Die Feststellung, klar gesagt
Geprüft am 28. Mai 2026: Das eIDAS-Dashboard zeigt den WRPAC-Indikator für vertrauenswürdige Entitäten in allen Mitgliedstaaten als unveröffentlicht. Der Endpunkt für die WRPAC-Anbieterliste wird nicht öffentlich ausgeliefert - zum Zeitpunkt der Veröffentlichung liefert er eine Access-denied-Antwort, ohne eine Anbieterdatei bereitzustellen.
Wichtig ist, was diese Access-denied-Antwort aussagen kann und was nicht. Eine S3-ähnliche 403-Antwort beweist nicht, dass die Liste in keiner Form existiert; sie beweist nur, dass die Ressource unter dieser URL nicht öffentlich zugänglich ist. Die Liste kann autorisierten Parteien über einen separaten Kanal bereitgestellt werden, von der Kommission zu Vorbereitungszwecken intern gepflegt werden oder schlicht noch nicht befüllt sein. Präzise sagen lässt sich: Es gibt keine öffentlich verifizierbare WRPAC-Anbieterliste. Es gibt keinen Weg, über den eine Relying Party, ein Entwickler oder eine Konformitätsbewertungsstelle unabhängig bestätigen könnte, dass eine bestimmte Zertifizierungsstelle zur Ausstellung von WRPACs auf Grundlage eines Mandats nach Artikel 7 Absatz 1 berechtigt ist. Das ist die entscheidende Tatsache für die Planung.
Für Händler und Integratoren, die die Frist im Dezember 2026 verfolgen, wirft dieser Status eine naheliegende Frage auf: Ist etwas kaputt, oder ist genau das der gegenwärtige Stand, den die Verordnung vorsieht? Die Antwort ist Letzteres. Dass heute keine Liste veröffentlicht ist, ist weder ein Versäumnis eines Mitgliedstaats noch der Kommission. Es ist die vorhersehbare Folge einer Verordnung, deren operative Pflichten noch nicht anwendbar sind.
Warum das so vorgesehen ist - und keine Verzögerung
Die Verordnung (EU) 2025/848 - die Durchführungsverordnung zu Wallet-Relying-Party Access Certificates - trat Ende Mai 2025 als einer der zentralen Durchführungsrechtsakte unter dem geänderten eIDAS-2-Rahmen in Kraft. Inkrafttreten ist aber nicht dasselbe wie Anwendbarkeit. Artikel 11 der Verordnung (EU) 2025/848 legt fest, dass die Verordnung ab dem 24. Dezember 2026 gilt. Dieser eine Artikel erklärt alles, was daraus folgt.
Die zentrale Ausstellerpflicht steht in Artikel 7 Absatz 1. Danach muss jeder Mitgliedstaat mindestens eine Zertifizierungsstelle autorisieren, WRPACs für Relying Parties auszustellen, die in diesem Staat niedergelassen sind oder dort tätig werden. Artikel 7 Absatz 1 bindet erst, wenn die Verordnung gilt - also ab dem 24. Dezember 2026. Ein Mitgliedstaat, der heute noch keine WRPAC-ausstellende Zertifizierungsstelle benannt hat, ist nicht verspätet, nicht regelwidrig und keinem Durchsetzungsmechanismus ausgesetzt. Er bewegt sich schlicht innerhalb des Zeitplans, den die Verordnung bewusst gewählt hat.
Dieselbe Logik gilt für die Liste vertrauenswürdiger Entitäten. Die Liste ist das nachgelagerte Ergebnis der Mandate nach Artikel 7 Absatz 1: Sobald Mitgliedstaaten Zertifizierungsstellen benennen, erscheinen diese Zertifizierungsstellen auf der Liste. Bevor Artikel 7 Absatz 1 bindet, gibt es keine mandatierten Zertifizierungsstellen, die aufzulisten wären. Der unveröffentlichte Status des WRPAC-Indikators im eIDAS-Dashboard ist daher eine strukturelle Folge des Anwendungszeitplans der Verordnung, kein Beleg für Umsetzungsverzug.
