{"id":"bgbl1-2021-81-1","kind":"bgbl1","year":2021,"number":81,"date":"2021-12-06T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2021/81#page=2","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2021-81-1/","document_url":"https://media.offenegesetze.de/bgbl1/2021/bgbl1_2021_81.pdf#page=2","order":1,"title":"Verordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (BSI-IT-Sicherheitskennzeichenverordnung – BSI-ITSiKV)","law_date":"2021-11-24T00:00:00Z","page":4978,"pdf_page":2,"num_pages":4,"content":["4978 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 81, ausgegeben zu Bonn am 6. Dezember 2021\nVerordnung\nzum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik\n(BSI-IT-Sicherheitskennzeichenverordnung – BSI-ITSiKV)\nVom 24. November 2021\nAuf Grund des § 10 Absatz 3 des BSI-Gesetzes vom 6. Plausibilitätsprüfung\n14. August 2009 (BGBl. I S. 2821), der durch Artikel 1 die Sichtung der Herstellererklärung, der Angaben\nNummer 21 des Gesetzes vom 18. Mai 2021 (BGBl. I des Herstellers im Antrag und eventueller Unter-\nS. 1122) eingefügt worden ist, verordnet das Bundes- lagen zur Ermittlung, ob die Konformität mit den\nministerium des Innern, für Bau und Heimat im Ein- vom Bundesamt festgelegten Sicherheitsanforderun-\nvernehmen mit dem Bundesministerium der Justiz und gen plausibel und nachvollziehbar zugesichert wird;\nfür Verbraucherschutz und dem Bundesministerium für\nWirtschaft und Energie: 7. Produktkategorie\nein durch das Bundesamt festgelegter Oberbegriff\n§1 für die Erfassung einer Gruppe von vergleichbaren\ninformationstechnischen Produkten in einem ein-\nAnwendungsbereich grenzbaren Bereich;\nDiese Verordnung regelt die Gestaltung und Ver- 8. zugehörige Internetseite\nwendung des IT-Sicherheitskennzeichens im Sinne\ndes § 9c Absatz 1 Satz 1 des BSI-Gesetzes und legt der für das einzelne Produkt angepasste Zielbereich\ndas Verwaltungsverfahren zur Sicherstellung der An- auf der Internetseite des Bundesamtes, auf der In-\nforderungen im Zusammenhang mit der Verwendung formationen zu diesem Produkt vorgehalten werden;\ndes Kennzeichens fest. 9. Etikett\ndie physische oder elektronische Kennzeichnung am\n§2 Produkt oder seiner Umverpackung, welche produkt-\nBegriffsbestimmungen spezifisch mit dem Verweis auf die zugehörige Inter-\nnetseite angepasst wird.\nIm Sinne dieser Verordnung ist oder sind:\n1. Hersteller §3\njede juristische oder natürliche Person, die einen Gestaltung des Etiketts und\nDienst anbietet oder ein Produkt herstellt bezie- der Internetseite zum IT-Sicherheitskennzeichen\nhungsweise entwickeln oder herstellen lässt und (1) Das IT-Sicherheitskennzeichen besteht aus der\ndieses Produkt oder diesen Dienst unter ihrem eige- Herstellererklärung und der Sicherheitsinformation nach\nnen Namen oder ihrer eigenen Marke vermarktet; § 9c Absatz 2 des BSI-Gesetzes, auf die beide auf dem\nnicht erfasst sind die Hersteller einzelner Teile oder Etikett verwiesen wird. Das Etikett versetzt den Verbrau-\nKomponenten davon; cher in die Lage, sich ohne erhebliche Hürden mittels\ngängiger technischer Hilfsmittel über die Art und Aus-\n2. Verkäufer\nsage der Herstellererklärung gegenüber den Vorgaben\njede juristische oder natürliche Person, die gewerb- des Bundesamtes, die eventuell zur Verfügung stehen-\nlich ein Produkt unmittelbar Verbrauchern und Ver- den aktuellen Sicherheitsinformationen und die Lauf-\nbraucherinnen auf dem Markt bereitstellt; zeit des Kennzeichens zu informieren.