{"id":"bgbl1-2014-61-2","kind":"bgbl1","year":2014,"number":61,"date":"2014-12-23T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2014/61#page=11","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2014-61-2/","document_url":"https://media.offenegesetze.de/bgbl1/2014/bgbl1_2014_61.pdf#page=11","order":2,"title":"Verordnung über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI-Zertifizierungs- und -Anerkennungsverordnung – BSIZertV)","law_date":"2014-12-17T00:00:00Z","page":2231,"pdf_page":11,"num_pages":6,"content":["Bundesgesetzblatt Jahrgang 2014 Teil I Nr. 61, ausgegeben zu Bonn am 23. Dezember 2014 2231\nVerordnung\nüber das Verfahren der Erteilung\nvon Sicherheitszertifikaten und Anerkennungen\ndurch das Bundesamt für Sicherheit in der Informationstechnik\n(BSI-Zertifizierungs- und -Anerkennungsverordnung – BSIZertV)1\nVom 17. Dezember 2014\nAuf Grund des § 10 Absatz 1 des BSI-Gesetzes vom §4\n14. August 2009 (BGBl. I S. 2821) verordnet das Bun-\nPrüfkriterien, Anforderungen,\ndesministerium des Innern nach Anhörung der betroffe-\nsachliche Geltungsbereiche\nnen Wirtschaftsverbände im Einvernehmen mit dem\nBundesministerium für Wirtschaft und Energie: (1) Das Bundesamt bestimmt, soweit erforderlich,\nfür Zertifizierungs- und Anerkennungsverfahren nach\nAbschnitt 1 dieser Verordnung\nAllgemeine Bestimmungen 1. technische Geltungsbereiche,\n2. bedarfsgerechte Prüfkriterien (Sicherheitskriterien,\n§1 Schutzprofile, Technische Richtlinien und BSI-Stan-\ndards),\nAnwendungsbereich\n3. Anforderungen an die Fachkunde, Ausstattung und\nDas Bundesamt für Sicherheit in der Informations-\nZuverlässigkeit und\ntechnik (Bundesamt) erteilt Zertifikate und Anerkennun-\ngen gemäß § 9 des BSI-Gesetzes nach dieser Verord- 4. notwendige Nachweise\nnung. und veröffentlicht diese auf seiner Internetseite.\n§2 (2) Das Bundesamt bestimmt das Verfahren zur\nErteilung von Zertifikaten und Anerkennungen nach\nAntragsverfahren dieser Verordnung und veröffentlicht hierzu Verfahrens-\nAnträge müssen schriftlich eingereicht werden und beschreibungen auf seiner Internetseite.\nden Namen und die Anschrift des Antragstellers sowie (3) Das Bundesamt sieht von der Veröffentlichung\ndas Datum des Antrags enthalten. nach den Absätzen 1 und 2 ab, wenn durch die Ver-\nöffentlichung die öffentliche Sicherheit gefährdet wür-\n§3 de. Das Bundesamt kann von der Veröffentlichung\nabsehen, wenn durch die Veröffentlichung öffentliche\nVorlage und Aufbewahrung\nInteressen oder die Sicherheit bestimmter Produkte,\nvon Unterlagen und sonstigen Beweismitteln\nKomponenten, Produktkategorien oder Systeme beein-\n(1) Der Antrag, die mit dem Antrag eingereichten Un- trächtigt würden oder die Prüfkriterien oder Verfahrens-\nterlagen und die im Zertifizierungs- oder Anerken- beschreibungen als Verschlusssache eingestuft sind.\nnungsverfahren anfallenden Unterlagen werden beim Das Bundesamt gibt nicht veröffentlichte Prüfkriterien,\nBundesamt elektronisch oder in Papierform gemäß Geltungsbereiche und Verfahrensbeschreibungen den-\nden geltenden Bestimmungen aufbewahrt. jenigen, die als Antragsteller in Betracht kommen, be-\n(2) Soweit der Antragsteller nach dieser Verordnung kannt, wenn diese gegenüber dem Bundesamt ein\ndazu berechtigt ist, dem Bundesamt Unterlagen oder berechtigtes Interesse nachweisen und sich verpflichten,\nsonstige Beweismittel nur zeitweise zur Verfügung zu die notwendigen Sicherheitsvorkehrungen einzuhalten.