IT-Sicherheitskennzeichen
müsste geklärt werden, wie mit der vom BDI geforderten Möglichkeit zur Verlängerung der Laufzeit des IT-SiK (siehe unsere Positionierung unter § 8 Laufzeit des IT-Sicherheitskennzeichens und Erlöschen) in diesem Kontext umgegangen werden kann. Der Gesetzgeber sollte in der BSI-ITSIKV klarstellen, ob das BSI auf seiner Website über jene Produkte und herstellende Unternehmen informieren darf, denen ein IT-SiK durch das Bundesamt versagt wurde. Änderungsvorschläge der deutschen Industrie (1) Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und, der Sicherheitsinformation nach § 9c Absatz 2 des BSI-Gesetzes, auf die beide auf dem Etikett verwiesen wird, sowie der Laufzeit des IT-Sicherheitskennzeichens. Das Etikett versetzt den Verbraucher in die Lage, sich ohne erhebliche Hürden mittels gängiger technischer Hilfsmittel über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehen-den aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren. (4) Auf der Webseite des Bundesamtes sind die Herstellererklärung und die Sicherheitsinformation in aktueller Fassung mit der Laufzeit des Kennzeichens abrufbar. Der Hersteller stellt dem Bundesamt hierfür in eigener Verantwortung aktuelle Sicherheitsinformationen zur Konformität des Produktes zur Verfügung, die das Bundesamt auf der zugehörigen Website spätestens binnen zwölf Stunden, in Fällen von höchster Sicherheitsrelevanz binnen zwei Stunden, einstellt. Das Bundesamt kann zudem weitere Informationen über sicherheitsrelevante IT-Eigenschaften und darüber, ob und inwieweit die Herstellererklärung nach derzeitiger Kenntnis eingehalten wird, einstellen. Der Hersteller ist über durch das BSI eingestellte Informationen nach Satz 3 dieses Absatzes binnen 24 Stunden zu informieren. (5) Das Bundesamt kann stellt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine digitale Applikation zur Verfügung stellen, in der die Informationen zum Herstellerversprechen von Produkten bereitgestellt und abgerufen werden können. § 4 Antrag Regelungsgegenstand Herstellende Unternehmen können einen Antrag auf Freigabe des IT-Sicherheitskennzeichens für ein Produkt stellen, sofern die Produktkategorie vom BSI nach § 11 freigegeben ist. Der vollständige Antrag ist unter Verwendung der dafür geltenden Vorlage beim BSI, welches den Eingang bestätigt und die Prüfungsfrist mitteilt, einzureichen. Unvollständige Anträge werden ohne Prüfung abgelehnt. Für die Vollständigkeit der Unterlagen ist das herstellende Unternehmen zuständig. BDI-Bewertung Im Zuge der Umsetzung des Onlinezugangsgesetzes spricht sich die deutsche Industrie dafür aus, dass der Antrag auf Erteilung des IT-Sicherheitskennzeichens von Anfang an voll digitalisiert und ohne jedwede papierbasierten Unterlagen erfolgen kann. Das BSI sollte hierfür ein sicheres Online-Formular zur Verfügung stellen. Von rein PDF-basierten Formularen, die per Mail an das BSI gesendet werden müssen, sollte Abstand genommen werden. Vielmehr bedarf es einer medienbruchfreien Lösung.
6