Tools:
Update via:
Synopse aller Änderungen der BSIZertV am 06.12.2025
Diese Gegenüberstellung vergleicht die jeweils alte Fassung (linke Spalte) mit der neuen Fassung (rechte Spalte) aller am 6. Dezember 2025 durch Artikel 7 des NIS2-RLUG geänderten Einzelnormen. Synopsen für andere Änderungstermine finden Sie in der Änderungshistorie der BSIZertV.Hervorhebungen: alter Text, neuer Text
Änderung verpasst?
| BSIZertV a.F. (alte Fassung) in der vor dem 06.12.2025 geltenden Fassung | BSIZertV n.F. (neue Fassung) in der am 06.12.2025 geltenden Fassung durch Artikel 7 G. v. 02.12.2025 BGBl. 2025 I Nr. 301 |
|---|---|
(Textabschnitt unverändert) Eingangsformel 1) | |
| (Text alte Fassung) Auf Grund des § 10 Absatz 1 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) verordnet das Bundesministerium des Innern nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie: --- 1) Notifiziert gemäß der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 204 vom 21.07.1998, S. 37), zuletzt geändert durch Artikel 26 Absatz 2 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 (ABl. L 316 vom 14.11.2012, S. 12). | (Text neue Fassung) Auf Grund des § 56 Absatz 1 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2) verordnet das Bundesministerium des Innern nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie: --- 1) Notifiziert gemäß der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 204 vom 21.07.1998, S. 37), zuletzt geändert durch Artikel 26 Absatz 2 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 (ABl. L 316 vom 14.11.2012, S. 12). |
§ 1 Anwendungsbereich | |
| Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) erteilt Zertifikate und Anerkennungen gemäß § 9 des BSI-Gesetzes nach dieser Verordnung. | Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) erteilt Zertifikate und Anerkennungen gemäß § 52 des BSI-Gesetzes nach dieser Verordnung. |
§ 12 Zertifikat | |
| (1) Ein Zertifikat nach § 9 Absatz 4 des BSI-Gesetzes wird erteilt, wenn | (1) Ein Zertifikat nach § 52 Absatz 4 des BSI-Gesetzes wird erteilt, wenn |
1. die Prüfung und die Bewertung ergeben, dass das geprüfte informationstechnische Produkt, die informationstechnische Komponente, das informationstechnische System oder das Schutzprofil die Prüfkriterien nach § 4 Absatz 1 erfüllt, und 2. das Bundesministerium des Innern, für Bau und Heimat nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen. (2) 1 Das Zertifikat ist vom Bundesamt zu befristen. 2 Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest. (3) 1 Das Zertifikat für informationstechnische Produkte, Systeme, Komponenten sowie für Schutzprofile enthält: 1. die Zertifizierungsnummer, 2. die Angabe der Prüfkriterien, soweit sie bekannt gemacht sind, 3. den Namen der vom Bundesamt anerkannten sachverständigen Stelle, deren Prüfung und Bewertung der Zertifizierung zugrunde gelegt wurde, 4. etwaige Nebenbestimmungen nach § 22, 5. Ausstellungsort und -datum des Sicherheitszertifikats sowie 6. die Geltungsdauer des Sicherheitszertifikats. 2 Dem Sicherheitszertifikat wird ein Zertifizierungsbericht beigefügt. (4) Das Zertifikat für informationstechnische Produkte oder Komponenten enthält zusätzlich zu Absatz 3 folgende Angaben: 1. die Bezeichnung, die Beschreibung und die Angabe des Herstellers des geprüften Produkts oder der Komponente, 2. die Angabe der zum geprüften Produkt oder zur Komponente gehörenden Dokumentationen, 3. die Beschreibung der Sicherheitsfunktionen und 4. die erreichte Bewertungsstufe oder den Prüfumfang. (5) Das Zertifikat für informationstechnische Systeme enthält zusätzlich zu Absatz 3 folgende Angaben: 1. die Bezeichnung und die Beschreibung des geprüften Systems und der relevanten Standorte und 2. soweit erforderlich, die Angabe der zum geprüften System und Standort gehörenden sicherheitsrelevanten Dokumentationen. (6) Das Zertifikat für Schutzprofile enthält zusätzlich zu Absatz 3 folgende Angaben: 1. die Bezeichnung und die Beschreibung des geprüften Schutzprofils und 2. die erreichte Bewertungsstufe oder den Prüfumfang. (7) 1 Das Bundesamt kann jederzeit anlassbezogen überprüfen, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. 2 Das Bundesamt entwickelt für die Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite. | |
§ 15 Zertifikat | |
| (1) Ein Zertifikat für Personen nach § 9 Absatz 5 des BSI-Gesetzes wird erteilt, wenn | (1) Ein Zertifikat für Personen nach § 52 Absatz 6 des BSI-Gesetzes wird erteilt, wenn |
1. die Prüfung und die Bewertung ergeben, dass die zu zertifizierende Person die Prüfkriterien nach § 4 Absatz 1 erfüllt, und | |
