Neben der Identitäts- und Authentifizierungssicherheit sind weitere wichtige Faktoren „die Zuverlässigkeit und Qualität“ der Verfahren zur Ausstellung der eID-Mittel, der Stelle, die die eID-Mittel ausstellt, und „jeder anderen Stelle“, die an der Beantragung der Ausstellung der eID-Mittel beteiligt sein könnte. (10)
Anhand dieses Rahmens kann der Gesetzgeber dann leicht festlegen, welches Sicherheitsniveau ein eID-Mittel für eine bestimmte Art von Transaktion haben muss. Privatunternehmen können nach eigenem Ermessen ein noch höheres Sicherheitsniveau als das gesetzlich vorgeschriebene verlangen, wenn sie entschieden haben, dass ihr eigenes Geschäftsrisiko dies rechtfertigt. Die Vorteile der zusätzlichen Sicherheit müssen natürlich gegen die Qualität der Kundenerfahrung und die zusätzlichen Transaktionskosten für das Unternehmen abgewogen werden.
Formalisierung und Umsetzung von eID-Systemen: Notifizierung und eIDAS-Netzwerk
Die Ermöglichung der Interoperabilität von eID-Systemen verschiedener Mitgliedstaaten erfordert eine Methode zur Verwaltung und Durchführung der grenzüberschreitenden Authentifizierung sowie ein Verfahren zur Formalisierung der genehmigten eID-Systeme gemäß eIDAS.
Der Prozess der offiziellen Genehmigung eines eID-Systems wird als Notifizierung bezeichnet. Jeder Mitgliedstaat ist für die Notifizierung seiner eigenen eID-Systeme verantwortlich und muss sicherstellen, dass diese alle Sicherheits- und Qualitätsanforderungen von eIDAS erfüllen. (11) Das Verfahren umfasst eine wechselseitige Prüfung durch die Mitgliedstaaten. Sobald das eID-System offiziell in das eIDAS-Netzwerk aufgenommen wurde (siehe unten), müssen die EU-Mitgliedstaaten es „spätestens 12 Monate nach der Veröffentlichung im Amtsblatt der Europäischen Union“ anerkennen. (12)
Die technische Infrastruktur, die die verschiedenen eID-Systeme und -Mittel verbindet, wird als eIDAS-Netzwerk bezeichnet. Dieses Netzwerk basiert auf einer Reihe von Knotenpunkten (eIDAS-Knoten), die auf der Ebene der Mitgliedstaaten eingerichtet werden. Im Rahmen einer einzelnen Transaktion kann jeder Knoten die grenzüberschreitende Authentifizierung sowohl anfordern als auch durchführen.