Verwaltungen in Bayern müssen bis zum 1. Januar 2020 den Nachweis erbringen, dass sie ihre IT-Systeme durch geeignete Informationssicherheitskonzepte schützen. Rechtliche Grundlage hierfür ist Art. 11 Abs. 1 Satz 2 BayEGovG. Die Innovationsstiftung hat zu diesem Zweck bereits 2016 eine Arbeitshilfe kostenlos zum Download zur Verfügung gestellt, die v. a. kleinere Kommunen unterstützt, die Anforderungen aus dem BayEGovG zu erfüllen. Mittlerweile haben zahlreiche Kommunen und weitere öffentliche Einrichtungen in Bayern auf dieser Grundlage erfolgreich ein Informationssicherheitskonzept eingeführt.
Es liegt nun einmal in der Natur eines Konzepts, dass nach getaner Einführung die Arbeit nicht vorbei ist. Im laufenden Betrieb ziehen technische, organisatorische sowie gesetzliche Änderungen erforderliche Anpassungen nach sich, damit ein Konzept aktuell bleibt. Dies trifft auch auf die Arbeitshilfe zu: Nach einer rechtlichen Überarbeitung im letzten Jahr infolge der DSGVO und nun mit der Abstimmung des bisherigen Fragenkatalogs auf die Prüfkriterien für das LSI-Siegel erscheint die Arbeitshilfe bereits in ihrer dritten Auflage.
Mit dem neuen Siegel "Kommunale IT-Sicherheit" haben auch kleinere Verwaltungen, für die die Einführung und der Betrieb eines zertifizierbaren ISMS wie ISIS12 zu aufwändig sein dürfte, die Möglichkeit, für eine Dauer von zwei Jahren die gesetzeskonforme Einführung eines Informationssicherheitskonzeptes zu belegen und nachzuweisen, dass dabei die wichtigsten Aspekte der Informationssicherheit nach aktuellem Stand der Technik und Rechtslage erfüllt sind. Sascha Kuhrau, erfahrener Informationssicherheitsberater im kommunalen Bereich und Verfasser der Arbeitshilfe, nahm in enger Abstimmung mit dem LSI die Überarbeitung vor. Zur zügigen Orientierung für alle, die bereits mit einer früheren Version gearbeitet haben und die ihr bestehendes Konzept nun einem "Upgrade" unterziehen möchten, sind die für den Erhalt des Siegels relevanten Prüffragen mit einem symbolischen Sicherheitsschloss gekennzeichnet.
Um Missverständnissen vorzubeugen: Die Beantragung des LSI-Siegels ist für Kommunen kein gesetzliches Muss, sondern ein Plus. Es bestätigt die Wirksamkeit der vor Ort in der Behörde umgesetzten Maßnahmen durch das LSI. Zudem dient es dazu, Bürgern gegenüber den gesetzeskonformen Einsatz eines Informationssicherheitskonzepts zu bezeugen. Umgekehrt reicht es aber für Etablierung und Betrieb eines vollständigen Informationssicherheitskonzeptes nicht aus, ausschließlich die Fragen zu bearbeiten, die insbesondere für den Erhalt des Siegels relevant sind!
Einrichtungen, die für die Bearbeitung des Prüfkatalogs fachliche Unterstützung benötigen, sollten sich an einen Dienstleister wenden, der über umfassende Erfahrung im kommunalen bzw. öffentlichen Bereich verfügt.
Die 3. Auflage der Arbeitshilfe ist kostenlos abrufbar unter www.bay-innovationsstiftung.de/projekte. Weitere Informationen zum Siegel "Kommunale IT-Sicherheit" finden Sie unter www.lsi.bayern.de/kommunen/siegel_kommunale_it_sicherheit/index.html.
