BSI-IT-Sicherheitskennzeichenverordnung

Verordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik

<p>(1) Das Bundesamt führt anhand der eingereichten Unterlagen eine Plausibilitätsprüfung durch. Die Prüfung erfolgt innerhalb der nach <a href="/bund/bsi_itsikv/11" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Produktkategorien" data-lli="3" target="_blank">§ 11 Absatz 1</a> festgelegten Prüfungsfrist und anhand einer Verfahrensbeschreibung zum Ablauf des Prüfverfahrens, die vom Bundesamt veröffentlicht wird.</p><p>(2) Das Bundesamt kann die Überprüfung von Herstellerdokumenten auf qualifizierte Dritte im Sinne des <a href="/bund/bsi_itsikv/2" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Begriffsbestimmungen" data-lli="2" target="_blank">§ 2 Nummer 5</a> übertragen.</p><p>(3) Ist für ein Produkt eine geeignete branchenabgestimmte IT-Sicherheitsvorgabe nach <a href="/bund/bsi_itsikv/10" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Anerkennung von Normen, Standards oder branchenabgestimmten IT-Sicherheitsvorgaben" data-lli="1" target="_blank">§ 10</a> einschlägig, sind für die Plausibilitätsprüfung die Vorgaben dieses Standards ausschlaggebend.</p><p>(4) Liegen die gesetzlichen Voraussetzungen gemäß § 9c Absatz 5 BSIG vor, erteilt das Bundesamt die Freigabe zur Nutzung des IT-Sicherheitskennzeichens.</p><p>(5) Das Bundesamt kann den Antrag ablehnen, wenn Hinweise dafür vorliegen, dass <dl><dt style="float: left;">1.</dt><dd><div>das Produkt oder die mit dem Produkt ausgelieferte Software bekannte Sicherheitslücken enthält oder</div></dd><dt style="float: left;">2.</dt><dd><div>Produkte des Herstellers bereits Gegenstand einer Warnung oder Information nach den §§ <a href="/bund/bsi_itsikv/7" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Gegenstand der Herstellererklärung" data-lli="0" target="_blank">7</a> oder 7a des BSI-Gesetzes oder von Maßnahmen nach § 9c Absatz 8 des BSI-Gesetzes betroffen waren.</div></dd></dl>Das Bundesamt kann die Freigabe der Nutzung auch dann verweigern, wenn der Freigabe unabhängig von den eingereichten Unterlagen ernstliche Zweifel an der Herstellererklärung entgegenstehen.</p><p>(6) Entscheidungen, mit denen abschließend über einen nach dieser Verordnung gestellten Antrag entschieden wird, sind schriftlich oder elektronisch zu erlassen.</p>

Antragsprüfung

<p>(1) Die Herstellererklärung enthält die Zusicherung, dass das Produkt für die nach <a href="/bund/bsi_itsikv/8" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Laufzeit des IT-Sicherheitskennzeichens und Erlöschen" data-lli="2" target="_blank">§ 8</a> festgelegte Dauer die für die einschlägige Produktkategorie geltenden IT-Sicherheitsanforderungen erfüllt. Der Hersteller verpflichtet sich innerhalb des Zeitraumes nach <a href="/bund/bsi_itsikv/8" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Laufzeit des IT-Sicherheitskennzeichens und Erlöschen" data-lli="1" target="_blank">§ 8 Absatz 1 Satz 1</a>, das Bundesamt unaufgefordert zu informieren, wenn sich die vom Hersteller erklärten Eigenschaften des Produktes ändern, sobald sie ihm bekannt werden, einschließlich Störungen der Informationssicherheit des Produktes und Sicherheitslücken. Der Hersteller verpflichtet sich des Weiteren, ihm bekannt werdende Sicherheitslücken unverzüglich zu beheben und den Stand der dafür erfolgten Maßnahmen dem Bundesamt mit den in <a href="/bund/bsi_itsikv/3" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Gestaltung des Etiketts und der Internetseite zum IT-Sicherheitskennzeichen" data-lli="0" target="_blank">§ 3 Absatz 4 Satz 2</a> genannten Informationen anzuzeigen.</p><p>(2) Das Bundesamt informiert auf seiner Internetseite über die Änderung oder Aufhebung der für die einschlägige Produktkategorie geltenden IT-Sicherheitsanforderungen, Technischen Richtlinien oder die Ungeeignetheit von branchenabgestimmten IT-Sicherheitsvorgaben.</p><p>(3) Bedient sich der Antragsteller zur Antragstellung oder zur Erfüllung seiner Pflichten aus § 9c des BSI-Gesetzes oder dieser Rechtsverordnung eines Dritten, werden ihm die Handlungen des Dritten wie eigene zugerechnet.</p>

Gegenstand der Herstellererklärung

<p>(1) Das Bundesamt kann von Amts wegen feststellen, dass eine bestehende Norm oder ein Standard geeignet ist, die Anforderungen nach <a href="/bund/bsi_itsikv/5" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Antragsprüfung" data-lli="2" target="_blank">§ 5 Absatz 3</a> zu gewährleisten. Ein Anspruch auf diese Feststellung besteht nicht.</p><p>(2) Branchenverbände oder Hersteller können branchenabgestimmte IT-Sicherheitsvorgaben zur Gewährleistung der Anforderungen nach <a href="/bund/bsi_itsikv/5" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Antragsprüfung" data-lli="1" target="_blank">§ 5 Absatz 3</a> vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach <a href="/bund/bsi_itsikv/5" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Antragsprüfung" data-lli="0" target="_blank">§ 5 Absatz 3</a> zu gewährleisten. Die Feststellung befristet das Bundesamt entsprechend der zu erwartenden Entwicklungen in der Produktkategorie. Ein Anspruch auf diese Feststellung besteht nicht.</p><p>(3) Für eine Norm, einen Standard oder eine branchenabgestimmte IT-Sicherheitsvorgabe, der oder die nicht mehr diesen Anforderungen oder dem Stand der Technik entspricht oder in eine Technische Richtlinie überführt wurde, kann die Feststellung nach Absatz 1 vom Bundesamt vor Ablauf der Frist widerrufen werden.</p><p>(4) Wird für eine Produktkategorie mehr als ein Antrag nach Absatz 2 gestellt, so gibt das Bundesamt den Standard mit einer angemessenen Frist zur Einigung an die Vorschlagenden zurück; es kann nach Ablauf dieser Frist ohne Einigung einen der Standards zur Prüfung auswählen.</p><p>(5) Ein oder mehrere branchenspezifische Sicherheitsstandards oder eine oder mehrere branchenabgestimmte IT-Sicherheitsvorgaben können vom Bundesamt im Benehmen mit der Branche in eine Technische Richtlinie überführt werden.</p>

Anerkennung von Normen, Standards oder branchenabgestimmten IT-Sicherheitsvorgaben

<p>Im Sinne dieser Verordnung ist oder sind: <dl><dt style="float: left;">1.</dt><dd><div>Hersteller</div><div>jede juristische oder natürliche Person, die einen Dienst anbietet oder ein Produkt herstellt beziehungsweise entwickeln oder herstellen lässt und dieses Produkt oder diesen Dienst unter ihrem eigenen Namen oder ihrer eigenen Marke vermarktet; nicht erfasst sind die Hersteller einzelner Teile oder Komponenten davon;</div></dd><dt style="float: left;">2.</dt><dd><div>Verkäufer</div><div>jede juristische oder natürliche Person, die gewerblich ein Produkt unmittelbar Verbrauchern und Verbraucherinnen auf dem Markt bereitstellt;</div></dd><dt style="float: left;">3.</dt><dd><div>Branche</div><div>die Unternehmen und Organisationen und ihre Verbände, die für den jeweiligen Wirtschaftsbereich Produkte oder Dienstleistungen im Geltungsbereich dieses Gesetzes herstellen oder vertreiben;</div></dd><dt style="float: left;">4.</dt><dd><div>branchenabgestimmte IT-Sicherheitsvorgabe</div><div>ein Anforderungskatalog, der von einer Branche erstellt und gepflegt wird und dessen Geeignetheit das Bundesamt nach § 9c Absatz 3 Satz 1 des BSI-Gesetzes festgestellt hat;</div></dd><dt style="float: left;">5.</dt><dd><div>geeignete und qualifizierte Dritte</div><div>juristische oder natürliche Personen, die aufgrund ihrer fachlichen Qualifikation eine Aussage darüber treffen können, ob Sicherheitsversprechen eines Produktes eingehalten werden oder bestimmte Eigenschaften nachgewiesen werden können;</div></dd><dt style="float: left;">6.</dt><dd><div>Plausibilitätsprüfung</div><div>die Sichtung der Herstellererklärung, der Angaben des Herstellers im Antrag und eventueller Unterlagen zur Ermittlung, ob die Konformität mit den vom Bundesamt festgelegten Sicherheitsanforderungen plausibel und nachvollziehbar zugesichert wird;</div></dd><dt style="float: left;">7.</dt><dd><div>Produktkategorie</div><div>ein durch das Bundesamt festgelegter Oberbegriff für die Erfassung einer Gruppe von vergleichbaren informationstechnischen Produkten in einem eingrenzbaren Bereich;</div></dd><dt style="float: left;">8.</dt><dd><div>zugehörige Internetseite</div><div>der für das einzelne Produkt angepasste Zielbereich auf der Internetseite des Bundesamtes, auf der Informationen zu diesem Produkt vorgehalten werden;</div></dd><dt style="float: left;">9.</dt><dd><div>Etikett</div><div>die physische oder elektronische Kennzeichnung am Produkt oder seiner Umverpackung, welche produktspezifisch mit dem Verweis auf die zugehörige Internetseite angepasst wird.</div></dd></dl></p>

Begriffsbestimmungen

<p>(1) Das Bundesamt legt die Produktkategorien fest, für deren Produkte es die Freigabe des IT-Sicherheitskennzeichens erteilt. Es gibt die Produktkategorie und die regelmäßige Prüfungsfrist für die Antragsbearbeitung durch im Bundesanzeiger veröffentlichte Allgemeinverfügung bekannt, bevor es die für die jeweilige Produktkategorie einschlägigen IT-Sicherheitsanforderungen veröffentlicht. Legt das Bundesamt keine Prüfungsfrist für die Produktkategorie fest, gilt eine Prüfungsfrist ab vollständigem Antragseingang von sechs Wochen.</p><p>(2) Das Bundesamt kann für die konkreten Sicherheitsanforderungen auf bestehende Vorgaben, Standards, Technische Richtlinien, Prüfgrundlagen oder branchenabgestimmte IT-Sicherheitsvorgaben verweisen und bemüht sich um den Gleichlauf mit international etablierten Standards.</p><p>(3) Die Produktkategorien veröffentlicht das Bundesamt nach Bekanntgabe mit den aktuellen Anforderungen und der Prüfungsfrist auf seiner Internetseite. Es weist ebenso auf eventuelle Änderungen, Aufhebungen oder eine Feststellung der Ungeeignetheit der Anforderungen hin.</p><p>(4) Änderungen der Produktkategorie, welche die Kategorie wesentlich verändern oder ganz entfernen, bedürfen ebenfalls der Bekanntgabe mit einer im Bundesanzeiger veröffentlichten Allgemeinverfügung.</p>

§ 5 BSI-ITSiKV

Antragsprüfung