Navigation und Service

Zertifizierung und Kompetenzfeststellung von Personen

Das BSI führt im Bereich der Konformitätsbewertung Zertifizierungen von Personen auf Grundlage des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) vom 14. August 2009 durch. Zur Durchführung von Evaluierungen und Prüfungen zum Zwecke der Zertifizierung von Produkten und Managementsystemen sowie zur Unterstützung des BSI im Bereich IT-Sicherheitsdienstleistungen werden qualifizierte Personen benötigt. Ziel des Verfahrens ist es, kompetente Personen in den Geltungsbereichen bereitzustellen sowie die Qualität und Vergleichbarkeit der Evaluierungen/Prüfungen, Audits und Dienstleistungen sicherzustellen.

Zur Durchführung von Evaluierungen, Prüfungen und Audits zum Zwecke der Zertifizierung von Produkten und Managementsystemen sowie zur Unterstützung des BSI im Bereich IT-Sicherheitsdienstleistungen werden qualifizierte Personen benötigt. Hierzu führt das BSI Kompetenzfeststellungen sowie Zertifizierungen von Personen auf Grundlage des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) vom 14. August 2009 durch. Ziel des Verfahrens ist es, kompetente Personen in den verschiedenen Geltungsbereichen bereitzustellen sowie die Qualität und Vergleichbarkeit der Evaluierungen, Prüfungen und Audits sicherzustellen.

Das Verfahren ist im Dokument VB-Personen beschrieben. Über das Inhaltverzeichnis sind weitere Informationen zu den Geltungsbereichen zu finden.
Im Dokument Verzeichnisse befindet sich die zentrale Aufschlüsselung aller Referenzen (Stammliste der aktuellen Dokumente) und ein Glossar.

Verschiedene Geltungsbereiche und Personengruppen

Bei der Kompetenzfeststellung und Zertifizierung von Personen muss zwischen verschiedenen Verfahren und Vorgehensweisen unterschieden werden. Diese sind abhängig vom jeweiligen Geltungsbereich.

  1. Kompetenzfeststellungen ohne Personenzertifizierung
    Personengruppe: CC-Evaluatoren, TR-Prüfer, BSZ-Evaluatoren, NESAS-Evaluatoren, NESAS-Auditoren, DigBOS-Prüfer
    Das Verfahren zur Kompetenzfeststellung (ohne Personenzertifizierung) wird zum Nachweis der Fachkompetenz derjenigen Mitarbeiter genutzt, die bei anerkannten Prüfstellen und/oder bestimmten zertifizierten IT-Sicherheitsdienstleistern beschäftigt sind. Die Kompetenzfeststellung wird dabei im Rahmen des Verfahrens zur Anerkennung von Prüfstellen und Zertifizierung von IT-Sicherheitsdienstleistern durchgeführt. Für jede dieser Personengruppen existiert ein eigenes Programm zur Kompetenzfeststellung.
  2. Personenzertifizierung zur Durchführung von Prüfungen ohne dem Ziel einer (System-)Zertifizierung
    Personengruppe: IS-Revisoren und IS-Berater, IS-Penetrationstester, Vorfall-Experten, IT-Grundschutz-Berater
    Für jede dieser Personengruppen existiert ein eigenes Programm zur Personenzertifizierung.
  3. Personenzertifizierung zur Durchführung von Audits mit dem Ziel einer (System-)Zertifizierung
    Personengruppe: Auditoren und Auditteamleiter
    Für diese Personengruppe existiert ein eigenes Programm Auditoren zur Personenzertifizierung.

Zertifizierung von Personen

Bei der Personenzertifizierung wird von einer Einzelperson ein Zertifizierungsantrag gestellt und ein Zertifizierungsverfahren durchgeführt. Zur Zertifizierung müssen diese Personen ihre Fachkompetenz nachweisen, so dass abschließend über eine Personenzertifizierung entschieden werden kann. Bei dem Zertifizierungsverfahren handelt es sich um eine Personenzertifizierung, die ausschließlich natürlichen Personen vorbehalten ist. Innerhalb der Zertifizierungsphase (Dauer: 3 Jahre) wird die Kompetenz der Personen überwacht und ggf. mittels Erfahrungsaustausch aufrechterhalten.