Diese Unterscheidung ist enorm wichtig dafür, wie Sie intern und gegenüber Kunden über WRPAC kommunizieren. Sie können keinen Mitgliedstaat als bei WRPAC "im Rückstand" beschreiben. Sie können nicht sagen, die EU "versäume" die Veröffentlichung der Liste. Was Sie korrekt sagen können: Die Verordnung ist bewusst so gestaffelt, dass ihre operative Infrastruktur - die CA-Mandate, die Vertrauensliste, die Zertifikatsausgabepfade - zeitgleich mit der Frist online geht, nicht Monate oder Jahre vorher.
Ob diese Staffelung die richtige politische Entscheidung ist, ist eine separate Debatte. Für die Planung ist sie schlicht die rechtliche Realität.
Was ein WRPAC eigentlich ist
Für Leserinnen und Leser, die den Begriff zum ersten Mal sehen: Ein Wallet-Relying-Party Access Certificate ist der Zugangsnachweis, den eine Relying Party benötigt, um im Produktivmodus Attributpräsentationen aus einer EUDI-Wallet anzufordern. Artikel 2 Absatz 12 der Verordnung (EU) 2025/848 definiert es als das Zertifikat, mit dem sich eine Relying Party gegenüber einer Wallet-Einheit authentifiziert. Artikel 2 Absatz 11 definiert den Anbieter eines solchen Zertifikats als eine Person, die von einem Mitgliedstaat mit der Ausstellung von WRPACs mandatiert ist - wobei "Person" in diesem Kontext eine Zertifizierungsstelle meint, die auf Grundlage einer Autorisierung nach Artikel 7 Absatz 1 handelt.
Die praktische Folge: WRPAC-Ausstellung ist kein Markt, den die Kommission direkt kontrolliert. Jeder Mitgliedstaat autorisiert seine eigene ausstellende Zertifizierungsstelle oder seine eigenen Zertifizierungsstellen. Eine in Deutschland niedergelassene Relying Party wird ihr WRPAC letztlich von einer durch Deutschland autorisierten Zertifizierungsstelle erhalten; eine in Frankreich niedergelassene Relying Party von einer durch Frankreich autorisierten Zertifizierungsstelle. Grenzüberschreitend tätige Relying Parties müssen verstehen, ob ihre Hauptniederlassung maßgeblich ist oder ob sie WRPAC-Abdeckung in jedem operativen Rechtsraum benötigen - eine Frage, die die Durchführungsverordnung adressiert, die aber viele Integratoren noch nicht vollständig durchgearbeitet haben.
Eine ausführlichere Erklärung, was WRPACs tun, wie sie in das Wallet-Interaktionsprotokoll passen und warum Relying Parties ohne sie nicht produktiv arbeiten können, finden Sie in unserem Begleitbeitrag: Was ist WRPAC und warum jedes Online-Unternehmen bis Dezember 2026 eines braucht.
Zwei unterschiedliche Uhren
Eine der häufigsten Verwirrungsquellen in der WRPAC-Planung von Händlern ist die Vermischung zweier Fristen, die ungefähr auf dasselbe Datum fallen, aber unterschiedliche Pflichten messen.
Uhr eins: die Wallet-Verfügbarkeitsfrist. Die Verordnung (EU) 2024/1183, mit der die Verordnung (EU) Nr. 910/2014 geändert wurde, verpflichtet jeden Mitgliedstaat, natürlichen und juristischen Personen bis ungefähr 24. Dezember 2026 mindestens eine EUDI-Wallet bereitzustellen. Das ist die Uhr, die Schlagzeilen über nationale Wallet-Starts antreibt - und über nationale Rollout-Pläne, die nahe an diesem rechtlichen Datum liegen können oder knapp danach. Die operative Vorschrift ist Artikel 5a der geänderten Verordnung. Die Pflicht zur Wallet-Verfügbarkeit trifft Mitgliedstaaten, nicht Händler.
