Tools:
Update via:
Synopse aller Änderungen der BSI-ITSiKV am 06.12.2025
Diese Gegenüberstellung vergleicht die jeweils alte Fassung (linke Spalte) mit der neuen Fassung (rechte Spalte) aller am 6. Dezember 2025 durch Artikel 9 des NIS2-RLUG geänderten Einzelnormen. Synopsen für andere Änderungstermine finden Sie in der Änderungshistorie der BSI-ITSiKV.Hervorhebungen: alter Text, neuer Text
Änderung verpasst?
| BSI-ITSiKV a.F. (alte Fassung) in der vor dem 06.12.2025 geltenden Fassung | BSI-ITSiKV n.F. (neue Fassung) in der am 06.12.2025 geltenden Fassung durch Artikel 9 G. v. 02.12.2025 BGBl. 2025 I Nr. 301 |
|---|---|
(Textabschnitt unverändert) Eingangsformel | |
| (Text alte Fassung) Auf Grund des § 10 Absatz 3 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), der durch Artikel 1 Nummer 21 des Gesetzes vom 18. Mai 2021 (BGBl. I S. 1122) eingefügt worden ist, verordnet das Bundesministerium des Innern, für Bau und Heimat im Einvernehmen mit dem Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesministerium für Wirtschaft und Energie: | (Text neue Fassung) Auf Grund des § 56 Absatz 2 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2) verordnet das Bundesministerium des Innern im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie und dem Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit: |
§ 2 Begriffsbestimmungen | |
Im Sinne dieser Verordnung ist oder sind: 1. Hersteller jede juristische oder natürliche Person, die einen Dienst anbietet oder ein Produkt herstellt beziehungsweise entwickeln oder herstellen lässt und dieses Produkt oder diesen Dienst unter ihrem eigenen Namen oder ihrer eigenen Marke vermarktet; nicht erfasst sind die Hersteller einzelner Teile oder Komponenten davon; 2. Verkäufer jede juristische oder natürliche Person, die gewerblich ein Produkt unmittelbar Verbrauchern und Verbraucherinnen auf dem Markt bereitstellt; 3. Branche die Unternehmen und Organisationen und ihre Verbände, die für den jeweiligen Wirtschaftsbereich Produkte oder Dienstleistungen im Geltungsbereich dieses Gesetzes herstellen oder vertreiben; 4. branchenabgestimmte IT-Sicherheitsvorgabe | |
| ein Anforderungskatalog, der von einer Branche erstellt und gepflegt wird und dessen Geeignetheit das Bundesamt nach § 9c Absatz 3 Satz 1 des BSI-Gesetzes festgestellt hat; | ein Anforderungskatalog, der von einer Branche erstellt und gepflegt wird und dessen Geeignetheit das Bundesamt nach § 55 Absatz 3 Satz 1 des BSI-Gesetzes festgestellt hat; |
5. geeignete und qualifizierte Dritte juristische oder natürliche Personen, die aufgrund ihrer fachlichen Qualifikation eine Aussage darüber treffen können, ob Sicherheitsversprechen eines Produktes eingehalten werden oder bestimmte Eigenschaften nachgewiesen werden können; 6. Plausibilitätsprüfung die Sichtung der Herstellererklärung, der Angaben des Herstellers im Antrag und eventueller Unterlagen zur Ermittlung, ob die Konformität mit den vom Bundesamt festgelegten Sicherheitsanforderungen plausibel und nachvollziehbar zugesichert wird; 7. Produktkategorie ein durch das Bundesamt festgelegter Oberbegriff für die Erfassung einer Gruppe von vergleichbaren informationstechnischen Produkten in einem eingrenzbaren Bereich; 8. zugehörige Internetseite der für das einzelne Produkt angepasste Zielbereich auf der Internetseite des Bundesamtes, auf der Informationen zu diesem Produkt vorgehalten werden; 9. Etikett die physische oder elektronische Kennzeichnung am Produkt oder seiner Umverpackung, welche produktspezifisch mit dem Verweis auf die zugehörige Internetseite angepasst wird. | |
