Normen, Standards & Richtlinien

Ob Naturkatastrophen, Lieferkettenunterbrechungen oder die stark zunehmende Zahl von Cyberangriffen: Sie treffen Unternehmen und Organisationen ohne gründliche Risikovorsorge noch immer plötzlich und unverhofft. Unternehmen, die rechtzeitig Vorsorge treffen möchten, um sich für den Ernstfall zu wappnen, werden von erfahrenen Expert:innen der TÜVIT unterstützt.

Mit der Beschleunigten Sicherheitszertifizierung (BSZ) belegen Sie die Sicherheits­aussage Ihres IT-Produktes durch ein unabhängiges Zertifikat. Im Fokus der BSZ steht die sicherheitstechnische Robustheit Ihres IT-Pro­duk­tes. Durch eine Kombination aus Evaluierungen und Penetrationsprüfungen weisen Sie objektiv nach, dass Ihr Produkt die angegebene Sicherheitsleistung erfüllt.

Das Smart-Meter-Gateway (SMGW) gilt als das funktionale Herzstück jedes intelligenten Messsystems (iMSys). Um eine kommunikative Anbindung von technischen Einrichtungen an die HAN-Schnittstelle des SMGWs zu gewährleisten, werden CLS-Kommunikationsadapter eingesetzt. Dass diese auch wirklich sicher sind sowie den Stand der Technik erfüllen, belegen Hersteller mit einer Prüfung nach TR-03109-5.

Passt zum Personalausweisgesetz

Router gelten als das Herzstück der modernen Heimvernetzung. Aus diesem Grund stellen sie ein attraktives Ziel für Hackerangriffe dar, das es wirksam zu schützen gilt. Mit der BSI TR-03148 für "Secure Broadband Router" können Sie als Hersteller nachweisen, dass Ihre Breitband-Router die durch das BSI definierten Sicherheitsanforderungen erfüllen.

Um elektronische Kassensysteme vor solchen unerlaubten Eingriffen zu schützen, muss die Integrität, Authentizität und Vollständigkeit der entsprechenden Daten gewährleistet werden. Ermöglicht wird dies durch den Einsatz einer Technischen Sicherheitseinrichtung (TSE), die die aufzuzeichnenden Daten schützt und speichert. Diese muss nach der BSI TR-03153 zertifiziert sein.

Gesundheitsanwendungen speichern und verarbeiten eine Menge an sensiblen sowie besonders schützenswerten Daten. Für Hersteller von Gesundheitsanwendungen ist es daher besonders wichtig, grundlegende Sicherheitsstandards – wie sie in der Technischen Richtlinie BSI TR-03161 definiert sind – von Anfang an mitzudenken und entsprechend umzusetzen.

Passt zum Personalausweisgesetz, es geht um die Übertragung von Lichtbildern von Fotografen zu Behörden

Die BSI TR-03174 richtet sich an Hersteller, Entwickler und Betreiber digitaler Anwendungen im Finanzwesen. Sie legt verbindliche, prüfbare Sicherheitsanforderungen fest, mit dem Ziel, ein einheitliches und hohes Sicherheitsniveau für Finanz-Apps, Web-Anwendungen und Backend-Systeme zu gewährleisten.

Digitalisierungsprojekte in Staat, Wirtschaft und Gesellschaft brauchen besonders sicheren Schutz und Übertragung von sensiblen Daten. Deswegen ist es wichtig, dafür notwendige kryptographische Verfahren nach einem etablierten Standard zu implementieren und zu nutzen. Dafür ist ein Cryptographic Service Provider (CSP) notwendig, der nach der technischen Richtlinie TR-03181 CSP2 aufgebaut ist.

Sie sind Anbieter eines Cloud-Dienstes und möchten Ihre aktuelle Cloud-Infrastruktur objektiv bewerten lassen? Mit einer Prüfung nach dem Cloud Computing Compliance Controls Catalog, kurz C5, des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten Sie eine transparente Einschätzung.

Sichere Betriebs- und Datenbanksysteme sind elementar für Integrität und Schutzmechanismen von Daten und Anwendungen gegen unbefugte Zugriffe.

