Bin ich Vertrauensdiensteanbieter nach NIS 2?
Vertrauensdiensteanbieter stehen in Anhang I Sektor 8 NIS 2. Qualifizierte Anbieter sind nach Artikel 2(2)(b) unabhängig von der Größe gebunden. Nicht qualifizierte Anbieter folgen der Standardgrößenprüfung nach Artikel 2(1). eIDAS läuft parallel und regelt den Vertrauensdienst selbst.
Die Kurzfassung
Vertrauensdiensteanbieter ist, wer einen oder mehrere Vertrauensdienste im Sinne von Artikel 3(16) der eIDAS-Verordnung (EU) 910/2014 erbringt: elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Einschreibedienste, Zertifikate für die Website-Authentifizierung oder die Bewahrung dieser Dienste. Anhang I Sektor 8 NIS 2 nennt Vertrauensdiensteanbieter ausdrücklich als Teil der digitalen Infrastruktur.
Artikel 2(2)(b) NIS 2 zieht dann einen Hebel, den die meisten anderen Sektoren nicht kennen. Qualifizierte Vertrauensdiensteanbieter im Sinne von Artikel 3(17) eIDAS sind unabhängig von der Größe im Anwendungsbereich. Ein qualifizierter Anbieter mit zwei Beschäftigten, der qualifizierte Zertifikate für elektronische Signaturen ausstellt, ist genauso gebunden wie eine Zertifizierungsstelle mit 500 Beschäftigten. Die Schwelle für mittlere Unternehmen aus Artikel 2(1) greift nicht.
Nicht qualifizierte Anbieter folgen der regulären Größenprüfung: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz oder Bilanzsumme. Darunter sind sie außerhalb von NIS 2, wobei Artikel 19 eIDAS sie weiter mit einem Sicherheitsfundament bindet. Zwei Regime laufen ohnehin parallel: eIDAS für den Vertrauensdienst selbst, NIS 2 für die organisationsübergreifenden Cyberpflichten (Artikel 20 Schulung des Leitungsorgans, §32 BSIG Meldepflicht für erhebliche Sicherheitsvorfälle, Artikel 21 Risikomanagementmaßnahmen).
NIS 2 Richtlinie (2022/2555), Anhang I Sektor 8 (Digitale Infrastruktur)
Anbieter von Vertrauensdiensten; Anbieter von Diensten der Domänennamenauflösung (DNS), ausgenommen Betreiber von Root-Nameservern; Registrierungsstellen für Domänennamen der obersten Stufe (TLD); Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Anbieter von Content Delivery Networks; Anbieter öffentlicher elektronischer Kommunikationsnetze; Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Wortlaut aus ABl. L 333/146. Sektor 8 ist die digitale Infrastruktur. Vertrauensdiensteanbieter stehen als erste Unterkategorie in der Liste. Der Sektor unterscheidet noch nicht zwischen qualifiziert und nicht qualifiziert; diese Trennung läuft über Artikel 2(2)(b) und über eIDAS.
Artikel 2(2)(b) NIS 2 + Artikel 3(16) und 3(17) eIDAS
Artikel 2(2)(b) NIS 2: Diese Richtlinie gilt ferner unabhängig von ihrer Größe für Einrichtungen einer in Anhang I oder II genannten Art, wenn die Einrichtung ein qualifizierter Vertrauensdiensteanbieter ist. Artikel 3(16) eIDAS: 'Vertrauensdienst' ist ein in der Regel gegen Entgelt erbrachter elektronischer Dienst, bestehend aus (a) der Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln, Diensten für die Zustellung elektronischer Einschreiben und dazugehörigen Zertifikaten, oder (b) der Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung, oder (c) der Bewahrung von elektronischen Signaturen, Siegeln oder den dazugehörigen Zertifikaten. Artikel 3(17): 'qualifizierter Vertrauensdienst' ist ein Vertrauensdienst, der die einschlägigen Anforderungen dieser Verordnung erfüllt.
