(1) Das Bundesamt kann von Amts wegen feststellen, dass eine bestehende Norm oder ein Standard geeignet ist, die Anforderungen nach § 5 Absatz 3 zu gewährleisten. Ein Anspruch auf diese Feststellung besteht nicht.
(2) Branchenverbände oder Hersteller können branchenabgestimmte IT-Sicherheitsvorgaben zur Gewährleistung der Anforderungen nach § 5 Absatz 3 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach § 5 Absatz 3 zu gewährleisten. Die Feststellung befristet das Bundesamt entsprechend der zu erwartenden Entwicklungen in der Produktkategorie. Ein Anspruch auf diese Feststellung besteht nicht.
(3) Für eine Norm, einen Standard oder eine branchenabgestimmte IT-Sicherheitsvorgabe, der oder die nicht mehr diesen Anforderungen oder dem Stand der Technik entspricht oder in eine Technische Richtlinie überführt wurde, kann die Feststellung nach Absatz 1 vom Bundesamt vor Ablauf der Frist widerrufen werden.
(4) Wird für eine Produktkategorie mehr als ein Antrag nach Absatz 2 gestellt, so gibt das Bundesamt den Standard mit einer angemessenen Frist zur Einigung an die Vorschlagenden zurück; es kann nach Ablauf dieser Frist ohne Einigung einen der Standards zur Prüfung auswählen.
(5) Ein oder mehrere branchenspezifische Sicherheitsstandards oder eine oder mehrere branchenabgestimmte IT-Sicherheitsvorgaben können vom Bundesamt im Benehmen mit der Branche in eine Technische Richtlinie überführt werden.
zurück