Synopse zur Änderung an
BSI-IT-Sicherheitskennzeichenverordnung (BSI-ITSiKV)

Erstellt am: 06.12.2025

Jetzt individuelle E-Mail Alerts einrichten

Zurück zur Übersicht

Die in dieser Synopse dargestellten Gesetzestexte basieren auf der vom Bundesamt für Justiz konsolidierten Fassung, welche auf gesetze-im-internet.de einsehbar ist. Diese Fassung der Gesetzestexte ist nicht die amtliche Fassung. Die amtliche Fassung ist im Bundesgesetzblatt einsehbar.

Bitte beachten Sie, dass die nachfolgend dargestellten Änderungen möglicherweise nicht auf einem Änderungsgesetz beruhen. Ab und an nimmt gesetze-im-internet.de auch redaktionelle Änderungen vor, z.B. nachträgliche Korrekturen, Anmerkungen, Ergänzungen etc. In diesem Fall beziehen sich die nachfolgenden Metainformationen auf die letzte Änderung auf Grundlage eines Änderungsgesetzes.

LawAlert befindet sich aktuell in einer frühen Testphase und Fehlfunktionen können nicht ausgeschlossen werden. Insbesondere können die von LawAlert erstellten Synopsen fehlerhaft sein, z.B. nicht vollständig, korrekt oder aktuell, da diese softwarebasiert aus Inhalten Dritter erstellt werden, ohne dass eine weitere redaktionelle oder inhaltliche Überprüfung durch LawAlert erfolgt. Auch können Änderungen oder Ausfälle der fremden Bezugsquellen zu Störungen bei LawAlert führen, ohne dass LawAlert hierauf Einfluss hat. Bitte verwenden Sie die Inhalte von LawAlert daher nur für Testzwecke. Sollten Ihnen Fehler auffällen, freuen wir uns über Ihr Feedback an hello@lawalert.de!

Für die vorliegende Synopse konnten keine Metainformationen vom Dokumentations- und Informationssystem für Parlamentsmaterialen (kurz DIP) ermittelt werden. Warum? Dies kann mehrere Gründe haben. Insbesondere beruht nicht jede Änderung im Bundesrecht auf einem im DIP hinterlegten Parlamentsvorgang, z.B. bei Änderungen von Verordnungen ist dies denkbar. Auch ist möglich, dass das DIP zum Zeitpunkt der Erstellung der Synopse noch nicht die aktuellen und für die Verknüpfung notwendigen Informationen hinterlegt hatte.

Möchten Sie mehr zu den Hintergründen unserer Metainformationen erfahren? Dann besuchen Sie doch unsere FAQ-Seite.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
Auf Grund des § 10 56 Absatz 3 2 des BSI-Gesetzes vom 14. August 2009 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2) 2821), der durch Artikel 1 Nummer 21 des Gesetzes vom 18. Mai 2021 (BGBl. I S. 1122) eingefügt worden ist, verordnet das Bundesministerium des Innern, Innern für Bau und Heimat im Einvernehmen mit dem Bundesministerium der Justiz für Wirtschaft und Energie für Verbraucherschutz und dem Bundesministerium für Wirtschaft Umwelt, Klimaschutz, Naturschutz und Energie: nukleare Sicherheit:
Auf Grund des § 10 56 Absatz 3 2 des BSI-Gesetzes vom 14. August 2009 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2) 2821), der durch Artikel 1 Nummer 21 des Gesetzes vom 18. Mai 2021 (BGBl. I S. 1122) eingefügt worden ist, verordnet das Bundesministerium des Innern, Innern für Bau und Heimat im Einvernehmen mit dem Bundesministerium der Justiz für Wirtschaft und Energie für Verbraucherschutz und dem Bundesministerium für Wirtschaft Umwelt, Klimaschutz, Naturschutz und Energie: nukleare Sicherheit:

