Zum Inhalt springen

QSCD

Person interagiert mit einem digitalen Dokument auf einem Laptop, während sie ein Smartphone hält.

Mit TÜV NORD zur qualifizierten Signatur- und Siegelerstellungseinheit

Qualifizierte elektronische Signaturen- und Siegelerstellungseinheiten (QSCDs) müssen die Anforderungen der eIDAS-Verordnung (Anhang II) erfüllen und nach dieser zertifiziert sein. Die Prüfung und Zertifizierung erfolgt nach einem zugelassenen Sicherheitsbewertungsverfahren durch eine unabhängige, von Mitgliedsstaaten der EU-Kommission benannte, Stelle. Die Zertifizierung durch eine unabhängige und benannte Stelle ist Voraussetzung dafür, dass die QSCD in die EU-Liste der zertifizierten QSCDs aufgenommen wird. 

Als akkreditierte Prüf- und Zertifizierungsstelle für Common Criteria und benannte Zertifizierungsstelle für QSCDs unterstützen wir Sie von der Bewertung und Zertifizierung bis hin zum letzten Schritt bei der Veröffentlichung Ihrer QSCD durch die Europäische Kommission. Je nach QSCD-Typ erfolgt die Bewertung nach Common Criteria oder basiert auf einem von TÜV NORD dafür eigens entwickelten Zertifizierungsprozess mit gleichwertiger Sicherheit. 

Darüber hinaus bieten wir Ihnen maßgeschneiderte Workshops an, um Sie optimal auf eine anstehende Zertifizierung vorzubereiten, oder machen Sie im Rahmen unseres eIDAS.PROFESSIONAL-Trainings zum Experten oder zur Expertin in Sachen eIDAS und ETSI. 

Jetzt individuelles Angebot anfordern

Zielgruppe der Zertifizierung für Vertrauensdiensteanbieter für eine qualifizierte Signatur- und Siegelerstellungseinheit

Unser Angebot richtet sich an eine Vielzahl von Organisationen, die sich mit dem sicheren, rechtsverbindlichen Vertrieb und Nutzung qualifizierter Signatur- und Siegelerstellungseinheit beschäftigen: 

  • Unternehmen, die bereits eine qualifizierte Signatur- und Siegelerstellungseinheit betreiben oder den Aufbau planen 
  • Anbieter digitaler Identitätsdienste, Zertifizierungsdienste oder Vertrauensdienste im Sinne der eIDAS-Verordnung 

Die Vorteile der Zertifizierung auf einen Blick

  • Europäische Anerkennung: Ihre QSCD wird in die offizielle Liste der EU-Kommission aufgenommen und auf unserer Website veröffentlicht. 
  • Marktzugang Europa: Sie schaffen die Grundlage für den rechtsverbindlichen Einsatz Ihrer QSCD im europäischen Binnenmarkt. 
  • Objektiver Vertrauensnachweis: Die IT-Sicherheit Ihrer QSCD ist für Kunden und Vertrauensdiensteanbieter transparent belegbar. 
  • Effizienter Ablauf: Unser zugelassenes Bewertungsverfahren und die Unterstützung bei Common-Criteria-Dokumenten reduzieren Zeit und Aufwand.  

Ihr Weg zum zertifizierten Vertrauensdiensteanbieter für eine qualifizierte Signatur- und Siegelerstellungseinheit

So unterstützen wir Sie ganzheitlich: 

Training & Qualifizierung 

  • eIDAS.PROFESSIONAL Training für Ihre Mitarbeitenden 

Konzeption & Vorbereitung 

  • Überblick über die rechtlichen Anforderungen an QSCD’s, einschließlich der relevanten eIDAS-Anforderungen, einschlägiger ETSI-Normen, sowie Bewertung dieser Anforderungen im jeweiligen Kontext 
  • Einführung in das TÜV NORD Zertifizierungsprogramm, einschließlich normativer und rechtlicher Anforderungen, Interpretationen und weiterer relevanter Aspekte 
  • Workshops und Vorprüfungen zur Feststellung von Nichtkonformitäten und Verbesserungspotenzialen durch Statusanalysen des PKI- bzw. Vertrauensdienstes sowie GAP-Analyse der bestehenden Dokumentation und Prozesse 

Prüfung & Konformitätsbewertung 

Prüfung Ihrer Umsetzung anhand der eIDAS-Verordnung, u. a. 