\nstellen, hat er diese Unterlagen oder sonstigen Beweis-\nmittel nach der Inaugenscheinnahme durch das Bun- §5\ndesamt beim Antragsteller während des Antragsverfah- Form der Entscheidungen; Anhörungspflicht\nrens und des Gültigkeitszeitraums der Zertifizierung\noder der Anerkennung aufzubewahren. Nach Ablauf (1) Entscheidungen, mit denen abschließend über\nder Geltungsdauer der Zertifizierung oder der Anerken- einen nach dieser Verordnung gestellten Antrag ent-\nnung sind diese Unterlagen oder sonstigen Beweismit- schieden wird, sind schriftlich zu erlassen.\ntel für mindestens drei weitere Jahre aufzubewahren (2) Vor der Ablehnung eines Antrags sind dem An-\nund dem Bundesamt jederzeit auf Anfrage kostenfrei tragsteller die Gründe der voraussichtlichen Ablehnung\nzur Verfügung zu stellen. mitzuteilen. Innerhalb einer vom Bundesamt festge-\nsetzten angemessenen Frist ist dem Antragsteller Ge-\n1\nNotifiziert gemäß der Richtlinie 98/34/EG des Europäischen Parla- legenheit zur Äußerung und zur Nachbesserung zu\nments und des Rates vom 22. Juni 1998 über ein Informationsverfah-\nren auf dem Gebiet der Normen und technischen Vorschriften und der\ngeben. § 28 Absatz 3 des Verwaltungsverfahrensgeset-\nVorschriften für die Dienste der Informationsgesellschaft (ABl. L 204 zes ist anzuwenden.\nvom 21.07.1998, S. 37), zuletzt geändert durch Artikel 26 Absatz 2 der\nVerordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und (3) Vor Erteilung eines Zertifikats oder einer Aner-\ndes Rates vom 25. Oktober 2012 (ABl. L 316 vom 14.11.2012, S. 12). kennung mit Nebenbestimmungen nach § 22 ist der","2232 Bundesgesetzblatt Jahrgang 2014 Teil I Nr. 61, ausgegeben zu Bonn am 23. Dezember 2014\nAntragsteller nach § 28 des Verwaltungsverfahrens- Abschnitt 2\ngesetzes anzuhören. Zertifizierung\nvon informations-\n§6 technischen Produkten oder\nKomponenten, informationstech-\nMitwirkungsobliegenheit des Antragstellers nischen Systemen sowie Schutzprofilen\n(1) Das Bundesamt stellt die Tatsachen fest, die not-\n§8\nwendig sind, um den für die Zertifizierung oder Aner-\nkennung relevanten Sachverhalt zu ermitteln. Es obliegt Zertifizierung von informations-\ndem Antragsteller, die notwendigen Beweismittel zur technischen Produkten oder Komponenten\nErmittlung des Sachverhaltes beizubringen. Das Bun- (1) Ein Antrag auf Zertifizierung von informations-\ndesamt ist nicht verpflichtet, eigene Ermittlungen im technischen Produkten oder Komponenten kann von\nSinne des § 26 Absatz 1 des Verwaltungsverfahrensge- einer natürlichen oder juristischen Person gestellt wer-\nsetzes anzustellen, kann aber auf ihm bereits vorlie- den. Ist der Antragsteller nicht Hersteller des zu zertifi-\ngende Erkenntnisse zurückgreifen. zierenden Produkts oder der zu zertifizierenden Kom-\nponente oder von Teilen davon, so muss der Antrag-\n(2) Dem Antragsteller obliegt es, im Rahmen seiner\nsteller dem Antrag eine Erklärung aller Hersteller des\nMitwirkungsobliegenheiten die notwendige Mitwirkung\nzu zertifizierenden Produkts oder der zu zertifizierenden\netwaiger Dritter sicherzustellen.\nKomponente beifügen, in der die Hersteller ihr Einver-\nständnis mit dem Antrag erklären sowie ihre Bereit-\n§7 schaft zur Mitwirkung und ihr Einverständnis, den An-\ntragsteller bei der Erfüllung von Auflagen oder sonsti-\nVeröffentlichung von gen Nebenbestimmungen im Antragsverfahren und\nZertifikaten und Anerkennungen nach der Erteilung des Zertifikats zu unterstützen.