2 minute read
5 Antragsprüfung
Sollte das BSI aufgrund fehlender Unterlagen einen Antrag auf Erteilung des IT-SiK ablehnen, sollte es dem Antragsteller / der Antragstellerin mitteilen, welche Unterlagen gefehlt haben. Das Ergebnis der Prüfung sollte ebenfalls in digitaler Form dem Unternehmen zugestellt werden.
Zudem empfiehlt die deutsche Industrie, dass die Antragstellung nicht ausschließlich durch das herstellende Unternehmen möglich sein sollte, sondern insbesondere auch das in Verkehr bringende Unternehmen des Produktes in der Lage sein sollte, einen Antrag zu stellen. Dies gilt umso mehr, wenn das herstellende Unternehmen im (nicht-europäischen) Ausland sitzt. Folglich könnte es zielführend sein, durchgängig von einem „antragsstellenden Unternehmen“ zu sprechen, das regelmäßig mit dem herstellenden Unternehmen identisch ist.
Änderungsvorschläge der deutschen Industrie
(1) Ein Antrag auf Freigabe des IT-Sicherheitskennzeichens für ein Produkt ist nur innerhalb der vom Bundesamt nach § 11 bekannt gegebenen Produktkategorien zulässig. Der Antrag kann vom Hersteller sowie vom Inverkehrbringer des Produktes in digitaler, papierloser Form gestellt werden.
(2) Der vollständige Antrag ist unter Verwendung der dafür geltenden Vorlage einzureichen, wenn das Bundesamt eine solche veröffentlicht hat. Der Hersteller, respektive der Inverkehrbringer hat dafür Sorge zu tragen, dass die Erklärung und beigefügten Unterlagen zutreffende Angaben enthalten. Werden Unterlagen nicht oder nicht vollständig vorgelegt, wird der Antrag ohne
Prüfung abgelehnt. Sollte ein Antrag nach Satz 3 dieses Absatzes abgelehnt werden, teilt das
BSI dem Hersteller, respektive dem Inverkehrbringer mit, welche Unterlagen gefehlt haben.
§ 5 Antragsprüfung
Regelungsgegenstand
Das Bundesamt oder eine vom BSI benannte qualifizierte Drittorganisation führt anhand der eingereichten Unterlagen eine Plausibilitätsprüfung durch. Liegen die gesetzlichen Voraussetzungen gemäß § 9c Abs. 5 BSIG vor, erteilt das Bundesamt die Freigabe zur Nutzung des IT-SiK. Das Bundesamt kann den Antrag ablehnen, wenn Hinweise dafür vorliegen, dass (1) das Produkt oder die mit dem Produkt ausgelieferte Software bekannte Sicherheitslücken enthält oder (2) Produkte des herstellenden Unternehmens bereits Gegenstand einer Warnung oder Information nach den §§ 7 oder 7a BSIG oder von Maßnahmen nach § 9c Abs. 8 BSIG betroffen waren.
BDI-Bewertung
Die deutsche Industrie begrüßt das dargestellte Verfahren zur Antragsprüfung und empfiehlt, dass Unternehmen grundsätzlich erfahren sollten, warum Anträge auf Erteilung eines IT-SiK versagt wurden. Um eine schnelle Antragsbearbeitung gewährleisten zu können ist die Prüfung auf eine Plausibilitätsprüfung aufgrund der Papier- bzw. Aktenlage beschränkt. Aus diesem Grunde soll die Plausibilitätsprüfung auch den Regelfall im Rahmen der Antragsbearbeitung bilden. Nicht sinnvoll erscheint hingegen, das Bundesamt nicht mit dem Recht einer eingehenden Sachprüfung auszustatten, die das Bundesamt im Einzelfall währende der Antragsprüfung oder nach Erteilung der Erlaubnis zur Verwendung des IT-SiK nach eigenem Ermessen vornehmen darf. Insoweit sollte die Vorschrift um ein Sachprüfungsrecht des Bundesamtes erweitert werden. Ohne die Möglichkeit einer eingehenden Prüfung wird es schwierig sein, das Vertrauen der Verbraucherinnen und Verbraucher bzgl. der Sicherheit der gekennzeichneten Produkte gewinnen zu können.