Noch immer sind die Sicherheitsbedenken gegenüber Smart-Home-Geräten groß. Mit dem Prüfzeichen CyberSecurity Certified (CSC) können Hersteller von Smart-Home-Geräten sowie Consumer IoT-Produkten dieser Problematik entgegentreten und die Implementierung von Sicherheitsmaßnahmen objektiv nachweisen.

Mit dem 2024 vom Rat der EU-Innenminister:innen beschlossen Cyber Resilience Act (CRA) kommen auf Hersteller von vernetzten Geräten zukünftig neue Mindestanforderungen in Sachen Cybersicherheit zu.

In der Cloud können große Datenmengen flexibel und effizient gespeichert und verarbeitet werden. Gleichzeitig birgt die Nutzung Cloud-basierter Systeme auch Risiken, etwa durch Cyberangriffe, Datenverluste, Fehlkonfigurationen oder unbefugten Zugriff. Um diesen Risiken zu begegnen, sollten Unternehmen umfassende Sicherheitsmaßnahmen umsetzen.

Common Criteria (CC) ist ein staatlich geführtes Zertifizierungssystem, das in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Zertifizierungsstelle hat. Durch das Arrangement on the Recognition of Common Criteria Certificates (CCRA) sind die Zertifikate in 31 Ländern anerkannt.

Damit Ihre digitale Gesundheitsanwendung zur Kassenleistung werden kann, müssen Sie gegenüber dem Bundesinstitut für Arzneimittel und Medizin­produkte (BfArM) nachweisen, dass Ihre Anwendung bestimmte Anforderungen an die IT-Sicherheit, den Datenschutz und die Daten­sicherheit erfüllt. Wir begleiten Sie auf Ihrem Weg zur erstattungsfähigen DiGA.

Streben Sie an, dass Ihre digitale Pflegeanwendung (DiPA) offiziell ins DiPA-Verzeichnis aufgenommen und damit erstattungsfähig wird, müssen Sie nachweisen, dass Ihre Anwendung bestimmten Anforderungen an IT-Sicherheit, Datenschutz und Daten­sicherheit entspricht. Mit den passenden Services unterstützen wir Sie erfolgreich auf dem Weg zur Kassenleistung.

Legen Sie Ihren betrieblichen Datenschutz in die Hände unserer Expert:innen: Wir stellen Ihnen externe, zertifizierte Datenschutzbeauftragte zur Seite, die Sie bei der DSGVO-konformen Datenschutzorganisation in Ihrem Unternehmen unterstützen. Unsere Datenschutzexpert:innen helfen Ihnen in allen Fragen des betrieblichen Datenschutzes und überwachen die Einhaltung datenschutzrechtlicher Vorgaben.

Mit Artikel 42 EU-DSGVO sind die Voraussetzungen für eine Zertifizierung nach der EU-Datenschutz-Grundverordnung geschaffen. TÜVIT befindet sich aktuell im Akkreditierungsverfahren für die Datenschutz-Zertifizierung.

Die DSGVO stellt Unternehmen oder deren Dienstleister sowie Entwickler und Betreiber von Webseiten oder Online-Shops vor große Herausforderungen: Eine teure Umsetzung der Datenschutzvorschriften sowie das Risiko hoher Bußgelder, wenn die gesetzlichen Bestimmungen nicht erfüllt werden.Hier leistet TÜVIT Abhilfe: Mit unseren flexiblen Datenschutzaudits.

Datenschutzmanagementsysteme (DSMS) sichern Unternehmen rechtlich ab, minimieren Risiken und schaffen Vertrauen bei Kunden und Partnern. Sie strukturieren Datenschutzprozesse, sorgen für Transparenz und beugen Verstößen gegen die DSGVO vor. Zertifizierungen von TÜVIT belegen die Wirksamkeit – Datenschutz wird so zum Wettbewerbsvorteil.

