Der Erteilungsprozess funktioniert eigentlich in verschiedenen Prozessschritten:
Download Antrag:
Im ersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der IT downgeloaded werden. Diese bestehen aus dem generellen Hauptantrag und der produktspezifischen Herstellererklärung.
Antragstellung inklusive Herstellererklärung:
Im folgenden Prozessschritt müssen die antragstellenden IT-Betriebe oder Diensteanbieter nachprüfen, ob deren IT-Produkt oder der IT-Dienst die Anforderungen der jeweiligen Produktkategorie einhält. Wenn das so ist, wird dies mit dem Eintragen der Herstellererklärung verifiziert.
Plausibilitätsprüfung:
Sobald dem Bundesamt für Sicherheit alle erforderlichen Angaben und Dokumente gegeben sind, wird der eingereichte Antrag vom Inhalt her bearbeitet wie auch gecheckt. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Kontext der Zustimmung des IT-Sicherheitskennzeichens zunächst keinerlei Tiefenprüfung bzw. technische Überprüfung der erklärten Sicherheitsvorgaben macht, sondern die Daten sowie eingereichten Unterlagen der IT-Hersteller nur auf Plausibilität bewertet.
Abrechnung Verwaltungskosten:
Für eine Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr erhoben. Sie bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz gesagt BMIBGebV, sowie dem tatsächlich angefallenen Zeitaufwand plus den entstandenen Auslagen. Grundlegend bewegt sich die entstehende Verwaltungsgebühr unter den Kosten des BSI-Zertifizierungsverfahrens.
Erlass, Ausstellung, Veröffentlichung:
Im Falle einer positiven Bewertung, erhält der Antragsteller einen entsprechenden Bewilligungsbescheid sowie die Zurverfügungstellung des jeweiligen Labels. Zur selben Zeit wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, welches über das Onlineangebot des Bundesamtes für Sicherheit in der IT öffentlich abrufbar ist.
Nachgelagerte Marktaufsicht:
Haben die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen sie ab Erteilung des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Behörde prüft in jenem Kontext, ob die zugesicherten Eigenschaften des Produkts durch den Hersteller tatsächlich eingehalten werden. Werden bei dem Produkt Differenzen von der Herstellererklärung festgestellt, beispielsweise eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine angemessene Frist eingeräumt, um jene festgestellten Sicherheitslücken zu beheben und den zugesagten Status des Produkts wiederherzustellen.