Das ENISA Trust Services and eID Forum, das gemeinsam mit dem CA Day in Split veranstaltet wird, diente erneut als zentrale Plattform für den Austausch über die Zukunft der digitalen Identität, der Vertrauensdienste und regulatorischer Entwicklungen in Europa. Akteurinnen und Akteure aus Industrie, Aufsichtsbehörden, Konformitätsbewertungsstellen und Nutzervertreterinnen und -vertreter diskutierten über Chancen und Herausforderungen bei der Umsetzung von eIDAS 2.0, der Einführung von Wallets und Aufsichtsverfahren.
Die diesjährigen Diskussionen berücksichtigten auch internationale Entwicklungen in den USA, Japan und darüber hinaus und erstreckten sich auf neue Bereiche wie die European Business Wallet.
Nachfolgend die zehn wichtigsten Erkenntnisse, die Kundinnen und Kunden, Partner und Branchenbeobachterinnen und -beobachter mitnehmen sollten.
1. Grenzüberschreitende Zusammenarbeit ist unverzichtbar
Ein wiederkehrendes Thema war die Erkenntnis, dass der Erfolg des europäischen digitalen Identitäts-Ökosystems von grenzüberschreitender Kooperation abhängt. Kein Mitgliedstaat oder privater Anbieter kann isoliert erfolgreich sein. Praxisbeispiele zeigten, wie nationale Regierungen und private Akteure die Einführung beschleunigen können, indem sie Pilotprojekte, Governance und Nutzerbildung koordinieren. Dieses kooperative Modell sollte als Vorbild für andere Mitgliedstaaten dienen, insbesondere mit Blick auf die verpflichtenden Fristen des European Digital Identity Wallet (EUDI Wallet) in 2026 und 2027.
2. Unterschiedliche Ausgangspunkte prägen nationale Strategien
Es wurde die Vielfalt der Ansätze innerhalb der Mitgliedstaaten festgestellt. Einige Länder verfügen bereits über ausgereifte und breit angenommene eID-Systeme, andere starten nahezu bei Null. In fortgeschrittenen Märkten nutzen Anbieter hohe Akzeptanzraten, um Wallet-Funktionalitäten unabhängig zu testen, teilweise auch außerhalb der strikten EUDI Wallet-Ausrichtung. Weniger fortgeschrittene Märkte orientieren sich an EU-weiten Rahmenwerken. Diese Unterschiede zeigen die Notwendigkeit flexibler Implementierungsstrategien und unterstreichen die Komplexität und Bedeutung einer europäischen Harmonisierung.
3. Monetarisierung von Attributen: das zentrale Thema
Die Diskussion über die finanzielle Nachhaltigkeit von Wallets setzte sich fort. Die technische Machbarkeit wurde durch groß angelegte Pilotprojekte wie DC4EU, EWC, NOBID und POTENTIAL nachgewiesen. Die eigentliche Herausforderung besteht darin, tragfähige Geschäftsmodelle zu entwickeln. Die Monetarisierung von Attributen bleibt zentral: Aussteller und Relying Parties müssen klare Vorteile sehen, sonst laufen Wallets Gefahr, nur Compliance-Werkzeuge zu bleiben, ohne Anreiz für breitere Nutzung.
Namirial betont, dass das Ökosystem dringend praxisnahe Modelle benötigt, die zeigen, wie Monetarisierung funktioniert. Besonderes Augenmerk galt privacy-preserving Ansätzen, einschließlich des von Namirial initiierten ETSI TR 119 479-2 Standards, der Geschäftsnachhaltigkeit und strikte Datenschutzkonformität vereint. Richtig gestaltet, kann Monetarisierung Vertrauen stärken und Anreize für Aussteller und Relying Parties schaffen.
4. Identity Proofing: komplex, aber essentiell
Die Identitätsprüfung ist eine der ressourcenintensivsten Aufgaben digitaler Identität. ETSI TS 119 461 v2 und verwandte Standards legen Anforderungen an Assurance-Level fest, die operative Umsetzung bleibt jedoch herausfordernd. Anbieter müssen Betrugsprävention, regulatorische Compliance und Nutzerfreundlichkeit gleichzeitig managen. Zu hohe Komplexität kann die Akzeptanz bremsen. Viele Stakeholder betonten die Notwendigkeit von Vereinfachung, ohne Vertrauen zu gefährden, sodass Identity Proofing robust und gleichzeitig handhabbar bleibt.
5. Zertifizierung und Aufsicht erfordern Agilität
Aufsichtsbehörden und ENISA wiesen darauf hin, dass sich Zertifizierungsrahmen entwickeln, aber Lücken bestehen. Conformity Assessment Bodies (CABs) sind technisch bereit für Audits neuer Vertrauensdienste, können jedoch keine Berichte erstellen, bevor sie nicht nach dem überarbeiteten Framework akkreditiert sind. Stand September 2025 hatte kein CAB den Prozess abgeschlossen, was Bedenken hinsichtlich Verzögerungen aufwirft. ENISA hat eine Ad-hoc Working Group (AHWG) eingerichtet, um ein Conformity Assessment Scheme (CAS) zu erstellen, mit Peer Review 2026 und Implementierung ab 2028. Bis dahin müssen nationale Systeme die Lücke überbrücken und gegenseitige Anerkennung wird entscheidend sein.
6. Daten- und Nutzerperspektive sind entscheidend
Forschungen zeigten, dass Adoption nur erfolgt, wenn Nutzende einen klaren Mehrwert wahrnehmen. Vorteile wie schnelleres Onboarding, Betrugsreduktion und Zugang zu neuen digitalen Diensten fördern die Nutzung. Giorgia Dragoni vom Digital Identity Observatory, POLIMI School of Management lieferte wertvolle Einblicke in die Dynamik der Akzeptanz. Kommunikation bleibt entscheidend: Nutzende müssen verstehen, warum Wallets ihren Alltag erleichtern, nicht nur, dass sie verfügbar sind. Ohne nutzerzentriertes Design und Messaging wird die alleinige Regulierung keine Adoption sichern.
