|
ISichG M-V - Informationssicherheitsgesetz Mecklenburg-Vorpommern
Gesetz zur Gewährleistung der Informationssicherheit in Mecklenburg-Vorpommern
- Mecklenburg-Vorpommern -
Vom 7. Mai 2026
(GVOBl. M-V Nr. 14 vom 19.05.2026 S. 473. ber. S. 519 i.K.)
Gl.-Nr.: 206-8
Abschnitt 1
Allgemeine Vorschriften
(1) Dieses Gesetz gilt für
(2) Beteiligt sich ein Unternehmen oder eine Einrichtung in einer Rechtsform des privaten Rechts, auf die dieses Gesetz Anwendung findet, an einem weiteren Unternehmen oder einer weiteren Einrichtung in einer Rechtsform des privaten Rechts, so findet Absatz 1 Nummer 3 entsprechende Anwendung. Nehmen nicht öffentlich-rechtliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit sonstige Stellen im Sinne dieses Gesetzes.
(3) Dieses Gesetz gilt nicht für
Die in § 3 festgelegten Grundsätze der Informationssicherheit gelten für die nach Satz 1 Ausgenommenen entsprechend. Die §§ 11 bis 16 gelten ebenfalls entsprechend, sofern die beauftragte Person für Informationssicherheit der jeweiligen Stelle der Erhebung, Verarbeitung, Veränderung, Speicherung oder Auswertung von Daten zugestimmt hat.
§ 2 Begriffsbestimmungen
Im Sinne dieses Gesetzes bezeichnet der Ausdruck:
§ 3 Grundsätze der Informationssicherheit
(1) Die Stellen gemäß § 1 haben die Informationssicherheit zu gewährleisten, indem sie wirtschaftlich angemessene, auf einem gefahrenübergreifenden Ansatz beruhende organisatorische und technische Maßnahmen festlegen und umsetzen. Die Maßnahmen müssen den Stand der Technik berücksichtigen oder einschlägige branchenspezifische Sicherheitsstandards oder Normen abbilden. Sie umfassen Konzepte und Verfahren für eine regelmäßige Bewertung zu deren Wirksamkeit. Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen der Verletzung der Schutzziele steht.
(2) Die Verpflichtung nach Absatz 1 Satz 1 umfasst mindestens folgende Maßnahmen:
Sofern die Europäische Kommission Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen an die genannten Maßnahmen erlässt, sind diese zu beachten.
(3) Die Verantwortung für die Informationssicherheit trägt die Leitung einer öffentlichen oder sonstigen Stelle. Dafür plant, erstellt und pflegt sie ein Informationssicherheitsmanagementsystem und berücksichtigt die dafür erforderlichen Haushaltsmittel im Rahmen der Haushaltsaufstellung. Sie benennt eine beauftragte Person für Informationssicherheit (ISB). Für Schulen in öffentlicher Trägerschaft im Sinne des Schulgesetzes Mecklenburg-Vorpommern erfüllt der Schulträger die Aufgaben nach den Sätzen 2 und 3.
(4) Jede Leitung einer öffentlichen Stelle muss nachweislich sowie regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Informationssicherheit und deren Auswirkungen zu erhalten. Die Teilnahme ist gegenüber der beauftragten Person des Landes für Informationssicherheit Mecklenburg-Vorpommern (Chief Information Security Officer M-V) nachzuweisen. Das zur Wahrnehmung von delegierten Aufgaben in einem Informationssicherheitsmanagementsystem eingesetzte Personal, insbesondere die beauftragte Person für Informationssicherheit, muss über die erforderliche Fachkunde und Zuverlässigkeit verfügen. Die erforderliche Fachkunde wird durch eine für das Aufgabengebiet geeignete Ausbildung, durch nachweisbare praktische Erfahrung sowie durch eine regelmäßige Teilnahme an vom Chief Information Security Officer M-V anerkannten Schulungen oder Workshops erworben.
(5) Für die Gewährleistung der Informationssicherheit ist der IT-Grundschutz des Bundesamts für die Sicherheit in der Informationstechnik verpflichtend. Die für alle öffentlichen Stellen anzuwendende Fassung wird durch die Kommission für Informationssicherheit festgelegt. Für die sonstigen Stellen gelten Satz 1 und 2 nur, wenn kein branchenspezifischer Sicherheitsstandard oder keine Norm existiert. Die Kennzeichnung und Klassifizierung von Informationen erfolgt für die öffentlichen Stellen nach den Vorgaben des TLP in der jeweils gültigen Fassung, sofern es sich hierbei um keine Informationen handelt, die entsprechend der Verschlusssachenanweisung für das Land Mecklenburg-Vorpommern einzustufen sind. Diese Verpflichtung tritt für die kommunalen Stellen 1. Mai 2028 in Kraft. Bis zu diesem Zeitpunkt ist das IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung für die kommunalen Stellen anzuwenden.
