BSI-Zertifizierungs- und -Anerkennungsverordnung

Verordnung über das Verfahren der Erteilung von Sicherheitszertifikaten und Anerkennungen durch das Bundesamt für Sicherheit in der Informationstechnik

Eingangsformel

Auf Grund des § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) verordnet das Bundesministerium des Innern nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie:

§ 1 Anwendungsbereich

Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) erteilt Zertifikate und Anerkennungen gemäß § 9 des BSI-Gesetzes nach dieser Verordnung.

§ 2 Antragsverfahren

Anträge müssen schriftlich eingereicht werden und den Namen und die Anschrift des Antragstellers sowie das Datum des Antrags enthalten.

§ 3 Vorlage und Aufbewahrung von Unterlagen und sonstigen Beweismitteln

(1) Der Antrag, die mit dem Antrag eingereichten Unterlagen und die im Zertifizierungs- oder Anerkennungsverfahren anfallenden Unterlagen werden beim Bundesamt elektronisch oder in Papierform gemäß den geltenden Bestimmungen aufbewahrt.
(2) Soweit der Antragsteller nach dieser Verordnung dazu berechtigt ist, dem Bundesamt Unterlagen oder sonstige Beweismittel nur zeitweise zur Verfügung zu stellen, hat er diese Unterlagen oder sonstigen Beweismittel nach der Inaugenscheinnahme durch das Bundesamt beim Antragsteller während des Antragsverfahrens und des Gültigkeitszeitraums der Zertifizierung oder der Anerkennung aufzubewahren. Nach Ablauf der Geltungsdauer der Zertifizierung oder der Anerkennung sind diese Unterlagen oder sonstigen Beweismittel für mindestens drei weitere Jahre aufzubewahren und dem Bundesamt jederzeit auf Anfrage kostenfrei zur Verfügung zu stellen.

§ 4 Prüfkriterien, Anforderungen, sachliche Geltungsbereiche

(1) Das Bundesamt bestimmt, soweit erforderlich, für Zertifizierungs- und Anerkennungsverfahren nach dieser Verordnung
1.
technische Geltungsbereiche,
2.
bedarfsgerechte Prüfkriterien (Sicherheitskriterien, Schutzprofile, Technische Richtlinien und BSI-Standards),
3.
Anforderungen an die Fachkunde, Ausstattung und Zuverlässigkeit und
4.
notwendige Nachweise
und veröffentlicht diese auf seiner Internetseite.
(2) Das Bundesamt bestimmt das Verfahren zur Erteilung von Zertifikaten und Anerkennungen nach dieser Verordnung und veröffentlicht hierzu Verfahrensbeschreibungen auf seiner Internetseite.
(3) Das Bundesamt sieht von der Veröffentlichung nach den Absätzen 1 und 2 ab, wenn durch die Veröffentlichung die öffentliche Sicherheit gefährdet würde. Das Bundesamt kann von der Veröffentlichung absehen, wenn durch die Veröffentlichung öffentliche Interessen oder die Sicherheit bestimmter Produkte, Komponenten, Produktkategorien oder Systeme beeinträchtigt würden oder die Prüfkriterien oder Verfahrensbeschreibungen als Verschlusssache eingestuft sind. Das Bundesamt gibt nicht veröffentlichte Prüfkriterien, Geltungsbereiche und Verfahrensbeschreibungen denjenigen, die als Antragsteller in Betracht kommen, bekannt, wenn diese gegenüber dem Bundesamt ein berechtigtes Interesse nachweisen und sich verpflichten, die notwendigen Sicherheitsvorkehrungen einzuhalten.

§ 5 Form der Entscheidungen; Anhörungspflicht

(1) Entscheidungen, mit denen abschließend über einen nach dieser Verordnung gestellten Antrag entschieden wird, sind schriftlich oder elektronisch zu erlassen.
(2) Vor der Ablehnung eines Antrags sind dem Antragsteller die Gründe der voraussichtlichen Ablehnung mitzuteilen. Innerhalb einer vom Bundesamt festgesetzten angemessenen Frist ist dem Antragsteller Gelegenheit zur Äußerung und zur Nachbesserung zu geben. § 28 Absatz 3 des Verwaltungsverfahrensgesetzes ist anzuwenden.
(3) Vor Erteilung eines Zertifikats oder einer Anerkennung mit Nebenbestimmungen nach § 22 ist der Antragsteller nach § 28 des Verwaltungsverfahrensgesetzes anzuhören.

