technology protection concept cybersecurity
sasun Bughdaryan / stock.adobe.com
30.07.2021 Fachinformation

Mehr digitaler Verbraucherschutz: Das neue IT-Sicherheitskennzeichen kommt

Den Zielen der nationalen Cyber-Sicherheitsstrategie 2016 und 2021 folgend betrifft IT-Sicherheit nicht mehr nur Konzerne und Kritische Infrastrukturen, sondern verstärkt auch Verbraucher. Mit dem neuen IT-Sicherheitsgesetz 2.0 wurde speziell zur Beförderung digitaler Verbrauchersicherheit die gesetzliche Grundlage für ein neues, freiwilliges IT-Sicherheitskennzeichen geschaffen, das in § 9c BSIG geregelt ist. Ziel der neuen Kennzeichnung: Dem Verbraucher gegenüber für bestimmte Produktkategorien die IT-Sicherheit möglichst transparent, verständlich, verlässlich und aktuell abzubilden.


Kontakt
Prof. Dr. jur. Dennis-Kenji Kipker

Die einheitliche Kennzeichnung zur IT-Sicherheit besteht aus zwei Teilen:

  • einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt (Herstellererklärung)
  • einer Information des BSI über sicherheitsrelevante IT-Eigenschaften des Produkts (Sicherheitsinformation).

Ziel der Kennzeichnung ist es, dem Verbraucher gegenüber für bestimmte Produktkategorien die IT-Sicherheit möglichst transparent, verständlich, verlässlich und aktuell abzubilden. Schon zum Jahresende 2021 soll die Antragstellung für das IT-Sicherheitskennzeichen für folgende erste Produktkategorien möglich sein:

  • Breitbandrouter, auf Basis von BSI TR-03148
  • E-Mail-Dienste, auf Basis von BSI TR-03108

Die Erteilung des IT-Sicherheitskennzeichens untergliedert sich in folgende Schritte:

  1. Zunächst ist vom Unternehmen ein Antrag zu stellen, der auf der Website des BSI heruntergeladen werden kann. Vor der Antragstellung ist durch das einreichende Unternehmen für das entsprechende Produkt zu überprüfen, ob dieses im Rahmen der Herstellererklärung die für die jeweilige Produktkategorie festgelegten Anforderungen erfüllt.
  2. Dann findet eine Vollständigkeits- und Plausibilitätsprüfung des Antrags und der Herstellererklärung durch das BSI statt.
  3. Falls die behördliche Plausibilitätsprüfung zu einem positiven Ergebnis gelangt, wird vom BSI ein Bescheid ausgestellt, der zur Nutzung des beantragten IT-Sicherheitskennzeichens für eine festgelegte Laufzeit berechtigt. Mit der Ausstellung einher geht die Verwendungsmöglichkeit eines nutzbaren Kennzeichens, das auf Produkt oder Umverpackung angebracht werden kann. Die Produkteigenschaften können überdies auf einer produktspezifischen Website des BSI eingesehen werden, die über einen in das Kennzeichen integrierten QR-Code abgerufen werden kann.
  4. Nach Erteilung des Kennzeichens wird im Rahmen der nachgelagerten Marktaufsicht geprüft, ob das Produkt die in der Herstellererklärung bestätigten Eigenschaften während der Laufzeit des IT-Sicherheitskennzeichens nach wie vor erfüllt. Auch können anlassbezogene Überprüfungen durchgeführt werden, falls dem BSI Tatsachen bekannt werden, die darauf schließen lassen, dass das gegebene Herstellerversprechen nicht erfüllt werden könnte. Bei der Feststellung von Abweichungen kann das BSI unter anderem Informationen über diese Abweichungen veröffentlichen oder die Freigabe des IT-Sicherheitskennzeichens widerrufen. Zuvor ist dem Hersteller grundsätzlich die Möglichkeit einzuräumen, eventuelle Abweichungen zu beseitigen.

Die weiteren Anforderungen zur konkreten Ausgestaltung des IT-Sicherheitskennzeichens ergeben sich gemäß § 10 Abs. 3 BSIG aus einer Rechtsverordnung des Bundesministeriums des Innern, deren Referentenentwurf am 28. Juli 2021 veröffentlicht wurde („Rechtsverordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik“: Rechtsverordnung IT-Sicherheitskennzeichen – BSI-ITSiKV).
Aktuelle Informationen zum IT-Sicherheitskennzeichen und zur Antragstellung finden sich auf der Website des BSI.