  • Artikel 30: Zertifizierung qualifizierter elektronischer Signaturerstellungseinheiten 
  • Artikel 39: Qualifizierte elektronische Siegelerstellungseinheiten 

Anwendung folgender Standards: 

  • CID (EU) 2016/650: Standards für die Sicherheitsbewertung von qualifizierten Signatur- und Siegelerstellungseinheiten gemäß den Artikeln 30 Absatz 3 und 39 Absatz 2 der eIDAS-Verordnung 
  • EU QSCD Liste: Notifikationen der Mitgliedsstaaten über benannte Stellen, zertifizierte qualifizierte elektronische Signatur- und Siegelerstellungseinheiten gemäß eIDAS-Verordnung 
  • ISO/IEC 15408-1 (Common Criteria): Informationstechnik - IT-Sicherheitsverfahren - Evaluationskriterien für IT-Sicherheit - Teil 1: Einführung und allgemeines Modell 
  • ISO/IEC 15408-2 (Common Criteria): Informationstechnik - IT-Sicherheitsverfahren - Evaluationskriterien für IT-Sicherheit - Teil 2: Sicherheitsfunktionskomponenten 
  • ISO/IEC 15408-3 (Common Criteria): Informationstechnik - IT-Sicherheitsverfahren - Evaluationskriterien für IT-Sicherheit - Teil 3: Komponenten zur Sicherheitskontrolle 
  • EN 419 221-5 (Common Criteria Schutzprofil für Kryptomodule): CEN/EN 419 221-5:2018, Schutzprofile für kryptografische TSP Module - Teil 5: Kryptografisches Modul für Vertrauensdienste 
  • EN 419 241-2 (Common Criteria Schutzprofil für QSCDs für Serversignaturen): CEN/EN 419 241-2:2019, Vertrauenswürdige Systeme, die Serversignaturen unterstützen - Teil 2: Schutzprofil für QSCD für das Signieren von Servern 

Alternative Zertifizierungsverfahren 

  • Zertifizierungsprozess für eIDAS-konforme QSCDs der Zertifizierungsstelle der TÜV Informationstechnik GmbH V. 1.3 
  • Zertifizierungsprozess für eIDAS-konforme QSCDs der Zertifizierungsstelle der TÜV Informationstechnik GmbH V. 1.2 

Zertifizierung & Re-Zertifizierung 

  • Durchführung der Konformitätsbewertung und Zertifizierung 
  • Unterstützung bei der Aufnahme in die EU Trusted Service List 

FAQ - Häufig gestellte Fragen zur qualifizierten Signatur- und Siegelerstellungseinheit

Eine qualifizierte Signatur- bzw. Siegelerstellungseinheit (QSCD) ist eine besondere Kombination von Hardware und -software, die kryptografische Schlüssel sicher verwaltet und mit Hilfe derer qualifizierte elektronische Signaturen/Siegel (QES) erstellt werden können. Speziell bei Serversignaturen werden QSCDs basierend auf Kryptomodulen eingesetzt. Dabei greift die QSCD auf unterschiedliche technische Verfahren und Mittel zurück, um unter anderem sicherzustellen, dass Signaturschlüssel vertraulich bleiben und mit etablierten kryptographischen Verfahren erzeugt werden.  

Um offiziell als QSCD eingestuft zu werden, muss eine QSCD die Anforderungen des Anhangs II der Verordnung (EU) Nr. 910/2014 (eIDAS) erfüllen. Artikel 1 [CID (EU) 2016/650] unterscheidet zwei Arten von QSCD 

  1. QSCDs, bei denen sich die elektronischen Signatur- bzw. Siegelerstellungsdaten vollständig, aber nicht notwendigerweise ausschließlich in der Umgebung des Nutzers befinden. Hier erfolgt die Zertifizierung auf Basis von Common Criteria Schutzprofilen. 
  2. QSCDs, bei denen ein qualifizierter Vertrauensdiensteanbieter die elektronischen Signatur- bzw. Siegelerstellungsdaten im Namen eines Unterzeichners oder eines Siegelerstellers verwaltet (Remote-QSCD oder Server-Signatur QSCD). Da es keine anwendbaren Normen für die Bewertung von Remote-QSCDs gibt, können zugelassene Zertifizierungsverfahren mit einem der Common Criteria Zertifizierung gleichwertigem Sicherheitsniveau angewendet werden. 

