Ab dem 01. September 2025 startet die Pflicht zur Selbstakkreditierung für Unternehmen, die Informationen im Geheimhaltungsgrad „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD) verarbeiten. Diese Pflicht ergibt sich aus dem Merkblatt für die Behandlung von Verschlusssachen des Geheimhaltsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD-Merkblatt). Betroffen von der neuen Pflicht sind eine Vielzahl von Dienstleistern der öffentlichen Hand.
Was ändert sich durch die neue Pflicht?
Die für VS-NfD verantwortliche Person im Unternehmen ist künftig verpflichtet, alle drei Jahre gegenüber ihrer Geschäftsleitung schriftlich zu bestätigen, dass sie die Anforderungen an die Verarbeitung von VS-NfD auf IT-Systemen gemäß dem VS-NfD-Merkblatt vollständig umsetzt. Diese Bestätigung ist auf Anfrage auch dem VS-NfD-Auftraggeber oder dem Bundesministerium für Wirtschaft und Klimaschutz (BMWK) vorzulegen.
Was bedeutet die Selbstakkreditierung konkret?
Mit der Selbstakkreditierung übernimmt das Unternehmen eigenverantwortlich die Überprüfung und Umsetzung aller technischen und organisatorischen Maßnahmen, die für die sichere Verarbeitung von VS-NfD auf IT-Systemen erforderlich sind. Die Bestätigung bezieht sich auf folgende Punkte:
- Umsetzung der IT-Anforderungen des Merkblatts in der jeweils gültigen Fassung,
- Einhaltung der Einsatz- und Betriebsbedingungen für verwendete IT-Sicherheitsprodukte mit Zulassungsaussage des BSI,
- Etablierung eines Informationssicherheitsmanagementsystems (ISMS) durch:
- Anwendung des IT-Grundschutzes des BSI mit Informationssicherheitskonzept inkl. IT-Grundschutz-Check, Risikoanalyse und Umsetzungsplanung oder
- eine ISO 27001-Zertifizierung auf Basis IT-Grundschutz oder
- eine ISO 27001-Zertifizierung auf anderer Grundlage inkl. Differenzanalyse zum IT-Grundschutz, wenn mindestens ein gleichwertiges Sicherheitsniveau zu den Anforderungen des IT-Grundschutzes gewährleistet ist.
Welche Anforderungen gelten für IT-Systeme zur Verarbeitung von VS-NfD?
Die konkreten Schutzmaßnahmen richten sich nach dem Typ und der Konfiguration des eingesetzten IT-Systems. Unterschieden wird zwischen technisch isolierten IT-Systemen („air-gapped“) und netzwerkgebundenen IT-Systemen mit Verbindung zu Netzwerken, welche die VS-NfD Anforderungen nicht erfüllen.
Für technisch isolierte Systeme wie Einzelplatz-PCs werden Maßnahmen wie restriktive Benutzerrechte, das Verbot drahtloser Schnittstellen sowie ggf. eine BSI-zugelassene Festplattenverschlüsselung, insbesondere bei mobilen Geräten vorgeschrieben. Verbundsysteme erfordern darüber hinaus u.a. projektbezogene Zugriffskontrollen, eine physische Absicherung zentraler Komponenten und eine vollständige Dokumentation aller Kommunikationsbeziehungen in Form eines Informationssicherheitskonzepts.
VS-NfD-Netzwerke mit Verbindungen zu Netzwerken, welche die VS-NfD Anforderungen nicht erfüllen, müssen zusätzlich physisch oder bspw. durch mehrstufige Firewalls (PAP-Struktur) getrennt sein. Zudem sind u.a. regelmäßige Prüfungen und Anpassung der Firewall-Regeln, die Sicherstellung des alleinigen Zugriffs aus dem VS-NfD-Netzwerk, eine Aufnahme externer Schnittstellen in das Informationssicherheitskonzept und die Risikoanalyse und Schadcodeprüfungen auf Application Layer Gateways sowie der Einsatz von Schadcodeerkennungssoftware, die ausschließlich im VS-NfD Netz prüfen, verpflichtend.
Weitere zentrale Anforderungen
Darüber hinaus definiert das Merkblatt weitere zentrale Anforderungen an die elektronische Verarbeitung von VS-NfD, wie u.a.:
- Freigabe von IT-Systemen und Arbeitsbereichen: IT-Systeme sowie räumliche Arbeitsbereiche, die für die Verarbeitung von VS-NfD vorgesehen sind, müssen vorab freigegeben sein. Der Einsatz privater IT, Software oder Datenträger ist untersagt.
- Verschlüsselungspflicht: Elektronische Übertragungen von VS-NfD sind grundsätzlich zu verschlüsseln – Ausnahmen gelten nur unter streng definierten Bedingungen innerhalb geschützter Liegenschaften.
- Schutzmaßnahmen für mobiles Arbeiten: Die Verarbeitung von VS-NfD z.B. in der Privatwohnung ist nur mit ausdrücklicher Freigabe zulässig. Voraussetzungen sind u. a. Wohnsitz in Deutschland, Belehrung und Zustimmung der verantwortlichen VS-NfD-Person sowie die Unterzeichnung und Verwahrung der entsprechenden Vereinbarung gemäß Merkblatt.
- Datenträgerlöschung oder -vernichtung: Datenträger, die den VS-NfD-Bereich dauerhaft verlassen, sind gemäß den Vorgaben des BSI zu löschen oder zu vernichten.
- IT-Administration: Die IT-Administration ist durch eigenes Personal durchzuführen.
- Dokumentationspflichten: Es bestehen Dokumentationspflichten im Rahmen des Informationssicherheitskonzepts, bei Risikoanalysen sowie ggf. bei der Notfallkommunikation.
Fazit: Selbstakkreditierung ist jetzt Pflicht
Zum 1. September 2025 ist die Selbstakkreditierung für VS-NfD-IT-Systeme verbindlich. Unternehmen müssen nun formell bestätigen, dass alle technischen und organisatorischen Anforderungen des Merkblatts umgesetzt wurden. Damit liegt die Verantwortung für den Geheimschutz in der IT vollständig bei den Unternehmen selbst – als Voraussetzung für die weitere Zusammenarbeit mit öffentlichen Auftraggebern.
