Portal Shop Online-Produkte Online-Produkte
Themenkategorien

Neue Regelungen zur IT-Sicherheit im BayEGovG - Das neue Landesamt für Sicherheit in der Informationstechnik (LSI)

Keine Kommentare
Jetzt bewerten!

In der digitalen Verwaltung kommt dem Thema „IT-Sicherheit“ eine Schlüsselstellung zu. Angesichts des kontinuierlichen Ausbaus und der fortschreitenden Vernetzung der IT-Infrastrukturen der öffentlichen Verwaltung steigt auch das Risiko von weitreichenden IT-Sicherheitsvorfällen. Zugleich nimmt die Zahl der festgestellten Angriffe auf das Bayerische Behördennetz kontinuierlich zu.

 

 

1. Reform der Vorschriften zur IT-Sicherheit im BayEGovG

 

Das Bayerische E-Government-Gesetz trägt dem besonderen Stellenwert der IT-Sicherheit durch ein differenziertes System von Vorschriften zur Gewährleistung von IT-Sicherheit auf dezentraler und auf zentraler Ebene Rechnung.

 

Nur zwei Jahre nach Inkrafttreten hat der Landesgesetzgeber nunmehr auf die sich rasch ändernde Bedrohungslage mit einem neuen „Gesetz zur Einrichtung des Landesamts für Sicherheit in der Informationstechnik“ (LSI-Gesetz, LT-Drs. 17/17726) reagiert.

 

Mit der Gesetzesänderung, die zum 01.12.2017 in Kraft treten soll, werden die bisher in Art. 8 BayEGovG normierten Vorschriften zur IT-Sicherheit in einen neuen Teil 2 des BayEGovG (Art. 9 bis 17) überführt und deutlich ergänzt und erweitert.

 

 

2. Gewährleistung von IT-Sicherheit auf dezentraler und zentraler Ebene

 

Weitgehend unverändert geblieben sind die bestehenden gesetzlichen Bestimmungen zur dezentralen Gewährleistung der IT-Sicherheit auf Behördenebene, die nunmehr in Art. 11 Abs. 1 BayEGovG normiert sind (bisher Art. 8 Abs. 1). Insbesondere sind alle staatlichen und kommunalen Behörden nach wie vor verpflichtet, angemessene Informationssicherheitskonzepte zu erstellen und anzuwenden. Allerdings hat sich der Gesetzgeber entschlossen, die Frist für die Einführung von Informationssicherheitskonzepten um ein Jahr, auf den 01.01.2019 zu verlängern (bislang 01.01.2018).

 

Beachte: Neue Frist für behördliche Informationssicherheitskonzepte 01.01.2019

 

Dezentrale Maßnahmen zur Gewährleistung von IT-Sicherheit auf der Ebene der einzelnen Behörde oder Kommune reichen angesichts des hohen Grades der Vernetzung der Verwaltungs-IT zur Gewährleistung von Informationssicherheit nicht aus. Das BayEGovG enthielt daher schon in seiner Fassung von 2015 Regelungen zu den Aufgaben und Befugnissen eines zentralen Computersicherheits-Ereignis und Reaktionsteams (Bayern-CERT) in Art. 8 Abs. 2 BayEGovG a.F.

 

Aufgrund des weiter gestiegenen Stellenwerts der IT-Sicherheit hat sich der Freistaat nunmehr entschlossen, zur effektiven Gewährleistung von Informationssicherheit ein eigenes Landesamt für Sicherheit in der Informationstechnik (LSI) mit erweiterten Aufgaben und Befugnissen mit Hauptsitz in Nürnberg einzurichten. Das LSI übernimmt dabei auch die bisherigen Aufgaben des Bayern-CERT.

 

Der neue Teil 2 des BayEGovG regelt in den Art. 9 bis 17 insbesondere

 

  • die Aufgaben des LSI (Art. 10),
  • die Pflichten der Behörden im Bereich der IT-Sicherheit (Art. 11),
  • die Befugnisse des LSI (Art. 12 bis 15) und
  • den Datenschutz in der IT-Sicherheit (Art. 16 und 17).

 

 

3. Aufgaben des Landesamts für Sicherheit in der Informationstechnik

 

Art. 10 BayEGovG regelt die Aufgaben des LSI, insbesondere bei der

 

  • Abwehr von Gefahren für die Sicherheit in der Informationstechnik im Bayerischen Behördennetz (Abs. 1 und Abs. 4),
  • Gefahrenabwehr für „kritische Infrastrukturen“  als Kontaktstelle für den Informationsaustausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gem. § 8 b BSI-Gesetz, 
  • Unterstützung und Beratung von staatlichen und kommunalen Stellen, öffentlichen Unternehmen und Betreibern kritischer Infrastrukturen bei Fragen der Sicherheit in der Informationstechnik (Abs. 2),
  • Unterstützung und Beratung von Polizei, Strafverfolgungsbehörden und Landesamt für Verfassungsschutz (Abs. 3).

Bei der Unterstützung und Beratung anderer Behörden nach Abs. 2 und Abs. 3 wird das LSI grundsätzlich nur auf Ersuchen der jeweiligen Behörden tätig.

 

Beachte: Das LSI ist auch bayerische Kontaktstelle bei IT-Gefahren für „kritische Infrastrukturen“ (Energie, Wasser, Ernährung, Verkehr etc.)

 

 

4. Befugnisse des Landesamts für Sicherheit in der Informationstechnik

 

Die Art. 12 bis 15 BayEGovG regeln die zugehörigen Befugnisse des LSI.