(6) Sofern Organisationen Informationstechnik nutzen, die im Eigenbetrieb von einer oder von mehreren Stellen, oder im Auftrag von einer oder mehreren Stellen durch einen IT-Dienstleister betrieben wird, hat die verfahrensverantwortliche Stelle den IT-Dienstleister zu verpflichten, den IT-Grundschutz gemäß Absatz 4 anzuwenden und die nutzende Organisation zur Umsetzung der Sicherheitsanforderungen aus dem zugrunde liegenden Sicherheitskonzept zu verpflichten. Für die DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH ist die Anwendung und Umsetzung des IT-Grundschutz gemäß Absatz 5 im Rahmen der Aufgabenübertragung gemäß dem Datenverarbeitungszentrumsgesetz verpflichtend.
(7) Eine Betriebsaufnahme sowie alle nach erfolgter Betriebsaufnahme vorgenommenen wesentlichen Änderungen an der Informationstechnik oder an den Sicherheitsprozessen dürfen nur im Einvernehmen zwischen der verfahrensverantwortlichen Stelle und der für diese öffentliche Stelle ernannten beauftragten Person für Informationssicherheit erfolgen. Kann kein Einvernehmen nach Satz 1 hergestellt werden, entscheidet die Leitung der verfahrensverantwortlichen Stelle. Für die zentrale Informationstechnik bedarf zusätzlich jede Betriebsaufnahme oder wesentliche Änderung des Einvernehmens mit dem Chief Information Security Officer M-V. Wird das Einvernehmen nicht hergestellt, entscheidet die beauftragte Person der Landesregierung Mecklenburg-Vorpommern für Informationstechnologie und Digitalisierung (CIO M-V) über die Maßnahmen zur Risikobehandlung. Soll von Entscheidungen des Chief Information Security Officers M-V abgewichen werden, ist diese Entscheidung gesondert zu begründen.
(8) Die Landesverwaltung ist verpflichtet, die für die Gewährleistung der Informationssicherheit erforderlichen Mittel aus den für IT-Maßnahmen veranschlagten Landeshaushaltsmitteln für Informationssicherheit (Sicherheitskosten) bereitzustellen. Bei allen Digitalisierungsvorhaben, insbesondere bei IT-Projekten sind die Sicherheitskosten einzuplanen und bei Betriebsverträgen auszuweisen.
(9) Auf den Einsatz von Informationstechnik ist im begründeten Einzelfall zu verzichten, wenn die notwendigen Maßnahmen zur Gewährleistung der Informationssicherheit in keinem angemessenen Verhältnis zu den gegenüberstehenden Risiken stehen. Die Entscheidung trifft grundsätzlich die Leitung der verfahrensverantwortlichen Stelle. Für die zentrale Informationstechnik ent
scheidet der Chief Information Security Officer M-V im Einvernehmen mit der oder dem CIO M-V. Wird das Einvernehmen nicht hergestellt und wird von den Entscheidungen des Chief Information Security Officers M-V abgewichen, entscheidet abschließend die für Digitalisierung zuständige oberste Landesbehörde über die Maßnahmen zur Risikobehandlung. Diese Entscheidung ist gesondert und dokumentiert zu begründen.
§ 4 Verordnungsermächtigungen
(1) Die für die Digitalisierung zuständige oberste Landesbehörde wird ermächtigt, durch Rechtsverordnung die Verarbeitung, die Erhebung, Speicherung, Archivierung, Übertragung und Auswertung von Protokoll-, Verkehrs- und Inhaltsdaten öffentlicher Stellen zu regeln. Die Regelungen sollen sich insbesondere beziehen auf
(2) Die für den Verfassungsschutz zuständige oberste Landesbehörde wird ermächtigt, im Benehmen mit der für die Digitalisierung zuständigen obersten Landesbehörde durch Verordnung für Bereiche, Systeme oder Informationen, die dem Geheimschutz unterliegen, zu bestimmen,
(3) Die für die Digitalisierung zuständige oberste Landesbehörde wird ermächtigt, im Einvernehmen mit den jeweils datenschutzrechtlich Verantwortlichen nach Artikel 4 Nummer 7 Verordnung (EU) 2016/679 und § 4 Absatz 1 Datenschutzgesetz Mecklenburg-Vorpommern ( Landesdatenschutzgesetz) durch Rechtsverordnung die Verteilung der Pflichten und Aufgaben nach Artikel 26 Verordnung (EU) 2016/679 festzulegen.
Abschnitt 2
Organisationsstrukturen der Informationssicherheit
§ 5 Beauftragte Person für Informationssicherheit des Landes
(1) Der Chief Information Security Officer M-V wird von der oder dem CIO M-V ernannt. Die Wahrnehmung dieser Funktion obliegt einem Beschäftigten der für die Digitalisierung zuständigen obersten Landesbehörde. Der Chief Information Security Officer M-V nimmt die übertragenen Aufgaben unabhängig und weisungsfrei wahr. Für seine Aufgabenwahrnehmung wird er angemessen ausgestattet. Der Chief Information Security Officer M-V hat ein direktes Vortragsrecht bei der oder dem CIO M-V und der Leitung der für die Digitalisierung zuständigen obersten Landesbehörde des Landes Mecklenburg-Vorpommern.
