Frame öffnen

ISichG M-V - Informationssicherheitsgesetz Mecklenburg-Vorpommern
Gesetz zur Gewährleistung der Informationssicherheit in Mecklenburg-Vorpommern

- Mecklenburg-Vorpommern -

Vom 7. Mai 2026
(GVOBl. M-V Nr. 14 vom 19.05.2026 S. 473. ber. S. 519 i.K.)
Gl.-Nr.: 206-8


Abschnitt 1
Allgemeine Vorschriften

§ 1 Geltungsbereich 1

(1) Dieses Gesetz gilt für

  1. Behörden des Landes sowie der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts (staatliche Stellen),
  2. Gemeinden, Ämter und Landkreise und alle von ihnen betriebenen oder errichteten Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie Eigenbetriebe (kommunale Stellen) und
  3. Unternehmen oder Einrichtungen in einer Rechtsform des privaten Rechts, die systemrelevante Träger der Daseinsvorsorge sind, Aufgaben der öffentlichen Verwaltung wahrnehmen oder an denen öffentliche Stellen einzeln oder gemeinsam mit über 50 Prozent der Anteile oder Stimmen beteiligt sind (sonstige Stellen).

(2) Beteiligt sich ein Unternehmen oder eine Einrichtung in einer Rechtsform des privaten Rechts, auf die dieses Gesetz Anwendung findet, an einem weiteren Unternehmen oder einer weiteren Einrichtung in einer Rechtsform des privaten Rechts, so findet Absatz 1 Nummer 3 entsprechende Anwendung. Nehmen nicht öffentlich-rechtliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit sonstige Stellen im Sinne dieses Gesetzes.

(3) Dieses Gesetz gilt nicht für

  1. den Landtag,
  2. den Landesrechnungshof,
  3. Hochschulen, soweit Forschung und Lehre betroffen sind,
  4. den Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern,
  5. die Gerichte und Staatsanwaltschaften.

Die in § 3 festgelegten Grundsätze der Informationssicherheit gelten für die nach Satz 1 Ausgenommenen entsprechend. Die §§ 11 bis 16 gelten ebenfalls entsprechend, sofern die beauftragte Person für Informationssicherheit der jeweiligen Stelle der Erhebung, Verarbeitung, Veränderung, Speicherung oder Auswertung von Daten zugestimmt hat.

§ 2 Begriffsbestimmungen

Im Sinne dieses Gesetzes bezeichnet der Ausdruck:

  1. "öffentliche Stellen" staatliche und kommunale Stellen;
  2. "Daten" durch Informationstechnik codierte und verarbeitbare Zeichen oder Symbole, die eine Information repräsentieren;
  3. "Informationstechnik oder informationstechnische Systeme, Komponenten und Infrastrukturen" alle technischen Mittel zur Verarbeitung, insbesondere zur Erfassung, Speicherung, Änderung, Archivierung, Übertragung oder Löschung von Daten;
  4. "zentrale Informationstechnik", die Informationstechnik gemäß Nummer 3, die durch eine staatliche Stelle betrieben wird, zur Mitnutzung durch andere öffentliche Stellen bereitgestellt wird und die Eigenschaften essentieller und kritischer Basis-Informationstechnik besitzt;
  5. "Informationssicherheit" die Gewährleistung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit von Daten und Informationen, unabhängig davon, ob diese mithilfe von Informationstechnik verarbeitetet werden oder nicht;
  6. "Informationssicherheitsmanagementsystem" die Definition und Umsetzung von verbindlichen Prozessen und Regeln, die die Informationssicherheit dauerhaft steuern, kontrollieren, aufrechterhalten und stetig weiterentwickeln;
  7. "sicherheitsrelevantes Ereignis" einen Versuch, ein oder mehrere Schutzziele der Informationssicherheit zu verletzen;
  8. "Sicherheitsvorfall" jedes Vorkommnis, bei dem ein oder mehrere Schutzziele der Informationssicherheit in unzulässiger Weise verletzt werden, wobei ein Sicherheitsvorfall erheblich ist und ein großes Ausmaß besitzt, wenn dieser entweder eine hohe Außenwirkung, eine Vielzahl betroffener Anwender, eine aufwändige Behebung oder einen hohen finanziellen Schaden zur Folge hat, zentrale Informationstechnik oder Dienste, eine Infrastruktur oder eine informationstechnische Komponente mit einem hohen Schutzbedarf betrifft;
  9. "Gefahr" eine Sachlage, bei der die Wahrscheinlichkeit besteht, dass in absehbarer Zeit ein sicherheitsrelevantes Ereignis, ein Sicherheitsvorfall oder ein Schaden für die Arbeits- und Handlungsfähigkeit der öffentlichen Stellen, die Funktionsfähigkeit der Daten- oder Kommunikationsnetze der öffentlichen Verwaltung, eines Rechtsguts oder die Rechtsordnung eintritt;
  10. "Schadprogramm" Software oder sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu verarbeiten oder auf informationstechnische Abläufe oder Funktionen einzuwirken;
  11. "Sicherheitslücke" Eigenschaften von informationstechnischen Systemen oder von Softwareprogrammen, durch deren Ausnutzung es möglich ist, dass Unbefugte Zutritt zu Gebäuden oder zu einzelnen Räumen, Zugang zu Informationstechnik erlangen und Zugriff auf die verarbeiteten Daten erhalten können oder die Funktion der informationstechnischen Systeme in unzulässiger Weise beeinflussen;
  12. "Protokolldaten" beschriebene oder historische Zustände und Aktionen von informationstechnischen Systemen, wobei Protokolldaten Nutzungsdaten gemäß § 2 Absatz 2 Nummer 3 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045), das zuletzt durch Artikel 44 des Gesetzes vom 12. Juli 2024 (BGBl. 2024 I Nr. 234) geändert worden ist, enthalten und jedes Protokolldatum einen hinreichend hochauflösenden und korrekten Datums- und Zeitstempel enthält;
  13. "Verkehrsdaten" Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten informationstechnischen Systeme verarbeitet werden, wobei diese Daten zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sein müssen;
  14. "Inhaltsdaten" Daten, die den Inhalt einer Kommunikation betreffen und die weder Nutzungsdaten im Sinne des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz noch Verkehrsdaten im Sinne des Telekommunikationsgesetzes sind;
  15. "Daten- und Kommunikationsnetze": die Gesamtheit der technischen Systeme, Komponenten und Dienste, die der elektronischen Übertragung, Verarbeitung, Speicherung oder dem Austausch von Daten zwischen informationstechnischen Systemen oder deren Nutzenden dienen.

§ 3 Grundsätze der Informationssicherheit

(1) Die Stellen gemäß § 1 haben die Informationssicherheit zu gewährleisten, indem sie wirtschaftlich angemessene, auf einem gefahrenübergreifenden Ansatz beruhende organisatorische und technische Maßnahmen festlegen und umsetzen. Die Maßnahmen müssen den Stand der Technik berücksichtigen oder einschlägige branchenspezifische Sicherheitsstandards oder Normen abbilden. Sie umfassen Konzepte und Verfahren für eine regelmäßige Bewertung zu deren Wirksamkeit. Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen der Verletzung der Schutzziele steht.

