Gemäß § 9c Absatz 5 Satz 1 Nummer 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) gibt das Bundesamt für Sicherheit in der Informationstechnik Produktkategorien per Allgemeinverfügung im Bundesanzeiger öffentlich bekannt, innerhalb derer das freiwillige IT-Sicherheitskennzeichen vergeben wird.

Hierzu erlässt das Bundesamt für Sicherheit in der Informationstechnik folgende

1.

Die Kategorie „Mobile Endgeräte“ wird als zusätzliche Produktkategorie des freiwilligen IT-Sicherheitskennzeichens festgelegt.

2.

Für die in Nummer 1 genannte Produktkategorie wird eine Laufzeit von fünf Jahren ab Erteilung der Freigabe zur Nutzung des IT-Sicherheitskennzeichens festgelegt.

zu Nummer 1:

1.

Zur Information von Verbraucherinnen und Verbrauchern über die IT-Sicherheit von Produkten und Diensten des Verbrauchermarktes erteilt das Bundesamt für Sicherheit in der Informationstechnik auf Antrag ein freiwilliges IT-Sicherheitskennzeichen. Zu diesem Zweck werden Produktkategorien festgelegt, innerhalb derer Produkten die Freigabe zur Nutzung des IT-Sicherheitskennzeichens erteilt werden kann.

Eine solche Produktkategorie erfasst eine Gruppe von vergleichbaren informationstechnischen Produkten in einem eingrenzbaren Bereich, vorliegend dem Bereich „Mobile Endgeräte“.

2.

Die Festlegung der genannten Produktkategorie, für die das Bundesamt für Sicherheit in der Informationstechnik gemäß § 9c Absatz 1 BSIG zuständig ist, erfolgt auf Grundlage der §§ 9c Absatz 1 und 5 Nummer 1, 10 Absatz 3 BSIG in Verbindung mit § 11 der BSI-IT-Sicherheitskennzeichenverordnung (BSI-ITSiKV).

3.

Die vorliegende Allgemeinverfügung eröffnet die Antragstellung und Erteilung von IT-Sicherheitskennzeichen für „Mobile Endgeräte“. Erfasst sind damit für die Verwendung durch Verbraucherinnen und Verbraucher bestimmte Geräte für die mobile Daten-, Sprach- und Bildkommunikation, die standardmäßig über eine geschlossene Plattform für den Bezug von Anwendungssoftware („App-Store“) verfügen und im Werkszustand einen sicheren Boot-Vorgang („Secure Boot“) ausführen. Die Produktkategorie umfasst damit insbesondere Smartphones und Tabletts.

Ausdrücklich ausgeschlossen sind nicht eigenständige Wearables, wie beispielsweise Smartwatches, Smart­glasses, Fitnesstracker oder Wristbands, da diese unter den Anwendungsbereich der bereits bestehenden Produktkategorie für „Smarte Verbrauchergeräte“ fallen.

4.

Mangels gesetzlicher Eingrenzung entscheidet das Bundesamt für Sicherheit in der Informationstechnik nach eigenem Ermessen über die Auswahl relevanter Produktkategorien des IT-Sicherheitskennzeichens (vergleiche BT-Drucksache 19/​26106, Seite 87). Ausgehend von dem gesetzgeberischen Ziel, die IT-Sicherheit von ver­schiedenen Verbraucherprodukten im IT-Bereich verständlich, transparent, einheitlich und aktuell darzustellen, leiten sich die maßgeblichen Aspekte für die Einführung neuer Produktkategorien ab. Entscheidungserhebliche Faktoren sind demnach unter anderem das Risiko- und Schutzpotenzial einer Produktgruppe, deren Marktdurchdringung und Verfügbarkeit am Verbrauchermarkt sowie das Vorliegen einschlägiger und geeigneter IT-Sicherheitsvorgaben.

