Elektronische Signatur

Hierzu braucht es eine Zertifizierungsinfrastruktur, engl. Public Key Infrastructure (PKI), die durch vertrauenswürdige Dritte gebildet wird. Dies sind sogenannte Anbieterinnen von Zertifizierungsdiensten CSP (Certification Service Providers). Sie bieten Lösungen zur sicheren Übertragung von Daten und erbringen den Nachweis, dass Qualität, Sicherheit und Zuverlässigkeit der Dienstleistungen den geltenden Normen entsprechen. Die elektronische Signatur und die handschriftliche Unterschrift auf einem Dokument werden hiermit als gleichwertig betrachtet.

Die diesbezüglichen Bedingungen und Vorgaben werden in der Schweiz mit dem Bundesgesetz vom 18. März 2016 über die elektronische Signatur (ZertES, SR 943.03) sowie in der Verordnung vom 23. November 2016 über die elektronische Signatur (VZertES, SR 943.032) geregelt.

Für die die technischen und administrativen Vorschriften ist das BAKOM (Bundesamt für Kommunikation) zuständig.

Unternehmungen (Anbieterinnen von Zertifzierungsdiensten), die qualifizierte und geregelte elektronische Zertifikate (gemäss den obengenannten rechtlichen Grundlagen und technischen Vorgaben) ausstellen sowie verwalten, werden durch die Anerkennungsstelle KPMG (SCESm 0071) in der Schweiz überprüft und anerkannt. Die Anerkennungsstelle meldet der SAS die anerkannten Anbieterinnen von Zertifizierungsdiensten sowie allfällige Änderungen, welche in der nachfolgenden Liste publiziert werden. Anm: Aktuell ist die KPMG AG in der Schweiz die einzige akkreditierte Anerkennungsstelle.

Für Entwickler von Software und Diensten:
Eine Liste der anerkannten Anbieterinnen und Zertifizierungsdienste, die gemäss ETSI TS 119 612 Electronic Signatures and Infrastructures (ESI); Trusted Lists in XML formatiert ist, steht unter
https://trustedlist.tsl-switzerland.ch/tsl-ch.xml zur Verfügung.
Weitere Informationen zu dieser XML-Liste finden Sie auf der Seite
https://uri.tsl-switzerland.ch/TrstSvc/TrustedList/schemerules/CH (nur in Englisch verfügbar).

Diese Listen enthalten alle CSP, die die Anforderungen des Gesetzes über die elektronische Signatur (ZertES) erfüllen.

Nicht in der Liste aufgeführte Anbieterinnen können allerdings Zertifikate einer anerkannten CSP nutzen, um ihre eigenen Dienste zu erbringen. Um festzustellen, ob es eine solche Form der Zusammenarbeit gibt, sollte man sich direkt an die jeweilige Anbieterin wenden.

Grundsätzlich gilt jedoch: Jede CSP im In- oder sogar im Ausland kann sich von Stellen (Konformitätsbewertungsstellen oder der Anerkennungsstelle KPMG AG in der Schweiz) anerkennen lassen. Für Anbieterinnen, die im Ausland nach Anforderungen anerkannt wurden, die den schweizerischen Vorschriften gleichwertig sind, sieht das ZertES sieht ein vereinfachtes Anerkennungsverfahren vor.