§ 3 Gestaltung des Etiketts und der Internetseite zum IT-Sicherheitskennzeichen | |
| (1) 1 Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und der Sicherheitsinformation nach § 9c Absatz 2 des BSI-Gesetzes, auf die beide auf dem Etikett verwiesen wird. 2 Das Etikett versetzt den Verbraucher in die Lage, sich ohne erhebliche Hürden mittels gängiger technischer Hilfsmittel über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehenden aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren. | (1) 1 Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und der Sicherheitsinformation nach § 55 Absatz 2 des BSI-Gesetzes, auf die beide auf dem Etikett verwiesen wird. 2 Das Etikett versetzt den Verbraucher in die Lage, sich ohne erhebliche Hürden mittels gängiger technischer Hilfsmittel über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehenden aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren. |
(2) Das Etikett hat dafür jedenfalls zwingend zu umfassen: 1. einen Verweis auf die zugehörige Internetseite des Bundesamtes nach Absatz 4; 2. die Nennung des Bundesamtes. (3) Das Etikett kann durch das Bundesamt mit einer grafischen Darstellung ausgestaltet werden, um mittels dieser bildlich für den Verbraucher einen sofortigen Wiedererkennungswert zu erzeugen. (4) 1 Auf der Internetseite des Bundesamtes sind die Herstellererklärung und die Sicherheitsinformation in aktueller Fassung mit der Laufzeit des Kennzeichens abrufbar. 2 Der Hersteller stellt dem Bundesamt hierfür in eigener Verantwortung aktuelle Sicherheitsinformationen zur Konformität des Produktes zur Verfügung, die das Bundesamt auf der zugehörigen Internetseite einstellt. 3 Das Bundesamt kann zudem weitere Informationen über sicherheitsrelevante IT-Eigenschaften und darüber, ob und inwieweit die Herstellererklärung nach derzeitiger Kenntnis eingehalten wird, einstellen. (5) Das Bundesamt kann eine Applikation zur Verfügung stellen, in der die Informationen zum Herstellerversprechen von Produkten bereitgestellt und abgerufen werden können. | |
§ 5 Antragsprüfung | |
(1) 1 Das Bundesamt führt anhand der eingereichten Unterlagen eine Plausibilitätsprüfung durch. 2 Die Prüfung erfolgt innerhalb der nach § 11 Absatz 1 festgelegten Prüfungsfrist und anhand einer Verfahrensbeschreibung zum Ablauf des Prüfverfahrens, die vom Bundesamt veröffentlicht wird. (2) Das Bundesamt kann die Überprüfung von Herstellerdokumenten auf qualifizierte Dritte im Sinne des § 2 Nummer 5 übertragen. (3) Ist für ein Produkt eine geeignete branchenabgestimmte IT-Sicherheitsvorgabe nach § 10 einschlägig, sind für die Plausibilitätsprüfung die Vorgaben dieses Standards ausschlaggebend. | |
| (4) Liegen die gesetzlichen Voraussetzungen gemäß § 9c Absatz 5 BSIG vor, erteilt das Bundesamt die Freigabe zur Nutzung des IT-Sicherheitskennzeichens. | (4) Liegen die gesetzlichen Voraussetzungen gemäß § 55 Absatz 5 des BSI-Gesetzes vor, erteilt das Bundesamt die Freigabe zur Nutzung des IT-Sicherheitskennzeichens. |