(2) Der Chief Information Security Officer M-V darf wegen seiner Tätigkeiten oder wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder begünstigt werden. Eine Abordnung, Umsetzung oder Versetzung des Chief Information Security Officer M-V ist unzulässig. Der Chief Information Security Officer M-V steht grundsätzlich in einem Beamtenverhältnis zum Land Mecklenburg-Vorpommern.
(3) Der Chief Information Security Officer M-V vertritt das Land Mecklenburg-Vorpommern in allen Angelegenheiten der Informations- oder Cybersicherheit in der öffentlichen Verwaltung gegenüber dem Bund und anderen Ländern. Er ist für die Weiterentwicklung des Informationssicherheitsmanagementsystems der Landesverwaltung Mecklenburg-Vorpommern zuständig. Zu diesem Zweck obliegt es dem Chief Information Security Officer M-V
Der Chief Information Security Officer M-V berichtet regelmäßig der oder dem CIO M-V, im Lenkungsausschuss E-Government nach § 17 des E-Government-Gesetzes Mecklenburg-Vorpommern und in der Kommission für Informationssicherheit über seine Tätigkeit. Darüber hinaus berichtet er jährlich der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zu durchgeführten Maßnahmen der Protokollierung gemäß §§ 12 bis 15 und 19 dieses Gesetzes.
(4) Der Chief Information Security Officer ist die zuständige Behörde nach Artikel 8 Absatz 1 und 2 der Richtlinie (EU) 2022/2555 für die Aufsicht über die staatlichen Stellen. Er meldet dem Bundesamt für Sicherheit in der Informationstechnik die nach § 6 Absatz 8 identifizierten staatlichen Stellen erstmals sechs Monate nach Inkrafttreten dieses Gesetzes und anschließend alle zwei Jahre.
(5) Zur Überprüfung des Erfüllungsgrades der Richtlinien, Sicherheitsstandards sowie der Wirksamkeit des Informationssicherheitsmanagementsystems haben die öffentlichen und sonstigen Stellen dem Chief Information Security Officer M-V die hierfür erforderlichen Unterlagen innerhalb einer angemessenen Frist zu übersenden oder einer beauftragten Person vorzulegen. Der Chief Information Security Officer M-V ist berechtigt, Sicherheitsprüfungen bei den öffentlichen oder sonstigen Stellen selbst vorzunehmen oder diese durchführen zu lassen. Die öffentlichen Stellen unterrichten den Chief Information Security Officer M-V über durchgeführte Sicherheitsprüfungen sowie über deren Ergebnisse. Von den Kontroll- und Prüfbefugnissen des Chief Information Security Officers M-V sind unmittelbar die von den öffentlichen und sonstigen Stellen beauftragten Dienstleister umfasst.
(6) Um Gefahren für die Informationstechnik öffentlicher Stellen abzuwehren, kann der Chief Information Security Officer M-V gegenüber allen unmittelbar oder mittelbar an die Daten- oder Kommunikationsnetze der öffentlichen Verwaltung angeschlossenen öffentlichen Stellen oder sonstigen anschlussberechtigen Organisationen Anordnungen treffen oder Maßnahmen unmittelbar ergreifen. Zur Eindämmung oder Abwehr von erheblichen Sicherheitsvorfällen darf er vorübergehende Netztrennungen oder die Abschaltung von Informationstechnik anordnen. Über die Anordnungen nach Satz 2 sind die Leitung sowie die für diese Stelle benannte beauftragte Person für Informationssicherheit unverzüglich zu informieren.
(7) Die Netztrennungs- und Abschaltungsbefugnis im Sinne des Absatz 6 des Chief Information Security Officers M-V umfasst ebenfalls alle Betreiber von Daten- oder Kommunikationsnetzen der öffentlichen Verwaltung.
(8) Der Chief Information Security Officer M-V ist verpflichtend in alle Gesetzgebungsverfahren und anderen Regierungsvorhaben des Landes mit wesentlichen Auswirkungen auf die Gestaltung der Informationssicherheit der öffentlichen Verwaltung einzubeziehen.
§ 6 Kommission für Informationssicherheit
(1) Die Kommission für Informationssicherheit wird von dem Chief Information Security Officer M-V geleitet. Sie besteht aus den folgenden stimmberechtigten Mitgliedern:
(2) Die stimmberechtigten Mitglieder nach Absatz 1 Nummer 1 werden durch die Ressorts vorgeschlagen und von der oder dem CIO M-V ernannt.
(3) Die nach Absatz 1 Nummer 1 bis 4 aufgeführten Organisationen benennen neben dem namentlich stimmberechtigten Mitglied namentlich die jeweiligen Stellvertretungen. Weitere, nichtstimmberechtigte Mitglieder oder Gäste können an den Sitzungen der Kommission für Informationssicherheit zugelassen werden. Die Sitzungen der Kommission für Informationssicherheit sind nicht öffentlich.
(4) Die stimmberechtigten Mitglieder der Kommission für Informationssicherheit sind durch ihre Organisationen nach Sachkunde und fachlichen Kompetenzen und Fähigkeiten in der Informationstechnik, Informationssicherheit, in der Durchführung von Sicherheitsprüfungen und im Kommunal- und Landesrecht auszuwählen.