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
Im Sinne dieser Verordnung ist oder sind:
1.
Hersteller
jede juristische oder natürliche Person, die einen Dienst anbietet oder ein Produkt herstellt beziehungsweise entwickeln oder herstellen lässt und dieses Produkt oder diesen Dienst unter ihrem eigenen Namen oder ihrer eigenen Marke vermarktet; nicht erfasst sind die Hersteller einzelner Teile oder Komponenten davon;
2.
Verkäufer
jede juristische oder natürliche Person, die gewerblich ein Produkt unmittelbar Verbrauchern und Verbraucherinnen auf dem Markt bereitstellt;
3.
Branche
die Unternehmen und Organisationen und ihre Verbände, die für den jeweiligen Wirtschaftsbereich Produkte oder Dienstleistungen im Geltungsbereich dieses Gesetzes herstellen oder vertreiben;
4.
branchenabgestimmte IT-Sicherheitsvorgabe
ein Anforderungskatalog, der von einer Branche erstellt und gepflegt wird und dessen Geeignetheit das Bundesamt nach § 9c 55 Absatz 3 Satz 1 des BSI-Gesetzes festgestellt hat;
5.
geeignete und qualifizierte Dritte
juristische oder natürliche Personen, die aufgrund ihrer fachlichen Qualifikation eine Aussage darüber treffen können, ob Sicherheitsversprechen eines Produktes eingehalten werden oder bestimmte Eigenschaften nachgewiesen werden können;
6.
Plausibilitätsprüfung
die Sichtung der Herstellererklärung, der Angaben des Herstellers im Antrag und eventueller Unterlagen zur Ermittlung, ob die Konformität mit den vom Bundesamt festgelegten Sicherheitsanforderungen plausibel und nachvollziehbar zugesichert wird;
7.
Produktkategorie
ein durch das Bundesamt festgelegter Oberbegriff für die Erfassung einer Gruppe von vergleichbaren informationstechnischen Produkten in einem eingrenzbaren Bereich;
8.
zugehörige Internetseite
der für das einzelne Produkt angepasste Zielbereich auf der Internetseite des Bundesamtes, auf der Informationen zu diesem Produkt vorgehalten werden;
9.
Etikett
die physische oder elektronische Kennzeichnung am Produkt oder seiner Umverpackung, welche produktspezifisch mit dem Verweis auf die zugehörige Internetseite angepasst wird.
Im Sinne dieser Verordnung ist oder sind:
1.
Hersteller
jede juristische oder natürliche Person, die einen Dienst anbietet oder ein Produkt herstellt beziehungsweise entwickeln oder herstellen lässt und dieses Produkt oder diesen Dienst unter ihrem eigenen Namen oder ihrer eigenen Marke vermarktet; nicht erfasst sind die Hersteller einzelner Teile oder Komponenten davon;
2.
Verkäufer
jede juristische oder natürliche Person, die gewerblich ein Produkt unmittelbar Verbrauchern und Verbraucherinnen auf dem Markt bereitstellt;
3.
Branche
die Unternehmen und Organisationen und ihre Verbände, die für den jeweiligen Wirtschaftsbereich Produkte oder Dienstleistungen im Geltungsbereich dieses Gesetzes herstellen oder vertreiben;
4.
branchenabgestimmte IT-Sicherheitsvorgabe
ein Anforderungskatalog, der von einer Branche erstellt und gepflegt wird und dessen Geeignetheit das Bundesamt nach § 9c 55 Absatz 3 Satz 1 des BSI-Gesetzes festgestellt hat;
5.
geeignete und qualifizierte Dritte
juristische oder natürliche Personen, die aufgrund ihrer fachlichen Qualifikation eine Aussage darüber treffen können, ob Sicherheitsversprechen eines Produktes eingehalten werden oder bestimmte Eigenschaften nachgewiesen werden können;
6.
Plausibilitätsprüfung
die Sichtung der Herstellererklärung, der Angaben des Herstellers im Antrag und eventueller Unterlagen zur Ermittlung, ob die Konformität mit den vom Bundesamt festgelegten Sicherheitsanforderungen plausibel und nachvollziehbar zugesichert wird;