Digitale Identitäten gewinnen im Alltag zunehmend an Bedeutung – sei es beim Online-Banking, dem Abrufen von Behördendienste oder beim Altersnachweis. Die EUDI-Wallet in Kombination mit der eIDAS-Verordnung 2.0 soll Nutzer:innen eine sichere, vertrauenswürdige und europaweit anerkannte Möglichkeit bieten, ihre Identitätsdaten und amtlichen Dokumente wie Bordkarten und Tickets digital zu verwalten.

Komponenten, die im elektronischen Zahlungsverkehr eingesetzt werden, müssen die EMVCo Sicherheitsstandards bzw. die der Deutschen Kreditwirtschaft erfüllen. Das IT-Sicherheitslabor von TÜVIT evaluiert seit über zwanzig Jahren u.a. Chips, Applikationen, Chipkarten bzw. Smart Cards und die dazugehörigen Betriebssystemen für den Bankensektor und erstellt Sicherheitsgutachten.

FIPS 140-3 schafft die Voraussetzungen für einheitliche Sicherheitsstandards von kryptografischen Modulen und ermöglicht auf diese Weise eine internationale Vergleichbarkeit. Dabei greift der Standard aktuelle Bedrohungen sowie moderne Kryptografie- und Sicherheitstechnologien auf und bietet so eine zeitgemäße Grundlage.

Authenticator und biometrische Benutzerverifizierungen sollen die Authentifizierung für User im Internet sicherer, schneller und einfacher machen – vorausgesetzt diese erfüllen selbst gewisse Sicherheitsstandards. Die FIDO-Allianz hat speziell für diese Authentifizierungslösungen offene Standards entwickelt, mit denen Hersteller deren Sicherheit objektiv belegen können.

Das Network Equipment Security Assurance Scheme, kurz NESAS, ist ein gemeinsam von 3rd Generation Partnership Project (3GPP) und GSM Association (GSMA) definiertes, industrieübergreifendes Schema zur Stärkung des Vertrauens in die IT-Sicherheit von Mobilfunkkomponenten. Die Prüfung der Netzwerkgeräte erfolgt durch unabhängige Prüfdienstleister wie TÜVIT.

Hardware-Sicherheitsmodule schützen als vertrauenswürdige Netzwerkcomputer besonders wichtige und sicherheitsrelevante Informationen und Prozesse im Infrastruktur-Backend. Wie? Als gehärtete Server mit Sicherheitsmanagementfunktionen bei gleichzeitig hoher Performance.

Cyber-Angriffe und Datendiebstahl betreffen mittlerweile fast alles und jeden. Das Management der Informationssicherheit trägt entscheidend dazu bei, ob ein Unternehmen seine Geschäftsprozesse absichern kann und Vertrauen am Markt genießt.

Mit einem Business Continuity Management (BCM) ist Ihr Unternehmen für den Ernstfall gerüstet: Drohen Notfälle oder Störungen Ihre Geschäftstätigkeiten einzuschränken oder gar zum Ausfall zu bringen, kommt das BCM gemäß ISO 22301 zum Tragen. Es legt die Anforderungen für ein ganzheitliches Krisen- und Notfallmanagement fest.

Mit einer Zertifizierung nach ISO 27001 weisen Unternehmen objektiv nach, dass sie ein wirksames Informationssicherheitsmanagementsystem (ISMS) betreiben, das ihre betrieblichen Informationen, Daten und Systeme best­möglich vor Hackerangriffen sowie Datenverlust schützt.

Die internationale Norm ISO 27017 enthält spezifische Anforderungen an die Informationssicherheit von Cloud-Diensten. Sie gibt Providern sowie Nutzern von Cloud-basierten Services einen effizienten Leitfaden an die Hand, um wirksame Informationssicherheitskontrolle zu implementieren.

Die ISO 27018 gibt Anbietern von Cloud Computing einen Leitfaden an die Hand, mit dem sie eine sichere Verarbeitung personenbezogener Daten innerhalb der Cloudumgebung gewährleisten können. Dabei ist die Norm als Ergänzung zu den Standards ISO 27001, ISO 27002 sowie ISO 27017 zu verstehen und lässt sich somit bequem in ein bestehendes Informationssicherheits-Managementsystem (ISMS) integrieren.