(2) Die Verpflichtung nach Absatz 1 Satz 1 umfasst mindestens folgende Maßnahmen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
  2. Bewältigung von Sicherheitsvorfällen;
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener
    Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Sofern die Europäische Kommission Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen an die genannten Maßnahmen erlässt, sind diese zu beachten.

(3) Die Verantwortung für die Informationssicherheit trägt die Leitung einer öffentlichen oder sonstigen Stelle. Dafür plant, erstellt und pflegt sie ein Informationssicherheitsmanagementsystem und berücksichtigt die dafür erforderlichen Haushaltsmittel im Rahmen der Haushaltsaufstellung. Sie benennt eine beauftragte Person für Informationssicherheit (ISB). Für Schulen in öffentlicher Trägerschaft im Sinne des Schulgesetzes Mecklenburg-Vorpommern erfüllt der Schulträger die Aufgaben nach den Sätzen 2 und 3.

(4) Jede Leitung einer öffentlichen Stelle muss nachweislich sowie regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Informationssicherheit und deren Auswirkungen zu erhalten. Die Teilnahme ist gegenüber der beauftragten Person des Landes für Informationssicherheit Mecklenburg-Vorpommern (Chief Information Security Officer M-V) nachzuweisen. Das zur Wahrnehmung von delegierten Aufgaben in einem Informationssicherheitsmanagementsystem eingesetzte Personal, insbesondere die beauftragte Person für Informationssicherheit, muss über die erforderliche Fachkunde und Zuverlässigkeit verfügen. Die erforderliche Fachkunde wird durch eine für das Aufgabengebiet geeignete Ausbildung, durch nachweisbare praktische Erfahrung sowie durch eine regelmäßige Teilnahme an vom Chief Information Security Officer M-V anerkannten Schulungen oder Workshops erworben.

(5) Für die Gewährleistung der Informationssicherheit ist der IT-Grundschutz des Bundesamts für die Sicherheit in der Informationstechnik verpflichtend. Die für alle öffentlichen Stellen anzuwendende Fassung wird durch die Kommission für Informationssicherheit festgelegt. Für die sonstigen Stellen gelten Satz 1 und 2 nur, wenn kein branchenspezifischer Sicherheitsstandard oder keine Norm existiert. Die Kennzeichnung und Klassifizierung von Informationen erfolgt für die öffentlichen Stellen nach den Vorgaben des TLP in der jeweils gültigen Fassung, sofern es sich hierbei um keine Informationen handelt, die entsprechend der Verschlusssachenanweisung für das Land Mecklenburg-Vorpommern einzustufen sind. Diese Verpflichtung tritt für die kommunalen Stellen 1. Mai 2028 in Kraft. Bis zu diesem Zeitpunkt ist das IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung für die kommunalen Stellen anzuwenden.

(6) Sofern Organisationen Informationstechnik nutzen, die im Eigenbetrieb von einer oder von mehreren Stellen, oder im Auftrag von einer oder mehreren Stellen durch einen IT-Dienstleister betrieben wird, hat die verfahrensverantwortliche Stelle den IT-Dienstleister zu verpflichten, den IT-Grundschutz gemäß Absatz 4 anzuwenden und die nutzende Organisation zur Umsetzung der Sicherheitsanforderungen aus dem zugrunde liegenden Sicherheitskonzept zu verpflichten. Für die DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH ist die Anwendung und Umsetzung des IT-Grundschutz gemäß Absatz 5 im Rahmen der Aufgabenübertragung gemäß dem Datenverarbeitungszentrumsgesetz verpflichtend.

(7) Eine Betriebsaufnahme sowie alle nach erfolgter Betriebsaufnahme vorgenommenen wesentlichen Änderungen an der Informationstechnik oder an den Sicherheitsprozessen dürfen nur im Einvernehmen zwischen der verfahrensverantwortlichen Stelle und der für diese öffentliche Stelle ernannten beauftragten Person für Informationssicherheit erfolgen. Kann kein Einvernehmen nach Satz 1 hergestellt werden, entscheidet die Leitung der verfahrensverantwortlichen Stelle. Für die zentrale Informationstechnik bedarf zusätzlich jede Betriebsaufnahme oder wesentliche Änderung des Einvernehmens mit dem Chief Information Security Officer M-V. Wird das Einvernehmen nicht hergestellt, entscheidet die beauftragte Person der Landesregierung Mecklenburg-Vorpommern für Informationstechnologie und Digitalisierung (CIO M-V) über die Maßnahmen zur Risikobehandlung. Soll von Entscheidungen des Chief Information Security Officers M-V abgewichen werden, ist diese Entscheidung gesondert zu begründen.

(8) Die Landesverwaltung ist verpflichtet, die für die Gewährleistung der Informationssicherheit erforderlichen Mittel aus den für IT-Maßnahmen veranschlagten Landeshaushaltsmitteln für Informationssicherheit (Sicherheitskosten) bereitzustellen. Bei allen Digitalisierungsvorhaben, insbesondere bei IT-Projekten sind die Sicherheitskosten einzuplanen und bei Betriebsverträgen auszuweisen.

(9) Auf den Einsatz von Informationstechnik ist im begründeten Einzelfall zu verzichten, wenn die notwendigen Maßnahmen zur Gewährleistung der Informationssicherheit in keinem angemessenen Verhältnis zu den gegenüberstehenden Risiken stehen. Die Entscheidung trifft grundsätzlich die Leitung der verfahrensverantwortlichen Stelle. Für die zentrale Informationstechnik ent

scheidet der Chief Information Security Officer M-V im Einvernehmen mit der oder dem CIO M-V. Wird das Einvernehmen nicht hergestellt und wird von den Entscheidungen des Chief Information Security Officers M-V abgewichen, entscheidet abschließend die für Digitalisierung zuständige oberste Landesbehörde über die Maßnahmen zur Risikobehandlung. Diese Entscheidung ist gesondert und dokumentiert zu begründen.

§ 4 Verordnungsermächtigungen

(1) Die für die Digitalisierung zuständige oberste Landesbehörde wird ermächtigt, durch Rechtsverordnung die Verarbeitung, die Erhebung, Speicherung, Archivierung, Übertragung und Auswertung von Protokoll-, Verkehrs- und Inhaltsdaten öffentlicher Stellen zu regeln. Die Regelungen sollen sich insbesondere beziehen auf

  1. die Ertüchtigung der IT-Infrastruktur zur Wahrnehmung der Protokollierung, den Umfang der Protokoll- und Verkehrsdatenerhebung sowie deren Auswertung,
  2. den Umfang der zur Gefahrenabwehr erforderlichen Analyse von verschlüsseltem Netzwerkverkehr,
  3. die Bereitstellung und -übermittlung von Protokoll- und Verkehrsdaten bei einem erheblichen Sicherheitsvorfall an das Sicherheitsteam der Landes- und Kommunalverwaltung (CERT M-V),
  4. die Voraussetzungen zur Aufgabenübertragung an privatrechtlich organisierte Dienstleister, öffentliche Stellen des Landes, anderer Länder oder des Bundes,
  5. die Kontrolle der ordnungsgemäßen Anwendung und Umsetzung der durch Rechtsverordnung getroffenen Regelungen.

