Das europäische eArchiving ist eine grundlegende Säule der europäischen Vertrauensdienste und dazu bestimmt, alle anderen qualifizierten digitalen Dienste zu unterstützen und zu ermöglichen. Die europäische digitale Langzeitarchivierung wird die qualifizierte elektronische Archivierung zu einem verpflichtenden Schritt für Unternehmen und öffentliche Verwaltungen machen und Interoperabilität, Sicherheit, Kontinuität sowie einen in allen EU-Mitgliedstaaten anerkannten Beweiswert gewährleisten. In diesem Szenario ist es für Unternehmen und öffentliche Verwaltungen essenziell, sich rasch an das neue europäische Modell anzupassen und die Governance ihres Informationsvermögens zu stärken.
Der qualifizierte elektronische Archivierungsdienst, ausgestattet mit gesetzlichen Annahmen und einem auf europäischer Ebene harmonisierten technischen Rahmen, gewährleistet, dass digitale Daten und Dokumente während der gesamten Aufbewahrungsfrist unverändert, lesbar und ihrem Ursprung zuordenbar bleiben. Seine Grundlagen beruhen auf der Durchführungsverordnung (EU) 2025/2532 der Kommission, die seit dem 6. Januar 2026 in Kraft ist, sowie auf der technischen Spezifikation CEN TS 18170:2025, die die funktionalen Anforderungen für die Gestaltung und den Betrieb konformer, zuverlässiger und interoperabler Archivierungsdienste definiert. Bemerkenswert ist, dass der eIDAS-Ausschuss den Verordnungsentwurf bereits am 13. November 2025 einstimmig gebilligt hat und damit den klaren Willen der Union bestätigt, zu gemeinsamen Standards und soliden Beweisvermutungen zu konvergieren.
Der regulatorische Kontext: von eIDAS 1.0 zu eIDAS 2.0
Die erste Version von eIDAS (Verordnung EU 910/2014) stellte einen Wendepunkt für das Ökosystem des digitalen Vertrauens in Europa dar, indem sie einen einheitlichen Rechtsrahmen für elektronische Signaturen, Siegel, Zeitstempel, elektronische Einschreibdienste und Zertifikate für die Website-Authentifizierung einführte und durch Interoperabilität sowie gegenseitige Anerkennung zwischen den Mitgliedstaaten die Entstehung eines digitalen Binnenmarktes ermöglichte.
Mit eIDAS 2.0, veröffentlicht im Jahr 2024, hat die Union neue Vertrauensdienste geschaffen – qualifizierte elektronische Archivierung, qualifizierte elektronische Attributbestätigungen, elektronische Register sowie Fernsignatur- und Fernsiegelerstellungseinheiten – um auf einen zunehmend komplexen digitalen Markt mit hohem Datenaustausch zu reagieren.
Das Ziel ist zweifach: das Vertrauen in digitale Transaktionen zu stärken und die Schaffung eines einheitlichen europäischen Marktes für digitale Identitäten ohne technische oder regulatorische Barrieren zu fördern. In Übereinstimmung mit diesem Ansatz verweist eIDAS 2.0 auf spezifische Durchführungsrechtsakte der Kommission, um die technischen und operativen Standards der neuen Dienste im Detail festzulegen. Für die elektronische Archivierung legt Artikel 45j den allgemeinen Rahmen fest, während die Durchführungsverordnung (EU) 2025/2532 Anforderungen, Standards und Qualifikationsmodalitäten der Anbieter regelt.
Der Implementing Act: Verordnung (EU) 2025/2532
Die Durchführungsverordnung (EU) 2025/2532 macht den neuen qualifizierten eArchiving-Vertrauensdienst mit Anwendungsregeln und Standards vollständig operativ, die europäische Einheitlichkeit und Interoperabilität sicherstellen. Die grundlegenden Leitlinien sind drei: ein solides rechtliches Vertrauensrahmenwerk zu schaffen, hohe Anforderungen an die operative Sicherheit vorzuschreiben und harmonisierte technische Standards zu definieren.
Dank der gesetzlichen Annahme der Integrität und Herkunft erhalten Dokumente, die bei einem qualifizierten Anbieter archiviert werden, vollen Beweiswert und vereinfachen dadurch erheblich die Phasen der Vorlage und Überprüfung. Diese in allen Mitgliedstaaten gültige Annahme verringert Anfechtungsmöglichkeiten und stärkt die rechtliche Zuverlässigkeit der vorgelegten Beweismittel. Die verpflichtende Nutzung qualifizierter Signaturen, Siegel und Zeitstempel zur Bescheinigung kritischer Ereignisse im Archivierungslebenszyklus erhöht zusätzlich die Robustheit der Garantien.