Mit der ISO 27701 ergänzen Sie Ihr bereits bestehendes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 um relevante datenschutzspezifische Anforderungen. Dabei kann der internationale Standard ISO 27701 auch als systematische Grundlage dienen, um die Anforderungen der DSGVO erfolgreich in das Management des Datenschutzes zu integrieren.

In der Energieindustrie kommen unter anderem Daten- und Kommunikations­protokolle zum Einsatz, die über keine eigenen Sicherheits­mechanismen verfügen. Umso wichtiger ist es, diese angemessen zu schützen. Ein effizientes Werkzeug stellt die IEC 62351 dar: Mithilfe der spezifischen Norm­anforderungen kann die Prozesskommunikation zwischen Leit- und Fernwirk­tech­nik bestmöglich abgesichert werden.

Mit der IEC 62443 schützen Sie sich als Be­trei­ber, Integrator oder Hersteller indu­stri­eller Automatisierungssysteme bestmöglich vor Cyberangriffen und verbessern die allgemeine Sicherheit Ihrer Prozesse, Pro­dukte oder Systeme. In Form von Kriterien und Sicherheits­anforderungen gibt Ihnen die Norm einen effektiven Leitfaden an die Hand.

Das Internet of Everything (IoE) revolutioniert die Art und Weise, wie Menschen, Prozesse, Daten und Dinge miteinander vernetzt sind. Es steigert die Effizienz , fördert Innovationen sowie neue Geschäftsmodelle und schafft personalisierte Erlebnisse.

Mit dem IT-Grundschutz gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen eine Methodik an die Hand, mit der sie ihre Daten, Systeme und Informationen ganzheitlich absichern und erfolgreich ein Managementsystem für Informationssicherheit (ISMS) implementieren können.

Integrität, Robustheit und Vertraulichkeit sind die elementaren Voraussetzungen für vertrauenswürdige Kommunikation. Sie gewährleisten das Vertrauen der Nutzer in Technik und Betreiber.

Heute schon an morgen denken: Vertrauliche Informationen laufen Gefahr, in der Zukunft nicht mehr geschützt zu sein.

Mit der Radio Equipment Directive (RED) hat die EU-Kommission einen regulatorischen Rahmen für das Inverkehrbringen von Funkanlagen geschaffen.Auf dieser Seite finden Sie alles, was Sie rund um die RED wissen müssen.

Informationstechnisch und funktional sichere Software und Firmware ist Grundvoraussetzung für zuverlässige, sichere und effiziente Nutzung von Geschäftsprozessen, Maschinen und Geräten.

Für effektiven Schutz und Vertrauenswürdigkeit in der vernetzten Welt.

TÜVIT bietet mit der Sicherheitstechnischen Qualifizierung (SQ) ein standardisiertes und flexibles Zertifizierungsverfahren, das eine ganzheitliche Betrachtung entsprechend den Cyber-Security-Anforderungen der EU von Produkten und vernetzten Systemlösungen ermöglicht.

Mit Trusted Site Privacy (TSP) verfolgt TÜVIT einen ganzheitlichen Ansatz. IT-Systeme werden im Rahmen dieses weithin respektierten Zertifikats unter rechtlichen und technischen Aspekten im Hinblick auf einen verantwortungsbewussten Umgang mit personenbezogenen Daten der Kunden geprüft.

Möchten Sie zu den zertifizierten Videodienstanbietern gehören und mit Ihrer Dienst­leistung offiziell auf der Seite der KBV gelistet werden, müssen Sie nach­weisen, dass Sie die Anforderungen an die Vertraulichkeit, Integrität und Ver­füg­bar­keit der personenbezogenen Daten sowie weitere an die Informations­technik­sicherheit erfüllen.

Als Betreiber Kritischer Infrastrukturen (KRITIS) müssen Sie gemäß §8a des BSI-Gesetzes alle 2 Jahre belegen, dass Ihre IT-Sicherheit auf dem Stand der Technik ist. Der Nachweis erfolgt dabei laut BSI-Kritisverordnung (BSI-KritisV) durch eine entsprechende Prüfung nach §8a BSIG.