umwelt-online Suchausgabe: umwelt

Informationssicherheitsleitlinie der hessischen Landesverwaltung (2025)
- Hessen -

Vom 22. September 2025
(StAnz. Nr. 43 vom 20.10.2025 S. 1123)

1 Einleitung

(1) Diese Leitlinie ist das verbindliche Regelwerk zum Schutz der Informationen und zur Etablierung eines einheitlichen Sicherheitsniveaus in der hessischen Landesverwaltung. Mit der Definition von Zielen, Rahmenvorgaben, Rollen und Anforderungen legt sie die Sicherheitsstrategie der hessischen Landesverwaltung fest, um sicherzustellen, dass Informationen vertraulich, integer und verfügbar bleiben. Die Regelungen dieser Leitlinie entsprechen dem BSI-Grundschutz und setzen die Vorgaben der Informationssicherheitsleitlinie des Bundes und der Länder ¹ um.

(2) Die Informationssicherheit dient dem Schutz von Informationen vor unbefugtem Zugriff, Missbrauch, Verlust oder Zerstörung. Sie ist für die hessische Landesverwaltung zur Erfüllung ihrer Verwaltungsaufgaben unverzichtbar.

(3) Vor diesem Hintergrund ist ressort- und dienststellenübergreifend eine angemessene Etablierung der Informationssicherheit unabdingbar, wobei die Mitwirkung aller Beteiligten erforderlich ist, um gemeinsam Bedrohungen entgegenwirken zu können.

(4) Die Regelungen dieser Leitlinie werden von der oder dem zentralen Informationssicherheitsbeauftragten (Chief Information Security Officer, CISO) in Abstimmung mit den Ressorts fortgeschrieben.

(5) Soweit in dieser Leitlinie von Ressorts gesprochen wird, sind hierunter auch die Staatskanzlei und der jeweilige nachgeordnete Bereich zu verstehen.

(6) Die Betrachtung sämtlicher Themen in dieser Leitlinie erfolgt stets im Kontext der Informationssicherheit.

(7) Für die Verarbeitung personenbezogener Informationen wird auf die Datenschutzleitlinie ² der hessischen Landesverwaltung verwiesen.

(8) Die Regelungen der NIS-2 Verwaltungsvorschrift bleiben unberührt.

(9) Das Notfallmanagement im Sinne des Business Continuity Managements (BCM) wird in dieser Leitlinie inhaltlich nicht behandelt. Während beim Informationssicherheitsmanagement (ISM) die Sicherheit der schützenswerten Informationen im Rahmen des Regelbetriebs im Mittelpunkt steht, konzentriert sich das BCM auf die Aufrechterhaltung der Staats- und Regierungsfähigkeit. Im Zusammenspiel tragen ISM und BCM zur umfassenden Sicherheitsstrategie für die hessische Landesverwaltung bei.

2 Geltungsbereich

(1) Diese Leitlinie zur Informationssicherheit ist das Regelwerk für das Informationssicherheitsmanagementsystem (ISMS) der Staatskanzlei, der Landesministerien und der ihnen nachgeordneten Behörden, Einrichtungen und Landesbetriebe - im Folgenden hessische Landesverwaltung. Soweit andere Rechtsvorschriften nicht entgegenstehen gilt sie für die gesamte hessische Landesverwaltung und ist entsprechend ihrer Aufgabenverantwortung umzusetzen.

(2) Leitlinien der Ressorts bzw. der Dienststellen sind zu dieser Leitlinie ergänzende und konkretisierende Regelungen.

(3) Ressorts oder Dienststellen müssen die spezifischen Anschlussbedingungen (gemäß Kapitel 7.1.5) für die gemeinsam genutzte Infrastruktur erfüllen.

