Zertifizierung der TSE
So sieht der Evaluierungsprozess des BSI aus - Wir zeigen wie die Zertifizierung der TSE (technischen Sicherheitseinrichtung) abläuft und erklären, warum in diesem Zusammenhang der Faktor Zeit die aktuell größte Herausforderung der Kassensicherungsverordnung darstellt.
Die Regelungen rund um die Kassensicherungsverordnung (KassenSichV) sind eine Herausforderung für viele Unternehmen. Seit 1.1.2020 müssen alle Aufzeichnungssysteme der KassenSichV entsprechen. Das bedeutet, dass zertifizierte technische Sicherheitseinrichtungen zum Einsatz kommen müssen. Wir erklären, wie der Ablauf der Zertifizierung des BSI aussieht.
Ablauf und Dauer der TSE Evaluierung
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) spezifiziert welche technischen Anforderungen zu erfüllen sind, um das Ziel der KassenSichV zu erreichen. Zum einen durch die technischen Richtlinien für die TSE, zum anderen durch die Schutzprofile für SMA (Secure Module Application) und CSP (Crypto Service Provider). Das BSI spezifiziert die Anforderungen, welche vom TSE Hersteller einzuhalten sind. Ein vom BSI akkreditiertes Unternehmen (Evaluator) validiert die Umsetzung des Produkts. Die Evaluatoren sind zertifizierte Prüfstellen zur Evaluierung nach Common Criteria Vorgaben. In Deutschland gibt es sieben Evaluierungsstellen, die vom BSI akkreditiert wurden und diese Prüfung vornehmen dürfen, diese sind:
- atsec information security GmbH
- Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI) GmbH
- MTG AG
- secuvera GmbH
- SRC Security Research & Consulting GmbH
- T‑Systems International GmbH
- TÜV Informationstechnik GmbH
Erst nach der abgeschlossenen Evaluierung kommt die Zertifizierung des BSI ins Spiel. Hier bestätigt das BSI, dass das System der technischen Sicherheitseinrichtung korrekt nach den geltenden Vorgaben umgesetzt worden ist.
Wie wird die Zertifizierung der technischen Sicherheitseinrichtung erreicht?
In einem sogenannten Security Target wird der Lösungsansatz vom Hersteller beschrieben. Danach wird beim BSI ein Antrag auf Evaluierung gestellt. Von nun an gibt es einen regen Austausch zwischen BSI, Evaluator und dem Hersteller. Sofern vom Hersteller gewünscht, veröffentlicht das BSI auf ihrer Seite das eingereichte System mit dem Vermerk “In Evaluierung”.
Die Evaluierung wird durch den Evaluierungspartner abgewickelt, wobei die Dauer bei sechs bis neun Monaten liegt. Das Ergebnis der Evaluierung wird dem BSI überreicht. Das BSI überprüft die Ergebnisse und erteilt die Zertifizierung. Die Zertifizierung ist für 5 Jahre gültig.
Übergangsfrist: Die Vorläufige Freigabe der TSE durch das BSI
Die KassenSichV sah vor, dass bis zum 1.1.2020 die technische Sicherheitseinrichtung zertifiziert sein muss. Dieser Zeitrahmen war jedoch aufgrund der langen Dauer des Evaluierungsprozesses für TSE Hersteller nicht einhaltbar. Deshalb konnte das BSI in einer Übergangsfrist für jene Systeme, die sich in Evaluierung befanden, eine vorläufige Freigabe aussprechen. Das bedeutete, dass die sich in Evaluierung befindenden Systeme tatsächlich laut KassenSichV in Betrieb genommen werden durften.
KassenSichV Schnittstelle am besten jetzt schon testen
Was kann man als Unternehmer tun, um sich bestmöglich für die Kassensicherungsverordnung zu rüsten? Behalten Sie im Auge, welche Anbieter vom BSI zertifiziert wurden und testen Sie die Integration der TSE in Ihr System. Bringen Sie in Erfahrung, welche Änderungen an Ihrem bestehenden System gemacht werden müssen. Setzen Sie die notwendigen Änderungen zeitnah um. fiskaly SIGN DE kann kostenlos getestet und schnell integriert werden.
Unser Tipp: Jeder Hersteller eines Aufzeichnungssystems oder einer Registrierkasse sollte sich im Idealfall bereits eine TSE in sein System integrieren haben. Sollte noch keine Tätigkeit in diese Richtung erfolgt sein, ist es dafür allerhöchste Zeit!