(5) 1 Das Bundesamt kann den Antrag ablehnen, wenn Hinweise dafür vorliegen, dass 1. das Produkt oder die mit dem Produkt ausgelieferte Software bekannte Sicherheitslücken enthält oder | |
| 2. Produkte des Herstellers bereits Gegenstand einer Warnung oder Information nach den §§ 7 oder 7a des BSI-Gesetzes oder von Maßnahmen nach § 9c Absatz 8 des BSI-Gesetzes betroffen waren. | 2. Produkte des Herstellers bereits Gegenstand einer Warnung oder Information nach den § 13 oder 14 des BSI-Gesetzes oder von Maßnahmen nach § 55 Absatz 8 des BSI-Gesetzes betroffen waren. |
2 Das Bundesamt kann die Freigabe der Nutzung auch dann verweigern, wenn der Freigabe unabhängig von den eingereichten Unterlagen ernstliche Zweifel an der Herstellererklärung entgegenstehen. (6) Entscheidungen, mit denen abschließend über einen nach dieser Verordnung gestellten Antrag entschieden wird, sind schriftlich oder elektronisch zu erlassen. | |
§ 6 Vereinfachtes Verfahren | |
| (1) Das Bundesamt kann auf die Plausibilitätsprüfung verzichten, wenn das Bundesamt für das Produkt ein Zertifikat nach § 9 des BSI-Gesetzes auf Grundlage des gleichen Prüfstandards erteilt hat. | (1) Das Bundesamt kann auf die Plausibilitätsprüfung verzichten, wenn das Bundesamt für das Produkt ein Zertifikat nach § 52 des BSI-Gesetzes auf Grundlage des gleichen Prüfstandards erteilt hat. |
(2) 1 Ist für ein Produkt bereits ein ausländisches staatliches Kennzeichen auf Grundlage des gleichen oder eines vergleichbaren Prüfstandards und auf Grundlage der gleichen oder vergleichbarer Prüfspezifikationen vergeben worden, kann das Bundesamt den Antrag unter Vorlage dieses Kennzeichens und der zugrunde liegenden Unterlagen in deutscher oder englischer Sprache prüfen. 2 Das Bundesamt legt in einem Kriterienkatalog fest, unter welchen Voraussetzungen ein Prüfstandard eines anderen Kennzeichens mit solchen nach dieser Verordnung vergleichbar ist und veröffentlicht diesen auf seiner Internetseite. | |
§ 7 Gegenstand der Herstellererklärung | |
(1) 1 Die Herstellererklärung enthält die Zusicherung, dass das Produkt für die nach § 8 festgelegte Dauer die für die einschlägige Produktkategorie geltenden IT-Sicherheitsanforderungen erfüllt. 2 Der Hersteller verpflichtet sich innerhalb des Zeitraumes nach § 8 Absatz 1 Satz 1, das Bundesamt unaufgefordert zu informieren, wenn sich die vom Hersteller erklärten Eigenschaften des Produktes ändern, sobald sie ihm bekannt werden, einschließlich Störungen der Informationssicherheit des Produktes und Sicherheitslücken. 3 Der Hersteller verpflichtet sich des Weiteren, ihm bekannt werdende Sicherheitslücken unverzüglich zu beheben und den Stand der dafür erfolgten Maßnahmen dem Bundesamt mit den in § 3 Absatz 4 Satz 2 genannten Informationen anzuzeigen. (2) Das Bundesamt informiert auf seiner Internetseite über die Änderung oder Aufhebung der für die einschlägige Produktkategorie geltenden IT-Sicherheitsanforderungen, Technischen Richtlinien oder die Ungeeignetheit von branchenabgestimmten IT-Sicherheitsvorgaben. | |
| (3) Bedient sich der Antragsteller zur Antragstellung oder zur Erfüllung seiner Pflichten aus § 9c des BSI-Gesetzes oder dieser Rechtsverordnung eines Dritten, werden ihm die Handlungen des Dritten wie eigene zugerechnet. | (3) Bedient sich der Antragsteller zur Antragstellung oder zur Erfüllung seiner Pflichten aus § 55 des BSI-Gesetzes oder dieser Rechtsverordnung eines Dritten, werden ihm die Handlungen des Dritten wie eigene zugerechnet. |