(4) Im Innenressort unterliegt aufgrund der besonderen Aufgabenstellung der Behörde sowie entsprechender Geheimschutzbelange das Landesamt für Verfassungsschutz Hessen nicht dieser Leitlinie, soweit es sich um eigenständige und unabhängige Informationstechnik handelt, die im Landesamt für Verfassungsschutz eingesetzt wird und nicht mit dem Landesdatennetz verbunden ist oder auf dieses einwirkt.

(5) Im Justizressort ist die verfassungsrechtlich abgesicherte Sonderrolle der Gerichte und Staatsanwaltschaften zu berücksichtigen. Die richterliche Unabhängigkeit ist zu wahren.

(6) Dem Hessischen Landtag, dem Hessischen Rechnungshof sowie dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit wird der Erlass einer gleichartigen oder die Anwendung dieser Informationssicherheitsleitlinie empfohlen.

(7) Die Informationssicherheitsleitlinie gilt nicht für Schulen in öffentlicher Trägerschaft sowie genehmigte und anerkannte Ersatzschulen im Sinne des Hessischen Schulgesetzes.

(8) Dienststellen, die nicht dieser Leitlinie unterliegen, müssen im Falle der Nutzung gemeinsamer Infrastruktur, IT-Systeme oder Anwendungen der hessischen Landesverwaltung Anschlussbedingungen (gemäß Kapitel 7.1.5) für deren Nutzung erfüllen.

3 Begriffsbestimmungen

(1) Die auftraggebende Stelle trägt die Gesamtverantwortung für die Umsetzung einer Verwaltungsaufgabe und begleitet den kompletten Lebenszyklus der Umsetzung, von der Projektidee bis hin zur Einstellung.

(2) Informationstechnik oder -technologie (IT) ist jedes technische Mittel zur elektronischen Verarbeitung, Übertragung oder Speicherung von Informationen.

(3) IT-Dienstleister sind die Stellen, die Anwendungen, IT-Systeme und Infrastrukturen zur Nutzung durch andere Dienststellen betreiben bzw. bereitstellen.

(4) IT-Systeme sind technische Anlagen, die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind Server, Clients, Mobiltelefone, Smartphones, Tablets, Internet of Things-Komponenten, Router, Switche, Drucker und Firewalls.

(5) Gemäß IT-Grundschutz werden unter Infrastruktur die für die Informationsverarbeitung und die IT genutzten Gebäude, Räume, Energieversorgung, Klimatisierung und die Verkabelung verstanden. Die IT-Systeme und Netzkoppelelemente gehören nicht dazu.

(6) Eine Verwaltungsaufgabe ist eine Aufgabe, die den Geschäftsbereichen im Rahmen ihrer fachlichen Zuständigkeit verfassungsgemäß zugewiesen ist, sowie unterstützende querschnittliche Aufgaben.

(7) Ein Verwaltungsprozess besteht aus einer zielgerichteten Abfolge von Aktivitäten mit und ohne IT-Unterstützung, zur Erfüllung einer Verwaltungsaufgabe.

(8) Anwendungen dienen der IT-technischen Unterstützung von Verwaltungsprozessen in der hessischen Landesverwaltung. Sie umfassen sämtliche Softwarekomponenten.

(9) Informationssicherheit umfasst technologische Aspekte, organisatorische, infrastrukturelle und personelle Maßnahmen zum Schutz von Informationen, basierend auf den jeweils ermittelten Anforderungen.

(10) Informationssicherheitskonzepte identifizieren und dokumentieren die organisatorischen, personellen, infrastrukturellen und technischen Anforderungen, die zur Erreichung der Sicherheitsziele im Geltungsbereich zu erfüllen sind und liefern damit den Soll-Ist-Vergleich. Sie betrachten zugrundeliegende Gefährdungen sowie Risiken und beschreiben jeweils Anforderungen zur Risikominderung bzw. Risikovermeidung.

(11) Eine Schwachstelle ist ein Fehler im Design oder in der Konfiguration von Anwendungen, IT-Systemen, Infrastrukturen und der Organisation, der von Bedrohungen ausgenutzt werden kann und dadurch die Informationssicherheit beeinträchtigt.