Uhr zwei: der Anwendungszeitpunkt für die WRPAC-Ausstellung. Auch die Pflicht der Mitgliedstaaten, mindestens eine WRPAC-ausstellende Zertifizierungsstelle zu autorisieren, fällt unter Artikel 11 der Verordnung (EU) 2025/848 in das Dezember-2026-Fenster. Relying Parties im Produktivmodus benötigen dann ein WRPAC, das gegen die mandatierte Anbieterinfrastruktur validiert werden kann. Diese Uhr hat jedoch eine praktische Asymmetrie: Mitgliedstaaten haben von heute bis Dezember 2026 Zeit, Zertifizierungsstellen zu benennen und ihre Mandate zu veröffentlichen. Diese Zertifizierungsstellen müssen anschließend Ausgabeprozesse aufsetzen. Relying Parties müssen sich dann bewerben, erforderliche Registrierungsschritte abschließen und ihre Zertifikate erhalten. Nichts davon geschieht an einem einzigen Tag.
Das Vermischungsproblem sieht so aus: Ein Händler hört im Kontext der Wallet-Verfügbarkeit von der "Frist im Dezember 2026" und nimmt an, dass dies auch der Zeitpunkt ist, ab dem WRPACs beantragt werden können. Dann ist er überrascht - positiv oder negativ -, wenn er feststellt, dass der WRPAC-Pfad früher oder später öffnen kann, je nachdem, wann der jeweilige Mitgliedstaat seine Benennung nach Artikel 7 Absatz 1 abschließt, und dass manche Staaten freiwillige oder Pilot-Ausgabepfade vor dem formalen Mandat anbieten können. Eine Planung gegen ein einziges Dezember-2026-Datum für beide Pflichten verfehlt diese Sequenz vollständig.
Die praktische Konsequenz: Relying Parties sollten die Vertrauensliste und die CA-Ankündigungen der Mitgliedstaaten über H2 2026 hinweg kontinuierlich beobachten, statt auf ein einziges Go-live-Ereignis zu warten, das alles gleichzeitig auslöst. Die ersten Staaten, die mandatierte Zertifizierungsstellen veröffentlichen, werden früh beweglichen Relying Parties mehrere Wochen Vorlauf vor Dezember 2026 geben, um ihre WRPAC-Anträge über einen echten Produktivpfad abzuschließen.
Was Sie jetzt tun sollten - und was nicht
Das Fehlen eines öffentlich verifizierbaren Produktiv-WRPAC-Pfads erzeugt heute ein Planungsvakuum, das Anbieter zu füllen begonnen haben. Ein Teil dessen, was als WRPAC-Infrastruktur vermarktet wird, ist legitim; ein Teil nicht. Die Unterscheidung ist testbar: Ein WRPAC, das nicht öffentlich als Kette zu einer veröffentlichten, nach Artikel 7 Absatz 1 mandatierten Zertifizierungsstelle verifiziert werden kann, ist kein Produktiv-WRPAC, unabhängig davon, wie der Anbieter es nennt oder was im Subject-Feld des Zertifikats steht.
Was Sie jetzt tun sollten
Gegen Sandbox- und Open-Wallet-Flows bauen und testen. Die EUDI Wallet Reference Implementation, Deutschlands offizielle EUDI-Wallet-Sandbox (betrieben von SPRIND) und mehrere Pilotumgebungen der Mitgliedstaaten erzeugen echte Präsentationsflüsse über OpenID4VP. Diese Flows sind technisch repräsentativ für das Produktivprotokoll, auch wenn die Vertrauensinfrastruktur - die CA-Mandate, die Vertrauensliste, die WRPAC-Kette - noch nicht steht. Zeit, die Sie jetzt in einen konformen OpenID4VP-Verifier investieren, müssen Sie in Q4 2026 nicht mehr aufbringen.
