Was ist ein QTSP?
Ein qualifizierter Vertrauensdiensteanbieter (QTSP) ist eine Organisation, die von einer nationalen Aufsichtsbehörde bewertet und zertifiziert wurde, um Vertrauensdienste gemäß der eIDAS-Verordnung bereitzustellen. QTSPs müssen strenge technische, organisatorische und sicherheitsbezogene Anforderungen erfüllen, die weit über die Anforderungen an nicht-qualifizierte Anbieter hinausgehen. Ihre Dienste genießen das höchste Niveau rechtlicher Vermutung in allen EU-Mitgliedstaaten. Dieser Status wird öffentlich in der EU-Vertrauensliste verzeichnet und ist für jeden überprüfbar.
Der Audit- und Zertifizierungsprozess
Um QTSP zu werden, muss ein Anbieter eine Konformitätsbewertung durch eine akkreditierte Stelle (CAB) durchlaufen. Diese Bewertung überprüft Richtlinien, physische Sicherheit, Schlüsselmanagement, Personalüberprüfung, Disaster Recovery und Betriebsverfahren. Die CAB gibt einen Konformitätsbewertungsbericht aus, der an die nationale Aufsichtsbehörde eingereicht wird. Bei Genehmigung wird der Anbieter in die EU-Vertrauensliste aufgenommen.
Technische Standards
QTSPs für Zeitstempel müssen ETSI EN 319 421 (Richtlinien- und Sicherheitsanforderungen für TSPs, die Zeitstempel ausstellen) und ETSI EN 319 422 (Zeitstempelprotokoll und -profil) einhalten. Sie müssen auf UTC rückführbare Zeitquellen mit kryptographischer Bindung verwenden und HSMs mit mindestens Common Criteria EAL 4+ oder FIPS 140-2 Level 3 einsetzen. Diese Standards gewährleisten die technische Integrität und Interoperabilität der qualifizierten Zeitstempel.
Laufende Pflichten
Qualifizierung ist keine einmalige Errungenschaft. QTSPs müssen regelmäßige Überwachungsaudits durchlaufen (typischerweise alle 24 Monate), detaillierte Ereignisprotokolle führen, Sicherheitsvorfälle innerhalb von 24 Stunden ihrer Aufsichtsbehörde melden und ihre Infrastruktur an sich weiterentwickelnde Standards anpassen. Die Nichteinhaltung kann zur Aussetzung oder zum Widerruf des qualifizierten Status führen.