Mit dem Zahlungsdienstegesetz 2018 („ZaDiG 2018“), das größtenteils am 1. Juni 2018 in Kraft getreten ist, wurde die EU-Richtlinie 2015/2366 („PSD 2“) in nationales Recht umgesetzt. Die PSD 2 statuiert unter anderem die Pflicht zur starken Kundenauthentifizierung in Artikel 97. Diese Pflicht spiegelt sich im nationalen Recht in § 87 ZaDiG 2018 wider, der jedoch erst mit 14. September 2019 in Kraft tritt. In der PSD 2 wurde die Europäische Bankenaufsicht zudem ermächtigt und beauftragt, einige technische Regulierungsstandards und Leitlinien zu entwickeln, mit denen die Anforderungen der Richtlinie in bestimmten Bereichen präzisiert werden sollen. Im Bereich der starken Kundenauthentifizierung und sicheren Kommunikation wurden die technischen Regulierungsstandards im Rahmen der Delegierten Verordnung 2018/389 („RTS“) von der Kommission erlassen, die in den Mitgliedstaaten keiner gesonderten Umsetzung bedarf. Die in der Verordnung enthaltenen Regeln zur starken Kundenauthentifizierung sind ebenfalls erst ab dem 14. September 2019 anzuwenden.

Konformitätserklärung ist eine schriftliche Bestätigung am Ende einer Konformitätsbewertung, mit der der Verantwortliche ZT für ein Software-Produkt (die Erbringung einer Dienstleistung oder eine Organisation, z. B. Prüflabor) verbindlich erklärt und bestätigt, dass das Objekt (Software-/Produkt, Dienstleistung) die auf der Erklärung spezifizierten Eigenschaften aufweist.