(2) Die für den Verfassungsschutz zuständige oberste Landesbehörde wird ermächtigt, im Benehmen mit der für die Digitalisierung zuständigen obersten Landesbehörde durch Verordnung für Bereiche, Systeme oder Informationen, die dem Geheimschutz unterliegen, zu bestimmen,

  1. in welchem Umfang und in welcher Art sowie an welche Stellen die auf Grundlage der Verordnungen nach § 4 und die nach § 16 dieses Gesetzes vorgesehenen Meldungen zu erfolgen haben, sowie
  2. den Umfang und die Ausgestaltung der nach diesem Gesetz vorgesehenen Kontrollbefugnisse und Kontrollen.

(3) Die für die Digitalisierung zuständige oberste Landesbehörde wird ermächtigt, im Einvernehmen mit den jeweils datenschutzrechtlich Verantwortlichen nach Artikel 4 Nummer 7 Verordnung (EU) 2016/679 und § 4 Absatz 1 Datenschutzgesetz Mecklenburg-Vorpommern ( Landesdatenschutzgesetz) durch Rechtsverordnung die Verteilung der Pflichten und Aufgaben nach Artikel 26 Verordnung (EU) 2016/679 festzulegen.

Abschnitt 2
Organisationsstrukturen der Informationssicherheit

§ 5 Beauftragte Person für Informationssicherheit des Landes

(1) Der Chief Information Security Officer M-V wird von der oder dem CIO M-V ernannt. Die Wahrnehmung dieser Funktion obliegt einem Beschäftigten der für die Digitalisierung zuständigen obersten Landesbehörde. Der Chief Information Security Officer M-V nimmt die übertragenen Aufgaben unabhängig und weisungsfrei wahr. Für seine Aufgabenwahrnehmung wird er angemessen ausgestattet. Der Chief Information Security Officer M-V hat ein direktes Vortragsrecht bei der oder dem CIO M-V und der Leitung der für die Digitalisierung zuständigen obersten Landesbehörde des Landes Mecklenburg-Vorpommern.

(2) Der Chief Information Security Officer M-V darf wegen seiner Tätigkeiten oder wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder begünstigt werden. Eine Abordnung, Umsetzung oder Versetzung des Chief Information Security Officer M-V ist unzulässig. Der Chief Information Security Officer M-V steht grundsätzlich in einem Beamtenverhältnis zum Land Mecklenburg-Vorpommern.

(3) Der Chief Information Security Officer M-V vertritt das Land Mecklenburg-Vorpommern in allen Angelegenheiten der Informations- oder Cybersicherheit in der öffentlichen Verwaltung gegenüber dem Bund und anderen Ländern. Er ist für die Weiterentwicklung des Informationssicherheitsmanagementsystems der Landesverwaltung Mecklenburg-Vorpommern zuständig. Zu diesem Zweck obliegt es dem Chief Information Security Officer M-V

  1. landesspezifische Richtlinien und Sicherheitsstandards zu erstellen und diese im Benehmen mit der Kommission für Informationssicherheit gemäß § 6 in Kraft zu setzen,
  2. landesspezifische technische und organisatorische Standards und Richtlinien zur Protokollierung und Betrieb eines Security Operation centers (SOC) zu erstellen und weiterzuentwickeln,
  3. öffentliche Stellen bei der Anwendung der landesspezifischen
    Richtlinien und Sicherheitsstandards, insbesondere bei der Umsetzung der Sicherheitsanforderungen zu beraten,
  4. nähere Bestimmungen zur Qualifikation der Informationssicherheitsbeauftragten in den staatlichen Stellen festzulegen,
  5. nähere Festlegungen zur Erfassung von Sicherheitskosten (Kostencontrolling) zu treffen,
  6. Inhalte, Dauer und Zeiträume für die regelmäßig von den Leitungen verpflichtend zu absolvierenden Schulungen zu bestimmen und
  7. die Maßnahmen des CERT M-V gemäß § 9 Absatz 7 durch Bestimmungen zu ändern.

Der Chief Information Security Officer M-V berichtet regelmäßig der oder dem CIO M-V, im Lenkungsausschuss E-Government nach § 17 des E-Government-Gesetzes Mecklenburg-Vorpommern und in der Kommission für Informationssicherheit über seine Tätigkeit. Darüber hinaus berichtet er jährlich der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zu durchgeführten Maßnahmen der Protokollierung gemäß §§ 12 bis 15 und 19 dieses Gesetzes.

(4) Der Chief Information Security Officer ist die zuständige Behörde nach Artikel 8 Absatz 1 und 2 der Richtlinie (EU) 2022/2555 für die Aufsicht über die staatlichen Stellen. Er meldet dem Bundesamt für Sicherheit in der Informationstechnik die nach § 6 Absatz 8 identifizierten staatlichen Stellen erstmals sechs Monate nach Inkrafttreten dieses Gesetzes und anschließend alle zwei Jahre.

(5) Zur Überprüfung des Erfüllungsgrades der Richtlinien, Sicherheitsstandards sowie der Wirksamkeit des Informationssicherheitsmanagementsystems haben die öffentlichen und sonstigen Stellen dem Chief Information Security Officer M-V die hierfür erforderlichen Unterlagen innerhalb einer angemessenen Frist zu übersenden oder einer beauftragten Person vorzulegen. Der Chief Information Security Officer M-V ist berechtigt, Sicherheitsprüfungen bei den öffentlichen oder sonstigen Stellen selbst vorzunehmen oder diese durchführen zu lassen. Die öffentlichen Stellen unterrichten den Chief Information Security Officer M-V über durchgeführte Sicherheitsprüfungen sowie über deren Ergebnisse. Von den Kontroll- und Prüfbefugnissen des Chief Information Security Officers M-V sind unmittelbar die von den öffentlichen und sonstigen Stellen beauftragten Dienstleister umfasst.

(6) Um Gefahren für die Informationstechnik öffentlicher Stellen abzuwehren, kann der Chief Information Security Officer M-V gegenüber allen unmittelbar oder mittelbar an die Daten- oder Kommunikationsnetze der öffentlichen Verwaltung angeschlossenen öffentlichen Stellen oder sonstigen anschlussberechtigen Organisationen Anordnungen treffen oder Maßnahmen unmittelbar ergreifen. Zur Eindämmung oder Abwehr von erheblichen Sicherheitsvorfällen darf er vorübergehende Netztrennungen oder die Abschaltung von Informationstechnik anordnen. Über die Anordnungen nach Satz 2 sind die Leitung sowie die für diese Stelle benannte beauftragte Person für Informationssicherheit unverzüglich zu informieren.

(7) Die Netztrennungs- und Abschaltungsbefugnis im Sinne des Absatz 6 des Chief Information Security Officers M-V umfasst ebenfalls alle Betreiber von Daten- oder Kommunikationsnetzen der öffentlichen Verwaltung.