§ 6 Mitwirkungsobliegenheit des Antragstellers

(1) Das Bundesamt stellt die Tatsachen fest, die notwendig sind, um den für die Zertifizierung oder Anerkennung relevanten Sachverhalt zu ermitteln. Es obliegt dem Antragsteller, die notwendigen Beweismittel zur Ermittlung des Sachverhaltes beizubringen. Das Bundesamt ist nicht verpflichtet, eigene Ermittlungen im Sinne des § 26 Absatz 1 des Verwaltungsverfahrensgesetzes anzustellen, kann aber auf ihm bereits vorliegende Erkenntnisse zurückgreifen.
(2) Dem Antragsteller obliegt es, im Rahmen seiner Mitwirkungsobliegenheiten die notwendige Mitwirkung etwaiger Dritter sicherzustellen.

§ 7 Veröffentlichung von Zertifikaten und Anerkennungen

(1) Das Bundesamt veröffentlicht mindestens vierteljährlich im Internet oder in anderen Medien Gesamtlisten oder seit der letzten Veröffentlichung geänderte oder hinzugefügte Listeneinträge der zertifizierten informationstechnischen Systeme, Standorte, Produkte, Komponenten und Schutzprofile sowie die zugehörigen Sicherheitszertifikate und Zertifizierungsreporte.
(2) Das Bundesamt veröffentlicht mindestens vierteljährlich im Internet oder in anderen Medien Gesamtlisten oder seit der letzten Veröffentlichung geänderte oder hinzugefügte Listeneinträge der zertifizierten Personen mit deren Adresse, mit den technischen Geltungsbereichen der Zertifizierung und mit der Geltungsdauer der Zertifizierung.
(3) Das Bundesamt veröffentlicht mindestens vierteljährlich im Internet oder in anderen Medien Gesamtlisten oder seit der letzten Veröffentlichung geänderte oder hinzugefügte Listeneinträge der zertifizierten IT-Sicherheitsdienstleister mit deren Adresse, mit den technischen Geltungsbereichen der Zertifizierung und mit der Geltungsdauer der Zertifizierung.
(4) Das Bundesamt veröffentlicht mindestens vierteljährlich im Internet oder in anderen Medien Gesamtlisten oder seit der letzten Veröffentlichung geänderte oder hinzugefügte Listeneinträge der anerkannten sachverständigen Stellen mit deren Adresse, mit den technischen Geltungsbereichen der Anerkennung und mit der Geltungsdauer der Anerkennung.
(5) Der Inhaber eines Zertifikats oder einer Anerkennung kann der Veröffentlichung nach den Absätzen 1 bis 4 widersprechen. Das Bundesamt sieht von der Veröffentlichung nach den Absätzen 1 bis 4 ab, soweit durch die Veröffentlichung die öffentliche Sicherheit beeinträchtigt werden könnte. Das Bundesamt kann von der Veröffentlichung nach den Absätzen 1 bis 4 ganz oder teilweise absehen, wenn durch die Veröffentlichung öffentliche oder private Interessen beeinträchtigt würden.

§ 8 Zertifizierung von informationstechnischen Produkten oder Komponenten

(1) Ein Antrag auf Zertifizierung von informationstechnischen Produkten oder Komponenten kann von einer natürlichen oder juristischen Person gestellt werden. Ist der Antragsteller nicht Hersteller des zu zertifizierenden Produkts oder der zu zertifizierenden Komponente oder von Teilen davon, so muss der Antragsteller dem Antrag eine Erklärung aller Hersteller des zu zertifizierenden Produkts oder der zu zertifizierenden Komponente beifügen, in der die Hersteller ihr Einverständnis mit dem Antrag erklären sowie ihre Bereitschaft zur Mitwirkung und ihr Einverständnis, den Antragsteller bei der Erfüllung von Auflagen oder sonstigen Nebenbestimmungen im Antragsverfahren und nach der Erteilung des Zertifikats zu unterstützen. § 13 Absatz 2 des Verwaltungsverfahrensgesetzes bleibt unberührt.
(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:
1.
Angaben über die nach § 4 Absatz 1 anzuwendenden Prüfkriterien und die angestrebte Bewertungsstufe,
2.
die genaue Bezeichnung des zu zertifizierenden Produkts oder der zu zertifizierenden Komponente,
3.
Angaben über Hersteller und Rechteinhaber des zu zertifizierenden Produkts oder der zu zertifizierenden Komponente,
4.
eine Darstellung des Entwicklungs- und Fertigungsstandes,
5.
die Angabe der vom Bundesamt anerkannten sachverständigen Stelle, die für die Prüfung und Bewertung vorgesehen ist,
6.
soweit vorhanden, Angaben über bereits erfolgte Prüfungen und Bewertungen durch andere sachverständige Stellen sowie
7.
die Zustimmung zur Veröffentlichung einer erteilten Zertifizierung nach § 7 Absatz 1 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.

