Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Datenschutz

Abschnitt 1
Allgemeine Vorschriften

§ 1 Zweck des Gesetzes

Zweck dieses Gesetzes ist, die Netz- und Informationssicherheit in der Landesverwaltung Nordrhein-Westfalen zu erhöhen, Gefahren für informationstechnische Systeme abzuwehren und die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022 S. 80; L, 2023/90206, 22.12.2023), im Folgenden NIS-2-Richtlinie, umzusetzen, soweit hierfür die Zuständigkeit im Land Nordrhein-Westfalen liegt.

§ 2 Geltungsbereich

(1) Dieses Gesetz gilt für

1. Landesbehörden im Sinne des § 2 des Landesorganisationsgesetzes vom 10. Juli 1962 (GV. NRW. S. 421) in der jeweils geltenden Fassung,
2. Einrichtungen des Landes im Sinne des § 14 des Landesorganisationsgesetzes, soweit diese an das Landesverwaltungsnetz angeschlossen sind,
3. den Landtag Nordrhein-Westfalen, unabhängig von einer Anbindung an das Landesverwaltungsnetz,
4. Landesbetriebe im Sinne des § 14a des Landesorganisationsgesetzes und
5. Organe der Rechtspflege im Sinne des § 1 Absatz 2 Buchstabe c des Landesorganisationsgesetzes (Behörden).

(2) Der Landtag gewährleistet die ihn betreffende Informationssicherheit durch den Beschluss einer für ihn, seine Gremien, seine Mitglieder und deren Beschäftigte, seine Fraktionen und deren Beschäftigte sowie für die Landtagsverwaltung geltenden Informationssicherheitsleitlinie. Die §§ 4 bis 18 dieses Gesetzes gelten nach Maßgabe der Informationssicherheitsleitlinie.

(3) Dieses Gesetz gilt nicht für Behörden, soweit diese in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, tätig werden.

(4) Die in diesem Gesetz festgelegten Verpflichtungen umfassen nicht die Bereitstellung von Informationen, deren Offenlegung wesentlichen Interessen der Mitgliedstaaten im Bereich der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung zuwiderlaufen würde.

§ 3 Begriffsbestimmungen

Im Sinne dieses Gesetzes ist:

1. eine wichtige Behörde eine Behörde, die die Voraussetzungen des Artikel 3 Absatz 2 der NIS-2-Richtlinie erfüllt,
2. ein Beinahe-Vorfall ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz und Informationssysteme angeboten werden oder zugänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich verhindert wurde oder das nicht eingetreten ist,
3. eine Cyberbedrohung ein möglicher Umstand, ein mögliches Ereignis oder eine mögliche Handlung, die informationstechnische Systeme, Komponenten und Prozesse, die Nutzerinnen und Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte,
4. eine erhebliche Cyberbedrohung eine Cyberbedrohung, die das Potenzial besitzt, die Netz- und Informationssysteme einer Behörde oder der Nutzerinnen und Nutzer solcher Systeme aufgrund ihrer technischen Merkmale erheblich zu beeinträchtigen, indem sie erheblichen materiellen oder immateriellen Schaden verursacht,
5. ein Dienst jeder Vorgang innerhalb einer Behörde, durch den öffentliche Aufgaben wie zum Beispiel Verwaltungsakte, Datenbereitstellung, Vollzug von Meldepflichten sowie verwaltungsinterne Dienstleistungen erfüllt werden,
6. ein Netz- und Informationssystem:
   1. ein Übertragungssystem, ungeachtet dessen, ob es auf einer permanenten Infrastruktur oder zentralen Verwaltungskapazität basiert, und gegebenenfalls eine Vermittlungs- und Leitwegeinrichtung sowie anderweitige Ressourcen, einschließlich der nicht aktiven Netzbestandteile, die die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetze, feste (leitungs- und paketvermittelt, einschließlich Internet) und mobile Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen,
   2. ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder
   3. digitale Daten, die von den in den Buchstaben a und b genannten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden,
7. eine Schwachstelle eine Schwäche, Anfälligkeit oder Fehlfunktion von Produkten oder Diensten im Bereich der Informations- und Kommunikationstechnologien, die bei einer Cyberbedrohung ausgenutzt werden kann,