(5) Die Kommission für Informationssicherheit berät den Chief Information Security Officer M-V. Entscheidungen des Chief Information Security Officer M-V erfolgen im Benehmen mit der Kommission für Informationssicherheit.
(6) Die Kommission für Informationssicherheit gibt sich eine Geschäftsordnung. Absatz 5 findet bei Beschlussfassungen zur Geschäftsordnung keine Anwendung.
(7) Zu den Aufgaben der Kommission für Informationssicherheit gehören insbesondere die
(8) Die Kommission für Informationssicherheit beschließt ein Konzept zur Identifizierung der staatlichen Stellen nach Artikel 2 Absatz 2 Buchstabe f Ziffer ii der Richtlinie (EU) 2022/2555. Die obersten Landesbehörden identifizieren auf der Grundlage dieses Konzeptes die in ihrem Geschäftsbereich betroffenen staatlichen Stellen und übermitteln dem Chief Information Security Officer M-V die Daten der von ihnen erstmals oder erneut identifizierten staatlichen Stellen:
Die erste Identifizierung nehmen die obersten Landesbehörden sechs Monate nach Inkrafttreten dieses Gesetzes vor und überprüfen diese alle zwei Jahre.
§ 7 Beauftragte Personen für Informationssicherheit
(1) In jeder öffentlichen Stelle ist eine beauftragte Person für Informationssicherheit sowie eine Stellvertretung namentlich zu benennen. Die beauftragte Person für Informationssicherheit und deren Stellvertretung können für mehrere Stellen zuständig sein, sofern für ihre Aufgabenwahrnehmung ausreichende Ressourcen zur Verfügung stehen. Dabei muss sichergestellt sein, dass keine Interessenkonflikte entstehen. Abweichend von Satz 2 ist in der zentralen Stelle für informationstechnische Dienste der Steuerverwaltung eine beauftragte Person für Informationssicherheit sowie Stellvertretung einzurichten.
(2) Die Landespolizei benennt in den Polizeibehörden gemäß § 2 Absatz 1 Nummer 2 bis 6 des Polizeiorganisationsgesetzes jeweils eine beauftragte Person für Informationssicherheit und eine Stellvertretung. Die beauftragte Person für Informationssicherheit und deren Stellvertretung können für mehrere Polizeibehörden zuständig sein, sofern keine Interessenkonflikte entstehen. Des Weiteren benennt die oberste Polizeibehörde eine hauptamtliche beauftragte Person für Informationssicherheit als Chief Information Security Officer der Landespolizei, welche für die gesamte Landespolizei sowie für die Informationstechnik der Landespolizei, die in anderen Behörden eingesetzt wird, zuständig ist. Für die Polizeibehörden nach Nummer 2 bis 4 und 6 sollen die beauftragten Personen für Informationssicherheit hauptamtlich tätig sein, sofern für ihre Aufgabenwahrnehmung ausreichende Ressourcen zur Verfügung stehen.
(3) Die beauftragte Person für Informationssicherheit der obersten und oberen Landesbehörden sowie deren Stellvertretung müssen Beschäftigte des Landes sein.
(4) Für Schulen in öffentlicher Trägerschaft im Sinne des Schulgesetzes ist die beauftragte Person für Informationssicherheit die zuständige beauftragte Person für Informationssicherheit des jeweiligen Schulträgers. Hiervon kann abgewichen werden, wenn aufgrund der Größe einer Schule (ab 750 Schüler) eine beauftragte Person für Informationssicherheit durch den Schulträger benannt wird.
(5) Die beauftragte Person für Informationssicherheit berichtet der Leitung in angemessenen, zeitlich regelmäßigen Abständen sowie dem Chief Information Security Officer M-V jährlich und anlassbezogen zum Stand der Informationssicherheit in ihrem Zuständigkeitsbereich.
(6) Jede beauftragte Person für Informationssicherheit ist fachlich weisungsfrei und besitzt ein unmittelbares Vortragsrecht gegenüber der Leitung. Darüber hinaus besitzen die beauftragten Personen für Informationssicherheit ein unmittelbares Vortragsrecht gegenüber dem Chief Information Security Officer M-V.
(7) Eine beauftragte Person für Informationssicherheit fördert alle Belange der Informationssicherheit innerhalb ihres Zuständigkeitsbereichs, koordiniert, überwacht und kontrolliert alle Maßnahmen zur Gewährleistung der Informationssicherheit. Sie ist für die Einhaltung der Melde- und Berichtspflichten in ihrem Zuständigkeitsbereich zuständig. Bei einem Sicherheitsvorfall ist sie berechtigt, Einsicht in die IT-Dokumentation, in das Sicherheitskonzept und Protokolldaten ihres Zuständigkeitsbereichs zu nehmen oder diese bei der verfahrensverantwortlichen Stelle zur Einsichtnahme anzufordern.
(8) Der Chief Information Security Officer M-V, die Kommission für Informationssicherheit sowie das CERT M-V sind unverzüglich über die Ernennung oder über einen personellen Wechsel einer beauftragten Person für Informationssicherheit in öffentlichen Stellen zu unterrichten.