§ 9 Zertifizierung von informationstechnischen Systemen

(1) Ein Antrag auf Zertifizierung von informationstechnischen Systemen kann nur von dem Betreiber des zu zertifizierenden Systems gestellt werden.
(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:
1.
Angaben zu den nach § 4 Absatz 1 anzuwendenden Prüfkriterien und die angestrebte Bewertungsstufe,
2.
die genaue Bezeichnung des zu zertifizierenden Systems,
3.
eine Darstellung des Entwicklungs- und Fertigungsstandes sowie Angaben über Hersteller und Rechteinhaber der verwendeten informationstechnischen Produkte,
4.
die Angabe der vom Bundesamt anerkannten sachverständigen Stelle, die für die Prüfung und Bewertung vorgesehen ist,
5.
soweit vorhanden, Angaben über Prüfungen und Bewertungen durch andere Personen oder sachverständige Stellen sowie
6.
die Zustimmung zur Veröffentlichung einer erteilten Zertifizierung nach § 7 Absatz 1 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.

§ 10 Zertifizierung von Schutzprofilen

(1) Ein Antrag auf Zertifizierung von Schutzprofilen kann nur von einer Vereinigung von Herstellern oder Anwendern von informationstechnischen Produkten, von einer Standardisierungsorganisation oder von einer Behörde gestellt werden.
(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:
1.
Angaben zu den nach § 4 Absatz 1 anzuwendenden Prüfkriterien und die angestrebte Bewertungsstufe,
2.
die genaue Bezeichnung des zu zertifizierenden Schutzprofils,
3.
soweit vorhanden, Angaben über den Autor des Schutzprofils, falls Autor und Antragsteller nicht identisch sind,
4.
die Einwilligung des Antragstellers und Rechteinhabers, das Schutzprofil kostenfrei bereitzustellen,
5.
die Angabe der vom Bundesamt anerkannten sachverständigen Stelle, die für die Prüfung und Bewertung vorgesehen ist, sowie
6.
die Zustimmung zur Veröffentlichung einer erteilten Zertifizierung nach § 7 Absatz 1 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.

§ 11 Mitwirkungsobliegenheiten

(1) Zur Zertifizierung von informationstechnischen Produkten oder Komponenten obliegt es dem Antragsteller, kostenfrei dem Bundesamt und der sachverständigen Stelle das zu zertifizierende Produkt oder die zu zertifizierende Komponente, die für dessen oder deren Betrieb notwendigen Einrichtungen und Rechte sowie die nach § 4 Absatz 1 erforderlichen Unterlagen und Beweismittel zur Verfügung zu stellen. Unterlagen und sonstige Beweismittel können beim Antragsteller in Augenschein genommen werden, wenn der Antragsteller glaubhaft macht, dass einer Weitergabe der Unterlagen oder Beweismittel wesentliche Interessen des Antragstellers entgegenstehen.
(2) Zur Zertifizierung von informationstechnischen Systemen obliegt es dem Antragsteller, dem Bundesamt und der sachverständigen Stelle kostenfrei Zugang zum installierten informationstechnischen System und zu den relevanten Standorten zu gewähren und die für die Prüfung notwendigen Rechte sowie die nach § 4 Absatz 1 erforderlichen Unterlagen und Nachweise zur Verfügung zu stellen.
(3) Zur Zertifizierung von Schutzprofilen obliegt es dem Antragsteller, dem Bundesamt und der beauftragten sachverständigen Stelle kostenfrei das zu zertifizierende Schutzprofil zur Verfügung zu stellen.
(4) Zur Durchführung des Zertifizierungsverfahrens obliegt es dem Antragsteller, das Bundesamt und die beauftragte sachverständige Stelle kostenfrei durch fachkompetente Vertreter zu unterstützen. Soweit notwendig, obliegt es dem Antragsteller, kostenfrei das mit der Prüfung, Bewertung und Zertifizierung befasste Personal produkt-, komponenten- oder systembezogen einzuweisen oder Schulungen durchzuführen.