\n(1) Das Bundesamt veröffentlicht mindestens viertel- § 13 Absatz 2 des Verwaltungsverfahrensgesetzes\njährlich im Internet oder in anderen Medien Gesamt- bleibt unberührt.\nlisten oder seit der letzten Veröffentlichung geänderte (2) Der Antrag muss neben den nach § 2 erforderli-\noder hinzugefügte Listeneinträge der zertifizierten infor- chen Angaben Folgendes enthalten:\nmationstechnischen Systeme, Standorte, Produkte, 1. Angaben über die nach § 4 Absatz 1 anzuwenden-\nKomponenten und Schutzprofile sowie die zugehörigen den Prüfkriterien und die angestrebte Bewertungs-\nSicherheitszertifikate und Zertifizierungsreporte. stufe,\n(2) Das Bundesamt veröffentlicht mindestens viertel- 2. die genaue Bezeichnung des zu zertifizierenden Pro-\njährlich im Internet oder in anderen Medien Gesamt- dukts oder der zu zertifizierenden Komponente,\nlisten oder seit der letzten Veröffentlichung geänderte 3. Angaben über Hersteller und Rechteinhaber des zu\noder hinzugefügte Listeneinträge der zertifizierten Per- zertifizierenden Produkts oder der zu zertifizierenden\nsonen mit deren Adresse, mit den technischen Gel- Komponente,\ntungsbereichen der Zertifizierung und mit der Geltungs-\n4. eine Darstellung des Entwicklungs- und Fertigungs-\ndauer der Zertifizierung.\nstandes,\n(3) Das Bundesamt veröffentlicht mindestens viertel- 5. die Angabe der vom Bundesamt anerkannten sach-\njährlich im Internet oder in anderen Medien Gesamt- verständigen Stelle, die für die Prüfung und Bewer-\nlisten oder seit der letzten Veröffentlichung geänderte tung vorgesehen ist,\noder hinzugefügte Listeneinträge der zertifizierten IT-Si-\n6. soweit vorhanden, Angaben über bereits erfolgte\ncherheitsdienstleister mit deren Adresse, mit den tech-\nPrüfungen und Bewertungen durch andere sachver-\nnischen Geltungsbereichen der Zertifizierung und mit\nständige Stellen sowie\nder Geltungsdauer der Zertifizierung.\n7. die Zustimmung zur Veröffentlichung einer erteilten\n(4) Das Bundesamt veröffentlicht mindestens viertel- Zertifizierung nach § 7 Absatz 1 oder den Wider-\njährlich im Internet oder in anderen Medien Gesamt- spruch gegen die Veröffentlichung nach § 7 Absatz 5\nlisten oder seit der letzten Veröffentlichung geänderte Satz 1.\noder hinzugefügte Listeneinträge der anerkannten\nsachverständigen Stellen mit deren Adresse, mit den §9\ntechnischen Geltungsbereichen der Anerkennung und Zertifizierung von\nmit der Geltungsdauer der Anerkennung. informationstechnischen Systemen\n(5) Der Inhaber eines Zertifikats oder einer Anerken- (1) Ein Antrag auf Zertifizierung von informations-\nnung kann der Veröffentlichung nach den Absätzen 1 technischen Systemen kann nur von dem Betreiber\nbis 4 widersprechen. Das Bundesamt sieht von der Ver- des zu zertifizierenden Systems gestellt werden.\nöffentlichung nach den Absätzen 1 bis 4 ab, soweit (2) Der Antrag muss neben den nach § 2 erforder-\ndurch die Veröffentlichung die öffentliche Sicherheit be- lichen Angaben Folgendes enthalten:\neinträchtigt werden könnte. Das Bundesamt kann von\nder Veröffentlichung nach den Absätzen 1 bis 4 ganz 1. Angaben zu den nach § 4 Absatz 1 anzuwendenden\noder teilweise absehen, wenn durch die Veröffent- Prüfkriterien und die angestrebte Bewertungsstufe,\nlichung öffentliche oder private Interessen beeinträch- 2. die genaue Bezeichnung des zu zertifizierenden\ntigt würden. Systems,","Bundesgesetzblatt Jahrgang 2014 Teil I Nr. 61, ausgegeben zu Bonn am 23. Dezember 2014 2233\n3. eine Darstellung des Entwicklungs- und Fertigungs- Absatz 1 erforderlichen Unterlagen und Nachweise zur\nstandes sowie Angaben über Hersteller und Rechte- Verfügung zu stellen.