(12) Als sicherheitsrelevantes Ereignis wird ein Ereignis bezeichnet, das die Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität beeinträchtigen kann.

(13) Ein Verdachtsfall liegt dann vor, wenn in der fachlichen Bewertung eines sicherheitsrelevanten Ereignisses festgestellt wird, dass die Möglichkeit eines Sicherheitsvorfalls besteht oder dieses Ereignis sich zu einem Sicherheitsvorfall entwickeln kann.

(14) Ein Sicherheitsvorfall ist jedes Ereignis, das die Informationssicherheit in mindestens einem ihrer Grundwerte Vertraulichkeit, Verfügbarkeit oder Integrität nicht nur unerheblich beeinträchtigt.

4 Verantwortung der Leitung

(1) Die Landesregierung trägt die Gesamtverantwortung für die Informationssicherheit in der hessischen Landesverwaltung und gewährleistet eine ordnungsgemäße und sichere Aufgabenerledigung im Rahmen des in der Landesverfassung verankerten Ressortprinzips.

(2) Daneben tragen die Leitungen der Ressorts und Dienststellen die Verantwortung für die Informationssicherheit in ihren Zuständigkeitsbereichen.

5 Festlegung der Sicherheitsziele

Zur Abbildung des hohen Stellenwertes der Informationssicherheit werden für die hessische Landesverwaltung die nachstehenden Grundwerte festgelegt, für die geeignete Sicherheitsniveaus definiert werden:

Vertraulichkeit: Informationen dürfen ausschließlich einem berechtigten Personenkreis zur Verfügung stehen.

Integrität: Die physische und logische Unversehrtheit von Informationen, Anwendungen, IT-Systemen und Infrastrukturen muss jederzeit gewahrt sein. Dieses umfasst auch die unberechtigte Erstellung oder Änderung von Informationen.

Verfügbarkeit: Informationen, Anwendungen, IT-Systeme und Infrastrukturen müssen den Berechtigten in jeder Situation wie vorgesehen zur Verfügung stehen.

6 Sicherheitsstrategie

(1) Mit der Sicherheitsstrategie sollen Rechtsvorschriften und sonstige gesetzliche Vorgaben eingehalten, Dienstleistungen für Bürger, Wirtschaft und Verwaltung sicher, zuverlässig und vertrauenswürdig erbracht, Auswirkungen eines Schadensfalls minimiert und negative Außenwirkungen vermieden werden.

(2) Das Landesnetz (Hessen-Netz) und darin genutzte Prozesse, Anwendungen, IT-Systeme und Infrastrukturen stellen gemeinsame Anforderungen an die Informationssicherheit in der hessischen Landesverwaltung. Zur Erreichung eines einheitlichen Sicherheitsniveaus beschreibt die Sicherheitsstrategie die Rahmenvorgaben und erforderlichen Maßnahmen zur Erfüllung dieser Anforderungen.

(3) Für die Sicherheitsstrategie gelten die folgenden Rahmenvorgaben:

Die Informationssicherheit wird bei Änderungen und Neuerungen von Beginn an mitberücksichtigt. Der oder die Informationssicherheitsbeauftragte (ISB) ist bei Fragen zur Informationssicherheit zu beteiligen und zu unterstützen.
Alle Beschäftigten werden in das Informationssicherheitsmanagementsystem zur Unterstützung der Sicherheitsstrategie eingebunden und sensibilisiert.
Für Verwaltungsprozesse in der hessischen Landesverwaltung ist unter Berücksichtigung der zu schützenden Informationen, der Risiken sowie des Aufwands an Personal und Finanzmitteln für Informationssicherheit, ein angemessenes ³ Informationssicherheitsniveau nach dem Stand der Technik zu erreichen und aufrecht zu erhalten.
Für die in den Verwaltungsprozessen verarbeiteten, gespeicherten oder übertragenen Informationen ist der Schutzbedarf bezüglich der Grundwerte zu bestimmen.
Der Zutritt zu Gebäuden und Räumen, der Zugang zu IT-Systemen und Zugriff auf Informationen wird auf die notwendigen Personen und Systeme beschränkt. Die Nutzer erhalten nur die Rechte, die zur Erfüllung ihrer Aufgaben benötigt werden.
Soweit im Rahmen der Gestaltung und Umsetzung von Prozessen im Informationssicherheitsmanagement die Verarbeitung personenbezogener Daten betroffen ist, ist der Datenschutz bei allen Fragen der Informationssicherheit zu berücksichtigen. Daher ist auch für die Prozesse im Zusammenhang mit Informationssicherheitsvorfällen ein integrierter Ansatz vorzusehen. Bei diesbezüglichen Fragen ist die oder der jeweils zuständige Datenschutzbeauftragte beratend einzubeziehen.