§ 9 Verwendung des Sicherheitskennzeichens | |
| (1) 1 Das produktspezifische Etikett darf in physischer und elektronischer Ausführung für die Dauer der Freigabe nach den Vorgaben des § 9c des BSI-Gesetzes und dieser Rechtsverordnung verwendet werden. 2 Das Bundesamt legt die grafische Gestaltung des Sicherheitskennzeichens sowie des Etiketts fest und veröffentlicht diese auf seiner Internetseite. 3 Hersteller dürfen gemäß ihrer Freigabe keine von diesen Vorgaben abweichende Gestaltung verwenden. | (1) 1 Das produktspezifische Etikett darf in physischer und elektronischer Ausführung für die Dauer der Freigabe nach den Vorgaben des § 55 des BSI-Gesetzes und dieser Rechtsverordnung verwendet werden. 2 Das Bundesamt legt die grafische Gestaltung des Sicherheitskennzeichens sowie des Etiketts fest und veröffentlicht diese auf seiner Internetseite. 3 Hersteller dürfen gemäß ihrer Freigabe keine von diesen Vorgaben abweichende Gestaltung verwenden. |
(2) 1 Mit der Freigabe stellt das Bundesamt dem Hersteller das produktspezifische Etikett zur Verfügung. 2 Das Etikett darf nach der Freigabe auf Produkten oder deren Umverpackungen vom Hersteller angebracht werden. (3) 1 Hersteller und Verkäufer sind berechtigt, das Kennzeichen für die Dauer der Freigabe zu Werbezwecken für das Produkt zu verwenden. 2 Dabei ist ein Verweis auf die zugehörige Internetseite nach § 3 Absatz 4 gut sichtbar anzuzeigen. (4) 1 Liegt keine Freigabe mehr vor, erlöschen die Rechte von Hersteller und Verkäufer nach dieser Vorschrift. 2 Der Hersteller hat dafür Sorge zu tragen, dass keine nach dem Erlöschen hergestellten Produkte mehr mit dem Etikett auf den Markt gebracht werden. | |
§ 13 Informationen für Verbraucher | |
| 1 Verbraucherinformationen zu Produkten mit der Freigabe zur Nutzung des IT-Sicherheitskennzeichens werden in der Sicherheitsinformation nach § 9c Absatz 2 des BSI-Gesetzes auf der Internetseite des Bundesamtes veröffentlicht. 2 Davon unberührt bleiben die Bestimmungen der §§ 7 und 7a des BSI-Gesetzes. | 1 Verbraucherinformationen zu Produkten mit der Freigabe zur Nutzung des IT-Sicherheitskennzeichens werden in der Sicherheitsinformation nach § 55 Absatz 2 des BSI-Gesetzes auf der Internetseite des Bundesamtes veröffentlicht. 2 Davon unberührt bleiben die Bestimmungen der § 13 oder 14 des BSI-Gesetzes *). --- *) Anm. d. Red.: Die nicht durchführbare Änderung in Artikel 9 Nummer 7 Buchstabe b G. v. 2. Dezember 2025 (BGBl. 2025 I Nr. 301) wurde sinngemäß konsolidiert. |
§ 14 Evaluierung | |
Drei Jahre nach Inkrafttreten dieser Rechtsverordnung und folgend alle drei Jahre sind unter Beteiligung der in § 10 Absatz 3 Satz 1 des BSI-Gesetzes genannten Ressorts zu evaluieren: | Drei Jahre nach Inkrafttreten dieser Rechtsverordnung und folgend alle drei Jahre sind unter Beteiligung der in § 56 Absatz 2 des BSI-Gesetzes genannten Ressorts zu evaluieren: |
1. die Produktkategorien; 2. die Anerkennung von Branchenstandards; 3. die Freigabekriterien für das Kennzeichen. | |
Link zu dieser Seite: https://www.buzer.de/gesetz/15131/v334382-2025-12-06.htm