Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist laut BSI-Errichtungsgesetz eine anerkannte Bestätigungsstelle im Sinne des §18 des Signaturgesetzes (SigG). Als solche ist das BSI ermächtigt, Bestätigungen für Produkte gemäß SigG, § 15 Abs. 7 S. 1 bzw. § 17 Abs. 4 zu erteilen. Voraussetzung für die Erteilung einer Bestätigung ist die eingehende technische Prüfung (Evaluierung) der Sicherheitsleistungen des Produktes zur Erfüllung der entsprechenden Anforderungen. Die Erteilung einer Bestätigung wird von Herstellern solcher Produkte beim BSI beantragt.

Gemäß den Vorgaben der Signaturverordnung wird die Evaluierung eines Produktes nach den vom BSI öffentlich bekannt gemachten Sicherheitskriterien von einer vom BSI anerkannten Prüfstelle durchgeführt. Die Evaluierung als Grundlage für die Ausstellung einer Bestätigung verläuft genauso wie eine Evaluierung, die Grundlage für die Ausstellung eines IT-Sicherheitszertifikats ist. Gemäß den Angaben aus der Anlage 1 der Signaturverordnung liegt die Prüftiefe dabei zwischen EAL 3 und EAL 4 mit einer Prüfung gegen hohes Angriffspotenzial.

Das Ergebnis einer erfolgreichen Evaluierung wird in der Bestätigungsurkunde festgehalten. Die erste Seite dieser Urkunde enthält u.a. den Name des Produktes, das Ausstellungsdatum und eine eindeutige Kennung. Daran schließt sich eine Beschreibung des Produktes sowie eine genaue Nennung derjenigen Anforderungen aus dem Signaturgesetz und der Signaturverordnung an, die durch die Sicherheitsleistungen des Produktes erfüllt werden und Bestandteil der Evaluierung sind. Weiterhin sind Hinweise für den Anwender und Auflagen an die Einsatzumgebung des Produktes in der Bestätigungsurkunde enthalten.

Da nach einer erfolgreichen Evaluierung auch die Anforderungen zur Ausstellung eines IT-Sicherheitszertifikates erfüllt sind, wird es im Regelfall auf Antrag des Herstellers zusätzlich zur Bestätigung durch das BSI erteilt.

Die vom BSI erteilten Bestätigungen werden durch das BSI und die Bundesnetzagentur veröffentlicht. Gemäß den Vorgaben der Signaturverordnung veröffentlicht die Bundesnetzagentur die erteilten Bestätigungen noch zusätzlich im Bundesanzeiger.