7.
Produktkategorie
ein durch das Bundesamt festgelegter Oberbegriff für die Erfassung einer Gruppe von vergleichbaren informationstechnischen Produkten in einem eingrenzbaren Bereich;
8.
zugehörige Internetseite
der für das einzelne Produkt angepasste Zielbereich auf der Internetseite des Bundesamtes, auf der Informationen zu diesem Produkt vorgehalten werden;
9.
Etikett
die physische oder elektronische Kennzeichnung am Produkt oder seiner Umverpackung, welche produktspezifisch mit dem Verweis auf die zugehörige Internetseite angepasst wird.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und der Sicherheitsinformation nach § 9c 55 Absatz 2 des BSI-Gesetzes, auf die beide auf dem Etikett verwiesen wird. Das Etikett versetzt den Verbraucher in die Lage, sich ohne erhebliche Hürden mittels gängiger technischer Hilfsmittel über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehenden aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren.
(1) Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und der Sicherheitsinformation nach § 9c 55 Absatz 2 des BSI-Gesetzes, auf die beide auf dem Etikett verwiesen wird. Das Etikett versetzt den Verbraucher in die Lage, sich ohne erhebliche Hürden mittels gängiger technischer Hilfsmittel über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehenden aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren.
(2) Das Etikett hat dafür jedenfalls zwingend zu umfassen:
1.
einen Verweis auf die zugehörige Internetseite des Bundesamtes nach Absatz 4;
2.
die Nennung des Bundesamtes.
(3) Das Etikett kann durch das Bundesamt mit einer grafischen Darstellung ausgestaltet werden, um mittels dieser bildlich für den Verbraucher einen sofortigen Wiedererkennungswert zu erzeugen.
(4) Auf der Internetseite des Bundesamtes sind die Herstellererklärung und die Sicherheitsinformation in aktueller Fassung mit der Laufzeit des Kennzeichens abrufbar. Der Hersteller stellt dem Bundesamt hierfür in eigener Verantwortung aktuelle Sicherheitsinformationen zur Konformität des Produktes zur Verfügung, die das Bundesamt auf der zugehörigen Internetseite einstellt. Das Bundesamt kann zudem weitere Informationen über sicherheitsrelevante IT-Eigenschaften und darüber, ob und inwieweit die Herstellererklärung nach derzeitiger Kenntnis eingehalten wird, einstellen.
(5) Das Bundesamt kann eine Applikation zur Verfügung stellen, in der die Informationen zum Herstellerversprechen von Produkten bereitgestellt und abgerufen werden können.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Das Bundesamt führt anhand der eingereichten Unterlagen eine Plausibilitätsprüfung durch. Die Prüfung erfolgt innerhalb der nach § 11 Absatz 1 festgelegten Prüfungsfrist und anhand einer Verfahrensbeschreibung zum Ablauf des Prüfverfahrens, die vom Bundesamt veröffentlicht wird.
(2) Das Bundesamt kann die Überprüfung von Herstellerdokumenten auf qualifizierte Dritte im Sinne des § 2 Nummer 5 übertragen.
(3) Ist für ein Produkt eine geeignete branchenabgestimmte IT-Sicherheitsvorgabe nach § 10 einschlägig, sind für die Plausibilitätsprüfung die Vorgaben dieses Standards ausschlaggebend.
(4) Liegen die gesetzlichen Voraussetzungen gemäß § 9c 55 Absatz 5 BSIG des BSI-Gesetzes vor, erteilt das Bundesamt die Freigabe zur Nutzung des IT-Sicherheitskennzeichens.