§ 12 Zertifikat

(1) Ein Zertifikat nach § 9 Absatz 4 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass das geprüfte informationstechnische Produkt, die informationstechnische Komponente, das informationstechnische System oder das Schutzprofil die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Das Zertifikat ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Das Zertifikat für informationstechnische Produkte, Systeme, Komponenten sowie für Schutzprofile enthält:
1.
die Zertifizierungsnummer,
2.
die Angabe der Prüfkriterien, soweit sie bekannt gemacht sind,
3.
den Namen der vom Bundesamt anerkannten sachverständigen Stelle, deren Prüfung und Bewertung der Zertifizierung zugrunde gelegt wurde,
4.
etwaige Nebenbestimmungen nach § 22,
5.
Ausstellungsort und -datum des Sicherheitszertifikats sowie
6.
die Geltungsdauer des Sicherheitszertifikats.
Dem Sicherheitszertifikat wird ein Zertifizierungsbericht beigefügt.
(4) Das Zertifikat für informationstechnische Produkte oder Komponenten enthält zusätzlich zu Absatz 3 folgende Angaben:
1.
die Bezeichnung, die Beschreibung und die Angabe des Herstellers des geprüften Produkts oder der Komponente,
2.
die Angabe der zum geprüften Produkt oder zur Komponente gehörenden Dokumentationen,
3.
die Beschreibung der Sicherheitsfunktionen und
4.
die erreichte Bewertungsstufe oder den Prüfumfang.
(5) Das Zertifikat für informationstechnische Systeme enthält zusätzlich zu Absatz 3 folgende Angaben:
1.
die Bezeichnung und die Beschreibung des geprüften Systems und der relevanten Standorte und
2.
soweit erforderlich, die Angabe der zum geprüften System und Standort gehörenden sicherheitsrelevanten Dokumentationen.
(6) Das Zertifikat für Schutzprofile enthält zusätzlich zu Absatz 3 folgende Angaben:
1.
die Bezeichnung und die Beschreibung des geprüften Schutzprofils und
2.
die erreichte Bewertungsstufe oder den Prüfumfang.
(7) Das Bundesamt kann jederzeit anlassbezogen überprüfen, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. Das Bundesamt entwickelt für die Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.

§ 13 Rückgabe von informationstechnischen Produkten oder Komponenten

Vom Antragsteller an das Bundesamt übergebene informationstechnische Produkte oder Komponenten werden dem Antragsteller am Ort der Prüfung zurückgegeben. Das Bundesamt kann mit dem Antragsteller vereinbaren, dass das Produkt oder die Komponente beim Bundesamt aufbewahrt wird.

§ 14 Antrag

(1) Ein Antrag auf Zertifizierung einer Person kann nur von der Person gestellt werden, die die Zertifizierung erhalten möchte.
(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:
1.
Angaben über den oder die beantragten technischen Geltungsbereiche,
2.
die für diesen technischen Geltungsbereich geforderten Nachweise nach § 4 Absatz 1 und
3.
die Zustimmung zur Veröffentlichung einer erteilten Zertifizierung nach § 7 Absatz 2 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.

§ 15 Zertifikat

(1) Ein Zertifikat für Personen nach § 9 Absatz 5 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass die zu zertifizierende Person die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Das Zertifikat ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Das Personenzertifikat enthält folgende Angaben:
1.
Den Namen und die Adresse der zertifizierten Person,
2.
die Zertifizierungsnummer,
3.
die Geltungsdauer der Zertifizierung,
4.
den technischen Geltungsbereich der Zertifizierung unter Verweis auf die zugrunde gelegten Standardisierungsnormen,
5.
die Angabe der Standardisierungsnormen, die der Evaluierung der Person zugrunde lagen,
6.
etwaige Nebenbestimmungen nach § 22 sowie
7.
Ausstellungsort und -datum des Zertifikats.
(4) Das Bundesamt überprüft regelmäßig, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.