§ 8 Verfahrensverantwortliche Stellen
(1) Für alle Verwaltungsprozesse, insbesondere die durch Informationstechnik unterstützten, sind verfahrensverantwortliche Stellen zu benennen. Die verfahrensverantwortlichen Stellen erstellen das Sicherheitskonzept und setzen alle Sicherheitsanforderungen um, die sich aus dem für den Betrieb erforderlichen Sicherheitskonzept sowie aus den Richtlinien und Sicherheitsstandards für ihren jeweiligen Verwaltungsprozess ergeben.
(2) Die verfahrensverantwortliche Stelle ist im Fall eines sicherheitsrelevanten Ereignisses oder eines Sicherheitsvorfalls zur uneingeschränkten Zusammenarbeit mit der beauftragten Person für Informationssicherheit, dem Chief Information Security Officer M-V sowie mit dem CERT M-V verpflichtet. Alle notwendigen Auskünfte sind unverzüglich zu erteilen.
§ 9 Sicherheitsteam der Landes- und Kommunalverwaltung, Verordnungsermächtigung
(1) Das Land Mecklenburg-Vorpommern betreibt für alle öffentlichen Stellen ein Sicherheitsteam der Landes- und Kommunalverwaltung (CERT M-V). Die für die Digitalisierung zuständige oberste Landesbehörde wird ermächtigt, durch Rechtsverordnung die Aufgaben und Dienste des CERT M-V zu bestimmen. In der Rechtsverordnung sind mindestens folgende Aufgaben festzulegen:
Das CERT M-V
Weitere Aufgaben dürfen dem CERT M-V nur im Einvernehmen mit dem Chief Information Security Officer M-V übertragen werden. Er hat die Fachaufsicht über das CERT M-V.
(2) Das CERT M-V unterstützt den Chief Information Security Officer M-V, die beauftragte Person für Informationssicherheit sowie die Datenschutzbeauftragten der öffentlichen Stellen bei sicherheitstechnischen Fragestellungen.
(3) Zur Wahrnehmung seiner Aufgaben und Dienste hat das CERT M-V alle für die Abwehr von Gefahren erforderlichen Informationen, insbesondere zu Sicherheitslücken, Schadprogrammen, zu versuchten und erfolgreichen Angriffen auf die Informationstechnik sowie die bei den Angriffen detektierten Vorgehensweisen und Protokolldaten zu sammeln und auszuwerten. Das CERT M-V ist im Sinne des Satzes 1 berechtigt, Informationen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie mit den Sicherheitsbehörden von Bund und den Ländern auszutauschen.
(4) Alle öffentlichen Stellen sowie die durch die öffentlichen Stellen beauftragten IT-Dienstleister stellen dem CERT M-V alle für die Zwecke nach Absatz 3 notwendigen Informationen und Daten unverzüglich und unentgeltlich je nach Anforderung entweder kontinuierlich oder auf Aufforderung zur Verfügung. Die im Rahmen dieser Aufgabenwahrnehmung erforderliche Datenverarbeitung erfolgt beim CERT M-V.
(5) Für seine Aufgabenwahrnehmung muss das CERT M-V redundant sowohl räumlich als auch mit eigener, von der zentralen Informationstechnik entkoppelter Informationstechnik ausgestattet sein, um seine hohe Verfügbarkeit jederzeit zu gewährleisten. Dies umfasst:
§ 10 Weitere Sicherheitsteams
(1) Jede öffentliche Stelle betreibt ein Security Operations center oder schließt sich einem gemeinsamen oder externen SOC an. Dies erfolgt mit dem Ziel, versuchte oder erfolgreiche Angriffe auf ihre eigenen oder im Auftrag der öffentlichen Stellen betriebene Informationstechnik detektieren und abwehren zu können. Die SOC sind insbesondere bei Sicherheitsvorfällen zur bilateralen Zusammenarbeit mit dem CERT M-V verpflichtet. Sie stellen dem CERT M-V alle zur Gefahrenabwehr sowie für die Erstellung eines landesspezifischen Lagebilds gemäß § 9 Absatz 1 Nummer 4 erforderlichen Informationen und Daten unentgeltlich zur Verfügung.
(2) Für alle staatlichen Stellen betreibt die DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH ein SOC. Kommunale Stellen können einzeln oder gemeinsam oder durch einen IT-Dienstleister ein SOC betreiben.
(3) Die Kernaufgaben eines SOC umfassen insbesondere
(4) Die SOC unterliegen bei der Datenverarbeitung im Rahmen ihrer Aufgabenwahrnehmung der Kontrolle des Chief Information Security Officers M-V.
