Prüf- und Bestätigungsstellen für Zertifizierungsdienste - Anerkennung
Leistungsbeschreibung
Bestätigungs- beziehungsweise Prüf- und Bestätigungsstellen haben die Aufgabe, Sicherheitskonzepte von Zertifizierungsdiensteanbietern zu überprüfen und zu bestätigen (Prüf- und Bestätigungsstelle) sowie zu bestätigen, dass die gesetzlichen Anforderungen an Produkte für qualifizierte elektronische Signaturen erfüllt werden (Bestätigungsstelle).
Die anerkannten Stellen müssen ihre Aufgaben unparteiisch, weisungsfrei und gewissenhaft erfüllen. Durchgeführte Prüfungen und Bestätigungen müssen dokumentiert werden.
Auf Antrag können sowohl natürliche, als auch juristische Personen als Bestätigungs- oder Prüf- und Bestätigungsstelle anerkannt werden.
Verfahrensablauf
Der Antrag auf Anerkennung als Bestätigungs- beziehungsweise Prüf- und Bestätigungsstelle kann formlos gestellt werden. Er muss Namen und Anschriften des Antragstellers und seiner gesetzlichen Vertreter enthalten.
Nach Prüfung der Voraussetzungen kann die zuständige Stelle die Anerkennung folgendermaßen erteilen:
- unbeschränkt
- inhaltlich beschränkt
- vorläufig
- befristet
- mit Auflagen.
Zuständige Stelle
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (kurz: Bundesnetzagentur)
Voraussetzungen
Als zuverlässig gilt, wer aufgrund seiner persönlichen Eigenschaften, seines Verhaltens und seiner Fähigkeiten zur ordnungsgemäßen Erfüllung der ihm obliegenden Aufgaben geeignet ist.
- Unabhängigkeit Als unabhängig gilt, wer keinem wirtschaftlichen, finanziellen oder sonstigen Druck unterliegt, der sein Urteil beeinflussen oder die unparteiische Wahrnehmung seiner Aufgaben gefährden kann.
- Fachkunde Die nötige Fachkunde besitzt, wer aufgrund seiner Ausbildung, beruflichen Bildung und praktischen Erfahrung zur ordnungsgemäßen Erfüllung der ihm obliegenden Aufgaben geeignet ist.
- Eine Akkreditierung der antragstellenden Stelle gemäß DIN EN 45011 als Zertifizierungsstelle für IT-Sicherheit nach ITSEC oder CC bzw. eine Akkreditierung als Prüfstelle gemäß DIN EN ISO/IEC 17025 als Prüflabor für IT-Sicherheit mit der Lizenzierung für Prüfungen nach ITSEC oder CC durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
- Zur Anerkennung als Prüf- und Bestätigungsstelle für Sicherheitskonzepte: Vorlage eines dokumentierten Prüf- und Bestätigungsverfahrens für Sicherheitskonzepte
Welche Unterlagen werden benötigt?
Für den Antragsteller und seine gesetzlichen Vertreter: aktuelle Führungszeugnisse nach § 30 Abs. 5 des Bundeszentralregistergesetzes oder Dokumente eines anderen Mitgliedsstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum, die eine gleichwertige Funktion haben oder aus denen hervorgeht, dass die betreffende Anforderung erfüllt ist,
- aktueller Handelsregisterauszug oder eine vergleichbare Unterlage oder ein Dokument eines anderen Mitgliedsstaates der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum, das eine gleichwertige Funktion hat oder aus dem hervorgeht, dass die betreffende Anforderung erfüllt ist,
- Nachweis der finanziellen Unabhängigkeit (insbesondere über Mindestkapital und vergleichbare Sicherheiten),
- Nachweis der erforderlichen technischen, administrativen und juristischen Fachkunde,
- Erklärung, auf welche gesetzliche Tätigkeiten des Signaturgesetzes sich der Antrag bezieht (Bestätigungsstelle für Produkte für qualifizierte elektronische Signaturen nach § 17 Abs. 4 bzw. § 15 Abs. 7 Satz 1 des Signaturgesetzes und/oder Prüf- und Bestätigungsstelle für Sicherheitskonzepte nach § 15 Abs. 2 des Signaturgesetzes),
- Nachweis über ausreichende Erfahrungen in der Anwendung der Prüfkriterien nach Anlage 1 der Signaturverordnung,
- ggf. Beschreibung, wie die geeignete Überwachung der Prüftätigkeit sichergestellt wird.
Welche Gebühren fallen an?
Die zuständige Behörde erhebt für die Bearbeitung des Antrags Gebühren, deren Höhe sich nach dem Zeitaufwand richtet, und Auslagen.