Beiträge

Aufatmen bei bayerischen Kommunen — Umsetzungsfrist Informationssicherheitskonzept nach Artikel 8 BayEGovG soll verlängert werden

Nach aktu­el­ler Rechtslage sind baye­ri­sche Kommunen gemäß Artikel 8 BayEGovG ver­pflich­tet, bis zum 01.01.2018 ein Informationssicherheitskonzept ein­zu­füh­ren und zu betrei­ben. Nach Verabschiedung des BayEGovG im Dezember 2015 hat die­se kur­ze Umsetzungsfrist für eini­ge Aufregung unter baye­ri­schen kom­mu­na­len Einrichtungen gesorgt. Doch jetzt ist wahr­schein­lich Aufatmen angesagt.

Der Gesetzentwurf der Staatsregierung zur Errichtung des Landesamts für Sicherheit in der Informationstechnik LT-Drs. 17/17726 vom 11.07.2017 sieht nun vor, dass die­se Verpflichtung erst am 01.01.2019 in Kraft tritt (vgl. Ziffer 11 b des Gesetzentwurfs).

Eine sol­che Verlängerung darf jedoch nicht zum Nachlassen der Bemühungen um eine ange­mes­se­ne IT-Sicherheit führen. Vielmehr soll­te die Zeit genutzt wer­den, um eine sorgfältige Auswahl der rich­ti­gen Maßnahmen und des kom­pe­ten­ten Beraters vor­zu­neh­men und eine kosten­be­wuss­te Auftragsvergabe durchzuführen”, so der Bayerische Gemeindetag in sei­ner heu­ti­gen Stellungnahme zum Thema.

Das Team von a.s.k. Datenschutz unter­stützt baye­ri­sche Kommunen bei der Auswahl und Einführung eines geeig­ne­ten Informationssicherheitskonzepts wie BSI IT-Grundschutz, ISIS12, Arbeitshilfe der Innovationsstiftung (Autor Herr Sascha Kuhrau von a.s.k. Datenschutz) oder auch VDS 3473. Zur Sicherstellung des zukünf­ti­gen Betriebs des Sicherheitskonzepts stellt a.s.k. Datenschutz auf Wunsch auch den exter­nen Informationssicherheitsbeauftragten (ISB) für baye­ri­sche Kommunen. Regelmäßige Vor-Ort-Tätigkeiten  (mind. 1 x Monat) und die Zusammenarbeit über Videokonferenzen, voll­ver­schlüs­sel­te Projektplattform, Email und Telefon stel­len den Betrieb des Konzepts und damit die Erhaltung der kom­mu­na­len Investitionen in die­ses Thema sicher.

Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

Müssen baye­ri­sche Kommunen ein Informationssicherheitskonzept ein­füh­ren?”, die­se Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, tele­fo­nisch und per Mail an uns her­an­ge­tra­gen. Wir haben dies zum Anlass genom­men, hier­zu ein Webvideo zu erstel­len, in dem wir auf die Notwendigkeit und recht­li­chen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts ver­tie­fend ein­ge­hen. Denn die Antwort auf die Frage kann nur lau­ten “Ja!”. Wer es nicht glaubt, ist herz­lich dazu ein­ge­la­den, sich in unse­rem Video davon über­zeu­gen zu lassen.

Sie fin­den das Webvideo ein­ge­bet­tet hier bei uns im Blog oder auf unse­rem neu­en Youtube-Kanal.

Informationssicherheitskonzept für bayerische Kommunen nach Art. 8 Abs. 1 S. 2 Bay EGovG

Nicht zuletzt die in jüng­ster Zeit stark zuge­nom­me­ne Bedrohung von Kommunen etwa durch Verschlüsselungstrojaner macht die Bedeutung einer ange­mes­se­nen IT-Sicherheit für Kommunen deut­lich. Mit Inkrafttreten des Gesetzes über die elek­tro­ni­sche Verwaltung in Bayern (BayEGovG) vom 22. Dezember 2015 erhält das Thema Informationssicherheit für die Kommunen künf­tig auch for­mal einen noch höhe­ren Stellenwert. Art. 8 Abs. 1 S. 2 BayEGovG ver­pflich­tet die Behörden, die Sicherheit ihrer infor­ma­ti­ons­tech­ni­schen Systeme durch ange­mes­se­ne technisch-organisatorische Maßnahmen im Sinne von Art. 7 Abs. 2 BayDSG sicher­zu­stel­len sowie die hier­zu erfor­der­li­chen Informationssicherheitskonzepte bis zum 1. Januar 2018 zu erstellen.Im Rahmen eines Projektes der Innovationsstiftung Bayerische Kommune soll den baye­ri­schen Kommunen bei der Bewältigung der künf­ti­gen Herausforderungen in der Informationssicherheit eine pra­xis­na­he Hilfestellung ange­bo­ten wer­den. Da die Inhalte eines „Informationssicherheitskonzeptes“ im BayEGovG nicht näher defi­niert sind, soll zunächst näher beschrie­ben wer­den, wel­che Mindestanforderungen ein sol­ches kom­mu­na­les Informationssicherheitskonzept beinhal­tet. Dabei muss die indi­vi­du­el­le Situation und unter­schied­li­che Leistungsfähigkeit der ein­zel­nen Kommunen berück­sich­tigt werden. 
Im Rahmen des Projektes wird eine Mustervorlage erstellt, die vor allem klei­ne­ren und mitt­le­ren Kommunen hel­fen soll, ein Informationssicherheitskonzept auch tat­säch­lich in der Praxis umzu­set­zen. Hier sol­len kon­kre­te Maßnahmenempfehlungen z.B. zur Technik und Organisation sowie zu den not­wen­di­gen Prozessen gege­ben wer­den, die mit mög­lichst gerin­gem Anpassungsaufwand von den Kommunen umge­setzt wer­den kön­nen. In erster Linie rich­tet sich das Projekt an IT- und Geschäftsleiter, Datenschutz- und IT-Sicherheitsbeauftragte sowie im Rahmen eines Management-Summarys auch an den (Ober-)Bürgermeister bzw. Landrat.

Die Innovationsstiftung Bayerische Kommune setzt bei die­sem Vorhaben erneut auf die Zusammenarbeit mit dem in kom­mu­na­len Fragen erfah­re­nen IT-Sicherheitsberater, Herrn Sascha Kuhrau (ansäs­sig in Simmelsdorf im Kreis Nürnberger Land), der bereits den Quick-Check Datensicherheit und Datenschutz für Kommunen erstellt hat. Vorgesehen ist, das Stiftungsprojekt unter ande­rem auf dem AKDB-Kommunalforum vor­zu­stel­len, wel­ches am 18.10.2016 in der BMW-Welt in München stattfindet.