Synopse zur Änderung an
BSI-Zertifizierungs- und -Anerkennungsverordnung (BSIZertV)

Erstellt am: 06.12.2025

Jetzt individuelle E-Mail Alerts einrichten

Zurück zur Übersicht

Die in dieser Synopse dargestellten Gesetzestexte basieren auf der vom Bundesamt für Justiz konsolidierten Fassung, welche auf gesetze-im-internet.de einsehbar ist. Diese Fassung der Gesetzestexte ist nicht die amtliche Fassung. Die amtliche Fassung ist im Bundesgesetzblatt einsehbar.

Bitte beachten Sie, dass die nachfolgend dargestellten Änderungen möglicherweise nicht auf einem Änderungsgesetz beruhen. Ab und an nimmt gesetze-im-internet.de auch redaktionelle Änderungen vor, z.B. nachträgliche Korrekturen, Anmerkungen, Ergänzungen etc. In diesem Fall beziehen sich die nachfolgenden Metainformationen auf die letzte Änderung auf Grundlage eines Änderungsgesetzes.

LawAlert befindet sich aktuell in einer frühen Testphase und Fehlfunktionen können nicht ausgeschlossen werden. Insbesondere können die von LawAlert erstellten Synopsen fehlerhaft sein, z.B. nicht vollständig, korrekt oder aktuell, da diese softwarebasiert aus Inhalten Dritter erstellt werden, ohne dass eine weitere redaktionelle oder inhaltliche Überprüfung durch LawAlert erfolgt. Auch können Änderungen oder Ausfälle der fremden Bezugsquellen zu Störungen bei LawAlert führen, ohne dass LawAlert hierauf Einfluss hat. Bitte verwenden Sie die Inhalte von LawAlert daher nur für Testzwecke. Sollten Ihnen Fehler auffällen, freuen wir uns über Ihr Feedback an hello@lawalert.de!

Für die vorliegende Synopse konnten keine Metainformationen vom Dokumentations- und Informationssystem für Parlamentsmaterialen (kurz DIP) ermittelt werden. Warum? Dies kann mehrere Gründe haben. Insbesondere beruht nicht jede Änderung im Bundesrecht auf einem im DIP hinterlegten Parlamentsvorgang, z.B. bei Änderungen von Verordnungen ist dies denkbar. Auch ist möglich, dass das DIP zum Zeitpunkt der Erstellung der Synopse noch nicht die aktuellen und für die Verknüpfung notwendigen Informationen hinterlegt hatte.

Möchten Sie mehr zu den Hintergründen unserer Metainformationen erfahren? Dann besuchen Sie doch unsere FAQ-Seite.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
Auf Grund des § 10 56 Absatz 1 des BSI-Gesetzes vom 14. August 2009 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2821) 2) verordnet das Bundesministerium des Innern nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie:
Auf Grund des § 10 56 Absatz 1 des BSI-Gesetzes vom 14. August 2009 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2821) 2) verordnet das Bundesministerium des Innern nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie:

Abschnitt 1 - Allgemeine Bestimmungen
Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) erteilt Zertifikate und Anerkennungen gemäß § 9 52 des BSI-Gesetzes nach dieser Verordnung.
Das Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) erteilt Zertifikate und Anerkennungen gemäß § 9 52 des BSI-Gesetzes nach dieser Verordnung.

Abschnitt 2 - Zertifizierung von informationstechnischen Produkten oder Komponenten, informationstechnischen Systemen sowie Schutzprofilen
Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Ein Zertifikat nach § 9 52 Absatz 4 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass das geprüfte informationstechnische Produkt, die informationstechnische Komponente, das informationstechnische System oder das Schutzprofil die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(1) Ein Zertifikat nach § 9 52 Absatz 4 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass das geprüfte informationstechnische Produkt, die informationstechnische Komponente, das informationstechnische System oder das Schutzprofil die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Das Zertifikat ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Das Zertifikat für informationstechnische Produkte, Systeme, Komponenten sowie für Schutzprofile enthält:
1.
die Zertifizierungsnummer,
2.
die Angabe der Prüfkriterien, soweit sie bekannt gemacht sind,
3.
den Namen der vom Bundesamt anerkannten sachverständigen Stelle, deren Prüfung und Bewertung der Zertifizierung zugrunde gelegt wurde,
4.
etwaige Nebenbestimmungen nach § 22,
5.
Ausstellungsort und -datum des Sicherheitszertifikats sowie
6.
die Geltungsdauer des Sicherheitszertifikats.
Dem Sicherheitszertifikat wird ein Zertifizierungsbericht beigefügt.
(4) Das Zertifikat für informationstechnische Produkte oder Komponenten enthält zusätzlich zu Absatz 3 folgende Angaben:
1.
die Bezeichnung, die Beschreibung und die Angabe des Herstellers des geprüften Produkts oder der Komponente,
2.
die Angabe der zum geprüften Produkt oder zur Komponente gehörenden Dokumentationen,
3.
die Beschreibung der Sicherheitsfunktionen und
4.
die erreichte Bewertungsstufe oder den Prüfumfang.
(5) Das Zertifikat für informationstechnische Systeme enthält zusätzlich zu Absatz 3 folgende Angaben:
1.
die Bezeichnung und die Beschreibung des geprüften Systems und der relevanten Standorte und
2.
soweit erforderlich, die Angabe der zum geprüften System und Standort gehörenden sicherheitsrelevanten Dokumentationen.
(6) Das Zertifikat für Schutzprofile enthält zusätzlich zu Absatz 3 folgende Angaben:
1.
die Bezeichnung und die Beschreibung des geprüften Schutzprofils und
2.
die erreichte Bewertungsstufe oder den Prüfumfang.
(7) Das Bundesamt kann jederzeit anlassbezogen überprüfen, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. Das Bundesamt entwickelt für die Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.

