Frage: Sind die vom Bundesamt für Sicherheit in der Informationstechnik erlassenen Mindeststandards für IT-Sicherheitsprodukte verpflichtend für Bundesbehörden, die solche Produkte beschaffen, und worin besteht diese Pflicht konkret (z. B. verbindliche Ausschreibungskriterien)?
Antwort des Staatssekretärs Klaus Vitt vom 3. Februar 2020:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet nach § 8 Absatz 1 Satz 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Im Beschaffungsprozess gilt das Vergaberecht. Der Umsetzungsplan Bund 2017 legt fest, dass die Mindeststandards des BSI nach § 8 Abs. 1 BSIG dabei zu beachten sind. Mindeststandards stellen Sicherheitsanforderungen an die Informationstechnik des Bundes und in der Regel nicht an IT-Sicherheitsprodukte. Diese Sicherheitsanforderungen können durch technische oder organisatorische Maßnahmen erfüllt werden.