7. Wettbewerbsfähigkeit und Überregulierung
Die Zukunft des europäischen Ökosystems hängt vom Gleichgewicht zwischen regulatorischer Ambition und Wettbewerbsfähigkeit ab. Regulierung ist notwendig, um Vertrauen und Sicherheit zu gewährleisten – zu viel Starrheit kann Innovation hemmen. Die Industrie betonte, dass Europa wettbewerbsfähige private Anbieter benötigt. Markt-Konsolidierung wird erwartet und grenzüberschreitende Skalierung wird entscheidend. Überregulierung könnte die Wettbewerbsfähigkeit gefährden, während internationale Akteure in den USA, Japan und anderswo schnell voranschreiten.
8. Sicherheit und Resilienz: NIS2, DORA, CRA
Vertrauensdiensteanbieter operieren unter mehreren Regulierungen: eIDAS 2.0, NIS2, Cyber Resilience Act (CRA), Digital Operational Resilience Act (DORA). Überschneidende Rahmenwerke bergen Risiken von Doppelprüfungen und fragmentierter Berichterstattung. Regulatoren prüfen Harmonisierung, sodass eIDAS-Compliance auch NIS2-Anforderungen erfüllen kann. Anbieter müssen umfassendes Risikomanagement und Cybersecurity implementieren und sich auf Konsolidierungsdruck durch hohe Compliance-Kosten vorbereiten.
9. Großskalige Piloten zeigen Machbarkeit, nicht Anreize
EU-finanzierte Piloten zeigen, dass Wallet-Interoperabilität praktisch funktioniert, auch sektorübergreifend (Finanzen, Gesundheitswesen, Mobilität). Technische Machbarkeit allein reicht jedoch nicht: Dem Ökosystem fehlen Anreize. Aussteller, Relying Parties und Wallet-Anbieter müssen den klaren Business Case sehen. Ohne diesen riskieren Wallets trotz technischer Erfolge zu stagnieren. Politische Entscheidungsträger wurden aufgefordert, Anreize von Anfang an im Rahmen zu verankern.
10. Ausblick: Adoption, Business Wallet und PQC
Drei strategische Prioritäten:
- Adoption: Wallet-Nutzung ist freiwillig, Uptake hängt vom wahrgenommenen Nutzen ab, unterstützt durch Bildung und Kommunikation.
- European Business Wallet (EUBW): Bis Ende 2025 wird die EU-Kommission voraussichtlich einen Vorschlag veröffentlichen, der Unternehmen die Verwaltung von Credentials wie LEI, Mandate und Unternehmensbescheinigungen ermöglicht – eine bedeutende Erweiterung des Wallet-Konzepts über Einzelpersonen hinaus.
- Post-Quantum Cryptography (PQC): Dringender Bedarf an algorithmischer Agilität; Anbieter müssen bereits heute Migrationspfade planen, auch wenn finale PQC-Standards noch stabilisiert werden.
Globaler Kontext: Entwicklungen außerhalb der EU
In den USA geben über 18 Bundesstaaten mobile IDs nach ISO/IEC 18013-5 aus, akzeptiert von der TSA an Flughäfen. Eine digitale ID, integriert in Reisepässe, ist Ende 2025 geplant. Das Vereinigte Königreich hat sein Digital Identity and Attributes Trust Framework (DIATF) vorangetrieben und verpflichtende digitale Identität für Arbeitsberechtigungsnachweise eingeführt. Am 28. September stimmten Schweizer Bürger für eine elektronische Identität. Japan, Kanada und Australien erweitern Wallet-Piloten, die OpenWallet Foundation fördert Open-Source-Infrastruktur. Das verifiable LEI (vLEI) von GLEIF etabliert sich als globale Unternehmenscredential. Europäische Stakeholder arbeiten aktiv an Interoperabilität und gegenseitiger Anerkennung.
Namirial-Perspektive
Für Namirial bestätigte das Forum drei strategische Botschaften:
- Adoption first: Wallets funktionieren nur, wenn Nutzende und Unternehmen klare Vorteile erkennen.
- Konsolidierung bevorstehend: Anforderungen an QTSP steigen, Namirial baut aktiv den größten europäischen QTSP auf.
- Attribute incentivieren: Monetarisierung soll Chance, kein Nutzenden-Belastung sein.
Diese Prioritäten spiegeln sich in Namirials Positionierung, Produkten und Lösungen wider:
- Namirial Onboarding optimiert Kundenidentifikation unter höchsten regulatorischen Standards.
- Namirial Sign sichert skalierbare, zugängliche elektronische Signaturen für Unternehmen und Privatkundinnen und -kunden.
- Namirial Wallet Platform ermöglicht volle Teilnahme an EUDI Wallet und zukünftigem European Business Wallet.
Das Forum 2025 unterstrich, dass Europa an einem kritischen Punkt steht: regulatorische Grundlagen, erfolgreiche Piloten und neue Services wie Business Wallet. Dennoch bestehen Unsicherheiten bei Zertifizierung, Authentizität und Anreizen. Zusammenarbeit zwischen Regulatoren, Anbietern und Nutzenden bleibt entscheidend.
Namirial ist stolz, an vorderster Front dieses Innovationsprozesses zu stehen und engagiert sich, die Zukunft von Vertrauensdiensten und digitaler Identität gemeinsam mit dem Ökosystem zu gestalten.