Zwei Definitionen übereinander. Artikel 3(16) eIDAS sagt, was ein Vertrauensdienst ist. Artikel 3(17) sagt, wann er qualifiziert ist (erfüllt die Anforderungen der eIDAS-Anhänge und steht auf der nationalen Vertrauensliste). Artikel 2(2)(b) NIS 2 sagt dann: Wer qualifiziert ist, ist in NIS 2, unabhängig von Beschäftigtenzahl oder Umsatz.
§28 BSIG + Vertrauensdienstegesetz (Deutschland)
§28 BSIG setzt den Anwendungsbereich nach Anhang I in deutsches Recht um und erfasst qualifizierte Vertrauensdiensteanbieter ausdrücklich als besonders wichtige Einrichtungen, unabhängig von der Größe. Das Vertrauensdienstegesetz (VDG) ist das nationale Begleitgesetz zur eIDAS-Verordnung; es benennt die Bundesnetzagentur als Aufsichtsstelle für Vertrauensdienste und führt die deutsche Vertrauensliste.
Die eIDAS-Verordnung gilt unmittelbar, ohne deutsche Umsetzung. Das VDG ergänzt nur die Aufsichtsmechanik. NIS 2 sitzt separat darüber: §28 BSIG ordnet qualifizierte Anbieter der höchsten Stufe (besonders wichtige Einrichtung) zu, unabhängig von der Größe, mit dem BSI als Cyberaufsicht.
Erbringen Sie einen Vertrauensdienst?
Vergleichen Sie Ihr Angebot mit Artikel 3(16) eIDAS. Die abschließende Liste: elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Einschreibedienste, Zertifikate für die Website-Authentifizierung und die Bewahrung dieser Dienste. Der Dienst wird in der Regel gegen Entgelt erbracht. Passt Ihr Angebot in keine dieser Kategorien, sind Sie nach eIDAS kein Vertrauensdiensteanbieter, egal wie viel Kryptographie Sie ausliefern.
Sind Sie Anbieter oder nur Nutzer?
Ein Vertrauensdiensteanbieter stellt den Dienst für andere bereit oder betreibt ihn. Ein Unternehmen, das seine eigenen Rechnungen mit einem externen qualifizierten Signaturdienst signiert, ist Nutzer dieses Dienstes, nicht Anbieter. Eine Beratung, die Kunden bei der Einführung von Signaturworkflows unterstützt, ist ebenfalls Nutzer. Anbieterstatus hängt daran, ob Sie den Vertrauensdienst selbst erstellen, validieren, zustellen oder bewahren, für jemand anderen, gegen Entgelt.
Qualifiziert oder nicht qualifiziert?
Prüfen Sie die nationale Vertrauensliste (in Deutschland: die Vertrauensliste der Bundesnetzagentur nach VDG). Stehen Sie dort als qualifizierter Anbieter, bindet Sie Artikel 2(2)(b) NIS 2 unabhängig von der Größe. Stehen Sie nicht dort, sind Sie nicht qualifiziert und es gilt die Standardprüfung nach Artikel 2(1): mittleres Unternehmen oder größer. Qualifizierte Anbieter mit zwei oder drei Beschäftigten sind in diesem Sektor normal und alle im Anwendungsbereich.
Qualifiziert heißt unabhängig von der Größe
Artikel 2(2)(b) NIS 2 ist eine von sieben Ausnahmen, die die Größenprüfung außer Kraft setzen. Vertrauensdienste stehen auf dieser Liste, weil der Schaden aus einem kompromittierten qualifizierten Zertifikat strukturell wirkt: Jede Signatur, jedes Siegel und jeder Zeitstempel, die darunter ausgestellt wurden, verlieren ihre rechtliche Wirkung. Die Größe des Anbieters hat keinen Einfluss auf die Größe des Schadens stromabwärts. Eine Zertifizierungsstelle mit zwei Beschäftigten kann die Signaturkette eines ganzen Mitgliedstaats brechen. Deshalb ist die Größenprüfung abgeschaltet.
Qualifizierte Anbieter laufen unter zwei parallelen Regimen
Artikel 19 eIDAS bindet die Sicherheit des Vertrauensdienstes selbst, mit Konformitätsbewertungen alle 24 Monate nach Artikel 24 für qualifizierte Anbieter. NIS 2 ergänzt die organisationsübergreifenden Cyberpflichten: Artikel 20 Schulung des Leitungsorgans, Artikel 21 Risikomanagementmaßnahmen, Artikel 23 Meldung erheblicher Sicherheitsvorfälle. Artikel 4 NIS 2 schaltet NIS 2 hier nicht ab. Beide Regime gelten vollständig. Die eIDAS-Aufsicht und die NIS 2 zuständige Behörde können unterschiedlich sein (in Deutschland: Bundesnetzagentur für eIDAS, BSI für NIS 2).
BSI / §28 BSIG (NIS 2 Seite)
Das BSI ist die zuständige Behörde für NIS 2. Es betreibt die Registrierungsstelle nach §33 BSIG, nimmt Meldungen nach §32 BSIG entgegen und beaufsichtigt die Risikomanagementmaßnahmen nach §30 BSIG. Qualifizierte Anbieter werden über §28 BSIG der Stufe besonders wichtige Einrichtung zugeordnet, mit engerer Aufsicht und denselben Meldefristen wie KRITIS-Betreiber.
Bundesnetzagentur (eIDAS Seite)
Die Bundesnetzagentur ist Aufsichtsstelle für Vertrauensdienste nach dem Vertrauensdienstegesetz. Sie führt die deutsche Vertrauensliste, akkreditiert den qualifizierten Status, nimmt die Konformitätsbewertungsberichte nach Artikel 20 eIDAS entgegen und verwaltet den 24-Monats-Auditzyklus nach Artikel 24. Ist ein Vorfall sowohl ein erheblicher Sicherheitsvorfall nach §32 BSIG als auch ein Sicherheitsbruch nach Artikel 19(2) eIDAS, melden Sie an beide Behörden.
ENISA Technical Implementation Guidance und EUDI-Wallet-Arbeit
ENISA veröffentlicht die technische Leitlinie für Vertrauensdienste nach Artikel 19 eIDAS und schreibt das Cybersicherheitsfundament, das die nationalen Aufsichten in ihre Erwartungen übernehmen. Dieselbe Stelle arbeitet derzeit am Vertrauensdienste-Paket für die Europäische Brieftasche für die Digitale Identität (EUDI-Wallet), die den Kreis qualifizierter Anbieter ab 2026 ausweitet.
Nationale Umsetzungsgesetze
eIDAS ist eine Verordnung, die Regeln zu Vertrauensdiensten gelten EU-weit einheitlich. NIS 2 ist eine Richtlinie, jeder Mitgliedstaat setzt sie um: NL über das Cyberbeveiligingswet, AT über das NISG, FR über Ordonnance 2024-1093. Anhang I Sektor 8 und die Anwendung unabhängig von der Größe nach Artikel 2(2)(b) sind in allen Mitgliedstaaten gleich. Die zuständige Behörde auf der NIS 2 Seite ist je Land unterschiedlich.
Nicht qualifizierte Vertrauensdienste liegen außerhalb von NIS 2.
Falsch. Nicht qualifizierte Anbieter stehen weiterhin in Anhang I Sektor 8. Sie bekommen die Anwendung unabhängig von der Größe aus Artikel 2(2)(b) nicht, also entscheidet die Standardprüfung aus Artikel 2(1). Ein nicht qualifizierter Zeitstempel-Anbieter mit 60 Beschäftigten ist vollumfänglich in NIS 2 als wichtige Einrichtung. Nur die Qualifikation entscheidet darüber, ob die Größenprüfung gilt, nicht darüber, ob der Sektor gilt.
eIDAS deckt Cybersicherheit schon ab, NIS 2 bringt nichts dazu.