Abschnitt 3
Maßnahmen zur Abwehr von Gefahren für die informationstechnischen Systeme und Infrastrukturen
§ 11 Grundsätze für die Verarbeitung personenbezogener Daten, Datenschutzkontrolle
(1) Das CERT M-V ist berechtigt, personenbezogene Daten zum Zwecke der Auswertung oder Untersuchung von Informationen zu Sicherheitslücken, Schadprogrammen, versuchten oder erfolgten Angriffen auf die informationstechnischen Systeme und Infrastrukturen sowie die bei den Angriffen detektierten Vorgehensweisen und Protokolldaten zu verarbeiten, wenn die Verarbeitung zur Gewährleistung der Informationssicherheit erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse einer betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung aller diesbezüglichen Informationen sowie personenbezogener Daten im Sinne von Artikel 9 Absatz 1 Datenschutz-Grundverordnung ist zulässig, wenn
(2) Personenbezogene Daten, die ursprünglich für Zwecke erhoben wurden, die der Richtlinie (EU) 2016/680 in der Fassung vom 27. April 2016 unterliegen, dürfen ebenfalls verarbeitet werden und sind an die nach diesem Gesetz für die Informationssicherheit zuständigen Stellen zu übermitteln, wenn eine Übermittlung zu den Zwecken nach Absatz 1 erforderlich ist oder eine Abtrennung der personenbezogenen Daten vor einer Übermittlung aus Gründen der Informationssicherheit nicht möglich ist.
(3) Besondere Kategorien personenbezogener Daten, deren Verarbeitung nach Artikel 9 Absatz 1 der Datenschutz-Grundverordnung untersagt ist, dürfen ebenfalls verarbeitet werden, wenn und soweit die Verarbeitung zu den Zwecken nach Absatz 2 erforderlich ist oder nicht ausgeschlossen werden kann.
(4) Wenn und soweit der Zweck einer Verarbeitung personenbezogener Daten dies zulässt oder es den Zweck der Verarbeitung nicht gefährdet, sind personenbezogene Daten automatisiert zu pseudonymisieren.
(5) Personenbezogene Daten, die nicht mehr für Zwecke, für die sie erhoben wurden, erforderlich sind, sind unverzüglich zu löschen. Wenn und soweit personenbezogene Daten anstelle der Löschung zu Dokumentationszwecken ausschließlich zur Datenschutzkontrolle weiterhin vorgehalten werden, unterliegen diese Daten einem Verwertungsverbot. Sie sind zwei Jahre nach der Dokumentation zu löschen, es sei denn, die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zeigt an, dass diese Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.
(6) Wenn und soweit in diesem Gesetz Kontrollpflichten geregelt sind, so bleiben die Aufgaben und Befugnisse der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit nach dem Landesdatenschutzgesetz unberührt.
(7) Jede öffentliche Stelle kann ihre Befugnisse gemäß §§ 12 bis 15 im Einvernehmen mit der für die Digitalisierung zuständigen obersten Landesbehörde an eine andere öffentliche Stelle gemäß § 1 oder Organisation übertragen. Das Recht der kommunalen Zusammenarbeit bleibt unberührt.
§ 12 Datenerhebung und -auswertung von Protokolldaten
(1) Die öffentlichen Stellen können, um Gefahren für die Informationstechnik durch Sicherheitslücken, Schadprogramme oder durch versuchte oder erfolgte Angriffe zu erkennen und abzuwehren, die auf ihrer Informationstechnik zur Erkennung und zur Analyse von Auffälligkeiten gespeicherten Protokolldaten automatisiert auswerten. Nach Satz 1 dürfen ausschließlich die vollständig automatisiert erhobenen Protokolldaten von
herangezogen werden. Für eine zweckgerichtete Auswertung dürfen die nach Satz 2 vorliegenden Protokolldaten zusammengeführt und gemeinsam verarbeitet werden.
(2) Die nach Absatz 1 erhobenen Protokolldaten sind nach ihrer automatisierten Auswertung unverzüglich vollständig und unwiderruflich nach dem Stand der Wissenschaft und Technik zu löschen, es sei denn, die automatisierte Auswertung zeigt tat sächliche Anhaltspunkte für eine Gefahr nach Absatz 1 Satz 1 auf. Protokolldaten, die weder personenbezogen sind noch dem Fernmeldegeheimnis unterliegen, sind von den Verarbeitungseinschränkungen dieser Vorschrift ausgenommen.
(3) Der Chief Information Security Officer M-V erlässt im Benehmen mit der Kommission für Informationssicherheit eine Richtlinie, die insbesondere Festlegungen zu den sicherheitsrelevanten Ereignissen und Protokolldaten der nach Absatz 1 Satz 2 genannten Informationstechnik beinhaltet.
(4) Eine Auswertung des während der vollständig automatisierten Erhebung der Protokolldaten nach Absatz 1 Satz 2 anfallenden Inhalts ist nur nach § 15 zulässig.
§ 13 Datenerhebung und -auswertung in Daten- oder Kommunikationsnetzen der öffentlichen Verwaltung
(1) Zur Erkennung und Abwehr von Gefahren für die Daten- oder Kommunikationsnetze der öffentlichen Verwaltung durch Sicherheitslücken, Schadprogramme oder durch versuchte oder erfolgte Angriffe ist die für Digitalisierung zuständige oberste Landesbehörde ermächtigt, an Übergabe- und Knotenpunkten der Daten- oder Kommunikationsnetze der öffentlichen Verwaltung nach auffälligen, abnormalen Datenverkehren zu suchen. Zu diesem Zweck darf der gesamte im Daten- oder Kommunikationsnetz der öffentlichen Verwaltung anfallende Datenverkehr vollständig automatisiert erhoben werden. Es dürfen insbesondere die nachstehenden Verkehrs- und Inhaltsdaten unverzüglich automatisiert ausgewertet werden:
Ungeachtet der Sätze 1 bis 3 darf zur Erkennung und Analyse von auffälligen, abnormalen Verhalten im Datenverkehr eines der nach § 12 Absatz 1 Nummer 3 bis 5 genannten informationstechnischen Systeme oder Dienste deren ein- und ausgehenden Datenverkehr automatisiert erhoben und ausgewertet werden.