\n3. Branche (2) Das Etikett hat dafür jedenfalls zwingend zu um-\nfassen:\ndie Unternehmen und Organisationen und ihre Ver-\nbände, die für den jeweiligen Wirtschaftsbereich 1. einen Verweis auf die zugehörige Internetseite des\nProdukte oder Dienstleistungen im Geltungsbereich Bundesamtes nach Absatz 4;\ndieses Gesetzes herstellen oder vertreiben; 2. die Nennung des Bundesamtes.\n4. branchenabgestimmte IT-Sicherheitsvorgabe (3) Das Etikett kann durch das Bundesamt mit einer\nein Anforderungskatalog, der von einer Branche grafischen Darstellung ausgestaltet werden, um mittels\nerstellt und gepflegt wird und dessen Geeignetheit dieser bildlich für den Verbraucher einen sofortigen\ndas Bundesamt nach § 9c Absatz 3 Satz 1 des BSI- Wiedererkennungswert zu erzeugen.\nGesetzes festgestellt hat; (4) Auf der Internetseite des Bundesamtes sind die\nHerstellererklärung und die Sicherheitsinformation in\n5. geeignete und qualifizierte Dritte\naktueller Fassung mit der Laufzeit des Kennzeichens\njuristische oder natürliche Personen, die aufgrund abrufbar. Der Hersteller stellt dem Bundesamt hierfür\nihrer fachlichen Qualifikation eine Aussage darüber in eigener Verantwortung aktuelle Sicherheitsinforma-\ntreffen können, ob Sicherheitsversprechen eines tionen zur Konformität des Produktes zur Verfügung,\nProduktes eingehalten werden oder bestimmte die das Bundesamt auf der zugehörigen Internetseite\nEigenschaften nachgewiesen werden können; einstellt. Das Bundesamt kann zudem weitere Informa-","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 81, ausgegeben zu Bonn am 6. Dezember 2021 4979\ntionen über sicherheitsrelevante IT-Eigenschaften und §6\ndarüber, ob und inwieweit die Herstellererklärung nach Vereinfachtes Verfahren\nderzeitiger Kenntnis eingehalten wird, einstellen.\n(1) Das Bundesamt kann auf die Plausibilitätsprü-\n(5) Das Bundesamt kann eine Applikation zur Ver- fung verzichten, wenn das Bundesamt für das Produkt\nfügung stellen, in der die Informationen zum Her- ein Zertifikat nach § 9 des BSI-Gesetzes auf Grundlage\nstellerversprechen von Produkten bereitgestellt und des gleichen Prüfstandards erteilt hat.\nabgerufen werden können.\n(2) Ist für ein Produkt bereits ein ausländisches\nstaatliches Kennzeichen auf Grundlage des gleichen\n§4\noder eines vergleichbaren Prüfstandards und auf\nAntrag Grundlage der gleichen oder vergleichbarer Prüfspezi-\n(1) Ein Antrag auf Freigabe des IT-Sicherheitskenn- fikationen vergeben worden, kann das Bundesamt den\nzeichens für ein Produkt kann nur innerhalb der vom Antrag unter Vorlage dieses Kennzeichens und der\nBundesamt nach § 11 bekannt gegebenen Produkt- zugrunde liegenden Unterlagen in deutscher oder eng-\nkategorien gestellt werden. Der Antrag kann vom Her- lischer Sprache prüfen. Das Bundesamt legt in einem\nsteller des Produktes gestellt werden. Kriterienkatalog fest, unter welchen Voraussetzungen\nein Prüfstandard eines anderen Kennzeichens mit\n(2) Der Antrag ist unter Verwendung der dafür gel- solchen nach dieser Verordnung vergleichbar ist und\ntenden Vorlage einzureichen, wenn das Bundesamt veröffentlicht diesen auf seiner Internetseite.\neine solche veröffentlicht hat. Der Hersteller hat dafür\nSorge zu tragen, dass die Erklärung und beigefügten §7\nUnterlagen ausschließlich zutreffende Angaben enthal-\nten. Gegenstand der Herstellererklärung\n(1) Die Herstellererklärung enthält die Zusicherung,\n(3) Der Eingang des Antrags wird vom Bundesamt\ndass das Produkt für die nach § 8 festgelegte Dauer\nbestätigt. Das Bundesamt teilt dabei die geltende\ndie für die einschlägige Produktkategorie geltenden IT-\nPrüfungsfrist für die Freigabeerklärung nach dieser\nSicherheitsanforderungen erfüllt. Der Hersteller ver-\nVerordnung mit.