Was ist das neue IT-Sicherheitskennzeichen des BSI?
Mit Ende des Jahres 2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues, freiwilliges IT-Sicherheitskennzeichen eingeführt. Es schafft Transparenz und soll Verbraucherinnen und Verbrauchern zeigen, dass sich der Hersteller eines Produkts freiwillig dazu verpflichtet hat, die IT-Sicherheitsanforderungen des BSI einzuhalten. Grundlegende Sicherheitseigenschaften digitaler Produkte sollen mit Hilfe des Kennzeichens auf einen Blick erkennbar werden.
Gesetzliche Grundlage für die Erteilung des Kennzeichens ist das IT-Sicherheitsgesetz 2.0. Es handelt sich um ein reines Verbraucher-Label, es kann also für Produkte und Dienstleistungen für den Verbrauchermarkt beantragt werden.
Wer kann das IT-Sicherheitskennzeichen beantragen?
Das Label kann derzeit freiwillig von Anbietern für E-Mail-Dienstleistungen und von Router-Herstellern beantragt werden. Wie das BSI mitteilt, sind bereits zahlreiche Anträge in Bearbeitung.
Künftig soll es auch für Hersteller anderer Produktkategorien aus dem Bereich Internet of Things möglich werden, ein das IT-Sicherheitskennzeichen zu erhalten. Der zugrundeliegende Standard ist die europäische Norm ETSI EN 303 645.
Das Kennzeichen ist nach Bewilligung des Antrages im Regelfall für mindestens zwei Jahre gültig.
Wie kann das Sicherheitskennzeichen beantragt werden?
Aktuell können Hersteller von Breitbandroutern oder E-Mail-Dienstleistungen das Sicherheitskennzeichen beantragen. Die Antragstellung kann per Post oder auch per E-Mail erfolgen. Sie reichen dazu die vollständigen Antragsunterlagen zum Sicherheitskennzeichen beim BSI ein.
Genauere Informationen zur Antragstellung finden Sie auf der Website des BSI. Die detaillierte ↓ Verfahrensbeschreibung zur Erteilung IT-Sicherheitskennzeichen stellt das BSI als PDF zur Verfügung.
Die Erteilung des Kennzeichens ist an eine Plausibilitätsprüfung gebunden, in deren Rahmen das BSI prüft, ob die Konformität mit Sicherheitsanforderungen des Standards plausibel und nachvollziehbar zugesichert wird. Vorab müssen die Unternehmen die Anforderungen selbst geprüft haben.
Nach der Erteilung veröffentlicht das BSI eine individuelle Produktinformationsseite auf der der Verbraucher:innen das Herstellerversprechen und aktuelle Informationen zur Sicherheit des Produkts erhält. Über die Laufzeit eines IT-Sicherheitskennzeichens, kontrolliert die BSI Marktaufsicht stichprobenartig oder anlassbezogen, ob die erklärten Sicherheitseigenschaften tatsächlich eingehalten werden.
Wie hoch sind die Kosten für das Kennzeichen?
Im Rahmen der Plausibilitätsprüfung fallen für das Siegel Verwaltungskosten an (§ 9c Abs. 5 IT-SiG 2.0). Eine darüber hinausgehende Gebühr wird nicht erhoben.
Je nach Prüfungsaufwand liegen die Kosten im dreistelligen oder niedrigen vierstelligen Bereich.
Ausblick
Das Kennzeichen ist ein wichtiger Schritt, zur Erhöhung der Transparenz von Sicherheitseigenschaften für IT-Produkte auf dem deutschen Verbrauchermarkt, der immer mehr vernetzte Geräte und Dienstleistungen umfasst. Gleichzeitig werden Unternehmen dazu motiviert, die IT-Sicherheit schon während des Entwicklungsprozess zu berücksichtigen und ihre Produkte standardmäßig in einem sicheren Zustand auszuliefern.
Mehr Informationen zum IT-Sicherheitskennzeichen erhalten Sie auf der Website des BSI unter www.bsi.bund.de/IT-SiK.