Um Interoperabilität und Transparenz zu gewährleisten, verweist die Verordnung auf anerkannte Standards wie CEN TS 18170:2025 für die funktionalen Anforderungen des Dienstes und ISO 14721:2025 (OAIS) für die Langzeitarchivierung. ETSI-Normen gewährleisten die Korrektheit und Überprüfbarkeit der Nachweise, während die Kommission die Möglichkeit behält, weitere technische Spezifikationen zu integrieren, um die technologische Entwicklung zu begleiten.
Rechtliches Vertrauen, operative Sicherheit und technische Harmonisierung zeichnen eine fortschrittliche digitale Langzeitarchivierung mit Beweiskraft und Anwendungsstrenge aus, die den anderen qualifizierten Diensten vergleichbar ist.
Operative und sicherheitstechnische Anforderungen im Kontext der IT: Transparenz, Kryptographie, NIS2 und der Termination Plan
Die Verordnung definiert ein echtes operatives Zuverlässigkeitsmodell, das auf Transparenz, mehrschichtiger Sicherheit und Dienstkontinuität basiert. Transparenzpflichten gegenüber Aufsichtsbehörden und Kundschaft werden strukturell: Jede wesentliche Änderung muss mindestens einen Monat im Voraus mitgeteilt werden; die Einstellung des Dienstes mindestens drei Monate vorher, wobei ein detaillierter Plan zur Sicherstellung der Archivierungskontinuität vorzusehen ist; eine klare und zugängliche Vertragsdokumentation ist integraler Bestandteil der geforderten Garantien.
Das beteiligte Personal muss über nachweisbare und aktuelle Kompetenzen verfügen, mit mindestens jährlicher Schulung zu Bedrohungen, Sicherheit und Regulierung im Einklang mit NIS2.
Auf technischer Ebene erfordert die Sicherheit den Einsatz zertifizierter Geräte zum Schutz kryptographischer Schlüssel (Common Criteria EAL4+, EUCC oder FIPS 140-3 bis 2030), die kontinuierliche Überwachung der kryptographischen Robustheit sowie die Fähigkeit, neue, dem OAIS-Modell und der CEN TS 18170 entsprechende AIP-Profile im Falle der Obsoleszenz von Algorithmen zu erzeugen. Zudem ist der Einsatz qualifizierter Signaturen, Siegel und Zeitstempel gemäß ETSI EN 319 421 verpflichtend. Die Ereignisprotokollierung muss ETSI EN 319 401 entsprechen und einen vollständigen und überprüfbaren Audit Trail gewährleisten.
Die operative Cybersicherheit verlangt vierteljährliche Schwachstellenscans, jährliche Penetrationstests, System-Hardening und gegenseitige Authentifizierung der Komponenten. Das Incident-Management muss mit NIS2 integriert sein. Ergänzend verlangt die Verordnung einen detaillierten Termination Plan mit sicheren, überprüfbaren und interoperablen Modalitäten für die Datenübertragung an einen anderen Anbieter oder an den Dateninhaber, im Einklang mit OAIS und CEN TS 18170.
In Italien wird eine Aktualisierung der AgID-Leitlinien erwartet, um sie mit dem Codice dell’Amministrazione Digitale (CAD) und NIS2 zu harmonisieren. Offen bleibt die Frage des für QTSPs erforderlichen Mindestkapitals, das von vielen Marktteilnehmern als im europäischen Vergleich übermäßig und wettbewerbsverzerrend angesehen wird.
CEN TS 18170:2025 – Die funktionalen Anforderungen des eArchiving-Dienstes
Die CEN TS 18170:2025, veröffentlicht vom CEN/TC 468 im Jahr 2025, ist der erste europäische Standard, der vollständig den e-Archiving-Diensten gewidmet ist, und bietet einen harmonisierten Rahmen funktionaler Anforderungen, der sowohl auf qualifizierte als auch auf nicht qualifizierte Dienste anwendbar ist. Dadurch wird eine langfristige Aufbewahrung im Einklang mit den Grundsätzen von eIDAS 2.0 ermöglicht.
Die Spezifikation deckt alle Phasen des Lebenszyklus digitaler Dokumente ab – Eingang, Übernahme, Archivierung, Abruf und Löschung – und definiert Anforderungen zur Gewährleistung von Dauerhaftigkeit, Lesbarkeit, Zugänglichkeit und Unabhängigkeit von proprietären Formaten. Besondere Aufmerksamkeit gilt der technologischen Obsoleszenz durch Verfahren zur Formatmigration, zur Erhaltung der Metadaten und zur Überprüfung der Integrität im Zeitverlauf.