\npflichtet sich innerhalb des Zeitraumes nach § 8\nAbsatz 1 Satz 1, das Bundesamt unaufgefordert zu\n§5 informieren, wenn sich die vom Hersteller erklärten\nAntragsprüfung Eigenschaften des Produktes ändern, sobald sie ihm\n(1) Das Bundesamt führt anhand der eingereichten bekannt werden, einschließlich Störungen der Informa-\nUnterlagen eine Plausibilitätsprüfung durch. Die Prü- tionssicherheit des Produktes und Sicherheitslücken.\nfung erfolgt innerhalb der nach § 11 Absatz 1 fest- Der Hersteller verpflichtet sich des Weiteren, ihm\ngelegten Prüfungsfrist und anhand einer Verfahrens- bekannt werdende Sicherheitslücken unverzüglich zu\nbeschreibung zum Ablauf des Prüfverfahrens, die vom beheben und den Stand der dafür erfolgten Maß-\nBundesamt veröffentlicht wird. nahmen dem Bundesamt mit den in § 3 Absatz 4 Satz 2\ngenannten Informationen anzuzeigen.\n(2) Das Bundesamt kann die Überprüfung von Her-\n(2) Das Bundesamt informiert auf seiner Internet-\nstellerdokumenten auf qualifizierte Dritte im Sinne des\nseite über die Änderung oder Aufhebung der für die\n§ 2 Nummer 5 übertragen.\neinschlägige Produktkategorie geltenden IT-Sicher-\n(3) Ist für ein Produkt eine geeignete branchenabge- heitsanforderungen, Technischen Richtlinien oder die\nstimmte IT-Sicherheitsvorgabe nach § 10 einschlägig, Ungeeignetheit von branchenabgestimmten IT-Sicher-\nsind für die Plausibilitätsprüfung die Vorgaben dieses heitsvorgaben.\nStandards ausschlaggebend.\n(3) Bedient sich der Antragsteller zur Antragstellung\n(4) Liegen die gesetzlichen Voraussetzungen gemäß oder zur Erfüllung seiner Pflichten aus § 9c des BSI-\n§ 9c Absatz 5 BSIG vor, erteilt das Bundesamt die Gesetzes oder dieser Rechtsverordnung eines Dritten,\nFreigabe zur Nutzung des IT-Sicherheitskennzeichens. werden ihm die Handlungen des Dritten wie eigene zu-\n(5) Das Bundesamt kann den Antrag ablehnen, gerechnet.\nwenn Hinweise dafür vorliegen, dass\n§8\n1. das Produkt oder die mit dem Produkt ausgelieferte\nLaufzeit des\nSoftware bekannte Sicherheitslücken enthält oder\nIT-Sicherheitskennzeichens und Erlöschen\n2. Produkte des Herstellers bereits Gegenstand einer\n(1) Der Hersteller versichert, dass die Herstellerer-\nWarnung oder Information nach den §§ 7 oder 7a\nklärung für die dafür festgelegte Dauer erfüllt wird\ndes BSI-Gesetzes oder von Maßnahmen nach § 9c\n(Laufzeit). Die Laufzeit beträgt regelmäßig zwei Jahre.\nAbsatz 8 des BSI-Gesetzes betroffen waren.\nEine abweichende Laufzeit kann durch das Bundesamt\nDas Bundesamt kann die Freigabe der Nutzung auch für die Produktkategorie festgelegt oder in der zu-\ndann verweigern, wenn der Freigabe unabhängig von grunde gelegten Technischen Richtlinie oder bran-\nden eingereichten Unterlagen ernstliche Zweifel an der chenabgestimmten IT-Sicherheitsvorgaben bestimmt\nHerstellererklärung entgegenstehen. werden. Das Bundesamt hat bei abweichenden Lauf-\n(6) Entscheidungen, mit denen abschließend über zeiten diese gemeinsam mit der Produktkategorie zu\neinen nach dieser Verordnung gestellten Antrag ent- veröffentlichen.