6.1 Informationssicherheitsmanagementsystem

(1) Zur Erreichung der Ziele der Informationssicherheit ist ein Informationssicherheitsmanagementsystem nach dem BSI-Standard in der jeweils gültigen Fassung (derzeit 200-1 ⁴) zu etablieren. ⁵

(2) Das ISMS ist ein strukturiertes Vorgehen zur Sicherstellung der Informationssicherheit in der hessischen Landesverwaltung. Es beschreibt die Gesamtheit der hierfür notwendigen Maßnahmen, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

(3) Getroffene Sicherheitsvorkehrungen und -maßnahmen sollten im Rahmen des ISMS umfassend und nachvollziehbar dokumentiert werden.

(4) Die Schaffung einer angemessenen Informationssicherheit ist kein zeitlich begrenztes Projekt, sondern ein kontinuierlicher Prozess, der dem Kreislauf Plan-Do-Check-Act (PDCA) entspricht. Es soll die Konformität, die Angemessenheit und die Wirksamkeit der getroffenen Maßnahmen geprüft werden, um sie ggf. verbessern zu können.

(5) Die Erhebung der Anforderungen an das ISMS innerhalb der Dienststellen wird durch die jeweiligen Informationssicherheitsbeauftragten (ISB) angestoßen und koordiniert sowie durch die entsprechenden Leitungen wirksam kontrolliert.

6.2 Umsetzung der Sicherheitsstrategie

6.2.1 Informationssicherheitskonzepte

(1) Für Dienststellen, ihre Verwaltungsprozesse und Anwendungen, IT-Systeme und Infrastrukturen sind flächendeckend Informationssicherheitskonzepte zu erstellen, umzusetzen und aktuell zu halten.

(2) Diese dokumentieren den Erfüllungsgrad/Soll-Ist-Status von Anforderungen an die Verwaltungsprozesse, Anwendungen, IT-Systeme, Infrastrukturen und Schnittstellen, die auf Grundlage der analysierten Schutzbedarfe im Geltungsbereich identifiziert wurden.

(3) Das Informationssicherheitskonzept ist grundsätzlich vor Einführung oder Inbetriebnahme eines Verwaltungsprozesses bzw. einer Anwendung, IT-Systems oder Infrastruktur zu erstellen und freizugeben. Dies liegt in der Verantwortung der auftraggebenden Stelle. Sollten im Informationssicherheitskonzept noch unzureichend umgesetzte Anforderungen identifiziert worden sein, bewertet sie die dadurch verbleibenden Risiken und klärt die Risikoübernahme durch die hierfür verantwortlichen Stellen.

(4) Die Informationssicherheitskonzepte haben dem jeweils gültigen BSI-Standard zu entsprechen (derzeit 200-2 ⁶). Als Vorgehensweise ist die BSI Standard-Absicherung zu wählen.

(5) Die Integration von Informationssicherheitskonzepten der IT-Dienstleister in die Informationssicherheitskonzepte der Dienststellen (Berichterstattung des Dienstleisters, Festlegung der Schutzbedarfe, Integration in Sicherheitskonzepte) wird die oder der CISO in Abstimmung mit den Ressorts in einem gesonderten Umsetzungskonzept festlegen.