§ 16 Antrag

(1) Ein Antrag auf Zertifizierung als IT-Sicherheitsdienstleister kann nur von dem IT-Sicherheitsdienstleister gestellt werden, der die Zertifizierung erhalten möchte.
(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:
1.
Angaben zur Rechtsform, Unternehmensstruktur und zu Beteiligungen des Antragstellers,
2.
Angaben über die beantragten sachlichen Geltungsbereiche der Zertifizierung,
3.
eine Aufstellung der verantwortlichen Mitarbeiter des Antragstellers und ihres jeweiligen Verantwortungsbereiches,
4.
Angaben zum Qualitäts- und Informationssicherheitsmanagement sowie, soweit erforderlich, Angaben zur Geheimschutzbetreuung,
5.
die Erklärung zur Unabhängigkeit oder Objektivität bezüglich der vorgesehenen Tätigkeiten im Geltungsbereich und
6.
die Zustimmung zur Veröffentlichung einer erteilten Zertifizierung nach § 7 Absatz 3 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.

§ 17 Mitwirkungsobliegenheiten

(1) Es obliegt dem Antragsteller, im Rahmen des Verfahrens dem Bundesamt oder den vom Bundesamt beauftragten Personen, soweit erforderlich, kostenfrei Zugang zu den Standorten, zu den zur Prüfung vorgesehenen Systemen und zu den Unterlagen nach § 4 zu gewähren.
(2) Während des Verfahrens obliegt es dem Antragsteller, das Bundesamt oder die vom Bundesamt beauftragten Personen kostenfrei durch fachkompetente Vertreter zu unterstützen.

§ 18 Zertifikat

(1) Ein Zertifikat als IT-Sicherheitsdienstleister nach § 9 Absatz 5 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass der IT-Sicherheitsdienstleister die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Die Zertifizierung ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Das Zertifikat enthält folgende Angaben:
1.
Den Namen des IT-Sicherheitsdienstleisters und die Adressen aller zertifizierten Standorte,
2.
die Zertifizierungsnummer,
3.
die Geltungsdauer der Zertifizierung,
4.
den technischen Geltungsbereich oder die technischen Geltungsbereiche der Zertifizierung unter Verweis auf die zugrunde gelegten Standardisierungsnormen,
5.
die Angabe der Standardisierungsnormen, die der Begutachtung des IT-Sicherheitsdienstleisters zugrunde lagen,
6.
etwaige Nebenbestimmungen nach § 22 sowie
7.
Ausstellungsort und -datum des Zertifikats.
(4) Das Bundesamt überprüft regelmäßig, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.

§ 19 Antrag

(1) Ein Antrag auf Anerkennung als sachverständige Stelle kann nur von der Stelle gestellt werden, die die Anerkennung erhalten möchte.
(2) Der Antrag muss neben den nach § 2 erforderlichen Angaben Folgendes enthalten:
1.
Angaben zur Rechtsform, Unternehmensstruktur und zu Beteiligungen der Stelle,
2.
Angaben über die beantragten technischen Geltungsbereiche der Anerkennung,
3.
eine Aufstellung der verantwortlichen Mitarbeiter der Stelle und ihres jeweiligen Verantwortungsbereiches,
4.
Angaben zum Qualitäts- und Informationssicherheitsmanagement sowie, soweit vorhanden, Angaben zur Geheimschutzbetreuung,
5.
eine Erklärung zur Unabhängigkeit oder Objektivität der Stelle bezüglich der vorgesehenen Tätigkeiten im Geltungsbereich und
6.
die Zustimmung zur Veröffentlichung einer ausgesprochenen Anerkennung nach § 7 Absatz 4 oder den Widerspruch gegen die Veröffentlichung nach § 7 Absatz 5 Satz 1.
(3) Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an einer Anerkennung ein öffentliches Interesse besteht.