\nschieden wird, sind schriftlich oder elektronisch zu (2) Mit Ablauf der Laufzeit erlischt die Freigabe des\nerlassen. Bundesamtes. Das Bundesamt weist in der BSI-Sicher-","4980 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 81, ausgegeben zu Bonn am 6. Dezember 2021\nheitsinformation öffentlich auf den Ablauf der Laufzeit (2) Branchenverbände oder Hersteller können bran-\nhin. chenabgestimmte IT-Sicherheitsvorgaben zur Gewähr-\n(3) Für ein Produkt, für das ein gültiges IT-Sicher- leistung der Anforderungen nach § 5 Absatz 3 vor-\nheitskennzeichen besteht, kann derselbe Hersteller frü- schlagen. Das Bundesamt stellt auf Antrag fest, ob\nhestens drei Monate und spätestens sechs Wochen diese geeignet sind, die Anforderungen nach § 5\nvor Ablauf der Gültigkeit des IT-Sicherheitskennzei- Absatz 3 zu gewährleisten. Die Feststellung befristet\nchens dessen Verlängerung beantragen. Die für die das Bundesamt entsprechend der zu erwartenden Ent-\nerstmalige Freigabe geltenden Vorschriften gelten ent- wicklungen in der Produktkategorie. Ein Anspruch auf\nsprechend. diese Feststellung besteht nicht.\n(3) Für eine Norm, einen Standard oder eine bran-\n(4) Wird eine für die einschlägige Produktkategorie\nchenabgestimmte IT-Sicherheitsvorgabe, der oder die\ngeltende IT-Sicherheitsvorgabe geändert oder für un-\nnicht mehr diesen Anforderungen oder dem Stand der\ngültig erklärt, erlischt die Freigabe nach einer Frist von\nTechnik entspricht oder in eine Technische Richtlinie\nsechs Wochen, wenn der Hersteller die Herstellererklä-\nüberführt wurde, kann die Feststellung nach Absatz 1\nrung nicht auf einer gültigen Prüfgrundlage aktualisiert.\nvom Bundesamt vor Ablauf der Frist widerrufen wer-\nDas Bundesamt weist auf entsprechende Änderungen,\nden.\nUngeeignetheit oder Aufhebungen in der Veröffentli-\nchung der Produktkategorie nach § 11 hin. (4) Wird für eine Produktkategorie mehr als ein An-\ntrag nach Absatz 2 gestellt, so gibt das Bundesamt\n(5) Bei einem Verstoß gegen die Herstellererklärung,\nden Standard mit einer angemessenen Frist zur Eini-\ndie gesetzlichen Herstellerpflichten, bei unzutreffenden gung an die Vorschlagenden zurück; es kann nach Ab-\noder unvollständigen Angaben, sowie dem sonstigen lauf dieser Frist ohne Einigung einen der Standards zur\nWegfall der Erfüllung der gesetzlichen Voraussetzun-\nPrüfung auswählen.\ngen oder Anforderungen des Bundesamtes kann das\nBundesamt die Freigabe unverzüglich widerrufen. (5) Ein oder mehrere branchenspezifische Sicher-\nDem Antragsteller ist eine angemessene Frist zur Stel- heitsstandards oder eine oder mehrere branchenabge-\nlungnahme zu geben, es sei denn, gewichtige Sicher- stimmte IT-Sicherheitsvorgaben können vom Bundes-\nheitsgründe erfordern eine sofortige Maßnahme. amt im Benehmen mit der Branche in eine Technische\nRichtlinie überführt werden.\n§9\n§ 11\nVerwendung des Sicherheitskennzeichens\nProduktkategorien\n(1) Das produktspezifische Etikett darf in physischer\n(1) Das Bundesamt legt die Produktkategorien fest,\nund elektronischer Ausführung für die Dauer der Frei-\nfür deren Produkte es die Freigabe des IT-Sicherheits-\ngabe nach den Vorgaben des § 9c des BSI-Gesetzes\nkennzeichens erteilt. Es gibt die Produktkategorie und\nund dieser Rechtsverordnung verwendet werden. Das\ndie regelmäßige Prüfungsfrist für die Antragsbearbei-\nBundesamt legt die grafische Gestaltung des Sicher-\ntung durch im Bundesanzeiger veröffentlichte Allge-\nheitskennzeichens sowie des Etiketts fest und veröf-\nmeinverfügung bekannt, bevor es die für die jeweilige\nfentlicht diese auf seiner Internetseite. Hersteller dür-\nProduktkategorie einschlägigen IT-Sicherheitsanfor-\nfen gemäß ihrer Freigabe keine von diesen Vorgaben\nderungen veröffentlicht. Legt das Bundesamt keine\nabweichende Gestaltung verwenden.