(4) Liegen die gesetzlichen Voraussetzungen gemäß § 9c 55 Absatz 5 BSIG des BSI-Gesetzes vor, erteilt das Bundesamt die Freigabe zur Nutzung des IT-Sicherheitskennzeichens.
(5) Das Bundesamt kann den Antrag ablehnen, wenn Hinweise dafür vorliegen, dass
1.
das Produkt oder die mit dem Produkt ausgelieferte Software bekannte Sicherheitslücken enthält oder
2.
Produkte des Herstellers bereits Gegenstand einer Warnung oder Information nach den §§ 7 § 13 oder 7a 14 des BSI-Gesetzes oder von Maßnahmen nach § 9c 55 Absatz 8 des BSI-Gesetzes betroffen waren.
Das Bundesamt kann die Freigabe der Nutzung auch dann verweigern, wenn der Freigabe unabhängig von den eingereichten Unterlagen ernstliche Zweifel an der Herstellererklärung entgegenstehen.
(5) Das Bundesamt kann den Antrag ablehnen, wenn Hinweise dafür vorliegen, dass
1.
das Produkt oder die mit dem Produkt ausgelieferte Software bekannte Sicherheitslücken enthält oder
2.
Produkte des Herstellers bereits Gegenstand einer Warnung oder Information nach den §§ 7 § 13 oder 7a 14 des BSI-Gesetzes oder von Maßnahmen nach § 9c 55 Absatz 8 des BSI-Gesetzes betroffen waren.
Das Bundesamt kann die Freigabe der Nutzung auch dann verweigern, wenn der Freigabe unabhängig von den eingereichten Unterlagen ernstliche Zweifel an der Herstellererklärung entgegenstehen.
(6) Entscheidungen, mit denen abschließend über einen nach dieser Verordnung gestellten Antrag entschieden wird, sind schriftlich oder elektronisch zu erlassen.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Das Bundesamt kann auf die Plausibilitätsprüfung verzichten, wenn das Bundesamt für das Produkt ein Zertifikat nach § 9 52 des BSI-Gesetzes auf Grundlage des gleichen Prüfstandards erteilt hat.
(1) Das Bundesamt kann auf die Plausibilitätsprüfung verzichten, wenn das Bundesamt für das Produkt ein Zertifikat nach § 9 52 des BSI-Gesetzes auf Grundlage des gleichen Prüfstandards erteilt hat.
(2) Ist für ein Produkt bereits ein ausländisches staatliches Kennzeichen auf Grundlage des gleichen oder eines vergleichbaren Prüfstandards und auf Grundlage der gleichen oder vergleichbarer Prüfspezifikationen vergeben worden, kann das Bundesamt den Antrag unter Vorlage dieses Kennzeichens und der zugrunde liegenden Unterlagen in deutscher oder englischer Sprache prüfen. Das Bundesamt legt in einem Kriterienkatalog fest, unter welchen Voraussetzungen ein Prüfstandard eines anderen Kennzeichens mit solchen nach dieser Verordnung vergleichbar ist und veröffentlicht diesen auf seiner Internetseite.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Die Herstellererklärung enthält die Zusicherung, dass das Produkt für die nach § 8 festgelegte Dauer die für die einschlägige Produktkategorie geltenden IT-Sicherheitsanforderungen erfüllt. Der Hersteller verpflichtet sich innerhalb des Zeitraumes nach § 8 Absatz 1 Satz 1, das Bundesamt unaufgefordert zu informieren, wenn sich die vom Hersteller erklärten Eigenschaften des Produktes ändern, sobald sie ihm bekannt werden, einschließlich Störungen der Informationssicherheit des Produktes und Sicherheitslücken. Der Hersteller verpflichtet sich des Weiteren, ihm bekannt werdende Sicherheitslücken unverzüglich zu beheben und den Stand der dafür erfolgten Maßnahmen dem Bundesamt mit den in § 3 Absatz 4 Satz 2 genannten Informationen anzuzeigen.
(2) Das Bundesamt informiert auf seiner Internetseite über die Änderung oder Aufhebung der für die einschlägige Produktkategorie geltenden IT-Sicherheitsanforderungen, Technischen Richtlinien oder die Ungeeignetheit von branchenabgestimmten IT-Sicherheitsvorgaben.