(6) Bei der Analyse der Risiken ist der BSI-Standard in der jeweils gültigen Fassung (derzeit 200-3 ⁷) anzuwenden.

(7) Anforderungen, welche nicht oder nur teilweise umgesetzt sind, sind bezüglich ihrer Kritikalität zu bewerten und einer Umsetzung zuzuführen.

(8) Für (6) und (7) wird die Anwendung der Richtlinie zur Behandlung von Informationssicherheitsrisiken ⁸ empfohlen.

(9) Sofern keine gemeinsamen Infrastrukturen, IT-Systeme oder Anwendungen des zentralen IT-Dienstleisters genutzt werden, kann auch die jeweils gültige Normenreihe ISO/IEC 27000 Anwendung finden.

6.2.2 Risikomanagement

(1) Die Dienststellen etablieren ein Risikomanagement nach dem BSI-Standard in der jeweils gültigen Fassung (derzeit 200-3 ⁹), mit dem sie identifizierte Gefährdungen für die Informationssicherheit regelmäßig analysieren und bewerten. Sie entwickeln Risikobehandlungspläne, überprüfen die Umsetzung und die Wirksamkeit der Maßnahmen zur Risikobehandlung und berichten dessen Status an die zuständige Stelle.

(2) Bleiben im Einzelfall nicht übernahmefähige Risiken, ist auf den Einsatz der IT zu verzichten.

6.2.3 Festlegung der auftraggebenden Stelle

Für Dienstleistungen, Anwendungen, IT-Systeme oder Infrastrukturen ist die auftraggebende Stelle eindeutig zu benennen. Ohne eindeutig definierte auftraggebende Stelle dürfen diese nicht betrieben werden.

6.2.4 Informationssicherheitsbeauftragte in den Ressorts und Dienststellen

In den Ressorts müssen Ressortinformationssicherheitsbeauftragte (R-ISB) und für jede Dienststelle müssen zuständige Informationssicherheitsbeauftragte (ISB) und deren jeweilige Vertretung benannt werden. ¹⁰

6.2.5 Mindeststandards und technische Richtlinien

Die Mindeststandards und die technischen Richtlinien des BSI geben Hinweise und Sicherheitsanforderungen für spezifische Bereiche. Die hessische Landesverwaltung orientiert sich an diesen zur Umsetzung eines einheitlichen Sicherheitsniveaus.

6.2.6 Jahresberichte

(1) Von den zuständigen ISBn und R-ISBn werden Jahresberichte zum Stand der Informationssicherheit in den Dienststellen und in den Ressorts erstellt.

(2) Der Jahresbericht zur Informationssicherheit dient der Information der Dienststellenleitungen und des zentralen Informationssicherheitsmanagements/der oder des CISO zum Stand der Informationssicherheit im jeweiligen Zuständigkeitsbereich.

Der Jahresbericht beinhaltet mindestens folgende Punkte:

Wesentliche organisatorische und personelle Änderungen im Bereich der Informationssicherheit
Ergebnisse der Kontrollen gemäß Kap. 6.2.10 zur Einhaltung der Informationssicherheit sowie weiterer Überprüfungen
Berichte über Sicherheitsvorfälle und Verdachtsfälle
Berichte über bisherige Erfolge und Erfahrungen im Informationssicherheitsprozess
Sachstand zur Erstellung, Vollständigkeit, Aktualität von Informationssicherheitskonzepten
Sachstand der Umsetzung von Informationssicherheitsmaßnahmen

6.2.7 Sicherheitsrelevante Ereignisse

(1) Von Beschäftigten identifizierte sicherheitsrelevante Ereignisse werden den in den Dienststellen definierten zuständigen Stellen unverzüglich gemeldet.