Vor dem Hintergrund erscheint die Einführung der genannten Produktkategorie geeignet, zielführend und geboten. Mobile Endgeräte ermöglichen eine ortsunabhängige Datenkommunikation in der Breite der Bevölkerung, beispielsweise für Telefonate, die Teilnahme an sozialen Netzwerken, zum Online-Einkauf, für Bankgeschäfte oder zum Internetzugang. Ohne grundlegende Sicherheitsfunktionalitäten bieten sie Angreifern jedoch Einfallstore, um sensible Informationen auszuspähen oder diese für andere Formen der Cyberkriminalität zu missbrauchen.

Die Verbesserung des Security-Designs von mobilen Endgeräten ermöglicht deshalb einen besseren Schutz der Verbraucherinnen und Verbraucher vor solchen Risiken. Von mobilen und internetfähigen Geräten geht dabei ein besonderes Schadpotenzial aus, da sie oft sensible Informationen verarbeiten oder für die Abwicklung besonders schützenswerter Prozesse verwendet werden. Die Möglichkeit, die Geräte immer und überall bei sich zu führen und ständig mit dem Internet verbunden zu sein, birgt zusätzliches Gefahrenpotenzial.

5.

Um das skizzierte Gefahrenpotenzial zu adressieren, liegen mit der BSI TR-03180 A bereits geeignete IT-Sicherheitsvorgaben sowie konkrete Prüfspezifikationen vor, welche für die Konformitätsbewertung herangezogen werden können. Die Technische Richtlinie adressiert grundlegende IT-Schutzziele, Charakteristika von IT-Bedrohungen, typische Angriffstechniken von Cyber-Kriminalität, Authentisierungstechniken und -mechanismen, Kommu­nikations- und Übertragungsprotokolle sowie Anforderungen an die Sicherheit der Systemarchitektur mobiler Betriebssysteme. Mithin werden die wesentlichen Anforderungen für die sichere Gestaltung von mobilen End­geräten formuliert, bei deren Umsetzung ein grundlegendes IT-Sicherheitsniveau für Verbraucherinnen und Verbraucher gefördert werden kann.

6.

Die verbindlichen Sicherheitsanforderungen der Produktkategorie werden gemäß § 11 Absatz 3 BSI-ITSiKV auf der Internetseite des Bundesamts für Sicherheit in der Informationstechnik (www.bsi.bund.de) veröffentlicht.

zu Nummer 2:

Die Festlegung der abweichenden Laufzeit erfolgt auf Grundlage des § 10 Absatz 3 BSIG in Verbindung mit § 8 Absatz 1 Satz 3 BSI-ITSiKV. Demnach kann das BSI eine von der regelmäßigen Laufzeit (zwei Jahre) abweichende Laufzeit für Produktkategorien festlegen.

Der aktuelle Entwurf der europäischen Cyberresilienz-Verordnung, Verfahren 2022/​0272/​COD, in der Fassung des Europäischen Parlaments vom 12. März 2024 (Beschluss des Rates ausstehend) sieht für den europäischen Binnenmarkt einen verpflichtenden Supportzeitraum von fünf Jahren vor, innerhalb dessen Hersteller die wirksame Behandlung von Schwachstellen gewährleisten sollten, sofern das Produkt keine geringere Lebensdauer erwarten lässt. Zur Harmonisierung mit der zu erwartenden europäischen Regulierung und mit Blick auf die marktüblichen Produktlebenszyklen erscheint die Festlegung einer vom verordnungsgeberischen Regelfall abweichenden Laufzeit an­gemessen.

Diese Allgemeinverfügung wird mit Bekanntgabe wirksam und gilt an dem auf die Veröffentlichung im Bundesanzeiger folgenden Tag als bekannt gegeben, § 41 Absatz 4 Satz 4 des Verwaltungsverfahrensgesetzes.

Gegen diese Allgemeinverfügung kann innerhalb eines Monats nach Bekanntgabe Widerspruch beim Bundesamt für Sicherheit in der Informationstechnik in Bonn erhoben werden.