Der vorliegende Bericht enthält die vorläufigen Ergebnisse der ersten transatlantischen Kartierungsaktion. Er enthält eine Zuordnung von Definitionen, Sicherheitsstufen und Verweisen auf internationale Standards in den NIST Digital Identity Guidelines (Special Publication 800-63, Revision 3) und der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste Dienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG.
Die EU und die USA haben Vergleiche auf drei Ebenen angestellt: einen taxonomischen Ansatz für die in jedem Rahmen verwendeten Konzepte; eine Zuordnung der verschiedenen Sicherheitsstufen der digitalen Identitäten/Identitätssysteme in der EU und in den USA und eine Auflistung der internationalen Normen, auf die maßgeblichen Dokumente. Die NIST-Leitlinien enthalten technische Anforderungen für Organisationen, die digitale Identitätsdienste einführen.
Während ihre Verwendung für US-Bundesbehörden obligatorisch ist, ist die Übernahme der Richtlinien für andere Organisationen oder Sektoren nicht verpflichtend, es sei denn, die Politik schreibt etwas anderes vor. Die EU hat jedoch ein verbindliches Regulierungsmodell vorgeschlagen, das von den EU-Mitgliedstaaten übernommen werden soll. Die unterschiedlichen Normen-Ökosysteme auf beiden Seiten des Atlantiks werden in diesem Bericht ebenfalls gewürdigt, wobei ihre Gemeinsamkeiten und Unterschiede in diese Bestandsaufnahme einfließen.
Eine wichtige Erkenntnis aus diesem Bericht ist, dass es keine wichtigen Konzepte gibt, die nicht mit einem entsprechenden Konzept zuordnen lassen, die Unterschiede in der spezifischen Verwendung der Begriffe sind gering. Wo sich die Ansätze der EG und der USA am stärksten unterscheiden, ist das Thema der Vertrauensdienste, die in NIST SP 800-63 nicht explizit angesprochen werden. Wie bei der Zuordnung der Definitionen, weisen die Ansätze der EU und der USA in Bezug auf die Vertrauenswürdigkeitsebenen starke Gemeinsamkeiten auf, wobei beide Rahmenwerke drei aufsteigende Stufen verwenden, um das zunehmende
Vertrauen in die Identifizierungsmittel.
In den NIST-Leitlinien werden die drei aufsteigenden Sicherheitsstufen in drei Komponenten – Identitäts-, Authentifizierungs- und Föderationssicherungsstufen – gegliedert, während sich die EU-Verordnung nur auf eine übergreifende Komponente stützt: die Sicherheitsebenen. Abschnitt 3 fasst die Ergebnisse der Zuordnungsübung zusammen.
Quelle: DRAFT EU-US TTC Digital Identity Mapping Exercise Report