Sächsisches Informationssicherheitsgesetz

Das Sächsische Informationssicherheitsgesetz trat 2019 in Kraft und ist die rechtliche Grundlage, um die Ziele der Informationssicherheit zu erfüllen. Der Freistaat Sachsen hatte damit als eines der ersten Länder ein eigenständiges Informationssicherheitsgesetz geschaffen. Die Regelungen des Gesetzes galten ab sofort sowohl für die Staatsverwaltung als auch für die Kommunen und andere nicht-staatliche Stellen.

Aber wie sieht es mit der Umsetzung aus? Oder anders gesagt:

  • Informationssicherheit - gut geregelt?

    5 Jahre nach Inkrafttreten des Gesetzes wurde es nun evaluiert. Dieser Evaluationsbericht wurde vom Kabinett verabschiedet und dem Sächsischen Landtag vorgelegt. Er kann hier nachgelesen werden.

    Aus Sicht der sächsischen Kommunen enthält der Bericht wichtige Erkenntnisse:

    Dass als Beauftragte für Informationssicherheit (BfIS) gemäß Gesetz auch Externe benannt werden können, zeigt Wirkung. Zwischenzeitlich haben 2/3 der Kommunen einen BfIS bestellt und dies entsprechend über die SAKD gemeldet. Oft bleibt den BfIS aber nur ein geringer Stellenanteil (meist bis zu 10% einer Vollzeitstelle) für diese wichtige Aufgabe.

    Deshalb ist es umso wichtiger, dass Informationssicherheit als Teamwork begriffen wird und auch jede Mitarbeiterin und jeder Mitarbeiter für das Thema und die Auswirkungen sensibilisiert ist.

    Deutlich ausbaufähig ist die Vernetzung der BfIS untereinander. Die monatliche Sprechstunde des SAX.CERT sollte zum Pflichttermin werden.

    Um das Schutzniveau für alle IT-Komponenten zu erhöhen, wird empfohlen, Kommunen mit ihrer gesamten IT an das Kommunale Datennetz (KDN) anzuschließen.

    Auch wir Digital-Lotsen-Sachsen versuchen, das Thema Informationssicherheit in all unseren Angeboten zu berücksichtigen. Von den Lerninhalten in der Basis-Befähigung bis hin zu thematischen Austauschformaten: Für Digital-Navigatoren, Digital-Multiplikatoren und Kommunen im Programm spielt Informationssicherheit bei uns immer mit.

    Deshalb freut es uns besonders, dass im Bericht auf WiBA (Weg in die Basis-Absicherung) verwiesen wird. Dieses niedrigschwellige Angebot des BSI haben wir Digital-Lotsen-Sachsen noch einmal etwas abgewandelt und stellen es interessierten Kommunen auf unserer Website auf Anfrage zur Verfügung. Es ist ein mehrstufiges Modell mit Schritt-für-Schritt-Anleitung, wie man in der Kommune zunächst einen Überblick über das herrschende Sicherheitsniveau erhält, Schwachstellen identifiziert und Maßnahmen umsetzt, um diese zu schließen.

    Fazit des Berichtes: 

    Die gesetzliche Norm ist ausreichend, aber es gibt noch zahlreiche Umsetzungsdefizite, die auch mit der personellen Situation und finanziellen Ausstattung zu tun haben.

Cybersicherheitsstrategie Sachsen

Das Sächsische Kabinett hat die Cybersicherheitsstrategie Sachsen – eine Anforderung aus der NIS-2-Richtlinie der EU – beschlossen.

Die Strategie wurde in enger Zusammenarbeit mit wichtigen Akteuren aus Verwaltung, Wirtschaft und Wissenschaft erarbeitet. Sie bündelt alle Aktivitäten von sächsischen Behörden, um sich gegen Bedrohungen aus dem Cyberraum besser zu schützen. Inhalt der Strategie sind auch langfristige Ziele und konkrete Maßnahmen, um die Cybersicherheit im Freistaat Sachsen zu erhöhen.

Im Zentrum der Strategien stehen neun Handlungsfelder, das relevanteste für sächsische Kommune ist „Informationssicherheit in der Staatsverwaltung und in den Kommunen“. Durch das seit 2019 existierende Sächsische Informationssicherheitsgesetz gibt es hier bereits eine gute rechtliche Basis.

Die in der Strategie genannten strategischen Ziele und Maßnahmen haben auch für Kommunen Bedeutung. Sie wollen noch einmal genau nachlesen? Hier geht’s zur aktuelle Pressemeldung der Sächsischen Staatskanzlei und hier können Sie die Cybersicherheitsstrategie Sachsen herunterladen.

  • 7 Ziele für mehr Cybersicherheit

    • Prävention von Cyberangriffen: Hier geht es vor allem darum, erkannte Schwachstellen zu schließen.
    • Cyberabwehrfähigkeiten stärken: Um Angriffe abwehren zu können, sollte man auch wissen, was im Notfall zu tun. Diesen Notfall regelmäßig zu üben und aus den Erkenntnissen zu lernen, stellt eine wichtige Maßnahme dar.
    • Ressourcen für Cybersicherheit bereitstellen: Hier sollen mehr Informationssicherheitsmanagementsysteme in den Kommunen, wie beispielweise das IT-Grundschutzprofil oder der „Weg in die Basis-Absicherung“ implementiert werden. Die Beratungs- und Hilfsangebote des Freistaats sollen ausgebaut werden.
    • Cybersicherheitskultur schaffen: Kern eines guten Informationssicherheitsmanagement ist es, die Menschen für Risiken zu sensibilisieren. Es sollen weitere Veranstaltungsformate etabliert und das bestehende E-Learning-Angebot erweitert werden.
    • Aus- und Fortbildung stärken: Hierfür soll es ein zentrales Budget geben, mit dem die Fortbildung von Bediensteten zum IT-Grundschutz bzw. zu vertiefenden Cybersicherheitsthemen finanziert wird.
    • Datensicherheit und Datenschutz sicherstellen: Hier sollen Datenverluste und Datenschutzverletzungen gesenkt werden – durch Sensibilisierung der Bediensteten und durch zusätzliche organisatorische und technische Sicherheitsmaßnahmen.
    • Zusammenarbeit und Vernetzung fördern: Schon in der Evaluation des Sächsischen Informationssicherheitsgesetzes wurde festgestellt, dass sich die Akteure in sächsischen Kommunen noch besser vernetzen und austauschen könnten. Aber auch mit Blick auf die Akteure in Bund und Ländern soll ein engerer Austausch und ein gemeinsames Wirken für mehr Informationssicherheit erreicht werden.