(2) Die sicherheitsrelevanten Ereignisse sind durch die hierfür zuständigen Stellen zu bewerten und zu prüfen, ob ein Verdachtsfall oder ein Sicherheitsvorfall vorliegt und der weiteren Behandlung zuzuführen.

(3) Verdachtsfälle und Sicherheitsvorfälle sind durch die zuständige Stelle zu dokumentieren.

(4) Verdachtsfälle und Sicherheitsvorfälle, die andere Stellen beeinträchtigen können, die öffentlichkeitswirksam sind oder die politische Bedeutung haben, sind den Ressort-Informationssicherheitsbeauftragten (R-ISBn) und dem HessenCyberCompetencecenter (Hessen3C) unverzüglich zu melden (Sofortmeldung). ¹¹

(5) Alle Verdachts- und Sicherheitsvorfälle sind von der oder dem R-ISB summarisch monatlich an das Hessen3C zu berichten.

(6) Der Prozess der Sicherheitsvorfallmeldung (zum Beispiel Sicherheitsvorfallerkennung, Verhaltensregeln, Handlungsschritte und Meldewege) wird durch die oder den CISO in Abstimmung mit den Ressorts in einem gesonderten Umsetzungskonzept festgelegt.

6.2.8 Schwachstellen

(1) Die Dienststellen etablieren ein Schwachstellenmanagement und benennen eine dafür zuständige Stelle.

(2) Schwachstellen sind zu identifizieren und bei Betroffenheit zu beobachten, zu dokumentieren und zu behandeln.

6.2.9 Sensibilisierung und Schulung

(1) Die Sensibilisierung und Schulung von allen Beschäftigten bezüglich des Themenbereichs Informationssicherheit hat angemessen und wirksam zu erfolgen. Jede Dienststelle ist für die zielgruppenspezifische Sensibilisierung und Schulung ihrer Beschäftigten eigenverantwortlich.

(2) Darüber hinaus können die Ressorts die vom HMdI angebotenen zentralen Schulungs- und Sensibilisierungsunterstützungen nutzen.

(3) Für die Teilnahme an den Schulungsformaten sind die Beschäftigten freizustellen.

6.2.10 Informationssicherheitsrevisionen (IS-Revisionen)

(1) Für jede Dienststelle und übergreifend für das Ressort werden Prozesse eingerichtet, mit denen die konforme, wirksame und angemessene Umsetzung der Informationssicherheitsmaßnahmen regelmäßig geprüft werden. Der Leitfaden für die IS-Revision auf Basis von IT-Grundschutz ¹² des BSI kann als Grundlage dienen.

(2) Die Überprüfung muss durch unabhängige Personen stattfinden. Im Fall von externen Personen ist zu gewährleisten, dass diese zur Verschwiegenheit verpflichtet sind und mit der Überprüfung keine unzulässige Kenntnisnahme von Daten und Informationen verbunden ist.

6.2.11 Ebenenübergreifende Verfahren

Bei Anbindung an das gemeinsame Netz von Bund und Ländern und das Betreiben von ebenenübergreifenden Verfahren im Sinne der Ziffern 5.2 und 5.3 der Informationssicherheitsleitlinie des Bundes und der Länder ¹³ sind Rahmenbedingungen für die Informationssicherheit mit den Vertragspartnern außerhalb des Landes Hessen abzustimmen und weitestgehend zu vereinheitlichen.

7 Organisationsstruktur für Informationssicherheit

7.1 Rollen in der hessischen Landesverwaltung

Die Organisationsstruktur für die Informationssicherheit der hessischen Landesverwaltung besteht aus den folgenden Rollen:

7.1.1 Hessische Landesregierung

Die Landesregierung beschließt die Leitlinie. Sie setzt dadurch die Rahmenbedingungen für die Etablierung der Informationssicherheit.

