Der Wert der Informationssicherheit: Zertifizierung und Anerkennung durch das BSI
Ohne Informationssicherheit kann die Digitalisierung in Verwaltung und Wirtschaft nicht erfolgreich vorangetrieben werden. Dabei nehmen die Herausforderungen an Wirtschaft und Verwaltung kontinuierlich zu, sichere Produkte und Dienstleistungen für die Gesellschaft anzubieten. Das BSI nimmt hier eine Schlüsselrolle ein.
Transparenz und Vertrauen
Mit einem Zertifikat kann eine Organisation nachweisen, dass ein Produkt oder eine Dienstleistung definierten Sicherheitsanforderungen entspricht. Eine unabhängige Prüfung durch das BSI schafft Vertrauen und weist Vertraulichkeit, Authentizität und Verfügbarkeit transparent nach. Eine Zertifizierung bringt damit einen echten Mehrwehrt in Transparenz in einem unübersichtlichen Markt mit sich. Darüber hinaus können Unternehmen und Behörden mit einer Zertifizierung ihr Engagement für sichere Lösungen gegenüber Geschäftspartnern oder Kunden sichtbar machen und sich dadurch einen Wettbewerbsvorteil im Markt verschaffen. Informationssicherheit ist „Chefsache“ – auch das belegt ein Zertifikat eindrucksvoll nach innen und nach außen. Das BSI bringt seine langjährige Erfahrung in die Zertifizierung auf nationaler und internationaler Ebene ein.
Vertrauen ist gut, ein Zertifikat ist besser
Anbieter von Produkten und Dienstleistungen sind heute in Bezug auf sichere Lösungen mehr denn je gefordert: Zertifizierung ist hier ein wirksames Mittel, um eine sichere Digitalisierung zu gestalten. Das BSI hat nach dem BSI-Gesetz und der BSI-Zertifizierungs- und Anerkennungsverordnung die Aufgabe, Zertifizierungen informationstechnischer Produkte oder Komponenten sowie informationstechnischer Systeme durchzuführen. In Zertifizierungsprogrammen sind beispielsweise Regeln für Geltungsbereiche oder Anforderungen definiert und beschrieben, wie eine Zertifizierung durchzuführen ist. Zertifizierungsprozesse können je nach Umfang der zu prüfenden Systeme oder der Anzahl zu beteiligender Mitarbeitender zwischen drei Monate bis zu einem Jahr dauern Ein Zertifizierungsprozess erfordert ein hohes technisches Know-how bei allen Beteiligten. Mehr als tausend Zertifizierungsverfahren sowie zahlreiche Standards und Richtlinien bezeugen das Vertrauen in die BSI-Zertifizierung.
Welches Zertifikat für wen?
Hersteller oder Vertreiber können eine Produkt-Zertifizierung beantragen. Diese sind u.a. nach den international anerkannten Common Criteria oder nach einer Technischen Richtlinie möglich. Eine Alternative bietet die Beschleunigte Sicherheitszertifizierung (BSZ), die mit überschaubaren Evaluierungszeiträumen und geringerem Dokumentationsaufwand punkten kann. Für 5G-Mobilfunkausrüstung bietet das BSI die Zertifizierung nach NESAS CCS-GI an. Die Produktzertifizierung bestätigt, dass eine Produktversion bestimmte funktionale und Sicherheitseigenschaften erfüllt, die in Schutzprofilen, Sicherheitsvorgaben oder Technischen Richtlinien spezifiziert sind. Die Informationssicherheit eines Managementsystems kann eine Organisation mit einem ISO 27001-Zertifikat nach IT-Grundschutz nachweisen. Damit belegt die zertifizierte Organisation auch nach außen, dass sie die bewährte BSI-Methode erfolgreich umsetzt. Auch im Bereich der Personenzertifizierung ist das BSI breit aufgestellt: Auditoren zu unterschiedlichen Fachthemen, IS-Revisoren und IT-Grundschutz-Berater sind nur einige der nachgefragten Zertifizierungen. Neben der Zertifizierung bietet das BSI auch Anerkennungsprogramme an. Eine Anerkennung bestätigt die Fachkunde und Eignung einer Organisation in dem von ihnen beantragten Geltungsbereich. Unternehmen können sich als Prüfstelle oder IT-Sicherheitsdienstleister anerkennen lassen und damit einen wichtigen Beitrag zur Informationssicherheit in Deutschland leisten.
Zertifiziert und vernetzt
Das BSI ist DIE Zertifizierungsstelle in Deutschland, die in Zusammenarbeit mit nationalen internationalen Partnern die Cybersicherheit weltweit voranbringt. Das BSI-Angebot zur Zertifizierung und Anerkennung von Produkten, Dienstleistungen und Personen liefert einen wichtigen Beitrag zur Informationssicherheit in Deutschland. Wann nutzen Sie die Chancen einer Zertifizierung?
Die europäische Zertifizierung und Aufsichtsführung
Mit Inkrafttreten der Verordnung (EU) 2019/881 Cybersecurity Act, kurz: CSA im Jahr 2019 wurde der Grundstein gelegt, die europäische Zertifizierungslandschaft auf ein neues Level zu heben. Die europäischen Schemata für die Cybersicherheitszertifizierung leisten einen wichtigen Beitrag zur Vergleichbarkeit von Cybersicherheits-Zertifikaten, die in den Mitgliedstaaten unter dem CSA ausgestellt werden, und stärken dadurch den europäischen Digitalen Binnenmarkt.
Ebenfalls im CSA wurde die Nationale Behörde für Cybersicherheitszertifizierung (im englischen "National Cybersecurity Certification Authority [NCCA]) verankert. Diese ist auch für die Aufsichtsführung gegenüber der Zertifizierung im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung zuständig und im BSI gem. den Vorgaben für die nationale Umsetzung der europäischen Verordnung im Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), das im Mai 2021 in Kraft trat, angesiedelt. Die NCCA wirkt im Rahmen ihrer Aufsichtsführung darauf hin, dass die Vorschriften der europäischen Schemata umgesetzt werden und steht dafür auch im engen Austausch mit den NCCAs anderer europäischer Mitgliedsländer.