(8) Der Chief Information Security Officer M-V ist verpflichtend in alle Gesetzgebungsverfahren und anderen Regierungsvorhaben des Landes mit wesentlichen Auswirkungen auf die Gestaltung der Informationssicherheit der öffentlichen Verwaltung einzubeziehen.

§ 6 Kommission für Informationssicherheit

(1) Die Kommission für Informationssicherheit wird von dem Chief Information Security Officer M-V geleitet. Sie besteht aus den folgenden stimmberechtigten Mitgliedern:

  1. ein Vertretender aus jedem Ressort der Landesverwaltung oder deren Geschäftsbereichen,
  2. ein Vertretender des Zweckverbandes Elektronische Verwaltung Mecklenburg-Vorpommern,
  3. zwei Vertretende des Städte- und Gemeindetages Mecklenburg-Vorpommern e.V.,
  4. zwei Vertretende des Landkreistages Mecklenburg-Vorpommern e.V.

(2) Die stimmberechtigten Mitglieder nach Absatz 1 Nummer 1 werden durch die Ressorts vorgeschlagen und von der oder dem CIO M-V ernannt.

(3) Die nach Absatz 1 Nummer 1 bis 4 aufgeführten Organisationen benennen neben dem namentlich stimmberechtigten Mitglied namentlich die jeweiligen Stellvertretungen. Weitere, nichtstimmberechtigte Mitglieder oder Gäste können an den Sitzungen der Kommission für Informationssicherheit zugelassen werden. Die Sitzungen der Kommission für Informationssicherheit sind nicht öffentlich.

(4) Die stimmberechtigten Mitglieder der Kommission für Informationssicherheit sind durch ihre Organisationen nach Sachkunde und fachlichen Kompetenzen und Fähigkeiten in der Informationstechnik, Informationssicherheit, in der Durchführung von Sicherheitsprüfungen und im Kommunal- und Landesrecht auszuwählen.

(5) Die Kommission für Informationssicherheit berät den Chief Information Security Officer M-V. Entscheidungen des Chief Information Security Officer M-V erfolgen im Benehmen mit der Kommission für Informationssicherheit.

(6) Die Kommission für Informationssicherheit gibt sich eine Geschäftsordnung. Absatz 5 findet bei Beschlussfassungen zur Geschäftsordnung keine Anwendung.

(7) Zu den Aufgaben der Kommission für Informationssicherheit gehören insbesondere die

  1. Mitwirkung bei der Erarbeitung und Fortschreibung von Richtlinien und Sicherheitsstandards zur Informationssicherheit des Landes Mecklenburg-Vorpommern,
  2. Entwicklung und Überwachung von Kennzahlen zur Bewertung der Informationssicherheit im Land Mecklenburg-Vorpommern,
  3. Beratung, Mitwirkung bei der Erstellung und Prüfung von Sicherheitskonzepten, zentraler Informationstechnik und E-Government-Basisdienste,
  4. Freigabe zur Betriebsaufnahme neuer zentraler Informationstechnik und E-Government-Basisdienste,
  5. Entscheidung über die Änderung von Sicherheitsmaßnahmen zentraler Informationstechnik und E-Government-Basisdiensten,
  6. Mitwirkung bei Umsetzungs- und Wirksamkeitskontrollen von Sicherheitsmaßnahmen zentraler Informationstechnik und E-Government-Basisdiensten und
  7. Mitwirkung bei der Erprobung neuer Sicherheitstechnologien im Sinne des § 19.

(8) Die Kommission für Informationssicherheit beschließt ein Konzept zur Identifizierung der staatlichen Stellen nach Artikel 2 Absatz 2 Buchstabe f Ziffer ii der Richtlinie (EU) 2022/2555. Die obersten Landesbehörden identifizieren auf der Grundlage dieses Konzeptes die in ihrem Geschäftsbereich betroffenen staatlichen Stellen und übermitteln dem Chief Information Security Officer M-V die Daten der von ihnen erstmals oder erneut identifizierten staatlichen Stellen:

  1. den Namen der staatlichen Stelle,
  2. die Anschrift und die aktuellen Kontaktdaten der zuständigen beauftragten Person für Informationssicherheit der staatlichen Stelle einschließlich E-Mail-Adresse und Telefonnummer,
  3. die IP-Adressbereiche der staatlichen Stelle.

Die erste Identifizierung nehmen die obersten Landesbehörden sechs Monate nach Inkrafttreten dieses Gesetzes vor und überprüfen diese alle zwei Jahre.

§ 7 Beauftragte Personen für Informationssicherheit

(1) In jeder öffentlichen Stelle ist eine beauftragte Person für Informationssicherheit sowie eine Stellvertretung namentlich zu benennen. Die beauftragte Person für Informationssicherheit und deren Stellvertretung können für mehrere Stellen zuständig sein, sofern für ihre Aufgabenwahrnehmung ausreichende Ressourcen zur Verfügung stehen. Dabei muss sichergestellt sein, dass keine Interessenkonflikte entstehen. Abweichend von Satz 2 ist in der zentralen Stelle für informationstechnische Dienste der Steuerverwaltung eine beauftragte Person für Informationssicherheit sowie Stellvertretung einzurichten.

(2) Die Landespolizei benennt in den Polizeibehörden gemäß § 2 Absatz 1 Nummer 2 bis 6 des Polizeiorganisationsgesetzes jeweils eine beauftragte Person für Informationssicherheit und eine Stellvertretung. Die beauftragte Person für Informationssicherheit und deren Stellvertretung können für mehrere Polizeibehörden zuständig sein, sofern keine Interessenkonflikte entstehen. Des Weiteren benennt die oberste Polizeibehörde eine hauptamtliche beauftragte Person für Informationssicherheit als Chief Information Security Officer der Landespolizei, welche für die gesamte Landespolizei sowie für die Informationstechnik der Landespolizei, die in anderen Behörden eingesetzt wird, zuständig ist. Für die Polizeibehörden nach Nummer 2 bis 4 und 6 sollen die beauftragten Personen für Informationssicherheit hauptamtlich tätig sein, sofern für ihre Aufgabenwahrnehmung ausreichende Ressourcen zur Verfügung stehen.

(3) Die beauftragte Person für Informationssicherheit der obersten und oberen Landesbehörden sowie deren Stellvertretung müssen Beschäftigte des Landes sein.

(4) Für Schulen in öffentlicher Trägerschaft im Sinne des Schulgesetzes ist die beauftragte Person für Informationssicherheit die zuständige beauftragte Person für Informationssicherheit des jeweiligen Schulträgers. Hiervon kann abgewichen werden, wenn aufgrund der Größe einer Schule (ab 750 Schüler) eine beauftragte Person für Informationssicherheit durch den Schulträger benannt wird.

(5) Die beauftragte Person für Informationssicherheit berichtet der Leitung in angemessenen, zeitlich regelmäßigen Abständen sowie dem Chief Information Security Officer M-V jährlich und anlassbezogen zum Stand der Informationssicherheit in ihrem Zuständigkeitsbereich.