Den WRPAC-Indikator im eIDAS-Dashboard verfolgen. Das Dashboard unter eidas.ec.europa.eu/efda/ ist das kanonische Signal. Wenn Mitgliedstaaten beginnen, WRPAC-ausstellende Zertifizierungsstellen zu benennen, und diese Zertifizierungsstellen ihre Mandate veröffentlichen, wird die WRPAC-Markierung von unveröffentlicht auf veröffentlicht wechseln. Dieser Wechsel ist Ihr Auslöser, den Antragsprozess im betroffenen Mitgliedstaat zu starten.
Den Endpunkt der Anbieterliste beobachten. Der Endpunkt unter trust.tech.ec.europa.eu/lists/eudiw/wrpac-providers.json wird irgendwann eine maschinenlesbare Datei mit autorisierten Zertifizierungsstellen ausliefern. Diesen Endpunkt zu überwachen - und die Validierungslogik zu bauen, die ihn nach Go-live konsumiert - ist Infrastrukturarbeit mit geringen Kosten, die sich sofort auszahlt, sobald die Liste veröffentlicht wird.
Den Antragsprozess für Ihre Jurisdiktion verstehen. Benennungen nach Artikel 7 Absatz 1 sind Entscheidungen der Mitgliedstaaten. Manche Staaten können detaillierte Antragsverfahren Monate vor Dezember 2026 veröffentlichen; andere nicht. Je früher Sie identifizieren, welche Zertifizierungsstelle Ihre Jurisdiktion betreuen wird und wie der Antragsprozess aussieht, desto geringer ist Ihr Risiko, im November und Dezember 2026 in einem kurzfristigen Warteschlangenproblem zu landen.
Was Sie nicht tun sollten
Kaufen Sie nichts, was als "Produktiv-WRPAC" vermarktet wird, aber nicht öffentlich verifiziert werden kann. Solange das Mandat einer Zertifizierungsstelle nicht auf der Vertrauensliste veröffentlicht und im eIDAS-Dashboard sichtbar ist, gibt es keine unabhängige Grundlage, um zu bestätigen, dass ein von dieser Zertifizierungsstelle ausgestelltes Zertifikat als WRPAC nach Artikel 2 Absatz 12 auf Grundlage einer Autorisierung nach Artikel 7 Absatz 1 qualifiziert. Ein Zertifikat kann technisch gültig sein, dem Zertifikatsprofil entsprechen und von einer seriösen Zertifizierungsstelle stammen - und trotzdem kein rechtlich wirksames WRPAC sein, wenn die Zertifizierungsstelle kein Mandat eines Mitgliedstaats erhalten und veröffentlicht hat. Das Risiko ist nicht, dass das Zertifikat betrügerisch ist; das Risiko ist, dass Wallet-Implementierungen es nicht akzeptieren, wenn sie die Vertrauenskette gegen die veröffentlichte Liste validieren.
Behandeln Sie Sandbox-Zertifikate nicht als produktionsreif. Sandbox-WRPACs für Entwickler- und Testumgebungen erfüllen einen legitimen Zweck und sollten gerade jetzt intensiv genutzt werden. Sie tragen nicht dieselbe Vertrauenskette wie Produktivzertifikate. Planen Sie entsprechend, wenn Sie mit Business-Stakeholdern über den Zeitplan bis zum Live-Betrieb sprechen.
Setzen Sie die Zeitleiste Ihres Anbieters nicht mit der Zeitleiste der Verordnung gleich. Mehrere Konformitätsbewertungsstellen und Zertifizierungsstellen haben Roadmaps für WRPAC-Dienste veröffentlicht, die Bereitschaft deutlich vor Dezember 2026 nahelegen. Diese Roadmaps spiegeln die Vorbereitung des Anbieters wider; sie sind keine Zusagen der Mitgliedstaaten, ihre Benennungen nach Artikel 7 Absatz 1 zu einem bestimmten Datum abzuschließen. Ein Anbieter kann vor Anwendbarkeit der Verordnung bereit sein und trotzdem keine mandatierten Zertifikate ausstellen können.
