Bayerisches Siegel „Kommunale IT-Sicherheit“
Das LSI bietet den bayerischen Kommunen an, mit einem Siegel "Kommunale IT-Sicherheit" auf Basis einer Selbst-Auskunft eine Mindestabsicherung in der Informationssicherheit nachzuweisen. Bayerische Kommunen müssen verpflichtend ein Informationssicherheitskonzept eingeführt haben. Rechtliche Grundlage ist Art. 43 Abs. 1 BayDiG. Für die Digitalisierung der Fachverfahren in der öffentlichen Verwaltung gilt es ebenfalls, die Voraussetzungen in der Informationssicherheit zu schaffen. Das Informationssicherheitskonzept hat dabei die drei Grundwerte der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – sicherzustellen.
Um der aktuellen Sicherheitslage gerecht zu werden und um die schrittweise Verbesserung der Informationssicherheit in Bayern weiter zu unterstützen, wurden mit der Veröffentlichung des Fragebogens in der Version 3.0 einige bestehende Maßnahmen angepasst und andere neu hinzugefügt – neben der Betrachtung von IoT-Geräten / Haus-IT, Vorkehrungen bei exponierten Servern oder SSL-Analyse, flossen Erkenntnisse aus kommunalen Sicherheitsvorfällen ein.
Mit dem Siegel „Kommunale IT-Sicherheit“ des LSI haben gerade auch kleinere bayerische Gemeinden, Märkte und Städte die Möglichkeit:
- Die gesetzeskonforme Einführung eines Informationssicherheitskonzeptes zu belegen und damit nachzuweisen, dass ihr Informationssicherheitskonzept die wichtigsten Aspekte hinsichtlich der Grundwerte der Informationssicherheit adressiert - nach aktuellem Stand der Technik und Rechtslage.
- Feedback und Unterstützung durch das LSI zum Informationssicherheitskonzept einzuholen.
- Gegenüber Bürgern und Gewerbetreibenden den sicheren IKT-Einsatz darzustellen.
- Das Siegel "Kommunale IT-Sicherheit" des LSI während der Gültigkeitsdauer zu verwenden.
Infoblatt zum Siegel "Kommunale IT-Sicherheit"
Das Siegel ist unabhängig von einem ISMS-Standard. Bei der Entwicklung des Siegels „Kommunale IT-Sicherheit“ wurden die bei bayerischen Kommunen verbreiteten ISMS verglichen. Das Siegel berücksichtigt die grundlegenden Fragen der Informationssicherheit, die in der Schnittmenge der betrachteten Standards abgedeckt sind. Zusätzlich berücksichtigt das Siegel die Mindestanforderungen des IT-Planungsrates.
Das Siegel ist als Vorstufe zur Zertifizierung zu sehen und speziell auf die Bedürfnisse von kleineren Gemeinden, Märkten und Städten ausgerichtet. Das Siegel ersetzt weder eine Zertifizierung zu einem ISMS-Standard, noch hat es den Anspruch, einen ISMS-Standard vollständig abzudecken. Kommunen, die bereits nach einem gängigen ISMS-Standard von unabhängiger Stelle zertifiziert sind, haben die Möglichkeit, vom LSI mit dem gültigen Zertifikat zusätzlich das Siegel zu erhalten.
Das Siegel kann nur von bayerischen kommunalen Gebietskörperschaften und deren Spitzenverbänden beantragt werden. Es kann also von Anstalten und Körperschaften des öffentlichen Rechts, z. B. Zweckverbänden, nicht erworben werden.
Im Geltungsbereich des Siegels muss mindestens die Kernverwaltung enthalten sein.
Ausgenommen vom Geltungsbereich ist der Bereich KRITIS (Wasser, Abwasser, Energie, Krankenhäuser, Siedlungsabfälle usw.), kommunale GmbHs oder Zweckverbände. Zur angemessenen Absicherung sind hier weiterführende Standards (z. B. B3S) notwendig.
Evaluationsgegenstand und -prinzipien
Evaluationsgegenstand ist der ausgefüllte Fragebogen. Dieses Formular erhalten Sie über eine formlose Anfrage an Beratung-Kommunen@lsi.bayern.de. Dort erhalten Sie auch Hilfestellung zum Ausfüllen des Fragenbogens. Das eingereichte Formular stellt eine Selbstauskunft dar.
Zu den einzelnen Prüffragen können Sie auswählen, ob in Ihrer Kommune
- die Maßnahme bereits umgesetzt ist
- die Umsetzung der Maßnahme geplant ist (mit Ziel-Datum)
- die Umsetzung der Maßnahme (noch) nicht geplant ist
Die Prüfung erfolgt anhand des ausgefüllten Fragebogens. Die Verantwortung für die Richtigkeit der Angaben und die Umsetzung der Maßnahmen bleibt in der Kommune. Es findet kein Audit vor Ort statt. Ein Teil der Maßnahmen muss bereits umgesetzt sein. Für einen weiteren Teil der Kriterien müssen Maßnahmen geplant und terminiert sein.
Bei erfolgreicher Prüfung des Formulars erhalten Sie das Siegel in gedruckter Ausfertigung und in digitaler Form für Ihre Webseite.
Auch wenn Sie noch nicht alle Kriterien vollständig erfüllen, können Sie sich gerne an uns wenden. Wir beraten Sie als bayerische Kommune bei technischen und organisatorischen Maßnahmen zur Informationssicherheit.
Gültigkeitszeitraum - Wie lange gilt das Siegel?
Das Siegel ist, für Kommunen unter 20.000 Einwohner, zwei Jahre gültig. Für größere Kommunen, aufgrund der höheren Anforderungen, ein Jahr. Für Kommunen mit mehr als 50.000 Einwohnern, Kreisfreie Städte, Landratsämter sowie Bezirke ist, für den Erhalt des Siegels, eine Zertifizierung erforderlich. Alternativ ist auch ein Testat nach der Basis-Absicherung des BSI IT-Grundschutzes bzw. die Abnahme des IT-Grundschutz-Profils Basis-Absicherung Kommunalverwaltung ausreichend. Mit einem Zertifikat, unabhängig von der Größe der Kommune, richtet sich die Gültigkeitsdauer des Siegels nach der des Zertifikats. Mit Erlöschen des Zertifikats erlischt auch die Gültigkeit des Siegels.
Die Kommunen haben die Möglichkeit, das Siegel nach Ablauf wieder neu zu erwerben.
Was kostet das Siegel "Kommunale IT-Sicherheit"?
Die Beantragung und Ausstellung des Siegels "Kommunale IT-Sicherheit" sind kostenlos.