(6) Jede beauftragte Person für Informationssicherheit ist fachlich weisungsfrei und besitzt ein unmittelbares Vortragsrecht gegenüber der Leitung. Darüber hinaus besitzen die beauftragten Personen für Informationssicherheit ein unmittelbares Vortragsrecht gegenüber dem Chief Information Security Officer M-V.

(7) Eine beauftragte Person für Informationssicherheit fördert alle Belange der Informationssicherheit innerhalb ihres Zuständigkeitsbereichs, koordiniert, überwacht und kontrolliert alle Maßnahmen zur Gewährleistung der Informationssicherheit. Sie ist für die Einhaltung der Melde- und Berichtspflichten in ihrem Zuständigkeitsbereich zuständig. Bei einem Sicherheitsvorfall ist sie berechtigt, Einsicht in die IT-Dokumentation, in das Sicherheitskonzept und Protokolldaten ihres Zuständigkeitsbereichs zu nehmen oder diese bei der verfahrensverantwortlichen Stelle zur Einsichtnahme anzufordern.

(8) Der Chief Information Security Officer M-V, die Kommission für Informationssicherheit sowie das CERT M-V sind unverzüglich über die Ernennung oder über einen personellen Wechsel einer beauftragten Person für Informationssicherheit in öffentlichen Stellen zu unterrichten.

§ 8 Verfahrensverantwortliche Stellen

(1) Für alle Verwaltungsprozesse, insbesondere die durch Informationstechnik unterstützten, sind verfahrensverantwortliche Stellen zu benennen. Die verfahrensverantwortlichen Stellen erstellen das Sicherheitskonzept und setzen alle Sicherheitsanforderungen um, die sich aus dem für den Betrieb erforderlichen Sicherheitskonzept sowie aus den Richtlinien und Sicherheitsstandards für ihren jeweiligen Verwaltungsprozess ergeben.

(2) Die verfahrensverantwortliche Stelle ist im Fall eines sicherheitsrelevanten Ereignisses oder eines Sicherheitsvorfalls zur uneingeschränkten Zusammenarbeit mit der beauftragten Person für Informationssicherheit, dem Chief Information Security Officer M-V sowie mit dem CERT M-V verpflichtet. Alle notwendigen Auskünfte sind unverzüglich zu erteilen.

§ 9 Sicherheitsteam der Landes- und Kommunalverwaltung, Verordnungsermächtigung

(1) Das Land Mecklenburg-Vorpommern betreibt für alle öffentlichen Stellen ein Sicherheitsteam der Landes- und Kommunalverwaltung (CERT M-V). Die für die Digitalisierung zuständige oberste Landesbehörde wird ermächtigt, durch Rechtsverordnung die Aufgaben und Dienste des CERT M-V zu bestimmen. In der Rechtsverordnung sind mindestens folgende Aufgaben festzulegen:

Das CERT M-V

  1. behandelt und zeigt Lösungen bei Sicherheitsvorfällen auf,
  2. betreibt einen Warn-, Informations- und Alarmierungsdienst für bewertete Sicherheitslücken in der Informationstechnik,
  3. betreibt ein Schwachstellenmanagementsystem, führt Schwachstellenanalysen für die Informationstechnik der öffentlichen Stellen durch und erarbeitet Lösungen zu deren Beseitigung,
  4. prüft die Informationstechnik auf Risiken und unterstützt bei deren Beseitigung,
  5. erfasst und analysiert die Sicherheitslage und erstellt ein landesspezifisches Lagebild sowie abgeleitete Maßnahmenempfehlungen,
  6. wirkt bei der technischen und technologischen Koordinierung der Informationssicherheit in den öffentlichen Stellen mit,
  7. ist zentrale Meldestelle im Verwaltungs-CERT-Verbund sowie weiterer CERT-Verbünde.

Weitere Aufgaben dürfen dem CERT M-V nur im Einvernehmen mit dem Chief Information Security Officer M-V übertragen werden. Er hat die Fachaufsicht über das CERT M-V.

(2) Das CERT M-V unterstützt den Chief Information Security Officer M-V, die beauftragte Person für Informationssicherheit sowie die Datenschutzbeauftragten der öffentlichen Stellen bei sicherheitstechnischen Fragestellungen.

(3) Zur Wahrnehmung seiner Aufgaben und Dienste hat das CERT M-V alle für die Abwehr von Gefahren erforderlichen Informationen, insbesondere zu Sicherheitslücken, Schadprogrammen, zu versuchten und erfolgreichen Angriffen auf die Informationstechnik sowie die bei den Angriffen detektierten Vorgehensweisen und Protokolldaten zu sammeln und auszuwerten. Das CERT M-V ist im Sinne des Satzes 1 berechtigt, Informationen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie mit den Sicherheitsbehörden von Bund und den Ländern auszutauschen.

(4) Alle öffentlichen Stellen sowie die durch die öffentlichen Stellen beauftragten IT-Dienstleister stellen dem CERT M-V alle für die Zwecke nach Absatz 3 notwendigen Informationen und Daten unverzüglich und unentgeltlich je nach Anforderung entweder kontinuierlich oder auf Aufforderung zur Verfügung. Die im Rahmen dieser Aufgabenwahrnehmung erforderliche Datenverarbeitung erfolgt beim CERT M-V.

(5) Für seine Aufgabenwahrnehmung muss das CERT M-V redundant sowohl räumlich als auch mit eigener, von der zentralen Informationstechnik entkoppelter Informationstechnik ausgestattet sein, um seine hohe Verfügbarkeit jederzeit zu gewährleisten. Dies umfasst:

  1. eine geeignete, sichere und resiliente Kommunikations- und Informationsinfrastruktur mit einer anforderungs- und leistungsgerechten Anzahl an Kommunikationskanälen,
  2. eine geeignete Informationstechnik zur Verwaltung und Analyse von Sicherheitsvorfällen, Weiterleitung von Anfragen und Informationen, insbesondere zur sicheren Übermittlung und Bereitstellung von Informationen, und
  3. gemäß § 9 des Sicherheitsüberprüfungsgesetzes sicherheitsüberprüftes Personal, das die ständige Bereitschaft der CERT-Aufgaben gewährleistet.

§ 10 Weitere Sicherheitsteams

(1) Jede öffentliche Stelle betreibt ein Security Operations center oder schließt sich einem gemeinsamen oder externen SOC an. Dies erfolgt mit dem Ziel, versuchte oder erfolgreiche Angriffe auf ihre eigenen oder im Auftrag der öffentlichen Stellen betriebene Informationstechnik detektieren und abwehren zu können. Die SOC sind insbesondere bei Sicherheitsvorfällen zur bilateralen Zusammenarbeit mit dem CERT M-V verpflichtet. Sie stellen dem CERT M-V alle zur Gefahrenabwehr sowie für die Erstellung eines landesspezifischen Lagebilds gemäß § 9 Absatz 1 Nummer 4 erforderlichen Informationen und Daten unentgeltlich zur Verfügung.

(2) Für alle staatlichen Stellen betreibt die DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH ein SOC. Kommunale Stellen können einzeln oder gemeinsam oder durch einen IT-Dienstleister ein SOC betreiben.

