Schriftgröße A A A

Elektronische Signaturen: Zertifizierungsstelle - freiwillige Akkreditierung

Allgemeine Informationen

Zertifizierungsdiensteanbieter stellen qualifzierte Zertifikate oder qualifizierte Zeitstempel im Sinne des Signaturgesetzes aus.

Zertifizierungsdiensteanbieter können sich auf Antrag freiwillig von der zuständigen Behörde akkreditieren lassen, wenn sie nachweisen, dass die Vorschriften nach dem Signaturgesetz und der Signaturverordnung erfüllt sind.

Akkreditierte Zertifizierungsdiensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. Sie dürfen sich als akkreditierte Zertifizierungsdiensteanbieter bezeichnen und sich im Rechts- und Geschäftsverkehr auf die nachgewiesene Sicherheit berufen.

Der Antrag auf freiwillige Akkreditierung gilt gleichzeitig auch als Anzeige der Tätigkeit, wenn die dort genannten Voraussetzungen erfüllt sind.

Voraussetzungen

Einen Zertifizierungsdienst darf nur betreiben, wer die für den Betriebe erforderliche

  • Zuverlässigkeit,
  • Fachkunde und
  • Deckungsvorsorge besitzt.

Zusätzlich müssen Sie ein auf Eignung und praktische Umsetzung geprüftes und bestätigtes Sicherheitskonzept vorlegen.

Des weiteren müssen Sie gewährleisten, dass Sie die Anforderungen gemäß Signaturgesetz und Signaturverordnung in folgenden Bereichen erfüllen werden:

  •  Erfüllung der Pflichten von Zertifizierungsanbietern  
  • Ausgestaltung des Inhalts von qualifizierten Zertifikaten
  • Gültigkeitsdauer von qualifizierten Zertifikaten 
  • Umfang, Höhe und Ausgestaltung der zulässigen Sicherheitsleistungen 

Das Signaturgesetz ist eine Umsetzung der Europäischen Signaturrichtlinie (1999/93/EG). Diese sieht in Art. 3 Abs. 3 vor, dass die Mitgliedstaaten "ein geeignetes System zur Überwachung der in ihrem Hoheitsgebiet niedergelassenen Zertifizierungsdiensteanbieter, die öffentlich qualifizierte Zertifikate ausstellen" einrichten. Zertifizierungsdiensteanbieter kann daher nur eine in der Bundesrepublik Deutschland ansässige natürliche oder juristische Person werden, da nur gegenüber dieser die Durchsetzung eines gegebenenfalls erlassenen Verwaltungsaktes im Rahmen der Aufsicht möglich ist. Für ausländische Zertifizierungsdiensteanbieter gelten der § 23 des Signaturgesetzes sowie der § 18 der Signaturverordnung. Für das Verfahren "Zertifizierungsdiensteanbieter werden" gelten die jeweiligen nationalen Vorschriften im jeweiligen Mitgliedstaat. Soweit Teile des Zertifizierungsdienstes in einem anderen Mitgliedstaat der Europäischen Union, einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder einem Drittstaat betrieben werden, ist § 1 Abs. 3 der Signaturverordnung zu beachten.

Akkreditierte Zertifizierungsdiensteanbieter

Rechtsgrundlagen

Folgende Vorschriften:

§§ 4, 15, 24 Signaturgesetz (SigG)

§§ 1, 2, 11 Signaturverordnung (SigV)

Erforderliche Unterlagen

Neben dem Antrag auf Akkreditierung müssen Sie folgende Unterlagen einreichen:

