Die Network and Information Security – Richtlinie 2.0 (NIS 2) definiert EU-weit gültige Mindeststandards für Cybersecurity, die vom Umsetzungsgesetz in die deutsche KRITIS-Regulierung überführt werden. Die Pflichten der Unternehmen gehen z.T. deutlich über die bisherigen KRITIS-Pflichten hinaus. Auch die eIDAS-Verordnung wurde in NIS 2 überführt. Ursprünglich nur für echte Third-PartyTrust-Identitätsmodelle vorgesehen, ist für die eIDAS eine Öffnung in Richtung der “selbst-souveränen Identitäten” (SSI) erfolgt, die im “European Self-Sovereign Identity Framework” (ESSIF) verankert ist.
Vertrauensdiensteanbieter können in einem SSI-Netzwerk über eine SSI-eIDAS-Bridge integriert werden. Ob und wie der SSI-Broker als kritische Infrastruktur unter NIS 2 angesehen werden muss, ist derzeit unklar.
Andererseits:”Einfach zu beantworten ist die Frage der Kritikalität und Bedeutsamkeit für die Versorgungssicherheit bei den Diensten, die auch nach der NIS 2 als wesentlich und damit unabdingbar nach den Maßstäben der KRITIS-Anforderungen bewertet werden müssen. Innerhalb der Föderationsdienste wären dies zum Beispiel die Vertrauensdienste, soweit sie als qualifizierte Dienste angeboten werden: das SSI-Framework deckt für sich genommen nicht alle Voraussetzungen dafür ab, weil es keinen qualifizierten Vertrauensdienst darstellt, aber in dem Moment, in dem “echte”, also qualifizierte Identitäten über die eIDAS-SSI-Bridge betrieben werden, ist dieser Status erreicht, und die Einstufung als wesentliche Einrichtung greift unmittelbar”((Wie passen das Internet der Dinge und die Blockchain zusammen?