(3) Die Kernaufgaben eines SOC umfassen insbesondere

  1. den Betrieb eines zentralen Protokollierungssystems sowie von Sicherheitssystemen zur Erkennung und Abwehr von Angriffen,
  2. die selbstständige Erkennung, Bearbeitung, Analyse und Überwachung von sicherheitsrelevanten Ereignissen und
  3. die Meldung von Sicherheitsvorfällen, die Bereitstellung von detektierten oder analysierten Vorgehensweisen und deren Protokolldaten von Angriffen gegenüber der zuständigen beauftragten Person für Informationssicherheit sowie gegenüber dem CERT M-V.

(4) Die SOC unterliegen bei der Datenverarbeitung im Rahmen ihrer Aufgabenwahrnehmung der Kontrolle des Chief Information Security Officers M-V.

Abschnitt 3
Maßnahmen zur Abwehr von Gefahren für die informationstechnischen Systeme und Infrastrukturen

§ 11 Grundsätze für die Verarbeitung personenbezogener Daten, Datenschutzkontrolle

(1) Das CERT M-V ist berechtigt, personenbezogene Daten zum Zwecke der Auswertung oder Untersuchung von Informationen zu Sicherheitslücken, Schadprogrammen, versuchten oder erfolgten Angriffen auf die informationstechnischen Systeme und Infrastrukturen sowie die bei den Angriffen detektierten Vorgehensweisen und Protokolldaten zu verarbeiten, wenn die Verarbeitung zur Gewährleistung der Informationssicherheit erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse einer betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung aller diesbezüglichen Informationen sowie personenbezogener Daten im Sinne von Artikel 9 Absatz 1 Datenschutz-Grundverordnung ist zulässig, wenn

  1. die Verarbeitung zur Analyse, Entwicklung von Schutzmaßnahmen sowie nachgelagert zur Abwehr einer erheblichen Gefahr für die Netz-, Daten- oder Informationssicherheit erforderlich ist oder
  2. ein Ausschluss von der Verarbeitung die Aufgabenwahrnehmung des CERT M-V einschränkt oder diese erheblich gefährden würde.

(2) Personenbezogene Daten, die ursprünglich für Zwecke erhoben wurden, die der Richtlinie (EU) 2016/680 in der Fassung vom 27. April 2016 unterliegen, dürfen ebenfalls verarbeitet werden und sind an die nach diesem Gesetz für die Informationssicherheit zuständigen Stellen zu übermitteln, wenn eine Übermittlung zu den Zwecken nach Absatz 1 erforderlich ist oder eine Abtrennung der personenbezogenen Daten vor einer Übermittlung aus Gründen der Informationssicherheit nicht möglich ist.

(3) Besondere Kategorien personenbezogener Daten, deren Verarbeitung nach Artikel 9 Absatz 1 der Datenschutz-Grundverordnung untersagt ist, dürfen ebenfalls verarbeitet werden, wenn und soweit die Verarbeitung zu den Zwecken nach Absatz 2 erforderlich ist oder nicht ausgeschlossen werden kann.

(4) Wenn und soweit der Zweck einer Verarbeitung personenbezogener Daten dies zulässt oder es den Zweck der Verarbeitung nicht gefährdet, sind personenbezogene Daten automatisiert zu pseudonymisieren.

(5) Personenbezogene Daten, die nicht mehr für Zwecke, für die sie erhoben wurden, erforderlich sind, sind unverzüglich zu löschen. Wenn und soweit personenbezogene Daten anstelle der Löschung zu Dokumentationszwecken ausschließlich zur Datenschutzkontrolle weiterhin vorgehalten werden, unterliegen diese Daten einem Verwertungsverbot. Sie sind zwei Jahre nach der Dokumentation zu löschen, es sei denn, die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zeigt an, dass diese Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.

(6) Wenn und soweit in diesem Gesetz Kontrollpflichten geregelt sind, so bleiben die Aufgaben und Befugnisse der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit nach dem Landesdatenschutzgesetz unberührt.

(7) Jede öffentliche Stelle kann ihre Befugnisse gemäß §§ 12 bis 15 im Einvernehmen mit der für die Digitalisierung zuständigen obersten Landesbehörde an eine andere öffentliche Stelle gemäß § 1 oder Organisation übertragen. Das Recht der kommunalen Zusammenarbeit bleibt unberührt.

§ 12 Datenerhebung und -auswertung von Protokolldaten

(1) Die öffentlichen Stellen können, um Gefahren für die Informationstechnik durch Sicherheitslücken, Schadprogramme oder durch versuchte oder erfolgte Angriffe zu erkennen und abzuwehren, die auf ihrer Informationstechnik zur Erkennung und zur Analyse von Auffälligkeiten gespeicherten Protokolldaten automatisiert auswerten. Nach Satz 1 dürfen ausschließlich die vollständig automatisiert erhobenen Protokolldaten von

  1. informationstechnischen Systemen zur Erkennung von unerwünschten Werbe-, Betrugs- oder schädlichen elektronischen Nachrichten,
  2. informationstechnischen Systemen zur Erkennung und Beseitigung von Schadprogrammen,
  3. Firewall-Systemen sowie informationstechnischen Systemen für den Netzwerkbetrieb,
  4. informationstechnischen Systemen von Authentifizierungs-, Web-, Proxy,- Verzeichnisdiensten,
  5. informationstechnischen Systemen zur Erfüllung einer oder mehrerer Fachaufgaben,
  6. Betriebssystemsoftware auf Rechnersystemen und
  7. zentraler Informationstechnik,

herangezogen werden. Für eine zweckgerichtete Auswertung dürfen die nach Satz 2 vorliegenden Protokolldaten zusammengeführt und gemeinsam verarbeitet werden.

(2) Die nach Absatz 1 erhobenen Protokolldaten sind nach ihrer automatisierten Auswertung unverzüglich vollständig und unwiderruflich nach dem Stand der Wissenschaft und Technik zu löschen, es sei denn, die automatisierte Auswertung zeigt tat sächliche Anhaltspunkte für eine Gefahr nach Absatz 1 Satz 1 auf. Protokolldaten, die weder personenbezogen sind noch dem Fernmeldegeheimnis unterliegen, sind von den Verarbeitungseinschränkungen dieser Vorschrift ausgenommen.

(3) Der Chief Information Security Officer M-V erlässt im Benehmen mit der Kommission für Informationssicherheit eine Richtlinie, die insbesondere Festlegungen zu den sicherheitsrelevanten Ereignissen und Protokolldaten der nach Absatz 1 Satz 2 genannten Informationstechnik beinhaltet.

(4) Eine Auswertung des während der vollständig automatisierten Erhebung der Protokolldaten nach Absatz 1 Satz 2 anfallenden Inhalts ist nur nach § 15 zulässig.