§ 20 Mitwirkungsobliegenheiten

(1) Es obliegt dem Antragsteller, im Rahmen des Verfahrens dem Bundesamt oder den vom Bundesamt beauftragten Personen, soweit erforderlich, kostenfrei Zugang zu den Standorten, zu den zur Prüfung vorgesehenen Systemen und zu den Unterlagen nach § 4 zu gewähren.
(2) Während des Verfahrens obliegt es dem Antragsteller, das Bundesamt oder die vom Bundesamt beauftragten Personen kostenfrei durch fachkompetente Vertreter zu unterstützen.

§ 21 Anerkennung

(1) Eine Anerkennung nach § 9 Absatz 6 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle die Prüfkriterien nach § 4 Absatz 1 erfüllen, und
2.
das Bundesministerium des Innern nach § 9 Absatz 6 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Die Anerkennung ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Die Anerkennung enthält folgende Angaben:
1.
den Name und die Adresse der anerkannten sachverständigen Stelle und aller anerkannten Standorte,
2.
die Anerkennungsnummer,
3.
die Geltungsdauer der Anerkennung,
4.
den technischen Geltungsbereich oder die technischen Geltungsbereiche der Anerkennung unter Verweis auf die zugrunde gelegten Standardisierungsnormen,
5.
die Angabe der Standardisierungsnormen, die der Begutachtung der Stelle zugrunde lagen,
6.
etwaige Nebenbestimmungen nach § 22 sowie
7.
Ausstellungsort und -datum der Anerkennungsurkunde.
(4) Das Bundesamt überprüft regelmäßig nach § 9 Absatz 6 Satz 2 des BSI-Gesetzes, ob die Voraussetzungen für die Anerkennung nach Absatz 1 weiterhin vorliegen. Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.

§ 22 Nebenbestimmungen

(1) Ein Zertifikat nach § 12, § 15 und § 18 sowie eine Anerkennung nach § 21 kann unter dem Vorbehalt des Widerrufs erlassen werden.
(2) Ein Zertifikat nach § 12, § 15 und § 18 sowie eine Anerkennung nach § 21 kann mit Nebenbestimmungen, insbesondere mit Auflagen oder Befristungen, erlassen werden. Insbesondere kann bestimmt werden, dass
1.
der Inhaber des Zertifikats oder der Anerkennung bei der Nutzung des Zertifikats oder der Anerkennung, insbesondere bei der Verwendung zu Werbezwecken, Vorlage und Nachweisführung, auf näher bestimmte, in Zusammenhang mit der Zertifizierung oder Anerkennung ausgestellte Begleitdokumente hinweisen und diese zur Verfügung stellen muss,
2.
der Inhaber des Zertifikats unaufgefordert das Bundesamt informieren muss, wenn sich die Sicherheitseigenschaften des Zertifizierungsgegenstandes ändern,
3.
der Inhaber des Zertifikats oder der Anerkennung regelmäßig oder anlassbezogen auf seine Kosten durch das Bundesamt oder durch von diesem beauftragte Personen oder Stellen überprüfen lassen muss, ob die Voraussetzungen zur Zertifizierung von Produkten (zum Beispiel nach Common Criteria) oder Anerkennung weiterhin vorliegen,
4.
eine Zertifizierung von der Gültigkeit eines Schutzprofils oder einer technischen Richtlinie abhängig ist,
5.
in den Fällen des § 15, § 18 oder § 21 der Antragsteller dem Bundesamt unverzüglich schriftlich mitteilen muss, wenn sich seine Arbeitsweise oder seine Unternehmensform wesentlich ändert oder sich sein Unternehmenssitz ändert,
6.
in den Fällen des § 15, § 18 oder § 21 der Antragsteller an vom Bundesamt angebotenen Arbeitstreffen zum technischen Geltungsbereich der Zertifizierung oder Anerkennung teilnehmen muss,
7.
in den Fällen des § 18 oder § 21 der Antragsteller eine bestimmte Zahl von nach § 15 zertifizierten Personen für den jeweiligen Geltungsbereich beschäftigen muss.

§ 23 Inkrafttreten, Außerkrafttreten

Diese Verordnung tritt am Tag nach der Verkündung in Kraft. Gleichzeitig tritt die BSI-Zertifizierungsverordnung vom 7. Juli 1992 (BGBl. I S. 1230) außer Kraft.