\nPrüfungsfrist für die Produktkategorie fest, gilt eine\n(2) Mit der Freigabe stellt das Bundesamt dem Her- Prüfungsfrist ab vollständigem Antragseingang von\nsteller das produktspezifische Etikett zur Verfügung. sechs Wochen.\nDas Etikett darf nach der Freigabe auf Produkten oder (2) Das Bundesamt kann für die konkreten Sicher-\nderen Umverpackungen vom Hersteller angebracht heitsanforderungen auf bestehende Vorgaben, Stan-\nwerden. dards, Technische Richtlinien, Prüfgrundlagen oder\n(3) Hersteller und Verkäufer sind berechtigt, das branchenabgestimmte IT-Sicherheitsvorgaben verwei-\nKennzeichen für die Dauer der Freigabe zu Werbe- sen und bemüht sich um den Gleichlauf mit internatio-\nzwecken für das Produkt zu verwenden. Dabei ist ein nal etablierten Standards.\nVerweis auf die zugehörige Internetseite nach § 3 Ab- (3) Die Produktkategorien veröffentlicht das Bun-\nsatz 4 gut sichtbar anzuzeigen. desamt nach Bekanntgabe mit den aktuellen Anforde-\n(4) Liegt keine Freigabe mehr vor, erlöschen die rungen und der Prüfungsfrist auf seiner Internetseite.\nRechte von Hersteller und Verkäufer nach dieser Vor- Es weist ebenso auf eventuelle Änderungen, Aufhe-\nschrift. Der Hersteller hat dafür Sorge zu tragen, dass bungen oder eine Feststellung der Ungeeignetheit der\nkeine nach dem Erlöschen hergestellten Produkte Anforderungen hin.\nmehr mit dem Etikett auf den Markt gebracht werden. (4) Änderungen der Produktkategorie, welche die\nKategorie wesentlich verändern oder ganz entfernen,\n§ 10 bedürfen ebenfalls der Bekanntgabe mit einer im Bun-\nAnerkennung von Normen, Standards oder desanzeiger veröffentlichten Allgemeinverfügung.\nbranchenabgestimmten IT-Sicherheitsvorgaben\n§ 12\n(1) Das Bundesamt kann von Amts wegen feststel-\nlen, dass eine bestehende Norm oder ein Standard Aufsicht\ngeeignet ist, die Anforderungen nach § 5 Absatz 3 zu (1) Eine Aufsicht über Produkte und Hersteller,\ngewährleisten. Ein Anspruch auf diese Feststellung welche die Freigabe zur Nutzung des Sicherheitskenn-\nbesteht nicht. zeichens erhalten haben, erfolgt für die Dauer der","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 81, ausgegeben zu Bonn am 6. Dezember 2021 4981\nFreigabe. Sie erfolgt anlasslos auf der Grundlage eines satz 2 des BSI-Gesetzes auf der Internetseite des Bun-\nÜberwachungskonzeptes sowie anlassbezogen reaktiv desamtes veröffentlicht. Davon unberührt bleiben die\nund kann eine Sachprüfung umfassen. Bestimmungen der §§ 7 und 7a des BSI-Gesetzes.\n(2) Ein Marktüberwachungskonzept im Sinne des\nAbsatzes 1 wird vom Bundesamt erarbeitet. Die dorti- § 14\ngen Regelungen sollen bei der anlasslosen Marktüber- Evaluierung\nwachung zugrunde gelegt werden. Drei Jahre nach Inkrafttreten dieser Rechtsverord-\n(3) Zur effektiven Marktaufsicht kann das Bundes- nung und folgend alle drei Jahre sind unter Beteiligung\namt sich Dritter im Sinne des § 2 Nummer 5 bedienen der in § 10 Absatz 3 Satz 1 des BSI-Gesetzes genann-\nund Testkäufe vornehmen. Es kann öffentlich bekannt ten Ressorts zu evaluieren:\ngewordene Sicherheitsinformationen und Berichte von 1. die Produktkategorien;\nVerbraucherorganisationen zur Grundlage seiner Auf-\nsicht machen. 2. die Anerkennung von Branchenstandards;\n3. die Freigabekriterien für das Kennzeichen.\n§ 13\nInformationen für Verbraucher § 15\nVerbraucherinformationen zu Produkten mit der Inkrafttreten\nFreigabe zur Nutzung des IT-Sicherheitskennzeichens Diese Verordnung tritt am Tag nach der Verkündung\nwerden in der Sicherheitsinformation nach § 9c Ab- in Kraft.\nBerlin, den 24. November 2021\nDer Bundesminister\ndes Innern, für Bau und Heimat\nHorst Seehofer"]}