\ninhaber der verwendeten informationstechnischen (3) Zur Zertifizierung von Schutzprofilen obliegt es\nProdukte, dem Antragsteller, dem Bundesamt und der beauftrag-\n4. die Angabe der vom Bundesamt anerkannten sach- ten sachverständigen Stelle kostenfrei das zu zertifizie-\nverständigen Stelle, die für die Prüfung und Bewer- rende Schutzprofil zur Verfügung zu stellen.\ntung vorgesehen ist, (4) Zur Durchführung des Zertifizierungsverfahrens\n5. soweit vorhanden, Angaben über Prüfungen und obliegt es dem Antragsteller, das Bundesamt und die\nBewertungen durch andere Personen oder sachver- beauftragte sachverständige Stelle kostenfrei durch\nständige Stellen sowie fachkompetente Vertreter zu unterstützen. Soweit not-\n6. die Zustimmung zur Veröffentlichung einer erteilten wendig, obliegt es dem Antragsteller, kostenfrei das mit\nZertifizierung nach § 7 Absatz 1 oder den Wider- der Prüfung, Bewertung und Zertifizierung befasste\nspruch gegen die Veröffentlichung nach § 7 Absatz 5 Personal produkt-, komponenten- oder systembezogen\nSatz 1. einzuweisen oder Schulungen durchzuführen.\n§ 10 § 12\nZertifizierung von Schutzprofilen Zertifikat\n(1) Ein Antrag auf Zertifizierung von Schutzprofilen (1) Ein Zertifikat nach § 9 Absatz 4 des BSI-Geset-\nkann nur von einer Vereinigung von Herstellern oder zes wird erteilt, wenn\nAnwendern von informationstechnischen Produkten, 1. die Prüfung und die Bewertung ergeben, dass das\nvon einer Standardisierungsorganisation oder von einer geprüfte informationstechnische Produkt, die infor-\nBehörde gestellt werden. mationstechnische Komponente, das informations-\n(2) Der Antrag muss neben den nach § 2 erforder- technische System oder das Schutzprofil die Prüf-\nlichen Angaben Folgendes enthalten: kriterien nach § 4 Absatz 1 erfüllt, und\n1. Angaben zu den nach § 4 Absatz 1 anzuwendenden 2. das Bundesministerium des Innern nach § 9 Absatz 4\nPrüfkriterien und die angestrebte Bewertungsstufe, Nummer 2 des BSI-Gesetzes festgestellt hat, dass\nüberwiegende öffentliche Interessen, insbesondere\n2. die genaue Bezeichnung des zu zertifizierenden sicherheitspolitische Belange der Bundesrepublik\nSchutzprofils, Deutschland, der Erteilung nicht entgegenstehen.\n3. soweit vorhanden, Angaben über den Autor des (2) Das Zertifikat ist vom Bundesamt zu befristen.\nSchutzprofils, falls Autor und Antragsteller nicht Das Bundesamt setzt die Geltungsdauer für den jewei-\nidentisch sind, ligen technischen Geltungsbereich fest.\n4. die Einwilligung des Antragstellers und Rechteinha- (3) Das Zertifikat für informationstechnische Produk-\nbers, das Schutzprofil kostenfrei bereitzustellen, te, Systeme, Komponenten sowie für Schutzprofile ent-\n5. die Angabe der vom Bundesamt anerkannten sach- hält:\nverständigen Stelle, die für die Prüfung und Bewer- 1. die Zertifizierungsnummer,\ntung vorgesehen ist, sowie\n2. die Angabe der Prüfkriterien, soweit sie bekannt ge-\n6. die Zustimmung zur Veröffentlichung einer erteilten macht sind,\nZertifizierung nach § 7 Absatz 1 oder den Wider-\nspruch gegen die Veröffentlichung nach § 7 Absatz 5 3. den Namen der vom Bundesamt anerkannten sach-\nSatz 1. verständigen Stelle, deren Prüfung und Bewertung\n§ 11 der Zertifizierung zugrunde gelegt wurde,\n4. etwaige Nebenbestimmungen nach § 22,\nMitwirkungsobliegenheiten\n5. Ausstellungsort und -datum des Sicherheitszertifi-\n(1) Zur Zertifizierung von informationstechnischen\nkats sowie\nProdukten oder Komponenten obliegt es dem Antrag-\nsteller, kostenfrei dem Bundesamt und der sachver- 6. die Geltungsdauer des Sicherheitszertifikats.