(3) Bedient sich der Antragsteller zur Antragstellung oder zur Erfüllung seiner Pflichten aus § 9c 55 des BSI-Gesetzes oder dieser Rechtsverordnung eines Dritten, werden ihm die Handlungen des Dritten wie eigene zugerechnet.
(3) Bedient sich der Antragsteller zur Antragstellung oder zur Erfüllung seiner Pflichten aus § 9c 55 des BSI-Gesetzes oder dieser Rechtsverordnung eines Dritten, werden ihm die Handlungen des Dritten wie eigene zugerechnet.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Das produktspezifische Etikett darf in physischer und elektronischer Ausführung für die Dauer der Freigabe nach den Vorgaben des § 9c 55 des BSI-Gesetzes und dieser Rechtsverordnung verwendet werden. Das Bundesamt legt die grafische Gestaltung des Sicherheitskennzeichens sowie des Etiketts fest und veröffentlicht diese auf seiner Internetseite. Hersteller dürfen gemäß ihrer Freigabe keine von diesen Vorgaben abweichende Gestaltung verwenden.
(1) Das produktspezifische Etikett darf in physischer und elektronischer Ausführung für die Dauer der Freigabe nach den Vorgaben des § 9c 55 des BSI-Gesetzes und dieser Rechtsverordnung verwendet werden. Das Bundesamt legt die grafische Gestaltung des Sicherheitskennzeichens sowie des Etiketts fest und veröffentlicht diese auf seiner Internetseite. Hersteller dürfen gemäß ihrer Freigabe keine von diesen Vorgaben abweichende Gestaltung verwenden.
(2) Mit der Freigabe stellt das Bundesamt dem Hersteller das produktspezifische Etikett zur Verfügung. Das Etikett darf nach der Freigabe auf Produkten oder deren Umverpackungen vom Hersteller angebracht werden.
(3) Hersteller und Verkäufer sind berechtigt, das Kennzeichen für die Dauer der Freigabe zu Werbezwecken für das Produkt zu verwenden. Dabei ist ein Verweis auf die zugehörige Internetseite nach § 3 Absatz 4 gut sichtbar anzuzeigen.
(4) Liegt keine Freigabe mehr vor, erlöschen die Rechte von Hersteller und Verkäufer nach dieser Vorschrift. Der Hersteller hat dafür Sorge zu tragen, dass keine nach dem Erlöschen hergestellten Produkte mehr mit dem Etikett auf den Markt gebracht werden.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
Verbraucherinformationen zu Produkten mit der Freigabe zur Nutzung des IT-Sicherheitskennzeichens werden in der Sicherheitsinformation nach § 9c 55 Absatz 2 des BSI-Gesetzes auf der Internetseite des Bundesamtes veröffentlicht. Davon unberührt bleiben die Bestimmungen der §§ 7 und 7a § 13 oder 14 des BSI-Gesetzes.
Verbraucherinformationen zu Produkten mit der Freigabe zur Nutzung des IT-Sicherheitskennzeichens werden in der Sicherheitsinformation nach § 9c 55 Absatz 2 des BSI-Gesetzes auf der Internetseite des Bundesamtes veröffentlicht. Davon unberührt bleiben die Bestimmungen der §§ 7 und 7a § 13 oder 14 des BSI-Gesetzes.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
Drei Jahre nach Inkrafttreten dieser Rechtsverordnung und folgend alle drei Jahre sind unter Beteiligung der in § 10 56 Absatz 2 3 Satz 1 des BSI-Gesetzes genannten Ressorts zu evaluieren:
1.
die Produktkategorien;
2.
die Anerkennung von Branchenstandards;
3.
die Freigabekriterien für das Kennzeichen.
Drei Jahre nach Inkrafttreten dieser Rechtsverordnung und folgend alle drei Jahre sind unter Beteiligung der in § 10 56 Absatz 2 3 Satz 1 des BSI-Gesetzes genannten Ressorts zu evaluieren:
1.
die Produktkategorien;
2.
die Anerkennung von Branchenstandards;
3.
die Freigabekriterien für das Kennzeichen.