(1) Ein Zertifikat nach § 9 Absatz 4 des BSI-Gesetzes wird erteilt, wenn 1. die Prüfung und die Bewertung ergeben, dass das geprüfte informationstechnische Produkt, die informationstechnische Komponente, das informationstechnische System oder das Schutzprofil die Prüfkriterien nach § 4 Absatz 1 erfüllt, und 2. das Bundesministerium des Innern nach § 9 Absatz 4 Nummer 2 des BSI-Gesetzes festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
(2) Das Zertifikat ist vom Bundesamt zu befristen. Das Bundesamt setzt die Geltungsdauer für den jeweiligen technischen Geltungsbereich fest.
(3) Das Zertifikat für informationstechnische Produkte, Systeme, Komponenten sowie für Schutzprofile enthält: 1. die Zertifizierungsnummer, 2. die Angabe der Prüfkriterien, soweit sie bekannt gemacht sind, 3. den Namen der vom Bundesamt anerkannten sachverständigen Stelle, deren Prüfung und Bewertung der Zertifizierung zugrunde gelegt wurde, 4. etwaige Nebenbestimmungen nach § 22, 5. Ausstellungsort und -datum des Sicherheitszertifikats sowie 6. die Geltungsdauer des Sicherheitszertifikats.
Dem Sicherheitszertifikat wird ein Zertifizierungsbericht beigefügt.
(4) Das Zertifikat für informationstechnische Produkte oder Komponenten enthält zusätzlich zu Absatz 3 folgende Angaben: 1. die Bezeichnung, die Beschreibung und die Angabe des Herstellers des geprüften Produkts oder der Komponente, 2. die Angabe der zum geprüften Produkt oder zur Komponente gehörenden Dokumentationen, 3. die Beschreibung der Sicherheitsfunktionen und 4. die erreichte Bewertungsstufe oder den Prüfumfang.
(5) Das Zertifikat für informationstechnische Systeme enthält zusätzlich zu Absatz 3 folgende Angaben: 1. die Bezeichnung und die Beschreibung des geprüften Systems und der relevanten Standorte und 2. soweit erforderlich, die Angabe der zum geprüften System und Standort gehörenden sicherheitsrelevanten Dokumentationen.
(6) Das Zertifikat für Schutzprofile enthält zusätzlich zu Absatz 3 folgende Angaben: 1. die Bezeichnung und die Beschreibung des geprüften Schutzprofils und 2. die erreichte Bewertungsstufe oder den Prüfumfang.
(7) Das Bundesamt kann jederzeit anlassbezogen überprüfen, ob die Voraussetzungen für die Zertifizierung nach Absatz 1 weiterhin vorliegen. Das Bundesamt entwickelt für die Überprüfungen Verfahrensbeschreibungen und veröffentlicht diese auf seiner Internetseite.