\nständigen Stelle das zu zertifizierende Produkt oder Dem Sicherheitszertifikat wird ein Zertifizierungsbericht\ndie zu zertifizierende Komponente, die für dessen oder beigefügt.\nderen Betrieb notwendigen Einrichtungen und Rechte\nsowie die nach § 4 Absatz 1 erforderlichen Unterlagen (4) Das Zertifikat für informationstechnische Pro-\nund Beweismittel zur Verfügung zu stellen. Unterlagen dukte oder Komponenten enthält zusätzlich zu Absatz 3\nund sonstige Beweismittel können beim Antragsteller in folgende Angaben:\nAugenschein genommen werden, wenn der Antragstel- 1. die Bezeichnung, die Beschreibung und die Angabe\nler glaubhaft macht, dass einer Weitergabe der Unter- des Herstellers des geprüften Produkts oder der\nlagen oder Beweismittel wesentliche Interessen des Komponente,\nAntragstellers entgegenstehen. 2. die Angabe der zum geprüften Produkt oder zur\n(2) Zur Zertifizierung von informationstechnischen Komponente gehörenden Dokumentationen,\nSystemen obliegt es dem Antragsteller, dem Bundes- 3. die Beschreibung der Sicherheitsfunktionen und\namt und der sachverständigen Stelle kostenfrei Zugang\nzum installierten informationstechnischen System und 4. die erreichte Bewertungsstufe oder den Prüfumfang.\nzu den relevanten Standorten zu gewähren und die für (5) Das Zertifikat für informationstechnische Sys-\ndie Prüfung notwendigen Rechte sowie die nach § 4 teme enthält zusätzlich zu Absatz 3 folgende Angaben:","2234 Bundesgesetzblatt Jahrgang 2014 Teil I Nr. 61, ausgegeben zu Bonn am 23. Dezember 2014\n1. die Bezeichnung und die Beschreibung des geprüf- (2) Das Zertifikat ist vom Bundesamt zu befristen.\nten Systems und der relevanten Standorte und Das Bundesamt setzt die Geltungsdauer für den jewei-\n2. soweit erforderlich, die Angabe der zum geprüften ligen technischen Geltungsbereich fest.\nSystem und Standort gehörenden sicherheitsrele- (3) Das Personenzertifikat enthält folgende Anga-\nvanten Dokumentationen. ben:\n(6) Das Zertifikat für Schutzprofile enthält zusätzlich 1. Den Namen und die Adresse der zertifizierten Per-\nzu Absatz 3 folgende Angaben: son,\n1. die Bezeichnung und die Beschreibung des geprüf- 2. die Zertifizierungsnummer,\nten Schutzprofils und 3. die Geltungsdauer der Zertifizierung,\n2. die erreichte Bewertungsstufe oder den Prüfumfang. 4. den technischen Geltungsbereich der Zertifizierung\nunter Verweis auf die zugrunde gelegten Standardi-\n(7) Das Bundesamt kann jederzeit anlassbezogen\nsierungsnormen,\nüberprüfen, ob die Voraussetzungen für die Zertifizie-\nrung nach Absatz 1 weiterhin vorliegen. Das Bundes- 5. die Angabe der Standardisierungsnormen, die der\namt entwickelt für die Überprüfungen Verfahrens- Evaluierung der Person zugrunde lagen,\nbeschreibungen und veröffentlicht diese auf seiner 6. etwaige Nebenbestimmungen nach § 22 sowie\nInternetseite.\n7. Ausstellungsort und -datum des Zertifikats.\n§ 13 (4) Das Bundesamt überprüft regelmäßig, ob die Vo-\nraussetzungen für die Zertifizierung nach Absatz 1 wei-\nRückgabe von terhin vorliegen. Daneben kann auch jederzeit eine\ninformationstechnischen anlassbezogene Überprüfung stattfinden. Das Bundes-\nProdukten oder Komponenten amt entwickelt für diese Überprüfungen Verfahrens-\nVom Antragsteller an das Bundesamt übergebene beschreibungen und veröffentlicht diese auf seiner\ninformationstechnische Produkte oder Komponenten Internetseite.