsstrategie des Unternehmens einbinden?