§ 13 Datenerhebung und -auswertung in Daten- oder Kommunikationsnetzen der öffentlichen Verwaltung

(1) Zur Erkennung und Abwehr von Gefahren für die Daten- oder Kommunikationsnetze der öffentlichen Verwaltung durch Sicherheitslücken, Schadprogramme oder durch versuchte oder erfolgte Angriffe ist die für Digitalisierung zuständige oberste Landesbehörde ermächtigt, an Übergabe- und Knotenpunkten der Daten- oder Kommunikationsnetze der öffentlichen Verwaltung nach auffälligen, abnormalen Datenverkehren zu suchen. Zu diesem Zweck darf der gesamte im Daten- oder Kommunikationsnetz der öffentlichen Verwaltung anfallende Datenverkehr vollständig automatisiert erhoben werden. Es dürfen insbesondere die nachstehenden Verkehrs- und Inhaltsdaten unverzüglich automatisiert ausgewertet werden:

  1. Erhebungszeitpunkt, IP-Adresse einschließlich Subnetzmaske, Präfixlänge, Port und Medienzugriffskontrolladresse (Media Access Control Address, MAC-Adresse) vollständiger Domänenname sowie Kopf- und Statusdaten von Netzwerkpaketen für ein- und ausgehende Verbindungen,
  2. ein- und ausgehende Verbindungen auf Basis des Hypertext-Übertragungsprotokolls (Hypertext Transfer Protocol, HTTP) zusätzlich zu Nummer 1 den vollständigen einheitlichen Ressourcenzeiger (Uniform Resource Locator, URL) und die Kopfdaten exklusive Cookies,
  3. ein- und ausgehende Verbindungen auf Basis des Zeitsynchronisierungsprotokolls (Network Time Protocol, NTP) mit allen Inhalten zu Anfragen und Antworten,
  4. ein- und ausgehende Verbindungen von Namensauflösungsprotokollen (Domain Name Service, DNS) mit allen Inhalten zu Anfragen und zu Antworten und
  5. ein- und ausgehende Verbindungen von Nachrichtenaustauschprotokollen mit allen Inhalten.

Ungeachtet der Sätze 1 bis 3 darf zur Erkennung und Analyse von auffälligen, abnormalen Verhalten im Datenverkehr eines der nach § 12 Absatz 1 Nummer 3 bis 5 genannten informationstechnischen Systeme oder Dienste deren ein- und ausgehenden Datenverkehr automatisiert erhoben und ausgewertet werden.

(2) Jede öffentliche Stelle kann an den von ihr betriebenen, mit den Daten- oder Kommunikationsnetzen der öffentlichen Verwaltung verbundenen Übergabepunkten nach Maßgabe des Absatzes 1 nach auffälligem, abnormalem Datenverkehr suchen, soweit dies dem Zweck dient, durch Sicherheitslücken, Schadprogramme oder Angriffe verursachte Gefahren abzuwehren. Der an den Übergabepunkten anfallende Datenverkehr darf automatisiert erhoben, entschlüsselt und unverzüglich automatisiert ausgewertet werden.

(3) Werden nach Absatz 1 oder 2 Inhalte einer Telekommunikation (Inhaltsdaten) verarbeitet, so ist ihre inhaltliche Auswertung unzulässig. Eine Auswertung des während der vollständig automatisierten Erhebung des Datenverkehrs nach Absatz 1 Satz 2 anfallenden Inhalts ist nur nach § 15 zulässig.

§ 14 Weiterführende Analyse und Auswertung von Protokolldaten

(1) Ergibt die nach § 12 Absatz 1 oder nach § 13 Absatz 1 oder 2 durchgeführte automatisierte Auswertung hinreichende oder tatsächliche Anhaltspunkte dafür, dass zur Abwehr von Gefahren für die Informationstechnik eine weiterführende Analyse erforderlich ist, dürfen diese Daten im Einzelfall weiter automatisiert ausgewertet werden. Die zu diesem Zweck erhobenen und ausgewerteten Daten der Einzelfälle sowie die Auswertungsergebnisse dürfen weiter zusammengeführt und automatisiert ausgewertet werden, soweit dies zur Erkennung oder Abwehr der Gefahr erforderlich ist.

(2) Die verantwortliche Stelle muss die nach Absatz 1 erhobenen Daten unverzüglich automatisiert pseudonymisieren, soweit sie nicht bereits pseudonym sind, und darf sie für diesen Zweck speichern und weiter automatisiert auswerten, soweit dies zur Erkennung oder Abwehr der Gefahr erforderlich ist.

(3) Bestätigt die weiterführende Analyse und Auswertung nach Absatz 1, dass die hinreichenden oder tatsächlichen Anhaltspunkte durch ein Schadprogramm, durch eine Sicherheitslücke oder durch einen Angriff verursacht wurden oder sich aus ihnen entsprechende Hinweise ergeben, so dürfen diese Daten gespeichert, entpseudonymisiert und auch nicht automatisiert ausgewertet werden. Dies gilt nur, soweit und solange die Datenverarbeitung zur Erkennung und Abwehr eines Schadprogramms, einer Sicherheitslücke oder daraus resultierender Gefahren oder Angriffe erforderlich ist. Die weiterführende Auswertung nach Satz 1 bedarf der Anordnung der Leitung.

(4) Nach den Absätzen 1 bis 3 dürfen keine Inhaltsdaten verarbeitet oder ausgewertet werden.

(5) Soweit die nach Absatz 2 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 10 erforderlich sind, sind sie unverzüglich zu löschen.

§ 15 Analyse und Auswertung von Inhaltsdaten

(1) Ergibt eine automatisierte Auswertung nach § 12 Absatz 1 oder § 13 Absatz 1 und 2 hinreichende oder tatsächliche Anhaltspunkte dafür, dass die Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr erforderlich sind, so kann die Stelle abweichend von § 14 Absatz 4 auch Inhaltsdaten und Auswertungsergebnisse speichern und in dieser Zeitspanne weiter einzelfallbezogen automatisiert auswerten, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. Die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. Die nach Satz 1 gespeicherten Daten sind unverzüglich automatisiert zu pseudonymisieren, soweit dies technisch möglich ist und die Daten nicht bereits pseudonym sind. Die Speicherung nach Satz 1 bedarf der unverzüglichen Genehmigung der Leitung. Wird die Genehmigung abgelehnt oder nicht unverzüglich erteilt, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse sofort zu löschen.

(2) Ergibt die Auswertung nach Absatz 1 Satz 1 keine hinreichenden tatsächlichen Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr für die IT-Sicherheit erforderlich sind, so sind die gespeicherten Inhaltsdaten sowie die Auswertungsergebnisse unverzüglich zu löschen.

(3) Bestätigt eine automatisierte Auswertung nach § 12 Absatz 1 oder § 13 Absatz 1 und 2 oder eine weitere automatisierte Auswertung nach Absatz 1 hinreichende tatsächliche Anhaltspunkte dafür, dass die ausgewerteten Inhaltsdaten zur Erkennung oder Abwehr einer durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachten Gefahr erforderlich sind, so dürfen die Daten über den Ablauf der in Absatz 1 Satz 1 bestimmten Frist hinaus gespeichert, entpseudonymisiert und auch nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der Gefahr erforderlich ist. Die Auswertung der kommunikativen Bedeutung der Inhaltsdaten ist unzulässig. Die weitere Auswertung nach Satz 1 bedarf der Anordnung der Leitung. Ergibt die Auswertung nach Satz 1 tatsächliche Anhaltspunkte für eine andere durch eine Sicherheitslücke, ein Schadprogramm oder einen Angriff verursachte Gefahr, so dürfen die Daten auch gespeichert und nicht automatisiert ausgewertet werden, soweit und solange dies zur Erkennung oder Abwehr der anderen Gefahr erforderlich ist; die Sätze 2 und 3 gelten entsprechend.