(2) Jede öffentliche Stelle kann an den von ihr betriebenen, mit den Daten- oder Kommunikationsnetzen der öffentlichen Verwaltung verbundenen Übergabepunkten nach Maßgabe des Absatzes 1 nach auffälligem, abnormalem Datenverkehr suchen, soweit dies dem Zweck dient, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren abzuwehren. Der an den Übergabepunkten anfallende Datenverkehr darf automatisiert erhoben, entschlüsselt und unverzüglich automatisiert ausgewertet werden.
(3) Werden nach Absatz 1 oder 2 Inhalte einer Telekommunikation (Inhaltsdaten) verarbeitet, so ist ihre inhaltliche Auswertung unzulässig. Eine Auswertung des während der vollständig automatisierten Erhebung des Datenverkehrs nach Absatz 1 Satz 2 anfallenden Inhalts ist nur nach § 15 zulässig.
§ 14 Weiterführende Analyse und Auswertung von Protokolldaten
(1) Ergibt die nach § 12 Absatz 1 oder nach § 13 Absatz 1 oder 2 durchgeführte automatisierte Auswertung hinreichende oder tatsächliche Anhaltspunkte dafür, dass zur Abwehr von Gefahren für die Informationstechnik eine weiterführende Analyse erforderlich ist, dürfen diese Daten im Einzelfall weiter automatisiert ausgewertet werden. Die zu diesem Zweck erhobenen und ausgewerteten Daten der Einzelfälle sowie die Auswertungsergebnisse dürfen weiter zusammengeführt und automatisiert ausgewertet werden, soweit dies zur Erkennung oder Abwehr der Gefahr erforderlich ist.
(2) Die verantwortliche Stelle muss die nach Absatz 1 erhobenen Daten unverzüglich automatisiert pseudonymisieren, soweit sie nicht bereits pseudonym sind, und darf sie für diesen Zweck speichern und weiter automatisiert auswerten, soweit dies zur Erkennung oder Abwehr der Gefahr erforderlich ist.
(3) Bestätigt die weiterführende Analyse und Auswertung nach Absatz 1, dass die hinreichenden oder tatsächlichen Anhaltspunkte durch ein Schadprogramm, durch eine Sicherheitslücke oder durch einen Angriff verursacht wurden oder sich aus ihnen entsprechende Hinweise ergeben, so dürfen diese Daten gespeichert, entpseudonymisiert und auch nicht automatisiert ausgewertet werden. Dies gilt nur, soweit und solange die Datenverarbeitung zur Erkennung und Abwehr eines Schadprogramms, einer Sicherheitslücke oder daraus resultierender Gefahren oder Angriffe erforderlich ist. Die weiterführende Auswertung nach Satz 1 bedarf der Anordnung der Leitung.
(4) Nach den Absätzen 1 bis 3 dürfen keine Inhaltsdaten verarbeitet oder ausgewertet werden.
(5) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 10 erforderlich sind, sind sie unverzüglich zu löschen.
§ 15 Analyse und Auswertung von Inhaltsdaten
(1) Ergibt eine automatisierte Auswertung nach § 12 Absatz 1 oder § 13 Absatz 1 und 2 hinreichende oder tatsächliche Anhaltspunkte dafür, dass die Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr erforderlich sind, so kann die Stelle abweichend von § 14 Absatz 4 auch Inhaltsdaten und Auswertungsergebnisse speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. Die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. Die Speicherung nach Satz 1 bedarf der unverzüglichen Genehmigung der Leitung. Wird die Genehmigung abgelehnt oder nicht unverzüglich erteilt, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse sofort zu löschen.
(2) Ergibt die Auswertung nach Absatz 1 Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen.
(3) Bestätigt eine automatisierte Auswertung nach § 12 Absatz 1 oder § 13 Absatz 1 und 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr erforderlich sind, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, entpseudonymisiert und auch nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. Die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Leitung. Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.
(4) Soweit die nach Absatz 3 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 10 erforderlich sind, sind sie unverzüglich zu löschen. Die Tatsache, dass die in Absatz 3 Satz 1 und 2 genannten Daten ausgewertet wurden, und die Löschung dieser Daten sind zu dokumentieren. Die in der Dokumentation enthaltenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. Sie sind zwei Jahre nach der Dokumentation zu löschen, es sei denn, die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.