Ein charakteristisches Element der Norm ist die Verpflichtung zur Erstellung automatisierter Integritätsberichte, die insbesondere im Kontext von Audits, Rechtsstreitigkeiten und Compliance-Prüfungen von Bedeutung sind. Die CEN TS 18170 misst zudem der Sicherheit große Bedeutung bei, einschließlich Zugriffskontrollen, Ereignisnachverfolgbarkeit, Integration mit anderen Vertrauensdiensten sowie der Verwendung standardisierter Protokolle, die Interoperabilität und Datenportabilität zwischen Systemen und Ländern gewährleisten. Leitlinien für energieeffiziente Lösungen spiegeln die Aufmerksamkeit der EU für Nachhaltigkeit wider.
Die CEN TS 18170 ist somit ein echter Vertrauens-Enabler: Ihre Anwendung erleichtert die Qualifizierung der Anbieter, fördert die gegenseitige Anerkennung und bietet öffentlichen Verwaltungen und Unternehmen einen soliden Rahmen zur Reduzierung rechtlicher Risiken und Verwaltungskosten.
Beziehung zwischen Implementing Act und CEN TS 18170: eine europäische Konvergenz
Die Standards für e-Archiving stellen ein Gleichgewicht zwischen Marktanforderungen, dem Beitrag der Stakeholder und dem Ziel der EU dar, einen tatsächlich interoperablen Rahmen zu schaffen. Der Implementing Act greift diesen Ansatz auf, indem er die CEN TS 18170 als Referenzstandard für eArchiving integriert und das gesamte europäische Ökosystem auf moderne, überprüfbare und mit NIS2 kohärente Anforderungen ausrichtet.
Die CEN TS 18170 wurde ausgewählt, weil sie eine vollständige und aktualisierte Abdeckung des gesamten Archivierungslebenszyklus bietet und Aspekte der Sicherheit, Nachhaltigkeit und Interoperabilität mit dem OAIS-Modell – der Referenzarchitektur für die Langzeitarchivierung – integriert.
Dieser „future-proof“-Ansatz vermeidet regulatorische Fragmentierung, fördert die Skalierbarkeit von Lösungen und deren Integration mit aufkommenden Technologien – wie verteilten Ledger-Systemen und automatisierten Audits – und ermöglicht ein klares, effizientes und harmonisiertes Aufsichts- und Prüfsystem.
Unterstützendes Ökosystem: eArchiving Initiative und EARK
Der Implementing Act und die CEN TS 18170 definieren, was ein konformer Archivierungsdienst leisten muss; die eArchiving Initiative und die EARK-Tradition erläutern, wie dies operativ umgesetzt werden kann.
Die von der Europäischen Kommission für den Zeitraum 2022–2026 gestartete eArchiving Initiative zielt darauf ab, sicherzustellen, dass digitale Daten und Dokumente langfristig sicher, lesbar und interoperabel archiviert und aufbewahrt werden, im Einklang mit dem OAIS-Modell und der CEN TS 18170. Die Initiative basiert auf zentralen Prinzipien wie der Nutzung offener Formate, Interoperabilität by Design und der Reduzierung technologischer Lock-in-Effekte.
Das DILCIS Board hat standardisierte Informationspakete entwickelt (Submission Information Package (SIP), Archival Information Package (AIP) und Dissemination Information Package (DIP)) die die Grundlage der von der Initiative und dem eArchiving-Building-Block geförderten Lösungen bilden. Letzterer stellt modulare Werkzeuge und operative Dokumentation für die Implementierung konformer Prozesse bereit.
Das Erbe des im Jahr 2014 gestarteten Projekts EARK trägt wesentlich zum Bestand an Spezifikationen und Open-Source-Software bei, die heute in die Initiative integriert sind, und gewährleistet Kontinuität auch über das Ende des europäischen Förderzyklus hinaus. Die Gesamtauswirkungen sind erheblich: Reduzierung der Implementierungskosten für öffentliche Verwaltungen und Anbieter, Stärkung des gegenseitigen Vertrauens zwischen den Mitgliedstaaten und größere Konvergenz zwischen nationalen Regelungen und internationalen Standards. Das Ergebnis ist ein reiferes, nachhaltigeres und interoperableres europäisches Ökosystem der digitalen Langzeitarchivierung.
