Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2025, Wirtschaft - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG ¹, insbesondere auf Artikel 19a Absatz 2,

in Erwägung nachstehender Gründe:

(1) Nichtqualifizierte Vertrauensdiensteanbieter spielen im digitalen Umfeld eine wichtige Rolle, weil sie Vertrauensdienste erbringen, die sichere elektronische Transaktionen ermöglichen. Die Verordnung (EU) Nr. 910/2014 enthält für nichtqualifizierte Vertrauensdiensteanbieter weniger regulatorische Anforderungen als für qualifizierte Vertrauensdiensteanbieter. Alle Vertrauensdiensteanbieter unterliegen jedoch den Sicherheits- und Haftungsanforderungen der genannten Verordnung, um die gebotene Sorgfalt, Transparenz und Zurechenbarkeit ihrer Tätigkeiten und Dienste zu gewährleisten.

(2) Nichtqualifizierte Vertrauensdiensteanbieter können als wichtige oder wesentliche Einrichtungen im Sinne des Artikels 3 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates ² betrachtet werden. Deshalb findet die Durchführungsverordnung (EU) 2024/2690 der Kommission ³, in der die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit festgelegt werden, auf sie Anwendung. Der Anwendungsbereich der in Artikel 19a Absatz 1 Buchstabe a der Verordnung (EU) Nr. 910/2014 festgelegten Anforderungen erstreckt sich jedoch auch auf die Risikomanagementverfahren für rechtliche, geschäftliche, betriebliche und sonstige direkte oder indirekte Risiken bei der Erbringung nichtqualifizierter Vertrauensdienste. Um den in der Durchführungsverordnung (EU) 2024/2690 festgelegten Risikomanagementrahmen zu ergänzen und einen kohärenten Ansatz für das Management aller relevanten Arten von Risiken zu ermöglichen, sollten Spezifikationen und Verfahren für das Risikomanagement durch nichtqualifizierte Vertrauensdiensteanbieter festgelegt werden. Leitlinien, die gemäß der Richtlinie (EU) 2022/2555 von der Agentur der Europäischen Union für Cybersicherheit (ENISA) oder den zuständigen nationalen Behörden herausgegeben werden, können nichtqualifizierte Vertrauensdiensteanbieter bei der Gestaltung und Umsetzung geeigneter Risikomanagementkonzepte unterstützen.

(3) Die Konformitätsvermutung gemäß Artikel 19a Absatz 2 der Verordnung (EU) Nr. 910/2014 sollte nur gelten, wenn nichtqualifizierte Vertrauensdiensteanbieter die in der vorliegenden Verordnung festgelegten Anforderungen erfüllen. Die im Anhang aufgeführten Referenzstandards sollten bewährte Verfahren widerspiegeln und in den betreffenden Sektoren weithin anerkannt sein. Um sicherzustellen, dass nichtqualifizierte Vertrauensdiensteanbieter rechtliche, geschäftliche, betriebliche und sonstige direkte oder indirekte Risiken bei der Erbringung des nichtqualifizierten Vertrauensdienstes gemäß Artikel 19a Absatz 1 der Verordnung (EU) Nr. 910/2014 beherrschen, sollten nichtqualifizierte Vertrauensdiensteanbieter zur Begründung der Konformitätsvermutung die im Anhang aufgeführten Elemente der Standards bzw. Normen und die in der vorliegenden Verordnung festgelegten Risikomanagementanforderungen erfüllen.

(4) Erfüllt ein nichtqualifizierter Vertrauensdiensteanbieter die Anforderungen dieser Durchführungsverordnung, so sollten die Aufsichtsstellen davon ausgehen, dass die einschlägigen Anforderungen der Verordnung (EU) Nr. 910/2014 erfüllt sind. Ein nichtqualifizierter Vertrauensdiensteanbieter kann sich jedoch weiterhin auf andere Verfahren stützen, um die Erfüllung der Anforderungen der Verordnung (EU) Nr. 910/2014 nachzuweisen.