Die Befugnisse des LSI umfassen

 

  • Befugnisse zur Abwehr von Gefahren, etwa durch Schadprogramme oder Sicherheitslücken oder unbefugte Datennutzung im Bayerischen Behördennetz. Das LSI darf zur Gefahrenabwehr insbesondere Protokolldaten erheben und automatisiert auswerten, die an den Schnittstellen von Behördennetz und anderen Netzen anfallen nach Maßgabe von Art. 12 BayEGovG (bisher Art. 8 Abs. 2 Satz 2 a.F.).
  • Befugnis zur Untersuchung der Sicherheit der Informationstechnik im Bayerischen Behördennetz (betrifft staatliche Behörden und an das Behördennetz angeschlossene Stellen) sowie zur Sicherheit von am Markt angebotenen IT-Produkten (Art. 13 BayEGovG).
  • Befugnis zur Festlegung von Mindeststandards in der IT-Sicherheit für rein staatliche Behörden nach Maßgabe von Art. 14 BayEGovG. Die Mindeststandards können für staatliche Behörden durch Verwaltungsvorschriften der zuständigen Staatsministerien verbindlich vorgegeben werden.
  • Befugnis zu Warnungen und Empfehlungen im Falle von Gefahren für die Sicherheit der Informationstechnik nach Maßgabe von Art. 15 BayEGovG (bisher Art. 8 Abs. 2 Satz 4 BayEGovG a.F.)

 

Beachte: Das LSI darf nach Maßgabe von Art. 12 zur Gefahrenabwehr u.a. Protokolldaten an den Schnittstellen zum Behördennetz erheben und automatisiert auswerten.

 

 

5. Unterstützung des LSI durch Behörden im Behördennetz

 

Das LSI ist bei der Erfüllung seiner Kernaufgaben im Bayerischen Behördennetz auf die Zusammenarbeit mit den an das Behördennetz angeschlossenen Behörden angewiesen. Daher sehen Art. 11 Abs. 2 und Abs. 3 (bisher Art. 8 Abs. 2 Satz 3 BayEGovG a.F.) bestimmte Unterstützungspflichten der am Behördennetz angeschlossenen Stellen vor.

Die an das Behördennetz angeschlossenen Stellen

 

  • melden dem LSI gem. Art. 11 Abs. 2 BayEGovG sicherheitsrelevante Vorfälle und
  • unterstützen das LSI gem. Art. 11 Abs. 3 BayEGovG auch im Übrigen bei seinen Aufgaben nach Art. 10 Abs. 1 Nr. 1, 2, 4 und 5, soweit keine gesetzlichen Vorschriften (z.B. Datenschutz) entgegenstehen.

 

Beachte: Die Behörden sind nach Maßgabe von Art. 11 Abs. 2 und 3 gehalten, das LSI bei der Aufgabenerfüllung zu unterstützen, insbesondere Störfälle zu melden.

 

 

6. Datenschutz im Bereich der IT-Sicherheit

  

Mit den erweiterten Aufgaben und Befugnisse des neuen LSI mussten auch die datenschutzrechtlichen Regelungen weiter und präziser gefasst werden (bisher Art. 8 Abs. 2 Satz 5 BayEGovG a.F.). Der Datenschutz findet nunmehr seine Grundlage in den neu geschaffenen Art. 16 und 17 BayEGovG.

 

Art. 16 BayEGovG regelt die Datenspeicherung und -auswertung, insbesondere für Protokolldaten im Sinne des Art. 12 Abs. 2 BayEGovG (s.o. Nr. 4), die grundsätzlich maximal für drei Monate gespeichert werden dürfen (Art. 16 Abs. 2). Die maximale Speicherdauer für Inhaltsdaten reduziert sich sogar auf zwei Monate (Art. 16 Abs. 3). Eine längere Speicherung ist nur unter strengen Voraussetzungen zulässig (Abs. 4). Daten, die den Kernbereich der privaten Lebensgestaltung betreffen, sollen – soweit technisch möglich – überhaupt nicht erhoben werden (Abs. 5).

 

Art. 17 Abs. 1 BayEGovG begrenzt entsprechend auch die Datenübermittlung an Dritte auf Fälle, in denen dies zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlich ist. Art. 17 Abs. 2 enthält einen Katalog von Tatbeständen, in denen eine unverzügliche Datenübermittlung vom LSI an Sicherheits- und Strafverfolgungsbehörden bei erheblichen Gefahren bzw. bei schweren Straftaten erfolgen soll.

 

Beachte: Das LSI unterliegt gem. Art. 16 und 17 besonderen datenschutzrechtlichen Anforderungen.

 

Dr. Wolfgang Denkhaus und Klaus Geiger

Autoren Praxishandbuch Bayerisches E-Government-Gesetz

Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
0 Kommentare zu diesem Beitrag
Denkhaus / Geiger
Praxishandbuch zum Bayerischen E-Government-Gesetz online

Eine prozessorientierte Darstellung

Jahrespreis‎ 57,99 €
Online-Produkt
Info & Bestellung
Wilde / Ehmann / Niese / Knoblauch
Datenschutz in Bayern online

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 57,99 €
Online-Produkt
Info & Bestellung
banner-e-government.png
rehm_e-line_banner_355x355_L1_Var1.jpg
Login

Weiter ohne Login

Passwort vergessen?

Konto eröffnen (Ein neues Konto eröffnen)

 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • Montag – Donnerstag 8-17 Uhr
  • Freitag 8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

Rechtliches

Partner der



Ihre Vorteile

Folgen Sie uns

    

Unser Versand

Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung