Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Anlagentechnik

Auf Grund des § 10 Absatz 3 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), der durch Artikel 1 Nummer 21 des Gesetzes vom 18. Mai 2021 (BGBl. I S. 1122) eingefügt worden ist, verordnet das Bundesministerium des Innern, für Bau und Heimat im Einvernehmen mit dem Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesministerium für Wirtschaft und Energie:

§ 1 Anwendungsbereich

Diese Verordnung regelt die Gestaltung und Verwendung des IT-Sicherheitskennzeichens im Sinne des § 9c Absatz 1 Satz 1 des BSI-Gesetzes und legt das Verwaltungsverfahren zur Sicherstellung der Anforderungen im Zusammenhang mit der Verwendung des Kennzeichens fest.

§ 2 Begriffsbestimmungen

Im Sinne dieser Verordnung ist oder sind:

1. Hersteller
   jede juristische oder natürliche Person, die einen Dienst anbietet oder ein Produkt herstellt beziehungsweise entwickeln oder herstellen lässt und dieses Produkt oder diesen Dienst unter ihrem eigenen Namen oder ihrer eigenen Marke vermarktet; nicht erfasst sind die Hersteller einzelner Teile oder Komponenten davon;
2. Verkäufer
   jede juristische oder natürliche Person, die gewerblich ein Produkt unmittelbar Verbrauchern und Verbraucherinnen auf dem Markt bereitstellt;
3. Branche
   die Unternehmen und Organisationen und ihre Verbände, die für den jeweiligen Wirtschaftsbereich Produkte oder Dienstleistungen im Geltungsbereich dieses Gesetzes herstellen oder vertreiben;
4. branchenabgestimmte IT-Sicherheitsvorgabe
   ein Anforderungskatalog, der von einer Branche erstellt und gepflegt wird und dessen Geeignetheit das Bundesamt nach § 9c Absatz 3 Satz 1 des BSI-Gesetzes festgestellt hat;
5. geeignete und qualifizierte Dritte
   juristische oder natürliche Personen, die aufgrund ihrer fachlichen Qualifikation eine Aussage darüber treffen können, ob Sicherheitsversprechen eines Produktes eingehalten werden oder bestimmte Eigenschaften nachgewiesen werden können;
6. Plausibilitätsprüfung
   die Sichtung der Herstellererklärung, der Angaben des Herstellers im Antrag und eventueller Unterlagen zur Ermittlung, ob die Konformität mit den vom Bundesamt festgelegten Sicherheitsanforderungen plausibel und nachvollziehbar zugesichert wird;
7. Produktkategorie
   ein durch das Bundesamt festgelegter Oberbegriff für die Erfassung einer Gruppe von vergleichbaren informationstechnischen Produkten in einem eingrenzbaren Bereich;
8. zugehörige Internetseite
   der für das einzelne Produkt angepasste Zielbereich auf der Internetseite des Bundesamtes, auf der Informationen zu diesem Produkt vorgehalten werden;
9. Etikett
   die physische oder elektronische Kennzeichnung am Produkt oder seiner Umverpackung, welche produktspezifisch mit dem Verweis auf die zugehörige Internetseite angepasst wird.

§ 3 Gestaltung des Etiketts und der Internetseite zum IT-Sicherheitskennzeichen

(1) Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und der Sicherheitsinformation nach § 9c Absatz 2 des BSI-Gesetzes, auf die beide auf dem Etikett verwiesen wird. Das Etikett versetzt den Verbraucher in die Lage, sich ohne erhebliche Hürden mittels gängiger technischer Hilfsmittel über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehenden aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren.

(2) Das Etikett hat dafür jedenfalls zwingend zu umfassen:

1. einen Verweis auf die zugehörige Internetseite des Bundesamtes nach Absatz 4;
2. die Nennung des Bundesamtes.

(3) Das Etikett kann durch das Bundesamt mit einer grafischen Darstellung ausgestaltet werden, um mittels dieser bildlich für den Verbraucher einen sofortigen Wiedererkennungswert zu erzeugen.

(4) Auf der Internetseite des Bundesamtes sind die Herstellererklärung und die Sicherheitsinformation in aktueller Fassung mit der Laufzeit des Kennzeichens abrufbar. Der Hersteller stellt dem Bundesamt hierfür in eigener Verantwortung aktuelle Sicherheitsinformationen zur Konformität des Produktes zur Verfügung, die das Bundesamt auf der zugehörigen Internetseite einstellt. Das Bundesamt kann zudem weitere Informationen über sicherheitsrelevante IT-Eigenschaften und darüber, ob und inwieweit die Herstellererklärung nach derzeitiger Kenntnis eingehalten wird, einstellen.

(5) Das Bundesamt kann eine Applikation zur Verfügung stellen, in der die Informationen zum Herstellerversprechen von Produkten bereitgestellt und abgerufen werden können.

§ 4 Antrag

(1) Ein Antrag auf Freigabe des IT-Sicherheitskennzeichens für ein Produkt kann nur innerhalb der vom Bundesamt nach § 11 bekannt gegebenen Produktkategorien gestellt werden. Der Antrag kann vom Hersteller des Produktes gestellt werden.

(2) Der Antrag ist unter Verwendung der dafür geltenden Vorlage einzureichen, wenn das Bundesamt eine solche veröffentlicht hat. Der Hersteller hat dafür Sorge zu tragen, dass die Erklärung und beigefügten Unterlagen ausschließlich zutreffende Angaben enthalten.

(3) Der Eingang des Antrags wird vom Bundesamt bestätigt. Das Bundesamt teilt dabei die geltende Prüfungsfrist für die Freigabeerklärung nach dieser Verordnung mit.

§ 5 Antragsprüfung

(1) Das Bundesamt führt anhand der eingereichten Unterlagen eine Plausibilitätsprüfung durch. Die Prüfung erfolgt innerhalb der nach § 11