Abschnitt 1 - BSI-Zertifizierungs- und -Anerkennungsverordnung (BSIZertV)

(1) Der Antrag, die mit dem Antrag eingereichten Unterlagen und die im Zertifizierungs- oder Anerkennungsverfahren anfallenden Unterlagen werden beim Bundesamt elektronisch oder in Papierform gemäß den geltenden Bestimmungen aufbewahrt.

(2) 1Soweit der Antragsteller nach dieser Verordnung dazu berechtigt ist, dem Bundesamt Unterlagen oder sonstige Beweismittel nur zeitweise zur Verfügung zu stellen, hat er diese Unterlagen oder sonstigen Beweismittel nach der Inaugenscheinnahme durch das Bundesamt beim Antragsteller während des Antragsverfahrens und des Gültigkeitszeitraums der Zertifizierung oder der Anerkennung aufzubewahren. 2Nach Ablauf der Geltungsdauer der Zertifizierung oder der Anerkennung sind diese Unterlagen oder sonstigen Beweismittel für mindestens drei weitere Jahre aufzubewahren und dem Bundesamt jederzeit auf Anfrage kostenfrei zur Verfügung zu stellen.

(1) Das Bundesamt bestimmt, soweit erforderlich, für Zertifizierungs- und Anerkennungsverfahren nach dieser Verordnung

(2) Das Bundesamt bestimmt das Verfahren zur Erteilung von Zertifikaten und Anerkennungen nach dieser Verordnung und veröffentlicht hierzu Verfahrensbeschreibungen auf seiner Internetseite.

(3) 1Das Bundesamt sieht von der Veröffentlichung nach den Absätzen 1 und 2 ab, wenn durch die Veröffentlichung die öffentliche Sicherheit gefährdet würde. 2Das Bundesamt kann von der Veröffentlichung absehen, wenn durch die Veröffentlichung öffentliche Interessen oder die Sicherheit bestimmter Produkte, Komponenten, Produktkategorien oder Systeme beeinträchtigt würden oder die Prüfkriterien oder Verfahrensbeschreibungen als Verschlusssache eingestuft sind. 3Das Bundesamt gibt nicht veröffentlichte Prüfkriterien, Geltungsbereiche und Verfahrensbeschreibungen denjenigen, die als Antragsteller in Betracht kommen, bekannt, wenn diese gegenüber dem Bundesamt ein berechtigtes Interesse nachweisen und sich verpflichten, die notwendigen Sicherheitsvorkehrungen einzuhalten.

(1) Entscheidungen, mit denen abschließend über einen nach dieser Verordnung gestellten Antrag entschieden wird, sind schriftlich oder elektronisch zu erlassen.

(2) 1Vor der Ablehnung eines Antrags sind dem Antragsteller die Gründe der voraussichtlichen Ablehnung mitzuteilen. 2Innerhalb einer vom Bundesamt festgesetzten angemessenen Frist ist dem Antragsteller Gelegenheit zur Äußerung und zur Nachbesserung zu geben. 3§ 28 Absatz 3 des Verwaltungsverfahrensgesetzes ist anzuwenden.

(3) Vor Erteilung eines Zertifikats oder einer Anerkennung mit Nebenbestimmungen nach § 22 ist der Antragsteller nach § 28 des Verwaltungsverfahrensgesetzes anzuhören.

(1) 1Das Bundesamt stellt die Tatsachen fest, die notwendig sind, um den für die Zertifizierung oder Anerkennung relevanten Sachverhalt zu ermitteln. 2Es obliegt dem Antragsteller, die notwendigen Beweismittel zur Ermittlung des Sachverhaltes beizubringen. 3Das Bundesamt ist nicht verpflichtet, eigene Ermittlungen im Sinne des § 26 Absatz 1 des Verwaltungsverfahrensgesetzes anzustellen, kann aber auf ihm bereits vorliegende Erkenntnisse zurückgreifen.

(2) Dem Antragsteller obliegt es, im Rahmen seiner Mitwirkungsobliegenheiten die notwendige Mitwirkung etwaiger Dritter sicherzustellen.

(1) Das Bundesamt veröffentlicht mindestens vierteljährlich im Internet oder in anderen Medien Gesamtlisten oder seit der letzten Veröffentlichung geänderte oder hinzugefügte Listeneinträge der zertifizierten informationstechnischen Systeme, Standorte, Produkte, Komponenten und Schutzprofile sowie die zugehörigen Sicherheitszertifikate und Zertifizierungsreporte.

(2) Das Bundesamt veröffentlicht mindestens vierteljährlich im Internet oder in anderen Medien Gesamtlisten oder seit der letzten Veröffentlichung geänderte oder hinzugefügte Listeneinträge der zertifizierten Personen mit deren Adresse, mit den technischen Geltungsbereichen der Zertifizierung und mit der Geltungsdauer der Zertifizierung.

(3) Das Bundesamt veröffentlicht mindestens vierteljährlich im Internet oder in anderen Medien Gesamtlisten oder seit der letzten Veröffentlichung geänderte oder hinzugefügte Listeneinträge der zertifizierten IT-Sicherheitsdienstleister mit deren Adresse, mit den technischen Geltungsbereichen der Zertifizierung und mit der Geltungsdauer der Zertifizierung.

(4) Das Bundesamt veröffentlicht mindestens vierteljährlich im Internet oder in anderen Medien Gesamtlisten oder seit der letzten Veröffentlichung geänderte oder hinzugefügte Listeneinträge der anerkannten sachverständigen Stellen mit deren Adresse, mit den technischen Geltungsbereichen der Anerkennung und mit der Geltungsdauer der Anerkennung.

(5) 1Der Inhaber eines Zertifikats oder einer Anerkennung kann der Veröffentlichung nach den Absätzen 1 bis 4 widersprechen. 2Das Bundesamt sieht von der Veröffentlichung nach den Absätzen 1 bis 4 ab, soweit durch die Veröffentlichung die öffentliche Sicherheit beeinträchtigt werden könnte. 3Das Bundesamt kann von der Veröffentlichung nach den Absätzen 1 bis 4 ganz oder teilweise absehen, wenn durch die Veröffentlichung öffentliche oder private Interessen beeinträchtigt würden.