Ergänzend zum herkömmlichen Zulassungsverfahren, das unter anderem in FAQ Evaluierung und Zulassung und in der Technischen Leitlinie BSI TL - IT 01 beschrieben ist, wird im BSI das Qualifizierte Verfahren zur Beschleunigung von Zulassungen angewendet.

Vor der Etablierung des Qualifizierten Verfahrens hat das BSI ausschließlich durch eine vollständig technische Evaluierung die Vertrauenswürdigkeit eines IT-Sicherheitsprodukts im Rahmen von Zulassungsverfahren gemäß der Verschlusssachenanweisung (VSA) festgestellt. Das Qualifizierte Verfahren trägt kürzeren Entwicklungszyklen Rechnung, indem es die Vertrauenswürdigkeit von Entwicklungsprozessen bewertet. Die dabei zu Grunde liegenden Kriterien basieren auf dem internationalen Standard der Common Criteria. Sie umfassen Vorgaben an den gesamten Lebenszyklus eines IT-Sicherheitsprodukts von der frühen Planungsphase, über die Entwicklung, Markteinführung, Service und Wartung bis hin zur geregelten Aussonderung. Geprüfte, vertrauenswürdige Prozesse beim Hersteller erlauben es, Produktzulassungen mit einem erheblich reduzierten Evaluierungsumfang durchzuführen. Das Vertrauenswürdigkeitsniveau wird dabei wie bei dem herkömmlichen VS-NfD Zulassungsverfahren beibehalten.

Das Qualifizierte Verfahren wird in die Schritte Herstellerqualifizierung und Qualifiziertes Zulassungsverfahren unterteilt.

Zunächst prüft und bewertet das BSI die für die Entwicklung eines IT-Sicherheitsproduktes verwendeten Prozesse und Umgebungen.

Dies erlaubt im zweiten Schritt, IT-Sicherheitsprodukte im Rahmen des Qualifizierten Zulassungsverfahrens zu betrachten. Dazu belegt der Hersteller die konzeptionelle Eignung des zuzulassenden IT-Sicherheitsproduktes, die anschließend vom BSI geprüft wird. Die hierfür notwendigen Herstellernachweise beschreiben auf eine informelle, aber systematische Art und Weise, die Sicherheitsfunktionen und -eigenschaften des Produktes. Sofern diese Eignung vom BSI als gegeben gesehen wird, bestätigt der Hersteller in Form einer Herstellererklärung die Anwendung der im Rahmen der Herstellerqualifizierung geprüften Herstellerprozesse sowie die Erstellung und Hinterlegung sämtlicher geforderter Nachweise. Diese entsprechen den in einem herkömmlichen Zulassungsverfahren zu erstellenden Nachweisen.

Herstellerqualifizierungen werden zeitlich befristet erteilt. Die Einhaltung der geprüften Herstellerentwicklungsprozesse wird turnusmäßig anhand konkreter Zulassungsverfahren durch das BSI überprüft.

Bei Fragen zum Qualifizierten Verfahren wenden Sie sich bitte per Mail an das Postfach Referat-KM11@bsi.bund.de.

Hersteller mit aktuell gültiger Herstellerqualifizierung

• ADVA Optical Networking
• genua GmbH
• NCP Engineering GmbH
• Rohde & Schwarz Cybersecurity GmbH
• secunet Security Networks AG
• Utimaco IS GmbH