Artikel 19 eIDAS legt das Sicherheitsfundament für den Vertrauensdienst. Artikel 20, 21 und 23 NIS 2 ergänzen organisationsübergreifende Pflichten: Schulung des Leitungsorgans, vollständiger Maßnahmenkatalog von Kryptographie bis Lieferkette, Meldung erheblicher Sicherheitsvorfälle nach §32 BSIG mit Frühwarnung binnen 24 Stunden. Artikel 4 NIS 2 (lex specialis) schaltet NIS 2 für Vertrauensdienste nicht ab. Zwei parallele Regime, keines ersetzt das andere.
Wir sind zu klein für NIS 2.
Sind Sie qualifizierter Anbieter, ist Größe die falsche Frage. Artikel 2(2)(b) zieht Sie unabhängig von Beschäftigten, Umsatz oder Bilanzsumme hinein. Eine qualifizierte Zertifizierungsstelle mit zwei Beschäftigten steht in derselben NIS 2 Stufe wie eine multinationale Zertifizierungsstelle. Der Grund liegt stromabwärts: Jede Signatur, die unter einem kompromittierten qualifizierten Zertifikat ausgestellt wurde, verliert ihre rechtliche Wirkung, unabhängig davon, wer sie ausgestellt hat.
Typischer Fall: Qualifizierter Anbieter mit 12 Beschäftigten, qualifizierte Zertifikate für elektronische Signaturen, 24-Monats-Konformitätsbewertung nach eIDAS, Eintrag in der nationalen Vertrauensliste der Bundesnetzagentur. NIS 2 Anwendung läuft automatisch über Artikel 2(2)(b). §28 BSIG ordnet das Unternehmen der Stufe besonders wichtige Einrichtung zu. Zwei Aufsichten, zwei Meldekanäle, ein Unternehmen.
Was Praktiker tatsächlich tun: Die Auditnachweise aus Artikel 24 eIDAS auf die relevanten Maßnahmen aus Artikel 21 NIS 2 (Kryptographie, Zugriffskontrolle, Vorfallbehandlung, Geschäftskontinuität) übertragen. Die Registrierung nach §33 BSIG beim BSI laufen lassen. Die Punkte ergänzen, die eIDAS nicht abdeckt: Artikel 20 Schulung des Leitungsorgans, Artikel 21(2)(d) Lieferantenrisiken, den Meldekanal für erhebliche Sicherheitsvorfälle nach §32 BSIG. Die beiden Regime überschneiden sich bei Kryptographie und Vorfallbehandlung; der Rest kommt zusätzlich dazu.
Die Anwendbarkeitsprüfung erkennt qualifizierte Anbieter über Artikel 2(2)(b) und schaltet die Größenprüfung automatisch ab. Das Ergebnis ist eine schriftliche Anwendbarkeitsprüfung mit Verweis auf Anhang I Sektor 8 und Artikel 2(2)(b), vom Leitungsorgan unterzeichnet, versionsgebunden an den Wortlaut der Richtlinie.
Der Maßnahmenkatalog bildet die zwei Regime ab. Maßnahmen nach Artikel 19 eIDAS sind so markiert, dass Sie den aktuellen Konformitätsbewertungsbericht einmal anhängen können und er auf die entsprechenden Maßnahmen aus Artikel 21 NIS 2 angerechnet wird. Das Lieferantenregister markiert Vorleister, die selbst Vertrauensdiensteanbieter sind, damit die Pflichten zur Lieferkette nach Artikel 21(2)(d) nachvollziehbar bleiben.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 8 und Artikel 2(2)(b) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Verordnung (EU) 910/2014 (eIDAS), Artikel 3(16), Artikel 3(17), Artikel 19, Artikel 24 — eur-lex.europa.eu/eli/reg/2014/910/oj
- BSI-Gesetz (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) und §33 (Registrierung) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- Vertrauensdienstegesetz (VDG) — gesetze-im-internet.de/vdg
- Vertrauensliste der Bundesnetzagentur nach Artikel 22 eIDAS
- ENISA Technical Implementation Guidance zu Vertrauensdiensten nach Artikel 19 eIDAS — enisa.europa.eu