\nwerden dem Antragsteller am Ort der Prüfung zurück-\ngegeben. Das Bundesamt kann mit dem Antragsteller Abschnitt 4\nvereinbaren, dass das Produkt oder die Komponente Zertifizierung von\nbeim Bundesamt aufbewahrt wird. I T- S i c h e r h e i t s d i e n s t l e i s t e r n\nAbschnitt 3 § 16\nZertifizierung von Personen Antrag\n(1) Ein Antrag auf Zertifizierung als IT-Sicherheits-\n§ 14 dienstleister kann nur von dem IT-Sicherheitsdienstleis-\nAntrag ter gestellt werden, der die Zertifizierung erhalten\nmöchte.\n(1) Ein Antrag auf Zertifizierung einer Person kann\nnur von der Person gestellt werden, die die Zertifizie- (2) Der Antrag muss neben den nach § 2 erforder-\nrung erhalten möchte. lichen Angaben Folgendes enthalten:\n(2) Der Antrag muss neben den nach § 2 erforder- 1. Angaben zur Rechtsform, Unternehmensstruktur\nlichen Angaben Folgendes enthalten: und zu Beteiligungen des Antragstellers,\n1. Angaben über den oder die beantragten technischen 2. Angaben über die beantragten sachlichen Geltungs-\nGeltungsbereiche, bereiche der Zertifizierung,\n3. eine Aufstellung der verantwortlichen Mitarbeiter des\n2. die für diesen technischen Geltungsbereich gefor-\nAntragstellers und ihres jeweiligen Verantwortungs-\nderten Nachweise nach § 4 Absatz 1 und\nbereiches,\n3. die Zustimmung zur Veröffentlichung einer erteilten\n4. Angaben zum Qualitäts- und Informationssicher-\nZertifizierung nach § 7 Absatz 2 oder den Wider-\nheitsmanagement sowie, soweit erforderlich, Anga-\nspruch gegen die Veröffentlichung nach § 7 Absatz 5\nben zur Geheimschutzbetreuung,\nSatz 1.\n5. die Erklärung zur Unabhängigkeit oder Objektivität\n§ 15 bezüglich der vorgesehenen Tätigkeiten im Gel-\ntungsbereich und\nZertifikat\n6. die Zustimmung zur Veröffentlichung einer erteilten\n(1) Ein Zertifikat für Personen nach § 9 Absatz 5 des Zertifizierung nach § 7 Absatz 3 oder den Wider-\nBSI-Gesetzes wird erteilt, wenn spruch gegen die Veröffentlichung nach § 7 Absatz 5\n1. die Prüfung und die Bewertung ergeben, dass die zu Satz 1.\nzertifizierende Person die Prüfkriterien nach § 4 Ab-\nsatz 1 erfüllt, und § 17\n2. das Bundesministerium des Innern nach § 9 Absatz 4 Mitwirkungsobliegenheiten\nNummer 2 des BSI-Gesetzes festgestellt hat, dass (1) Es obliegt dem Antragsteller, im Rahmen des Ver-\nüberwiegende öffentliche Interessen, insbesondere fahrens dem Bundesamt oder den vom Bundesamt\nsicherheitspolitische Belange der Bundesrepublik beauftragten Personen, soweit erforderlich, kostenfrei\nDeutschland, der Erteilung nicht entgegenstehen. Zugang zu den Standorten, zu den zur Prüfung vorge-","Bundesgesetzblatt Jahrgang 2014 Teil I Nr. 61, ausgegeben zu Bonn am 23. Dezember 2014 2235\nsehenen Systemen und zu den Unterlagen nach § 4 zu 3. eine Aufstellung der verantwortlichen Mitarbeiter der\ngewähren. Stelle und ihres jeweiligen Verantwortungsbereiches,\n(2) Während des Verfahrens obliegt es dem Antrag- 4. Angaben zum Qualitäts- und Informationssicher-\nsteller, das Bundesamt oder die vom Bundesamt beauf- heitsmanagement sowie, soweit vorhanden, Anga-\ntragten Personen kostenfrei durch fachkompetente Ver- ben zur Geheimschutzbetreuung,\ntreter zu unterstützen.