Zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten werden internationale Abkommen in Arbeitsgruppen ausgehandelt und von den entsprechenden Staaten unterzeichnet. Durch diese Abkommen wird die Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten vermieden, wenn die IT-Sicherheitszertifikate auf ITSEC oder CC beruhen. Diese Anerkennungsabkommen regeln grundsätzlich:

• wie das jeweilige Abkommen koordiniert und umgesetzt wird. Dafür ist jeweils ein Management Commitee (wie das SOGIS-MC oder das CCRA-MC) verantwortlich, dem verschiedene Arbeitsgruppen zuarbeiten,
• wie die Anerkennung und die gegenseitige Überwachung von nationalen Zertifizierungsstellen erfolgt,
• in welchen Vertrauenswürdigkeitsstufen und technischen Bereichen die Anerkennung gilt und
• welche Einschränkungen bei der Anerkennung von Zertifikaten gelten, wenn dieser nationale, internationale oder EU-Gesetze und -Verordnungen entgegenstehen. Dies gilt insbesondere in Anwendungsbereichen der nationalen Sicherheit.

Bisher hat das BSI zur europäischen Anerkennung von IT-Sicherheitszertifikaten das SOGIS-MRA und zur weltweiten Anerkennung das CCRA-Abkommen unterzeichnet.

In Bezug auf die Anerkennung von Zertifikaten durch das BSI schließt dies eine Begrenzung der Anerkennung ein, wenn der Anerkennung überwiegende öffentliche Interesse - insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland - entgegenstehen (BSIG §9, Abs. 4, 2.).

Daraus resultierend ist die Anerkennung eingeschränkt in Bezug auf

• Auswahl kryptographischer Algorithmen und Funktionen und
• Prüfergebnisse zur Implementierung und zur Stärke von kryptographischen Algorithmen und Funktionen.

Hier haben nationale Regelungen und Vorschriften Vorrang.