Datum 15.06.2022

Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, und der Generaldirektor der Agence nationale de la sécurité des systèmes d'information (ANSSI), Guillaume Poupard, haben ein Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten unterzeichnet. Das Abkommen bezieht sich auf die Programme CSPN (Certification de Sécurité de Premier Niveau) und BSZ (Beschleunigte Sicherheitszertifizierung). Beide Zertifizierungsprogramme ermöglichen planbare Evaluierungslaufzeiten. Insbesondere im Bereich der Dokumentation reduziert sich der Aufwand für den Produkthersteller.

Mit Inkrafttreten des Abkommens werden bereits gültige Zertifikate in beiden Programmen als gleichwertig anerkannt. Zukünftig erteilte Zertifikate werden mit ihrer Veröffentlichung automatisch anerkannt. Das Abkommen bezieht sich grundsätzlich auf alle Zertifikate, die in den beiden Programmen erteilt werden. Es können Zertifikate von der Anerkennung ausgenommen werden, wenn sie zum Beispiel besonderer nationaler Regulierung unterliegen.

Neben der Anerkennung von Zertifikaten legt das Abkommen auch ein Fundament für die vertiefte Zusammenarbeit zwischen den Zertifizierungsstellen von ANSSI und BSI. Außerdem erhält der regelmäßige fachliche Austausch zur weiteren Harmonisierung und Weiterentwicklung von CSPN und BSZ seinen formellen Rahmen.

Dieses Abkommen ist ein weiterer Schritt zur internationalen Harmonisierung von Zertifizierungsprogrammen mit festem Evaluierungsaufwand. Momentan wird eine entsprechende Europäische Norm namens FiTCEM (Fixed time cybersecurity evaluation methodology for ICT products, prEN 17640) entwickelt. Basierend auf dieser Norm ist eine weitere europäische Harmonisierung als Europäisches Zertifizierungsprogramm auf Basis des CSA (Cyber Security Act) möglich.