Wie Sie Marktangebote bewerten und echte Produktivpfade von verfrühten Angeboten unterscheiden, erläutert unser Begleitbeitrag: Echte Produktiv-WRPACs vs. Sandbox-Zertifikate - woran Sie den Unterschied erkennen.
Worauf Sie achten sollten
Drei Signale markieren den Übergang vom heutigen statischen Zustand zu einem aktiven WRPAC-Infrastrukturmarkt.
Der WRPAC-Indikator im Dashboard wechselt auf veröffentlicht. Das ist das primäre Signal. Wenn ein Mitgliedstaat eine Benennung nach Artikel 7 Absatz 1 abschließt und diese Benennung in das eIDAS-Dashboard propagiert wird, ändert sich der WRPAC-Indikator für diesen Staat. Ein kleinerer, digital fortgeschrittener Mitgliedstaat mit reifer CA-Infrastruktur könnte schnell handeln, aber das erste veröffentlichte Mandat ist weiterhin offen. Jeder Wechsel vor September 2026 würde Relying Parties substanziellen Vorlauf geben.
Die Anbieterliste geht live. Wenn der Endpunkt unter trust.tech.ec.europa.eu/lists/eudiw/wrpac-providers.json statt einer Access-denied-Antwort eine befüllte JSON-Datei zurückgibt, wird diese Datei zur maschinenlesbaren Quelle der Wahrheit für autorisierte Zertifizierungsstellen. Sobald diese Liste öffentlich zugänglich wird, entfällt die Einschränkung "nicht öffentlich verifizierbar" für jede Zertifizierungsstelle, die darin erscheint. Bauen Sie die Logik zum Konsum der Liste jetzt; es ist dasselbe Muster wie beim Konsum der EU-Vertrauenslisten für qualifizierte Vertrauensdiensteanbieter, und der Code ist übertragbar.
Ankündigungen der Mitgliedstaaten zu freiwilliger oder Pilot-WRPAC-Ausstellung. Manche Mitgliedstaaten können sich entscheiden, vor dem formalen Mandat im Dezember 2026 freiwillige oder Pilot-Ausgaben von WRPACs zu betreiben. Regulierungsbehörden haben in verwandten Identitätssystemen historisch Pilotphasen vor bindenden Stichtagen durchgeführt. Ein freiwilliger Pfad kann wertvolle Vorbereitung sein, sollte aber trotzdem als nicht-produktiv behandelt werden, solange Mandat und Vertrauensanker nicht öffentlich verifiziert werden können. Beobachten Sie CA-Ankündigungen der nationalen Aufsichtsstellen für Vertrauensdienste in den Mitgliedstaaten, deren Wallet-Zeitpläne am weitesten fortgeschritten sind.
Klarstellungen der Kommission zur grenzüberschreitenden WRPAC-Abdeckung. Der aktuelle Text der Verordnung (EU) 2025/848 lässt eine gewisse Unklarheit darüber, ob eine in einem Mitgliedstaat niedergelassene Relying Party für jeden Mitgliedstaat, in dem sie tätig ist, ein separates WRPAC benötigt oder ob ein einzelnes WRPAC den EU-weiten Betrieb abdeckt. Eine Klarstellung der Kommission - ob durch eine formale Mitteilung, ein Q&A-Dokument oder eine Aktualisierung des EUDI Wallet Architecture and Reference Framework - würde erheblich beeinflussen, wie viele separate CA-Beziehungen Relying Parties pflegen müssen. Das ist die operativ folgenreichste offene Frage im WRPAC-Rahmen.
Die Übersichtsseite zur EUDI-Verordnung im Digital-Strategy-Portal der Kommission ist häufig der erste Ort, an dem formale Klarstellungen erscheinen, bevor sie EUR-Lex erreichen. Nehmen Sie sie neben dem Endpunkt der Vertrauensliste und dem eIDAS-Dashboard in Ihre Monitoring-Liste auf.
Die Form der nächsten sieben Monate
Zusammengefasst: Die Verordnung (EU) 2025/848 ist in Kraft und geltendes Recht, bindet aber erst ab dem 24. Dezember 2026. Dass es keine veröffentlichte WRPAC-Anbieterliste gibt, spiegelt diese Staffelung wider, nicht ein Umsetzungsversagen. Kein Mitgliedstaat ist bei WRPAC "spät", weil noch kein Mitgliedstaat verpflichtet ist. Der unveröffentlichte Status im eIDAS-Dashboard und der nicht zugängliche Anbieterlisten-Endpunkt sind beide vorhersehbare und korrekte Lesarten des gegenwärtigen regulatorischen Moments.
Zwischen jetzt und Dezember 2026 läuft die Sequenz so: Mitgliedstaaten benennen Zertifizierungsstellen nach Artikel 7 Absatz 1, diese Zertifizierungsstellen veröffentlichen ihre Mandate und setzen Ausgabeprozesse auf, die Vertrauensliste wird befüllt, und Relying Parties beantragen und erhalten WRPACs. Teile dieser Sequenz können in den schnellsten Staaten bereits in Q3 2026 beginnen; andere Teile werden in Staaten mit komplexeren CA-Beschaffungsprozessen möglicherweise erst im Dezember 2026 selbst abgeschlossen.
Die angemessene Reaktion einer Relying Party besteht nicht darin, bis Dezember zu warten, und auch nicht darin, vorschnell Angebote zu kaufen, die noch nicht öffentlich verifizierbar sind. Sie besteht darin, die technische Integration jetzt gegen Open-Wallet-Flows und Sandbox-Zertifikate aufzubauen, den Endpunkt der Vertrauensliste und das Dashboard auf die ersten veröffentlichten Mandate zu überwachen und bereit zu sein, den Antragsprozess schnell zu durchlaufen, sobald in Ihrer Jurisdiktion ein verifizierbarer Pfad öffnet. Der Händler, der in Q4 2026 mit einem funktionierenden OpenID4VP-Verifier, einem klaren Verständnis des WRPAC-Antragsprozesses in seiner Hauptjurisdiktion und Monitoring-Infrastruktur für die Vertrauensliste ankommt, steht deutlich besser da als der Händler, der die Wallet-Verfügbarkeitsfrist mit einer WRPAC-Verfügbarkeitsfrist verwechselt hat und die Warteschlangendynamik erst im November entdeckt.
Die Liste ist noch nicht veröffentlicht. Genau das ist im Moment die richtige Antwort.
Verwandte Artikel
Woran Sie ein echtes Produktiv-WRPAC von einem Sandbox-Zertifikat unterscheiden
Weil die offizielle WRPAC-Anbieterliste noch nicht veröffentlicht ist, kann heute nichts, was als Produktiv-WRPAC verkauft wird, öffentlich als Kette zu einem mandatierten Anbieter verifiziert werden. Das ist die Verifikationskette, die ein echtes WRPAC definiert - samt Warnsignalen und dem legitimen Zweck von Sandbox-Zertifikaten.
7 Min. Lesezeit
Was ist WRPAC und warum jedes Online-Unternehmen bis Dezember 2026 eines braucht
Die Frist im Dezember 2026 rückt näher. Erfahren Sie, was WRPAC-Zertifikate sind und warum Ihr Unternehmen jetzt Compliance aufbauen sollte.
8 Min. Lesezeit
Diesen Artikel teilen
Helfen Sie anderen, mehr über eIDAS-Verifizierung zu erfahren