Abschnitt 4
Meldepflichten
§ 16 Meldepflichten, Verordnungsermächtigung
(1) Werden in öffentlichen Stellen, die an die Daten- oder Kommunikationsnetze der öffentlichen Verwaltung angeschlossen sind, Informationen bekannt, die zur Abwehr von Gefahren für die Informationstechnik von wesentlicher Bedeutung sind oder sein könnten, teilen sie diese Information unverzüglich dem CERT M-V mit, soweit nicht andere Vorschriften dieser Informationsweitergabe entgegenstehen. Eine Informationsweitergabe ist entbehrlich, sofern gleichlautende Informationen öffentlich bekannt und zugänglich sind.
(2) Öffentliche Stellen haben Sicherheitsvorfälle unverzüglich an das CERT M-V zu melden, wenn es sich um Sicherheitsvorfälle handelt, die
Von der Meldepflicht umfasst sind ebenfalls alle Sicherheitsvorfälle bei den Dienstleistern öffentlicher Stellen.
(3) Öffentliche Stellen haben der für den Verfassungsschutz zuständigen obersten Landesbehörde unverzüglich zu melden, soweit Anhaltspunkte für einen nachrichtendienstlichen Hintergrund eines Angriffs vorliegen. Anhaltspunkte im Sinne des Satzes 1 liegen insbesondere vor, wenn es sich um qualifizierte Angriffe mit Eindringungsversuchen handelt, die nicht auf eine kriminelle Gewinnerzielungsabsicht schließen lassen.
(4) Die für die Digitalisierung zuständige oberste Landesbehörde wird ermächtigt, durch Rechtsverordnung die Einzelheiten der Meldepflichten näher zu bestimmen. Die Rechtsverordnung muss Vorgaben zu meldepflichtigen Ereignissen, zum Informationsgehalt der Auskünfte, insbesondere zur Meldekommunikation und -prozessen, enthalten.
(5) Die öffentlichen Stellen übermitteln regelmäßig an das CERT M-V Informationen über sicherheitsrelevante Ereignisse. Dazu gehören insbesondere:
(6) Für sonstige Stellen gelten die Meldepflichten nach Absatz 1 bis 4 nur, soweit deren Informationstechnik mit den Daten- oder Kommunikationsnetzen der öffentlichen Verwaltung verbunden ist und somit eine Datenübertragung über die Daten- oder Kommunikationsnetze der öffentlichen Verwaltung in andere angeschlossene Netzwerke erfolgt. Im Übrigen steht es den sonstigen Stellen frei, sicherheitsrelevante Ereignisse oder Sicherheitsvorfälle an das CERT M-V zu melden.
Abschnitt 5
Schlussvorschriften
§ 17 Auskunftsverlangen
Zugang zu den Informationen und Akten in Angelegenheiten dieses Gesetzes wird nicht gewährt. Die Akteneinsichtsrechte von Verfahrensbeteiligten bleiben unberührt.
§ 18 Einschränkung von Grundrechten
Das Fernmeldegeheimnis ( Artikel 10 Absatz 1 des Grundgesetzes) wird nach Maßgabe der §§ 11 bis 15 eingeschränkt.
§ 19 Experimentierklausel zur Erprobung neuer Sicherheitstechnologien
Die für die Digitalisierung zuständige oberste Landesbehörde kann zur Erprobung neuer Technologien zur Datenanalyse oder -auswertung, die der Abwehr von Gefahren für die informationstechnischen Systeme, Infrastrukturen und Komponenten öffentlicher Stellen dienen, im Einvernehmen mit dem Chief Information Security Officer M-V und mit Zustimmung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern sachlich und örtlich begrenzte Ausnahmen zur Auswertung von anderen, nicht in § 12 Absatz 1 und § 13 Absatz 1 genannten Daten für einen Zeitraum von höchstens drei Jahren zuzulassen.
§ 20 Beschränkung der Rechte betroffener Personen
(1) Abweichend von Artikel 15 der Verordnung (EU) 2016/679 besteht das Recht auf Auskunft nicht, wenn und soweit die Erfüllung einer Auskunftserteilung die Aufgabenwahrnehmung nach diesem Gesetz beeinträchtigen würde. Die Ablehnung der Auskunftserteilung bedarf keiner Begründung, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. Wird der betroffenen Person keine Auskunft erteilt, so ist diese auf Verlangen der Aufsichtsbehörde zu erteilen, soweit nicht die zuständige oberste Landesbehörde für die Informationssicherheit im Einzelfall feststellt, dass dadurch die öffentliche Sicherheit gefährdet würde. Die Mitteilung der Aufsichtsbehörde an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern der Verantwortliche nicht einer weitergehenden Auskunft zugestimmt hat.
(2) Abweichend von Artikel 21 der Verordnung (EU) 2016/679 besteht das Recht auf Widerspruch nicht, wenn und soweit ein Widerspruch gegen die Verarbeitung personenbezogener Daten die Aufgabenwahrnehmung nach diesem Gesetz beeinträchtigen würde und an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt. Darüber hinaus darf die Daten verarbeitende Stelle die personenbezogenen Daten ergänzend zu Artikel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 weiterhin so lange verarbeiten, bis sie geprüft hat, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
1) Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 ( NIS-2-Richtlinie) (ABl. L 333 vom 22.12.2022; L, 2023/90206, 22.12.2023).
| ENDE | |