Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Abschnitt 2 - BSI-Zertifizierungs- und -Anerkennungsverordnung (BSIZertV)

V. v. 17.12.2014 BGBl. I S. 2231 (Nr. 61); zuletzt geändert durch Artikel 74 V. v. 19.06.2020 BGBl. I S. 1328
Geltung ab 24.12.2014; FNA: 206-2-1 Öffentliche Informationstechnik
|

Abschnitt 2 Zertifizierung von informationstechnischen Produkten oder Komponenten, informationstechnischen Systemen sowie Schutzprofilen

§ 8 Zertifizierung von informationstechnischen Produkten oder Komponenten



(1) 1Ein Antrag auf Zertifizierung von informationstechnischen Produkten oder Komponenten kann von einer natürlichen oder juristischen Person gestellt werden. 2Ist der Antragsteller nicht Hersteller des zu zertifizierenden Produkts oder der zu zertifizierenden Komponente oder von Teilen davon, so muss der Antragsteller dem Antrag eine Erklärung aller Hersteller des zu zertifizierenden Produkts oder der zu zertifizierenden Komponente beifügen, in der die Hersteller ihr Einverständnis mit dem Antrag erklären sowie ihre Bereitschaft zur Mitwirkung und ihr Einverständnis, den Antragsteller bei der Erfüllung von Auflagen oder sonstigen Nebenbestimmungen im Antragsverfahren und nach der Erteilung des Zertifikats zu unterstützen. 3§ 13 Absatz 2 des Verwaltungsverfahrensgesetzes bleibt unberührt.

(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:

1.
Angaben über die nach § 4 Absatz 1 anzuwendenden Prüfkriterien und die angestrebte Bewertungsstufe,

2.
die genaue Bezeichnung des zu zertifizierenden Produkts oder der zu zertifizierenden Komponente,

3.
Angaben über Hersteller und Rechteinhaber des zu zertifizierenden Produkts oder der zu zertifizierenden Komponente,

4.
eine Darstellung des Entwicklungs- und Fertigungsstandes,

5.
die Angabe der vom Bundesamt anerkannten sachverständigen Stelle, die für die Prüfung und Bewertung vorgesehen ist,

6.
soweit vorhanden, Angaben über bereits erfolgte Prüfungen und Bewertungen durch andere sachverständige Stellen sowie

7.
die Zustimmung zur Veröffentlichung einer erteilten Zertifizierung nach § 7 Absatz 1 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.


§ 9 Zertifizierung von informationstechnischen Systemen



(1) Ein Antrag auf Zertifizierung von informationstechnischen Systemen kann nur von dem Betreiber des zu zertifizierenden Systems gestellt werden.

(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:

1.
Angaben zu den nach § 4 Absatz 1 anzuwendenden Prüfkriterien und die angestrebte Bewertungsstufe,

2.
die genaue Bezeichnung des zu zertifizierenden Systems,

3.
eine Darstellung des Entwicklungs- und Fertigungsstandes sowie Angaben über Hersteller und Rechteinhaber der verwendeten informationstechnischen Produkte,

4.
die Angabe der vom Bundesamt anerkannten sachverständigen Stelle, die für die Prüfung und Bewertung vorgesehen ist,

5.
soweit vorhanden, Angaben über Prüfungen und Bewertungen durch andere Personen oder sachverständige Stellen sowie

6.
die Zustimmung zur Veröffentlichung einer erteilten Zertifizierung nach § 7 Absatz 1 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.


§ 10 Zertifizierung von Schutzprofilen



(1) Ein Antrag auf Zertifizierung von Schutzprofilen kann nur von einer Vereinigung von Herstellern oder Anwendern von informationstechnischen Produkten, von einer Standardisierungsorganisation oder von einer Behörde gestellt werden.

(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:

1.
Angaben zu den nach § 4 Absatz 1 anzuwendenden Prüfkriterien und die angestrebte Bewertungsstufe,

2.
die genaue Bezeichnung des zu zertifizierenden Schutzprofils,

3.
soweit vorhanden, Angaben über den Autor des Schutzprofils, falls Autor und Antragsteller nicht identisch sind,

4.
die Einwilligung des Antragstellers und Rechteinhabers, das Schutzprofil kostenfrei bereitzustellen,

5.
die Angabe der vom Bundesamt anerkannten sachverständigen Stelle, die für die Prüfung und Bewertung vorgesehen ist, sowie

6.
die Zustimmung zur Veröffentlichung einer erteilten Zertifizierung nach § 7 Absatz 1 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.


§ 11 Mitwirkungsobliegenheiten



(1) 1Zur Zertifizierung von informationstechnischen Produkten oder Komponenten obliegt es dem Antragsteller, kostenfrei dem Bundesamt und der sachverständigen Stelle das zu zertifizierende Produkt oder die zu zertifizierende Komponente, die für dessen oder deren Betrieb notwendigen Einrichtungen und Rechte sowie die nach § 4 Absatz 1 erforderlichen Unterlagen und Beweismittel zur Verfügung zu stellen. 2Unterlagen und sonstige Beweismittel können beim Antragsteller in Augenschein genommen werden, wenn der Antragsteller glaubhaft macht, dass einer Weitergabe der Unterlagen oder Beweismittel wesentliche Interessen des Antragstellers entgegenstehen.

(2) Zur Zertifizierung von informationstechnischen Systemen obliegt es dem Antragsteller, dem Bundesamt und der sachverständigen Stelle kostenfrei Zugang zum installierten informationstechnischen System und zu den relevanten Standorten zu gewähren und die für die Prüfung notwendigen Rechte sowie die nach § 4 Absatz 1 erforderlichen Unterlagen und Nachweise zur Verfügung zu stellen.

(3) Zur Zertifizierung von Schutzprofilen obliegt es dem Antragsteller, dem Bundesamt und der beauftragten sachverständigen Stelle kostenfrei das zu zertifizierende Schutzprofil zur Verfügung zu stellen.

(4) 1Zur Durchführung des Zertifizierungsverfahrens obliegt es dem Antragsteller, das Bundesamt und die beauftragte sachverständige Stelle kostenfrei durch fachkompetente Vertreter zu unterstützen. 2Soweit notwendig, obliegt es dem Antragsteller, kostenfrei das mit der Prüfung, Bewertung und Zertifizierung befasste Personal produkt-, komponenten- oder systembezogen einzuweisen oder Schulungen durchzuführen.


§ 12 Zertifikat



(1) Ein Zertifikat nach § 9 Absatz 4 des BSI-Gesetzes wird erteilt, wenn

1.
die Prüfung und die Bewertung ergeben, dass das geprüfte informationstechnische Produkt, die informationstechnische Komponente, das informationstechnische System oder das Schutzprofil die Prüfkriterien nach § 4 Absatz 1 erfüllt, und

2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

(2) 1Das Zertifikat ist vom Bundesamt zu befristen. 2Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.

(3) 1Das Zertifikat für informationstechnische Produkte, Systeme, Komponenten sowie für Schutzprofile enthält:

1.
die Zertifizierungsnummer,

2.
die Angabe der Prüfkriterien, soweit sie bekannt gemacht sind,

3.
den Namen der vom Bundesamt anerkannten sachverständigen Stelle, deren Prüfung und Bewertung der Zertifizierung zugrunde gelegt wurde,

4.
etwaige Nebenbestimmungen nach § 22,

5.
Ausstellungsort und -datum des Sicherheitszertifikats sowie

6.
die Geltungsdauer des Sicherheitszertifikats.

2Dem Sicherheitszertifikat wird ein Zertifizierungsbericht beigefügt.

(4) Das Zertifikat für informationstechnische Produkte oder Komponenten enthält zusätzlich zu Absatz 3 folgende Angaben:

1.
die Bezeichnung, die Beschreibung und die Angabe des Herstellers des geprüften Produkts oder der Komponente,

2.
die Angabe der zum geprüften Produkt oder zur Komponente gehörenden Dokumentationen,

3.
die Beschreibung der Sicherheitsfunktionen und

4.
die erreichte Bewertungsstufe oder den Prüfumfang.

(5) Das Zertifikat für informationstechnische Systeme enthält zusätzlich zu Absatz 3 folgende Angaben:

1.
die Bezeichnung und die Beschreibung des geprüften Systems und der relevanten Standorte und

2.
soweit erforderlich, die Angabe der zum geprüften System und Standort gehörenden sicherheitsrelevanten Dokumentationen.

(6) Das Zertifikat für Schutzprofile enthält zusätzlich zu Absatz 3 folgende Angaben:

1.
die Bezeichnung und die Beschreibung des geprüften Schutzprofils und

2.
die erreichte Bewertungsstufe oder den Prüfumfang.

(7) 1Das Bundesamt kann jederzeit anlassbezogen überprüfen, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. 2Das Bundesamt entwickelt für die Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.




§ 13 Rückgabe von informationstechnischen Produkten oder Komponenten



1Vom Antragsteller an das Bundesamt übergebene informationstechnische Produkte oder Komponenten werden dem Antragsteller am Ort der Prüfung zurückgegeben. 2Das Bundesamt kann mit dem Antragsteller vereinbaren, dass das Produkt oder die Komponente beim Bundesamt aufbewahrt wird.