TOP Ö 5: Umsetzung BayEGovG-Richtlinien zum 01.01.2019

Sitzung: 08.02.2018 Gemeinschaftsversammlung

Beschluss: Beschluss Nr.

Abstimmung: Ja: 14, Nein: 0, Anwesend: 14

  1. 25.05.2018: Datenschutz-Grundverordnung – Art. 99 Abs. 2 DSGVO
  2. 01.01.2019: Erstellung und Anwendung von behördlichen Informationskonzepten – Art. 8 BayEGovG

 

Zu 1: Am 25.05.2018 tritt die DSGVO (EU-Verordnung) in Kraft.

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten und der freie Verkehr personenbezogener Daten.

Die vorangestellten Ziele sollen durch die festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

 

Zu 2: Sämtliche öffentliche Verwaltungen in Bayern sind verpflichtet bis 01.01.2019 den Art. 8 Abs. 1 Satz 2 BayEGovG „Erstellung und Anwendung von behördlichen Informationssicherheits-konzepten“ umsetzen.

Konkret heißt das, dass zur Sicherstellung der Informationssicherheit und des Datenschutzes die Verwaltungsgemeinschaft-Diespeck gem. dem Bayerischen E-Governmentgesetz (BayEGovG) verpflichtet ist, bis Ende 2018 die Erstellung und Anwendung von behördlichen Informationssicherheitskonzepten nachzuweisen.

 

Es existieren derzeit drei Verfahren (ISO/IEC 27001, IT-Grundschutz des BSI und ISIS12), die diesen Anforderungen genügt, aber nur die ISIS12 ist nach Ansicht des zust. Bayerischen Staatsministeriums mit einem akzeptablen und dennoch geförderten Aufwand umzusetzen.

 

ISIS12 heißt Informations-Sicherheitsmanagement System in 12 Schritten. Es beinhaltet eine Untermenge der Forderungen der IT-Grundschutz-Kataloge bzw. es ist ein „Radikal reduzierter Maßnahmenkatalog im Vergleich zum BSI Grundschutz“.

 

Die zwölf Schritte sind:

  1. Leitlinie erstellen (Leitlinie und Qualitätsdefinition der IT-Sicherheit)
  2. Mitarbeiter sensibilisieren (‚Jeder ist verantwortlich)
  3. IT-Sicherheitsteam aufbauen (Aufbauorganisation, Datenschutzbeauftragter, IT-Sicher-heitsbeauftragter, IT-Team Verwaltung, ISIS12-Dienstleister, QM-Beauftragter)
  4. IT-Dokumentation erstellen (Rahmendokumente, Betriebshandbuch, Notfall-Handbuch)
  5. IT-Service Managementprozesse einführen (Wartung, Änderung, Störungsbeseitigung)
  6. Kritische Anwendungen definieren (Schutzbedarfskategorien hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit)
  7. IT-Struktur analysieren
  8. Sicherheitsmaßnahmen modellieren (nach Auswertung wird jedem Objekt ein Baustein mit umzusetzenden Sicherheitsmaßnahmen zugeordnet)
  9. Soll-Ist-Vergleich (Messen Zielerreichungsgrad)
  10. Planung der Umsetzung (Dauer je nach Tiefe ca, 1,5 Jahre)
  11. Umsetzen.
  12. Revision

Dazu gibt es Seitens des Bayerischen IT-Clusters ein passendes Tool (sehr umfangreich), das die 12 Verfahrensschritte im ISIS12-Prozess softwaretechnisch abbilden. Die Kosten für die Jahreslizenz beträgt im ersten Jahr 714,00 € und für die Folgejahre 357,00 €.

 

ISIS12 Förderprogramm:

-       Unterstützung bei der Implementierung eines ISMS (Informationssicherheits-managementsystems)

-       Einmalig förderberechtigt sind alle bayerischen kommunalen Gebietskörperschaften

o   Förderfähig sind nur die Ausgaben, die in unmittelbaren Zusammenhang mit der Implementierung und Zertifizierung des ISMS ISIS12 stehen.

o   Sie sind von einem fachkundigen IT-Dienstleister zu erbringen.

o   Derzeit sind 45 IT-Dienstleister zertifiziert

-       Förderung erfolgt in Form einer Anteilsfinanzierung…

o   bis zu 50 % der zuwendungsfähigen Ausgaben

o   Ausgaben müssen mindestens 2.500 € betragen

o   max. 15.000 € Förderung

o   Organisatorische Abwicklung durch den: Bayerischen IT-Sicherheitscluster e.V. in Regensburg

 

Der Weg zum IT-Dienstleister:

Die meisten der gelisteten zertifizierten IT-Dienstleister sind weit bis ins Jahr 2018 ausgebucht. Von vier Anfragen haben wir drei Ablehnungen erhalten. Bei dem einzigen Treffer hat der Zufall eine kleine Rolle gespielt.

Einer der ersten Gemeinden im näheren Umkreis, die Gemeinde Adelsdorf, hat bereits die ISIS12-Zertifizierung erhalten. Nach einem Gespräch mit dem zuständigen IT-Mitarbeiter wurde mir Herr Turban von www.Mein-Datenschutzberater.de empfohlen. Herr Turban wurde mir fast zeitgleich von der Firma a.s.k. Datenschutz (einer der Ausgebuchten und der, der den Vortrag im Landratsamt durchgeführt hat) ebenfalls empfohlen.

 

Herr Turban hat bereits mehrere Kommunen zu ISIS 12 begleitet: „Erste Gruppenzertifizierung für interkommunales ISIS12 Projekt“

 

Projektbeginn für die VG-Diespeck wäre ab dem 01.05.2018. Das ausgearbeitete Angebot für die Projektumsetzung ISIS12 liegt bei ca. 17.000 € und beinhaltet den Bereich Datenschutz und Informationssicherheit. Es muss mit einem Umsetzungszeitraum von 1,5 Jahren gerechnet werden.

 

Im Rahmen der „Kommunalen Allianz“ (ohne Neustadt/Aisch) kann eine Kostenersparnis erfolgen, z.B durch gemeinsame Schulungen der Mitarbeiter.

 

Versicherung!

Die ganze Thematik ist auch unter dem Gesichtspunkt von Versicherungsleistungen zu sehen. Passiert was und wir haben nichts getan, kann uns die Versicherung in Regress nehmen.

Passiert was und wir haben unser Soll erfüllt, sind wir von Regressansprüchen des Versicherungsunternehmens geschützt.

 

Maßnahmenbeginn:

Am 23.01.2018 wurde uns schriftlich mitgeteilt, dass der Antrag auf vorzeitigen Maßnahmenbeginn genehmigt ist.

Die Gemeinschaftsversammlung der VG Diespeck beschließt das Angebot der Fa. „Mein-Datenschutzberater, Ralf Turban“ vom 09.12.2017 in Höhe von 16.957,50 € anzunehmen.