\n5. eine Erklärung zur Unabhängigkeit oder Objektivität\nder Stelle bezüglich der vorgesehenen Tätigkeiten\n§ 18\nim Geltungsbereich und\nZertifikat\n6. die Zustimmung zur Veröffentlichung einer ausge-\n(1) Ein Zertifikat als IT-Sicherheitsdienstleister nach sprochenen Anerkennung nach § 7 Absatz 4 oder\n§ 9 Absatz 5 des BSI-Gesetzes wird erteilt, wenn den Widerspruch gegen die Veröffentlichung nach\n1. die Prüfung und die Bewertung ergeben, dass der IT- § 7 Absatz 5 Satz 1.\nSicherheitsdienstleister die Prüfkriterien nach § 4 (3) Die Anträge werden in der zeitlichen Reihenfolge\nAbsatz 1 erfüllt, und ihres Eingangs bearbeitet; hiervon kann abgewichen\n2. das Bundesministerium des Innern nach § 9 Absatz 4 werden, wenn das Bundesamt wegen der Zahl und\nNummer 2 des BSI-Gesetzes festgestellt hat, dass des Umfangs anhängiger Prüfungsverfahren eine Prü-\nüberwiegende öffentliche Interessen, insbesondere fung in angemessener Zeit nicht durchführen kann und\nsicherheitspolitische Belange der Bundesrepublik an einer Anerkennung ein öffentliches Interesse be-\nDeutschland, der Erteilung nicht entgegenstehen. steht.\n(2) Die Zertifizierung ist vom Bundesamt zu befristen.\nDas Bundesamt setzt die Geltungsdauer für den jewei- § 20\nligen technischen Geltungsbereich fest. Mitwirkungsobliegenheiten\n(3) Das Zertifikat enthält folgende Angaben: (1) Es obliegt dem Antragsteller, im Rahmen des Ver-\n1. Den Namen des IT-Sicherheitsdienstleisters und die fahrens dem Bundesamt oder den vom Bundesamt\nAdressen aller zertifizierten Standorte, beauftragten Personen, soweit erforderlich, kostenfrei\nZugang zu den Standorten, zu den zur Prüfung vorge-\n2. die Zertifizierungsnummer,\nsehenen Systemen und zu den Unterlagen nach § 4 zu\n3. die Geltungsdauer der Zertifizierung, gewähren.\n4. den technischen Geltungsbereich oder die techni- (2) Während des Verfahrens obliegt es dem Antrag-\nschen Geltungsbereiche der Zertifizierung unter Ver- steller, das Bundesamt oder die vom Bundesamt beauf-\nweis auf die zugrunde gelegten Standardisierungs- tragten Personen kostenfrei durch fachkompetente Ver-\nnormen, treter zu unterstützen.\n5. die Angabe der Standardisierungsnormen, die der\nBegutachtung des IT-Sicherheitsdienstleisters zu- § 21\ngrunde lagen, Anerkennung\n6. etwaige Nebenbestimmungen nach § 22 sowie\n(1) Eine Anerkennung nach § 9 Absatz 6 des BSI-\n7. Ausstellungsort und -datum des Zertifikats. Gesetzes wird erteilt, wenn\n(4) Das Bundesamt überprüft regelmäßig, ob die Vo- 1. die Prüfung und die Bewertung ergeben, dass die\nraussetzungen für die Zertifizierung nach Absatz 1 wei- sachliche und personelle Ausstattung sowie die\nterhin vorliegen. Daneben kann auch jederzeit eine an- fachliche Qualifikation und Zuverlässigkeit der Kon-\nlassbezogene Überprüfung stattfinden. Das Bundesamt formitätsbewertungsstelle die Prüfkriterien nach § 4\nentwickelt für diese Überprüfungen Verfahrensbe- Absatz 1 erfüllen, und\nschreibungen und veröffentlicht diese auf seiner Inter-\nnetseite. 2. das Bundesministerium des Innern nach § 9 Absatz 6\nNummer 2 des BSI-Gesetzes festgestellt hat, dass\nAbschnitt 5 überwiegende öffentliche Interessen, insbesondere\nsicherheitspolitische Belange der Bundesrepublik\nAnerkennung von Deutschland, der Erteilung nicht entgegenstehen.\nsachverständigen Stellen\n(2) Die Anerkennung ist vom Bundesamt zu befris-\n§ 19 ten. Das Bundesamt setzt die Geltungsdauer für den\njeweiligen technischen Geltungsbereich fest.