LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode	Drucksache  16/5219
	11.03.2014

 

 

 

 

Antwort

 

der Landesregierung

auf die Kleine Anfrage 2022 vom 14. Februar 2014

der Abgeordneten Daniel Schwerd und Frank Herrmann   PIRATEN

Drucksache 16/5069

 

 

 

Leitlinie des IT-Planungsrats „für die Informationssicherheit in der öffentlichen Verwaltung“

 

 

 

Der Minister für Inneres und Kommunales hat die Kleine Anfrage 2022 mit Schreiben vom 11. März 2014 namens der Landesregierung beantwortet.

 

 

 

Vorbemerkung der Kleinen Anfrage

 

Der IT-Planungsrat hat zum Stand 19.02.2013 ein Dokument mit dem Titel „Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung“ veröffentlicht.[1] Darin werden besondere Maßnahmen beschrieben, auf die sich die Länder und der Bund in der Arbeits-/Kooperationsgruppe „Informationssicherheit des IT-PLR“ geeinigt haben. 

 

Gegenstand dieser Vereinbarung sind unterschiedliche Maßnahmen zur aktiven und passiven Sicherheit bzw. Gefahrenerwiderung, welche in jedem Bundesland zu einem standardisierten Mindestsicherheitsniveau führen sollten. Grundlage für diese Vereinbarung ist laut Aussage der Verfasser der IT-Staatsvertrag.

 

Das Dokument rekurriert dabei unter anderem auf die Arbeit des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Einige Standards des BSI werden hierbei besonders hervorgehoben und zur Umsetzung in den Ländern empfohlen.

 

Seit Veröffentlichung dieser Vereinbarung ist nun fast genau ein Jahr vergangen. In diesem vergangenen Jahr wurde das Thema IT-Sicherheit durch die Enthüllungen von Edward Snowden in der Öffentlichkeit so intensiv wie selten debattiert. Die Berichte über ausländische Nachrichtendienste und deren Spionagetätigkeiten auch in der Bundesrepublik reißen nicht ab.

 

 

1.         Welche der in der Leitlinie beschriebenen Maßnahmen hat die Landesregierung seit Veröffentlichung der Leitlinie ergriffen? (Bitte unter Angabe von Ressort, Abteilung und konkreten Handlungen.)

 

Nach dem Kabinettbeschluss vom 10.12.2013 wird derzeit unter Federführung des CIO eine IST-Erhebung zur Informationssicherheit in der Landesverwaltung durchgeführt. Auf der Basis der Ergebnisse der Ist-Analyse sind im Anschluss ein Handlungskonzept und ein Kostenplan für die Umsetzung der von der Leitlinie erforderlichen Maßnahmen zu erstellen. Parallel zu der IST-Erhebung erarbeitet der CIO zusammen mit den Ressorts den Entwurf für eine „Informationssicherheitsleitlinie NRW“.

 

 

2.         Welche Maßnahmen wurden vom IT-Planungsrat – neben der Veröffentlichung von Dokumenten auf der Webseite – seit Beschluss der Leitlinie ergriffen?

 

Die Leitlinie richtet sich an die Mitglieder des IT-Planungsrates und ist für sie verbindlich. Die Umsetzung der Leitlinie liegt damit in der Verantwortung von Bund und Ländern. Unabhängig davon bleibt das Thema Informationssicherheit dauerhaft Gegenstand der Beratungen im IT-Planungsrat.

 

 

3.         Wer vertrat das Land NRW während der Erarbeitung der Leitlinie im IT-Planungsrat bzw. vertritt das Land dort noch heute?

 

Im IT-Planungsrat war das Land Nordrhein-Westfalen bis zur Einrichtung des CIO auf Staatssekretär-Ebene (IM bzw. MIK) vertreten. Seit dem 1.11.2013 obliegt diese Aufgabe dem CIO. Die vom IT-Planungsrat verabschiedete Leitlinie ist in einer hierfür eingerichteten Arbeitsgruppe erarbeitet worden; hier war das Land Nordrhein-Westfalen auf Arbeitsebene vertreten.

 

 

4.         In der Leitlinie wird diese selbst als „Hauptdokument“ bezeichnet. Welche weiteren Dokumente gibt es in diesem Zusammenhang? (Bitte unter Nennung der jeweiligen Titel und Veröffentlichungsorte.)

 

Zusätzlich zum Hauptdokument ist ein Umsetzungsplan verabschiedet worden, der Vorgaben zur zeitlichen Umsetzung der Leitlinie in den jeweiligen Zuständigkeitsbereichen macht.

 

http://www.it-planungsrat.de/SharedDocs/Downloads/DE/Entscheidungen/10._Sitzung/Leitlinie_Informationssicherheit_Umsetzungsplan.html?nn=1852114

 

 

 

 

 

5.         In der Leitlinie wird auf die zum Zeitpunkt der Veröffentlichung definierten Standards des IT-Grundschutzes des BSI Bezug genommen. Wie lauteten diese?

 

Es handelt sich um die IT-Grundschutz-Standards

 

·      BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)

·      BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise

·      BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

·      BSI-Standard 100-4: Notfallmanagement