Prüfung der Geräte und Mechanismen

§ 4

(1) Eine Prüfung oder Zertifizierung der für Verwaltungssignaturen eingesetzten Geräte und Mechanismen nach einem Schutzprofil wird nicht explizit vorgeschrieben. Geräte oder Mechanismen sind jedenfalls als geeignet anzusehen, wenn sie die Bedingungen der sicheren Signatur bzw. die Bedingungen der Geräte und Mechanismen erfüllen, die bei Zertifizierungsdiensteanbietern für qualifizierte Zertifikate eingesetzt werden.

(2) Liegt keine Evaluierung der zum Einsatz bei Verwaltungssignaturen bestimmten Komponenten (Geräte und Mechanismen) nach einem Schutzprofil vor, so dürfen diese nur eingesetzt werden, nachdem ein Gutachten einer Bestätigungsstelle im Sinne des § 19 SigG mit dem in Absatz 3 bezeichneten Inhalt die Einhaltung der Anforderungen gemäß §§ 1 bis 3 festgestellt hat.

(3) Das Gutachten der Bestätigungsstelle hat auf die einzelnen Punkte der in den §§ 1 bis 3 genannten Anforderungen einzugehen und hat auch festzustellen, in welchen Zeiträumen ein Audit zur Aufrechterhaltung der Sicherheit notwendig ist. Die Schlussaussage des Gutachtens muss „nach den Anforderungen für die Verwaltungssignatur geeignet“ oder „nach den Anforderungen für die Verwaltungssignatur nicht geeignet“ lauten. Notwendige Betriebsbedingungen können in einem derartigen Gutachten festgestellt werden.

(4) Im Sicherheitskonzept des Zertifizierungsdiensteanbieters ist auszuweisen, welche der eingesetzten Komponenten die Anforderungen für den Einsatz bei sicheren Signaturen bzw. bei Zertifizierungsdiensteanbietern für qualifizierte Zertifikate erfüllen und für welche Komponenten die Erfüllung der Anforderungen der Verwaltungssignatur in einem Gutachten nach Abs. 3 festgestellt wurde.