Begründung der Bundesregierung
Die Vorschrift dient der Angleichung der Konformitätsbewertungsverfahren im Bereich IT-Sicherheit an internationale Vorgaben und insbesondere die Verordnung (EU) 2019/881 (sog. Cybersecurity Act – CSA), die auch in der NIS-2-Richtlinie zur Anwendung kommt. Im CSA ist im Rahmen eines Zertifizierungsschemas auch eine Selbstbewertung der Konformität als Alternative zu einer klassischen Zertifizierung durch einen Dritten vorgesehen, in der ein Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen selbst alle Überprüfungen vornimmt, um sicherzustellen, dass die IKT-Produkte, -Dienste oder -Prozesse mit dem europäischen Schema für die Cybersicherheitszertifizierung konform sind. Mit der Selbstbewertung verbunden ist die Unterzeichnung einer Erklärung durch den Hersteller, Anbieter oder IT-Sicherheitsdienstleister, worin dieser bestätigt, dass die Anforderungen der Technischen Richtlinie eingehalten werden (Konformitätserklärung). Hierdurch übernimmt der Unterzeichner (Aussteller) die Verantwortung für die Einhaltung der Anforderungen. Vorteile der Selbstbewertung sind die niedrigeren Kosten und der geringere Aufwand für den Hersteller, Anbieter oder IT-Sicherheitsdienstleister. Darüber hinaus wird dem Bundesamt hierdurch ermöglicht, Vorgaben an die IT-Sicherheit niedrigschwellig auf dem Markt zu etablieren und zugleich die Kontrolle der Anforderungen auf einem dem Schutzniveau entsprechenden Niveau sicherzustellen, ohne den Markt mit den strengeren Vorgaben einer Zertifizierung zu belasten. Bei der Konformitätserklärung handelt es sich um eine rein nationale Regelung. Im Einklang mit der Verordnung (EU) 2019/881 wird das Bundesamt kein Schema betreiben, welches im Widerspruch zu einem europäisch harmonisierten Zertifizierungsschema steht. Zugleich kann das Bundesamt jedoch das Ziel verfolgen, ein bewährtes nationales Schema einer europäischen Harmonisierung im Wege der Verordnung (EU) 2019/881 zuzuführen.
Zu Absatz 1 und 2
Absatz 1 legt den Rahmen für eine Konformitätserklärung fest. In Abgrenzung zum IT-Sicherheitskennzeichen werden keine Verbraucherprodukte von der Konformitätserklärung nach dieser Regelung erfasst. Ein möglicher Anwendungsbereich ist insbesondere der bereits im Bundesamt etablierte IT-Grundschutz und entsprechende Selbstbewertungen von Personen (z. B. IT-Grundschutz-Praktiker) oder Institutionen.
Die Absätze 1 und 2 stellen zudem klar, dass die entsprechenden Technischen Richtlinien vom Bundesamt erstellt werden und festlegen, welche konkreten Vorgaben (insbesondere bezüglich der Durchführung und dem Nachweis der Konformitätsbewertung) mit der Selbstbewertung verbunden sind. Sowohl die Anforderungen, als auch die Vorgaben für Durchführung der Konformitätsbewertung können somit von Technischer Richtlinie zu Technischer Richtlinie variieren. Bei den Vorgaben an die Konformitätsbewertung kann dabei auf etablierte Akteure (Beispielsweise im Bereich Grundschutz) zurückgegriffen werden, die bereits heute eine Konformitätsbewertung anbieten. Wie Absatz 3 klarstellt, kann dabei auch auf akkreditierte Konformitätsbewertungsstellen zurückgegriffen werden.
Dieses Vorgehen entspricht in weiten Teilen dem Regelungsgehalt von Schemata im Anwendungsbereich der Verordnung (EU) 2019/881. Durch die so gewonnene Flexibilität kann das Bundesamt in der Technischen Richtlinie auf die jeweiligen Ziele und den konkreten Gegenstand der Selbstbewertung reagieren. Aufgrund der guten Erfahrungen mit dem IT-Sicherheitskennzeichen, soll es dem Bundesamt darüber hinaus ermöglicht werden, in der Technischen Richtlinie die Bereitstellung von aktuellen Informationen auf der Internetseite des Bundesamtes vorzusehen und dies gegebenenfalls durch einen dynamischen Bestandteil mit dem Kennzeichen des Schemas zu verknüpfen.
Zu Absatz 3
Um zusätzlich ein einheitliches Niveau in der Konformitätsbewertung sicherzustellen, kann das Bundesamt in seiner Technischen Richtlinie auf das System der Akkreditierung entsprechend dem Gesetz über die Akkreditierungsstelle (Akkreditierungsstellengesetz – AkkStelleG) zurückgreifen. Aussteller einer Konformitätserklärung müssen sich dann einer Konformitätsbewertung durch eine von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten Konformitätsbewertungsstelle unterziehen, der das Bundesamt die Befugnis erteilt hat, als solche im Anwendungsbereich des § 53 tätig zu werden. Die Erteilung der Befugnis liegt im Ermessen des Bundesamtes und kann an Anforderungen geknüpft werden, die über diejenigen der Akkreditierung hinausgehen. Die Entscheidung kann mit Nebenbestimmungen verbunden werden. Mit der Stellung als die für die Erteilung der Befugnis zuständigen Behörde gehen die Rechte des Bundesamtes entsprechend dem AkkStelleG einher.
Zu Absatz 4
Absatz 3 Satz 1 stellt sicher, dass dem Bundesamt bei Bedarf die für die Aufsicht notwendigen Informationen und Dokumente vorliegen. Die nach Satz 2 vorzulegende Konformitätserklärung kann vom Bundesamt, soweit es das Schema vorsieht, gemeinsam mit weiteren Informationen und Dokumenten auf der Internetseite des Bundesamtes nach Absatz 2 Nummer 6 veröffentlicht werden.
Zu Absatz 5 und 6
Der Konformitätserklärung liegt –anders als es bei der Zertifizierung der Fall ist- keine Entscheidung des Bundesamtes in Gestalt eines Verwaltungsaktes zugrunde. Daher bedarf es zur Durchsetzung von Maßnahmen der Aufsicht einer eigenständigen Ermächtigungsgrundlage. Kontrolliert wird die Einhaltung der Vorgaben ex-post durch die bereits etablierte Marktaufsicht des Bundesamtes. Diese kann anlasslos oder anlassbezogen erfolgen. Werden Maßnahmen aufgrund eines begründeten Verdachts getroffen, so kann das Bundesamt gegenüber dem Adressaten der Maßnahme Gebühren erheben. Ein begründeter Verdacht kann sowohl auf eigenen Erkenntnissen des Bundesamtes, als auch durch vertrauenswürdige öffentliche Quellen oder Hinweisgeber beruhen. Flankiert wird die Aufsicht durch die Sanktionsvorschriften in § 65. Danach ist es strafbewehrt, wenn eine vom Bundesamt für ungültig erklärte Konformitätserklärung verwendet oder nur wahrheitswidrig behauptet wird, dass eine solche abgegeben wurde.