Hinweise zum Antragsverfahren für die Personenzertifizierung:

Der Antragsteller muss dem ausgefüllten und unterzeichneten Antrag sämtliche geforderten externen Fachkundenachweise zur Begutachtung der Zulassungsvoraussetzungen gemäß dem entsprechenden Programm beifügen, bevor der Antrag bearbeitet werden kann. Unvollständige Anträge können nicht bearbeitet werden.
Das BSI prüft, ob vorgelegte externe Fachkundenachweise den Anforderungen entsprechen.
Nach positiver Prüfung der Zulassungsvoraussetzungen, d. h. alle externen Fachkundenachweise wie Nachweise über den Bildungsabschluss, sowie der Berufs- und Praxiserfahrung und evtl. weitere Qualifizierungsmaßnahmen wie z.B. besondere Schulungen (je nach Personengruppe) sind fristgerecht eingegangen, vollständig und positiv begutachtet, wird der Antragsteller zum Zertifizierungsverfahren zugelassen. Der Antragsteller wird daraufhin entsprechend dem Programm zur Teilnahme an einer Prüfung, die grundsätzlich beim BSI in Bonn stattfindet, eingeladen. Der Prüfungstermin wird vom BSI grundsätzlich individuell vergeben.

Alternativ ist für die Personengruppen "Auditteamleiter auf Basis von IT-Grundschutz", "IT-Grundschutz-Berater" und "Vorfall-Experte" eine Anmeldung zu folgenden Prüfungsterminen möglich:

30. Januar 2024 (ausgebucht)

12. März 2024 (ausgebucht)

10. September 2024

08. Oktober 2024

Bitte vermerken Sie Ihren Wunschtermin auf dem Antrag bzw. im Anschreiben (E-Mail).

Die Wiederholungsprüfungen finden zu folgen Terminen statt: 23. April 2024 und 05. November 2024. Eine Anmeldung ist hier nicht möglich.

Bitte beachten Sie folgendes:
Die Möglichkeit, Unterlagen vor Antragstellung zu prüfen - in welcher Form auch immer - ist leider nicht vorgesehen und kann auch nicht eingerichtet werden, da diese in Anlehnung an das Verwaltungsverfahrensgesetz nicht abgerechnet werden kann. Die Zulassungsvoraussetzungen zur Zertifizierung sowie die Art und Weise der Nachweiserbringung sind in den jeweiligen Programmen hinreichend beschrieben.

Kosten des Zertifizierungsverfahrens

Die Kosten des Zertifizierungsverfahrens richten sich nach der Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat für individuell zurechenbare öffentliche Leistungen in dessen Zuständigkeitsbereich. Die Gebühren sind auch zu entrichten, wenn der Antrag abgelehnt oder zurückgezogen wird.

Antragstellung

Bitte senden Sie den ausgefüllten und unterschriebenen Antrag zusammen mit allen geforderten Nachweisen zur Personenzertifizierung an:

Bundesamt für Sicherheit in der Informationstechnik
Referat SZ 12
Postfach 20 03 63
53133 Bonn
E-Mail: Personenzertifizierung@bsi.bund.de
Öffentlicher Schlüssel des BSI
Fingerprint: 14CD 5A86 4AC9 C4FF 5F2B FD92 346B D73F DB26 4035

Damit Ihr Antrag schnellstmöglich bearbeitet werden kann, empfehlen wir die Anträge auf Personenzertifizierung nicht postalisch, sondern möglichst mit dem öffentlichen Schlüssel des BSI verschlüsselt per Mail an Personenzertifizierung@bsi.bund.de einzureichen.