  • für den Zertifizierungsdiensteanbieter und seine gesetzlichen Vertreter: aktuelle Führungszeugnisse nach § 30 Abs. 5 Bundeszentralregistergesetz oder Dokumente eines anderen Mitgliedstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum, die eine gleichwertige Funktion haben oder aus denen hervorgeht, dass die betreffende Anforderung erfüllt ist,
  • aktueller Handelsregisterauszug oder eine vergleichbare Unterlage oder ein Dokument eines anderen Mitgliedstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum, das eine gleichwertige Funktion hat oder aus dem hervorgeht, dass die betreffende Anforderung erfüllt ist,
  • Nachweis der erforderichen technischen, administrativen und juristischen Fachkunde,
  • ein Sicherheitskonzept mit folgendem Inhalt:
    • Beschreibung aller erforderlichen technischen, baulichen und organisatorischen Sicherheitsmaßnahmen und deren Eignung
    • Übersicht über die eingesetzten Produkte für qualifizierte elektronische Signaturen mit entsprechenden Bestätigungen nach dem Signaturgesetz
    • Übersicht über die Aufbau- und Ablauforganisation sowie über die Zertifizierungstätigkeit
    • Vorkehrungen und Maßnahmen zur Sicherstellung und Aufrechterhaltung des Betriebes, insbesondere bei Notfällen
    • Verfahren zur Beurteilung und Sicherstellung der Zuverlässigkeit des eingesetzten Personals
    • Abschätzung und Bewertung verbleibender Sicherheitsrisiken,
  • Nachweis der Deckungsvorsorge (z. B. Haftpflichtversicherung oder vergleichbare Freistellungs-/Gewährleistungsverpflichtung eines Kreditinstituts), welche die Anforderungen des § 12 Signaturgesetz und § 9 Signaturverordnung erfüllt,
  • ggf. Nachweise der Übertragung von Aufgaben nach dem Signaturgesetz und der Signaturverordnung an Dritte (Verträge),
  • Prüf- und Bestätigungsbericht der Prüf- und Bestätigungsstelle, Bestätigung für die Umsetzung von Sicherheitskonzepten.

Kosten

Die Bundesnetzagentur als zuständige Stelle erhebt für die Bearbeitung des Antrags auf Akkreditierung Gebühren, deren Höhe sich nach dem Zeitaufwand richtet und Auslagen.

Verfahrensablauf

Wenden Sie sich bitte frühzeitig an eine Prüf- und Bestätigungsstelle. Diese kann Sie beispielsweise schon vorab bei Ihren Fragen beraten. Lassen Sie die Erfüllung der Voraussetzungen von ihr prüfen und bestätigen. Die Prüf- und Beratungsstelle kann frei aus der Liste auf der Internetseite der Bundesnetzagentur gewählt werden.

Nachdem die Erfüllung der Voraussetzungen durch eine Prüf- und Bestätigungsstelle geprüft und bestätigt wurden, müssen Sie den Antrag auf Akkreditierung schriftlich oder mittels eines mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenen elektronischen Dokuments bei der zuständigen Stelle stellen. Er muss Namen und Anschrift des Zertifizierungsdiensteanbieters sowie den Namen der gesetzlichen Vertreter enthalten.

Hinweise

Akkreditierte Zertifizierungsdiensteanbieter müssen alle drei Jahre von einer Prüf- und Bestätigungsstelle überprüfen und bestätigen lassen, dass die Anforderungen des Signaturgesetzes und der Signaturverordnung weiterhin in vollem Umfang erfüllt werden. Außerdem ist die Prüfung und Bestätigung nach sicherheitserheblichen Veränderungen zu wiederholen.

Den Prüf- und Bestätigungsbericht und die Bestätigung müssen Sie der zuständigen Behörde unaufgefordert vorlegen.

Akkreditierte Zertifizierungsdiensteanbieter haben

  • für ihre Zertifizierungstätigkeit geprüfte und bestätigte Produkte für qualifizierte elektronische Signaturen einzusetzen,
  • qualifizierte Zertifikate nur für Personen auszustellen, die nachweislich geprüfte und bestätigte Signaturerstellungseinheiten besitzen und
  • den Signaturschlüssel-Inhaber über geprüfte und bestätigte Signaturanwendungskomponenten zu unterrichten.

Weitere Anforderungen bzw. Pflichten eines Zertifizierungsdiensteanbieters entnehmen Sie bitte dem Signaturgesetz und der Signaturverordnung. 

Bemerkungen

Fragen und Antworten (FAQ) mit näheren Informationen liefert die Bundesnetzagentur

FAQ der Bundesnetzagentur

Zuständige Stelle

Für die Prüfung und Bestätigung der Eignung und praktischen Umsetzung des Sicherheitskonzeptes ist eine von der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle zuständig. Eine Liste dieser Prüf- und Bestätigungsstellen stellt die Bundesnetzagentur zur Verfügung.

Für die Akkreditierung wenden Sie sich an die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (kurz Bundesnetzagentur)

Bundesnetzagentur

Canisiusstraße 21

55122 Mainz

Liste der von der Bundesnetzagentur anerkannten Prüf- und Bestätigungsstellen für das Sicherheitskonzept

Bundesnetzagentur

Fachlich freigegeben durch

Dieser Text wurde von der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (kurz: Bundesnetzagentur) zur Verfügung gestellt. Stand: 13.11.2012

zurück zur Übersicht