(4) Soweit die nach Absatz 3 ausgewerteten Daten sowie die Auswertungsergebnisse nicht mehr für die dort genannten Zwecke oder eine Übermittlung nach § 10 erforderlich sind, sind sie unverzüglich zu löschen. Die Tatsache, dass die in Absatz 3 Satz 1 und 2 genannten Daten ausgewertet wurden, und die Löschung dieser Daten sind zu dokumentieren. Die in der Dokumentation enthaltenen Daten dürfen ausschließlich zur Datenschutzkontrolle verwendet werden. Sie sind zwei Jahre nach der Dokumentation zu löschen, es sei denn, die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zeigt an, dass die Daten zur Erfüllung ihrer oder seiner Aufgaben weiterhin benötigt werden.

Abschnitt 4
Meldepflichten

§ 16 Meldepflichten, Verordnungsermächtigung

(1) Werden in öffentlichen Stellen, die an die Daten- oder Kommunikationsnetze der öffentlichen Verwaltung angeschlossen sind, Informationen bekannt, die zur Abwehr von Gefahren für die Informationstechnik von wesentlicher Bedeutung sind oder sein könnten, teilen sie diese Information unverzüglich dem CERT M-V mit, soweit nicht andere Vorschriften dieser Informationsweitergabe entgegenstehen. Eine Informationsweitergabe ist entbehrlich, sofern gleichlautende Informationen öffentlich bekannt und zugänglich sind.

(2) Öffentliche Stellen haben Sicherheitsvorfälle unverzüglich an das CERT M-V zu melden, wenn es sich um Sicherheitsvorfälle handelt, die

  1. zu einer möglichen Beeinträchtigung der Informationssicherheit ihrer Daten- oder Kommunikationsnetze führen könnten oder bereits geführt haben,
  2. zu einer Beeinträchtigung ihrer Verwaltungsprozesse führen könnten oder bereits geführt haben oder
  3. zu einer Beeinträchtigung von Bürgerdiensten führen könnten oder bereits geführt haben.

Von der Meldepflicht umfasst sind ebenfalls alle Sicherheitsvorfälle bei den Dienstleistern öffentlicher Stellen.

(3) Öffentliche Stellen haben der für den Verfassungsschutz zuständigen obersten Landesbehörde unverzüglich zu melden, soweit Anhaltspunkte für einen nachrichtendienstlichen Hintergrund eines Angriffs vorliegen. Anhaltspunkte im Sinne des Satzes 1 liegen insbesondere vor, wenn es sich um qualifizierte Angriffe mit Eindringungsversuchen handelt, die nicht auf eine kriminelle Gewinnerzielungsabsicht schließen lassen.

(4) Die für die Digitalisierung zuständige oberste Landesbehörde wird ermächtigt, durch Rechtsverordnung die Einzelheiten der Meldepflichten näher zu bestimmen. Die Rechtsverordnung muss Vorgaben zu meldepflichtigen Ereignissen, zum Informationsgehalt der Auskünfte, insbesondere zur Meldekommunikation und -prozessen, enthalten.

(5) Die öffentlichen Stellen übermitteln regelmäßig an das CERT M-V Informationen über sicherheitsrelevante Ereignisse. Dazu gehören insbesondere:

  1. statistische Angaben und
  2. Protokolldaten aus den Sicherheitssystemen in automatisierter Form.

(6) Für sonstige Stellen gelten die Meldepflichten nach Absatz 1 bis 4 nur, soweit deren Informationstechnik mit den Daten- oder Kommunikationsnetzen der öffentlichen Verwaltung verbunden ist und somit eine Datenübertragung über die Daten- oder Kommunikationsnetze der öffentlichen Verwaltung in andere angeschlossene Netzwerke erfolgt. Im Übrigen steht es den sonstigen Stellen frei, sicherheitsrelevante Ereignisse oder Sicherheitsvorfälle an das CERT M-V zu melden.

Abschnitt 5
Schlussvorschriften

§ 17 Auskunftsverlangen

Zugang zu den Informationen und Akten in Angelegenheiten dieses Gesetzes wird nicht gewährt. Die Akteneinsichtsrechte von Verfahrensbeteiligten bleiben unberührt.

§ 18 Einschränkung von Grundrechten

Das Fernmeldegeheimnis ( Artikel 10 Absatz 1 des Grundgesetzes) wird nach Maßgabe der §§ 11 bis 15 eingeschränkt.

§ 19 Experimentierklausel zur Erprobung neuer Sicherheitstechnologien

Die für die Digitalisierung zuständige oberste Landesbehörde kann zur Erprobung neuer Technologien zur Datenanalyse oder -auswertung, die der Abwehr von Gefahren für die informationstechnischen Systeme, Infrastrukturen und Komponenten öffentlicher Stellen dienen, im Einvernehmen mit dem Chief Information Security Officer M-V und mit Zustimmung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern sachlich und örtlich begrenzte Ausnahmen zur Auswertung von anderen, nicht in § 12 Absatz 1 und § 13 Absatz 1 genannten Daten für einen Zeitraum von höchstens drei Jahren zuzulassen.

§ 20 Beschränkung der Rechte betroffener Personen

(1) Abweichend von Artikel 15 der Verordnung (EU) 2016/679 besteht das Recht auf Auskunft nicht, wenn und soweit die Erfüllung einer Auskunftserteilung die Aufgabenwahrnehmung nach diesem Gesetz beeinträchtigen würde. Die Ablehnung der Auskunftserteilung bedarf keiner Begründung, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. Wird der betroffenen Person keine Auskunft erteilt, so ist diese auf Verlangen der Aufsichtsbehörde zu erteilen, soweit nicht die zuständige oberste Landesbehörde für die Informationssicherheit im Einzelfall feststellt, dass dadurch die öffentliche Sicherheit gefährdet würde. Die Mitteilung der Aufsichtsbehörde an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern der Verantwortliche nicht einer weitergehenden Auskunft zugestimmt hat.

(2) Abweichend von Artikel 21 der Verordnung (EU) 2016/679 besteht das Recht auf Widerspruch nicht, wenn und soweit ein Widerspruch gegen die Verarbeitung personenbezogener Daten die Aufgabenwahrnehmung nach diesem Gesetz beeinträchtigen würde und an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt. Darüber hinaus darf die Daten verarbeitende Stelle die personenbezogenen Daten ergänzend zu Artikel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 weiterhin so lange verarbeiten, bis sie geprüft hat, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

1) Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 ( NIS-2-Richtlinie) (ABl. L 333 vom 22.12.2022; L, 2023/90206, 22.12.2023).

UWS Umweltmanagement GmbH ENDE Frame öffnen