| 2. das Bundesministerium des Innern, für Bau und Heimat nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen. | 2. das Bundesministerium des Innern, für Bau und Heimat nach § 52 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen. |
(2) 1 Das Zertifikat ist vom Bundesamt zu befristen. 2 Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest. (3) Das Personenzertifikat enthält folgende Angaben: 1. Den Namen und die Adresse der zertifizierten Person, 2. die Zertifizierungsnummer, 3. die Geltungsdauer der Zertifizierung, 4. den technischen Geltungsbereich der Zertifizierung unter Verweis auf die zugrunde gelegten Standardisierungsnormen, 5. die Angabe der Standardisierungsnormen, die der Evaluierung der Person zugrunde lagen, 6. etwaige Nebenbestimmungen nach § 22 sowie 7. Ausstellungsort und -datum des Zertifikats. (4) 1 Das Bundesamt überprüft regelmäßig, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. 2 Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. 3 Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite. | |
§ 18 Zertifikat | |
| (1) Ein Zertifikat als IT-Sicherheitsdienstleister nach § 9 Absatz 5 des BSI-Gesetzes wird erteilt, wenn | (1) Ein Zertifikat als IT-Sicherheitsdienstleister nach § 52 Absatz 6 des BSI-Gesetzes wird erteilt, wenn |
1. die Prüfung und die Bewertung ergeben, dass der IT-Sicherheitsdienstleister die Prüfkriterien nach § 4 Absatz 1 erfüllt, und | |
| 2. das Bundesministerium des Innern, für Bau und Heimat nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen. | 2. das Bundesministerium des Innern, für Bau und Heimat nach § 52 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen. |
(2) 1 Die Zertifizierung ist vom Bundesamt zu befristen. 2 Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest. (3) Das Zertifikat enthält folgende Angaben: 1. Den Namen des IT-Sicherheitsdienstleisters und die Adressen aller zertifizierten Standorte, 2. die Zertifizierungsnummer, 3. die Geltungsdauer der Zertifizierung, 4. den technischen Geltungsbereich oder die technischen Geltungsbereiche der Zertifizierung unter Verweis auf die zugrunde gelegten Standardisierungsnormen, 5. die Angabe der Standardisierungsnormen, die der Begutachtung des IT-Sicherheitsdienstleisters zugrunde lagen, 6. etwaige Nebenbestimmungen nach § 22 sowie 7. Ausstellungsort und -datum des Zertifikats. (4) 1 Das Bundesamt überprüft regelmäßig, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. 2 Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. 3 Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite. | |
§ 21 Anerkennung | |
| (1) Eine Anerkennung nach § 9 Absatz 6 des BSI-Gesetzes wird erteilt, wenn | (1) Eine Anerkennung nach § 52 Absatz 7 des BSI-Gesetzes wird erteilt, wenn |
1. die Prüfung und die Bewertung ergeben, dass die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle die Prüfkriterien nach § 4 Absatz 1 erfüllen, und | |
| 2. das Bundesministerium des Innern, für Bau und Heimat nach § 9 Absatz 6 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen. | 2. das Bundesministerium des Innern, für Bau und Heimat nach § 52 Absatz 7 Satz 1 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen. |
(2) 1 Die Anerkennung ist vom Bundesamt zu befristen. 2 Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest. (3) Die Anerkennung enthält folgende Angaben: 1. den Name und die Adresse der anerkannten sachverständigen Stelle und aller anerkannten Standorte, 2. die Anerkennungsnummer, 3. die Geltungsdauer der Anerkennung, 4. den technischen Geltungsbereich oder die technischen Geltungsbereiche der Anerkennung unter Verweis auf die zugrunde gelegten Standardisierungsnormen, 5. die Angabe der Standardisierungsnormen, die der Begutachtung der Stelle zugrunde lagen, 6. etwaige Nebenbestimmungen nach § 22 sowie 7. Ausstellungsort und -datum der Anerkennungsurkunde. | |
(4) 1 Das Bundesamt überprüft regelmäßig nach § 9 Absatz 6 Satz 2 des BSI-Gesetzes, ob die Voraussetzungen für die Anerkennung nach Absatz 1 weiterhin vorliegen. 2 Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. 3 Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite. | (4) 1 Das Bundesamt überprüft regelmäßig nach § 52 Absatz 7 Satz 2 des BSI-Gesetzes, ob die Voraussetzungen für die Anerkennung nach Absatz 1 weiterhin vorliegen. 2 Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. 3 Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite. |
Link zu dieser Seite: https://www.buzer.de/gesetz/11416/v334380-2025-12-06.htm