Navigation und Service


Zertifizierung und Konformitätsbewertung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß BSI-Gesetz vom 14. August 2009 die Aufgabe, für bestimmte Produkte oder Leistungen eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister durchzuführen.

Grundlage für eine Zertifizierung ist das Zertifizierungsprogramm, das heißt geeignete Prüfkriterien in Verbindung mit einem Verfahren zur Durchführung von Zertifizierungen. Bestandteil dieses Verfahrens ist die Prüfung (technische Evaluierung beziehungsweise Auditierung) gemäß den entsprechenden Prüfkriterien.

Das Zertifizierungsverfahren ist in den folgenden Dokumenten beschrieben:

Diese Prüfung (technische Evaluierung beziehungsweise Auditierung) wird von einer vom BSI

  • anerkannten Prüfstelle oder einem zertifizierten IT-Sicherheitsdienstleister oder
  • zertifizierten Person

durchgeführt. Diese Stellen und Personen müssen mit einer Anerkennung beziehungsweise Zertifizierung nachgewiesen haben, dass sie die notwendigen Anforderungen und insbesondere die erforderliche Kompetenz für das betreffende Prüfgebiet erfüllen beziehungsweise besitzen.
Die Anerkennungs- beziehungsweise Zertifizierungsverfahren sind in den folgenden Dokumenten beschrieben:

  • Anerkennung von Prüfstellen und Zertifizierung von IT-Sicherheitsdienstleistern:
    "Verfahrensbeschreibung zur Anerkennung von Prüfstellen und Zertifizierung von IT-Sicherheitsdienstleistern" (VB-Stellen) mit dem "Programm zur Anerkennung von Prüfstellen und Zertifizierung von IT-Sicherheitsdienstleistern" (Prog-Stellen) und
  • Zertifizierung von Personen:
    "Verfahrensbeschreibung zur Kompetenzfeststellung und Zertifizierung von Personen" (VB-Personen) mit dem "Programm zur Kompetenzfeststellung und Zertifizierung von Personen" (Prog-Personen)

Jede Prüfung (technische Evaluierung beziehungsweise Auditierung) wird mit dem Ziel, eine einheitliche Vorgehensweise und Methodik sicherzustellen, durch die Zertifizierungsstelle begleitet. Die Prüf- beziehungsweise Auditberichte werden durch die Zertifizierungsstelle abgenommen. Es erfolgt hierbei ein Abgleich der Bewertungen mit denen aus anderen Zertifizierungsverfahren. Das Ergebnis des Zertifizierungsverfahrens wird in einem Zertifizierungsreport festgehalten. Hierin enthalten sind unter anderem das Zertifikat (zusammenfassende Bewertung) und der detaillierte Zertifizierungsbericht.

Weitere Informationen:
Broschüre: "Zertifizierte IT-Sicherheit"
Zeichensatzung zur Zertifizierung und Anerkennung, V1.0 vom 05.03.2014


© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved