Um das IT-Sicherheitskennzeichen zu erhalten, müssen Hersteller zuerst ihr Produkt auf Konformität mit den vom BSI aufgestellten IT-Sicherheitsanforderungen prüfen. Dann können sie einen Antrag beim BSI stellen und erklären, dass ihr Gerät oder Dienst diesen technischen Standards entspricht.
Das IT-Sicherheitskennzeichen wird in Kategorien erteilt, denen unterschiedliche Anforderungen zugrunde liegen. Das können laut Gesetz Technische Richtlinien des BSI (wie z.B. für die Kategorie Breitbandrouter), internationale Normen (wie z.B. für die Kategorie Smarte Verbrauchergeräte) oder auch anerkannte Branchenstandards sein.
Der Hersteller verpflichtet sich mit Antragstellung, Schwachstellen zu melden, ohne Verzögerung zu beheben und entsprechende Updates zur Verfügung zu stellen.
Im Rahmen der Beantragung prüft das BSI die eingereichten Unterlagen und fordert ggf. weitere Nachweise an, um die Einhaltung der IT-Sicherheitseigenschaften bewerten zu können. Bei positiver Bewertung wird das Kennzeichen erteilt.
Das gekennzeichnete Produkt unterliegt ab diesem Zeitpunkt der BSI-Marktaufsicht, und zwar für die gesamte Dauer, die das Kennzeichen gültig ist. Die Marktaufsicht kann jederzeit Produkte auf Konformität testen. So wird sichergestellt, dass die IT-Sicherheitseigenschaften nicht nur bei Antragstellung bzw. bei der einmaligen Prüfung, sondern für die gesamte Laufzeit eingehalten werden.