\nAntrag\n(3) Die Anerkennung enthält folgende Angaben:\n(1) Ein Antrag auf Anerkennung als sachverständige\nStelle kann nur von der Stelle gestellt werden, die die 1. den Name und die Adresse der anerkannten sach-\nAnerkennung erhalten möchte. verständigen Stelle und aller anerkannten Standorte,\n(2) Der Antrag muss neben den nach § 2 erforder- 2. die Anerkennungsnummer,\nlichen Angaben Folgendes enthalten: 3. die Geltungsdauer der Anerkennung,\n1. Angaben zur Rechtsform, Unternehmensstruktur 4. den technischen Geltungsbereich oder die techni-\nund zu Beteiligungen der Stelle, schen Geltungsbereiche der Anerkennung unter Ver-\n2. Angaben über die beantragten technischen Gel- weis auf die zugrunde gelegten Standardisierungs-\ntungsbereiche der Anerkennung, normen,","2236 Bundesgesetzblatt Jahrgang 2014 Teil I Nr. 61, ausgegeben zu Bonn am 23. Dezember 2014\n5. die Angabe der Standardisierungsnormen, die der heitseigenschaften des Zertifizierungsgegenstandes\nBegutachtung der Stelle zugrunde lagen, ändern,\n6. etwaige Nebenbestimmungen nach § 22 sowie 3. der Inhaber des Zertifikats oder der Anerkennung\n7. Ausstellungsort und -datum der Anerkennungsur- regelmäßig oder anlassbezogen auf seine Kosten\nkunde. durch das Bundesamt oder durch von diesem beauf-\ntragte Personen oder Stellen überprüfen lassen\n(4) Das Bundesamt überprüft regelmäßig nach § 9\nmuss, ob die Voraussetzungen zur Zertifizierung\nAbsatz 6 Satz 2 des BSI-Gesetzes, ob die Vorausset-\nvon Produkten (zum Beispiel nach Common Criteria)\nzungen für die Anerkennung nach Absatz 1 weiterhin\noder Anerkennung weiterhin vorliegen,\nvorliegen. Daneben kann auch jederzeit eine anlass-\nbezogene Überprüfung stattfinden. Das Bundesamt ent- 4. eine Zertifizierung von der Gültigkeit eines Schutz-\nwickelt für diese Überprüfungen Verfahrensbeschrei- profils oder einer technischen Richtlinie abhängig\nbungen und veröffentlicht diese auf seiner Internetseite. ist,\n5. in den Fällen des § 15, § 18 oder § 21 der Antrag-\nAbschnitt 6 steller dem Bundesamt unverzüglich schriftlich mit-\nNebenbestimmungen teilen muss, wenn sich seine Arbeitsweise oder\nseine Unternehmensform wesentlich ändert oder\n§ 22 sich sein Unternehmenssitz ändert,\nNebenbestimmungen 6. in den Fällen des § 15, § 18 oder § 21 der Antrag-\nsteller an vom Bundesamt angebotenen Arbeits-\n(1) Ein Zertifikat nach § 12, § 15 und § 18 sowie eine\ntreffen zum technischen Geltungsbereich der Zertifi-\nAnerkennung nach § 21 kann unter dem Vorbehalt des\nzierung oder Anerkennung teilnehmen muss,\nWiderrufs erlassen werden.\n7. in den Fällen des § 18 oder § 21 der Antragsteller\n(2) Ein Zertifikat nach § 12, § 15 und § 18 sowie eine\neine bestimmte Zahl von nach § 15 zertifizierten Per-\nAnerkennung nach § 21 kann mit Nebenbestimmungen,\nsonen für den jeweiligen Geltungsbereich beschäfti-\ninsbesondere mit Auflagen oder Befristungen, erlassen\ngen muss.\nwerden. Insbesondere kann bestimmt werden, dass\n1. der Inhaber des Zertifikats oder der Anerkennung bei Abschnitt 7\nder Nutzung des Zertifikats oder der Anerkennung,\ninsbesondere bei der Verwendung zu Werbezwecken, Schlussbestimmungen\nVorlage und Nachweisführung, auf näher bestimmte,\nin Zusammenhang mit der Zertifizierung oder Aner- § 23\nkennung ausgestellte Begleitdokumente hinweisen Inkrafttreten, Außerkrafttreten\nund diese zur Verfügung stellen muss, Diese Verordnung tritt am Tag nach der Verkündung\n2. der Inhaber des Zertifikats unaufgefordert das Bun- in Kraft. Gleichzeitig tritt die BSI-Zertifizierungsverord-\ndesamt informieren muss, wenn sich die Sicher- nung vom 7. Juli 1992 (BGBl. I S. 1230) außer Kraft.\nBerlin, den 17. Dezember 2014\nDer Bundesminister des Innern\nThomas de Maizière"]}