Auf dem Weg zu einer europäischen Archivierung: strategische Entscheidungen und operative Implikationen
Die digitale Langzeitarchivierung in Italien befindet sich in einem tiefgreifenden Wandel. Die traditionelle Dichotomie zwischen dem nationalen Modell – basierend auf dem Codice dell’Amministrazione Digitale (CAD) und den AgID-Leitlinien – und dem europäischen Vertrauensdienst weicht einem neuen Gleichgewicht, in dem Archivierungsanbieter, öffentliche Verwaltungen und Unternehmen strategische Entscheidungen auf der Grundlage operativer Anforderungen, Risikoniveaus und unterschiedlicher Ambitionen treffen müssen. Einige Akteure werden die Kontinuität und nationale Compliance bevorzugen, andere werden auf europäische Anerkennung setzen, während wiederum andere größere Flexibilität für den privaten Markt anstreben.
Für QTSPs bedeutet die Anpassung an den Implementing Act eine erhebliche Weiterentwicklung: Überarbeitung der Prozesse, systematische Integration qualifizierter Nachweise (Signaturen, Siegel und Zeitstempel), Mapping der Anforderungen der CEN TS 18170, rigorose Verwaltung des Dokumentenlebenszyklus, Definition strukturierter SLAs, Pflege überprüfbarer Audit Trails, Metadatenverwaltung gemäß europäischen Standards, technologische Migrationspläne, automatisierte Berichterstattung und regelmäßige Audits im Einklang mit eIDAS 2 und NIS2. All dies erfordert Investitionen in sichere Infrastrukturen (wie HSMs und fortgeschrittene Logging-Systeme), qualifiziertes Personal und kontinuierliche Aktualisierung der Richtlinien.
Für öffentliche Verwaltungen und Unternehmen bietet das qualifizierte eArchiving konkrete Vorteile: Verringerung rechtlicher Risiken, größere Beweissicherheit, Vereinfachung von Audit- und Compliance-Prozessen, operative Kontinuität dank offener Formate und modularer Spezifikationen, Vermeidung technologischer Lock-in-Effekte und höhere dokumentarische Resilienz im langfristigen Horizont. Die Angleichung an europäische Vorschriften ermöglicht zudem eine solidere und nachhaltigere Dokumenten-Governance, die in der Lage ist, technologische Entwicklungen zu bewältigen, ohne den Schutz des Informationsvermögens zu gefährden.
Die Rolle von Namirial als QTSP in den Bereichen eArchiving und Langzeitarchivierung
In diesem Szenario ist die Rolle eines QTSP wie Namirial strategisch, da das Unternehmen die regulatorische Entwicklung frühzeitig antizipiert und bereits Zertifizierungen im Bereich eArchiving und Long-Term Archiving (LTA) in mehreren EU- und Nicht-EU-Ländern erlangt hat.
Innerhalb der EU verfügt Namirial über Anerkennungen und Zertifizierungen für Archivierungs- und LTA-Dienste in Deutschland, Frankreich und Rumänien – Märkte mit fortgeschrittenen regulatorischen Anforderungen und besonderer Aufmerksamkeit für Beweiswert, Sicherheit und Dokumenten-Governance. Diese multijurisdiktionale Präsenz spiegelt einen projektbezogenen Ansatz wider, der auf europäischen Standards, Interoperabilität und Compliance by Design basiert und vollständig mit den Prinzipien von eIDAS 2.0 im Einklang steht.
Die Einführung organisatorischer und technischer Modelle, die mit OAIS und den in der CEN TS 18170:2025 kodifizierten funktionalen Anforderungen übereinstimmen, ermöglicht es Namirial, den gesamten Lebenszyklus digitaler Dokumente zu verwalten und dabei Integrität, Nachvollziehbarkeit, Lesbarkeit und Überprüfbarkeit im Zeitverlauf zu gewährleisten. Die native Integration qualifizierter Signaturen, Siegel und Zeitstempel stärkt zusätzlich den Beweiswert der archivierten Nachweise.
Perspektivisch befindet sich Namirial in einer fortgeschrittenen Phase zur eIDAS-Qualifizierung seines eArchiving-Dienstes – ein natürlicher Schritt in der Weiterentwicklung eines bereits auf Multi-Länder-Compliance, operativer Sicherheit, strukturierter Metadatenverwaltung und Dienstkontinuität basierenden Weges, einschließlich der Anforderungen an Termination Plan und Portabilität.
Die in unterschiedlichen regulatorischen Kontexten gesammelte Erfahrung sowie die Ausrichtung an den entstehenden europäischen Standards positionieren Namirial als einen maßgeblichen Akteur im zukünftigen Ökosystem des qualifizierten eArchiving, der in der Lage ist, öffentliche Verwaltungen und Unternehmen in grenzüberschreitenden Szenarien zu unterstützen, rechtliche Risiken zu reduzieren und wirklich interoperable Langzeitarchivierungsmodelle auf EU-Ebene zu ermöglichen.