Abschnitt 3 - Zertifizierung von Personen
Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Ein Zertifikat für Personen nach § 9 52 Absatz 5 6 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass die zu zertifizierende Person die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 52 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(1) Ein Zertifikat für Personen nach § 9 52 Absatz 5 6 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass die zu zertifizierende Person die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 52 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Das Zertifikat ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Das Personenzertifikat enthält folgende Angaben:
1.
Den Namen und die Adresse der zertifizierten Person,
2.
die Zertifizierungsnummer,
3.
die Geltungsdauer der Zertifizierung,
4.
den technischen Geltungsbereich der Zertifizierung unter Verweis auf die zugrunde gelegten Standardisierungsnormen,
5.
die Angabe der Standardisierungsnormen, die der Evaluierung der Person zugrunde lagen,
6.
etwaige Nebenbestimmungen nach § 22 sowie
7.
Ausstellungsort und -datum des Zertifikats.
(4) Das Bundesamt überprüft regelmäßig, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.

Abschnitt 4 - Zertifizierung von IT-Sicherheitsdienstleistern
Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Ein Zertifikat als IT-Sicherheitsdienstleister nach § 9 52 Absatz 5 6 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass der IT-Sicherheitsdienstleister die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 52 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(1) Ein Zertifikat als IT-Sicherheitsdienstleister nach § 9 52 Absatz 5 6 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass der IT-Sicherheitsdienstleister die Prüfkriterien nach § 4 Absatz 1 erfüllt, und
2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 52 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Die Zertifizierung ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Das Zertifikat enthält folgende Angaben:
1.
Den Namen des IT-Sicherheitsdienstleisters und die Adressen aller zertifizierten Standorte,
2.
die Zertifizierungsnummer,
3.
die Geltungsdauer der Zertifizierung,
4.
den technischen Geltungsbereich oder die technischen Geltungsbereiche der Zertifizierung unter Verweis auf die zugrunde gelegten Standardisierungsnormen,
5.
die Angabe der Standardisierungsnormen, die der Begutachtung des IT-Sicherheitsdienstleisters zugrunde lagen,
6.
etwaige Nebenbestimmungen nach § 22 sowie
7.
Ausstellungsort und -datum des Zertifikats.
(4) Das Bundesamt überprüft regelmäßig, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.

Abschnitt 5 - Anerkennung von sachverständigen Stellen
Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Eine Anerkennung nach § 9 52 Absatz 6 7 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle die Prüfkriterien nach § 4 Absatz 1 erfüllen, und
2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 52 Absatz 6 7 Satz 1 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(1) Eine Anerkennung nach § 9 52 Absatz 6 7 des BSI-Gesetzes wird erteilt, wenn
1.
die Prüfung und die Bewertung ergeben, dass die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle die Prüfkriterien nach § 4 Absatz 1 erfüllen, und
2.
das Bundesministerium des Innern, für Bau und Heimat nach § 9 52 Absatz 6 7 Satz 1 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Die Anerkennung ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Die Anerkennung enthält folgende Angaben:
1.
den Name und die Adresse der anerkannten sachverständigen Stelle und aller anerkannten Standorte,
2.
die Anerkennungsnummer,
3.
die Geltungsdauer der Anerkennung,
4.
den technischen Geltungsbereich oder die technischen Geltungsbereiche der Anerkennung unter Verweis auf die zugrunde gelegten Standardisierungsnormen,
5.
die Angabe der Standardisierungsnormen, die der Begutachtung der Stelle zugrunde lagen,
6.
etwaige Nebenbestimmungen nach § 22 sowie
7.
Ausstellungsort und -datum der Anerkennungsurkunde.
(4) Das Bundesamt überprüft regelmäßig nach § 9 52 Absatz 6 7 Satz 2 des BSI-Gesetzes, ob die Voraussetzungen für die Anerkennung nach Absatz 1 weiterhin vorliegen. Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.
(4) Das Bundesamt überprüft regelmäßig nach § 9 52 Absatz 6 7 Satz 2 des BSI-Gesetzes, ob die Voraussetzungen für die Anerkennung nach Absatz 1 weiterhin vorliegen. Daneben kann auch jederzeit eine anlassbezogene Überprüfung stattfinden. Das Bundesamt entwickelt für diese Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.