Je nach Art der QSCD erfolgt die Bewertung: 
- Auf Basis von Common Criteria, z. B. durch Prüfung gegen ein geeignetes Schutzprofil 
- Alternativ – bei Remote-QSCDs – durch ein von einer benannten Stelle zugelassenes Sicherheitsbewertungsverfahren mit gleichwertigem Sicherheitsniveau

Nur Stellen, die von einem EU-Mitgliedstaat gemäß eIDAS benannt und bei der EU-Kommission notifiziert wurden, dürfen QSCDs bewerten. TÜV NORD ist eine solche benannte Stelle und gleichzeitig akkreditierte Prüfstelle für Common Criteria. 

Nur QSCDs, die erfolgreich bewertet wurden, dürfen offiziell als „qualifiziert“ gelten und werden in die EU-Liste zertifizierter QSCDs aufgenommen. Dies ist Voraussetzung dafür, dass Vertrauensdiensteanbieter diese Geräte im Rahmen qualifizierter elektronischer Signatur- oder Siegelerstellungsdienste einsetzen dürfen. 

TÜV NORD begleitet Sie umfassend: 

  • mit Statusanalysen, GAP-Analysen und Workshops 
  • durch strukturierte Begleitung im Prüf- und Bewertungsprozess 
  • mit Know-how zur Erstellung Common-Criteria-konformer Dokumentationen 
  • bei der Kommunikation mit Behörden und bei der Einreichung bei der EU-Kommission 

Das Training vermittelt praxisrelevantes Wissen rund um eIDAS, ETSI-Standards, IT-Sicherheitsanforderungen und den QSCD-Bewertungsprozess. Es qualifiziert Ihre Mitarbeitenden, die Anforderungen besser zu verstehen und Projekte effizient umzusetzen. 

Warum wir ein starker Partner für Sie sind

Wir begleiten Sie mit tiefgreifender Expertise im Bereich elektronischer Siegel, Vertrauensdienste und Konformitätsbewertung – von der ersten Idee bis zur erfolgreichen Zertifizierung. Unsere Expert:innen kennen die regulatorischen Anforderungen der eIDAS-Verordnung und relevanter ETSI-Standards im Detail. Mit praxisnahen Workshops, individuellen Trainings (z. B. zum eIDAS.PROFESSIONAL) und fundierter Beratung sorgen wir dafür, dass Ihr Vertrauensdienst rechtskonform, sicher und europaweit anerkannt wird. Vertrauen Sie auf unsere Erfahrung – für maximale Sicherheit, Integrität und Authentizität Ihrer digitalen Dokumente. 

Expertise

Unsere erfahrenen Expertinnen und Experten haben bereits über 500 zum Teil länderübergreifende PKI-Projekte unterschiedlicher Größe erfolgreich durchgeführt.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternahmen verschiedenster Industriezweige bedienen.

Alles aus einer Hand

Bei uns bekommen Sie das eIDAS-Rund-um-Paket: Von Trainings und Workshops über Planungsunterstützung und Auditierungen bis hin zur Konformitätsbewertung (Zertifizierung).

Sie haben Fragen? Wir helfen gerne!

Weitere Leistungen

Hand stempelt Dokument, daneben schwebende Symbole von Dokumenten mit Häkchen.

Elektronische Siegel

Zum qualifizierten Vertrauensdiensteanbieter (VDA) für elektronische Siegel werden: Wir unterstützen Sie bei der Planung Ihrer Dienstleistung(en), führen Prüfungen nach eIDAS & ETSI durch und begleiten Sie auf ihrem Weg zur Konformitätsbewertung.
Weiterlesen
Hände tippen auf Laptop, umgeben von schwebenden Dokumentensymbolen.

Fernsignaturen & Fernsigel

Eine vertrauenswürdige Umgebung ist das A und O bei der Erstellung elektronischer Fernsignaturen. Um diese objektiv nachzuweisen und offiziell als VDA gelistet zu werden, müssen Sie die Anforderungen der eIDAS-Verordnung erfüllen.
Weiterlesen

Webseiten-Authentifizierung

Sie befinden sich im Aufbau oder in der Entwicklung eines qualifizierten Vertrauensdienstes für die Erstellung von Website-Zertifikaten und möchten die Anforderungen der eIDAS-Verordnung nachweisen? Dann sind Sie bei uns an der richtigen (IT-)Adresse!
Weiterlesen