7.1.2 Zentrale Informationssicherheitsbeauftragte oder Zentraler Informationssicherheitsbeauftragter der Landesverwaltung (CISO)

(1) Auf Vorschlag der für Informations- und Cybersicherheit in der Landesverwaltung zuständigen Ministerin oder des hierfür zuständigen Ministers setzt die Landesregierung zur Gewährleistung der Informationssicherheit in der hessischen Landesverwaltung eine Zentrale Informationssicherheitsbeauftragte oder einen Zentralen Informationssicherheitsbeauftragten (Chief Information Security Officer, CISO) ein.

(2) Die Aufgaben, Befugnisse und Verantwortlichkeiten der oder des CISO der hessischen Landesverwaltung sind in § 4 des Hessischen IT-Sicherheitsgesetzes (HITSiG) ¹⁴ geregelt.

(3) Ergänzend zu den Regelungen des § 4 HITSiG ¹⁵

bezieht sich das Informationsrecht der oder des CISO insbesondere auch auf
1. die Einsichtnahme in Informationssicherheitskonzepte nach Zustimmung durch die Dienststellenleitung,
2. Auskünfte zu Angaben in den Jahresberichten zum Stand der Informationssicherheit in den Dienststellen und den Ressorts,
3. Planungen bezüglich der Informationssicherheit in den Dienststellen und den Ressorts.
kann die oder der CISO Anforderungen bezüglich Struktur und enthaltener Informationen der Jahresberichte zum Stand der Informationssicherheit in den Dienststellen und Ressorts stellen.
ist die oder der CISO die Eskalationsinstanz für alle ressortübergreifenden Informationssicherheitsthemen, insbesondere im IT-Krisenmanagement.
obliegt es der oder dem CISO, Abstimmungen mit den ISBn der Ressorts beziehungsweise der Dienststellen herbeizuführen sowie Stellung zu Informationssicherheitsthemen von ressortübergreifendem Interesse zu beziehen.
hat die oder der CISO im Falle von Anordnungen gemäß § 4 Abs. 3 Satz 2 HITSiG ¹⁶ die betroffene auftraggebende Stelle zunächst fernmündlich und in jedem Fall zeitnah schriftlich zu informieren.

7.1.3 Ressortleitung

(1) Die Ressortleitung benennt die oder den R-ISB und ihre oder seine Vertretung. ¹⁷

(2) Die Ressortleitung stellt die erforderlichen personellen und finanziellen Ressourcen für die Informationssicherheit im Geschäftsbereich zur Verfügung.

(3) Die Ressortleitung berichtet jährlich dem CISO zum Stand der Informationssicherheit.

(4) Die Ressortleitung richtet Prozesse zur Prüfung der Konformität, Angemessenheit und Wirksamkeit des ISMS im Sinne Kap. 6.2.10 im Geschäftsbereich ein und legt darin Art und Umfang der Kontrolle fest.

7.1.4 Hessen CyberCompetencecenter (Hessen3C)

(1) In dem für die Informations- und Cybersicherheit zuständigen Ministerium der hessischen Landesverwaltung wird das Hessen CyberCompetencecenter (Hessen3C) betrieben, welches die Funktion des Zentrums für Informationssicherheit nach § 5 Abs. 1 HITSiG ¹⁸ wahrnimmt. Das Hessen3C ist zentrale Anlaufstelle in der Landesverwaltung für präventive und reaktive Maßnahmen in Bezug auf Sicherheitsvorfälle. Neben weiteren Aufgaben unterstützt das Hessen3C die Arbeit der oder des CISO in fachlichen und organisatorischen Belangen und die Ressort-ISB z.B. als Ansprechpartner in technischen Sicherheitsfragen.

(2) Die Aufgaben des Hessen3C sind in § 5 Abs. 2 HITSiG ¹⁹ festgeschrieben.

7.1.5 Zentraler IT-Dienstleister des Landes

Der zentrale IT-Dienstleister hat neben den Verpflichtungen aus Kapitel 7.3.1 folgende besondere Aufgaben:

Er ist zuständig für den sicheren Betrieb des Landesnetzes und der von ihm betriebenen informationstechnischen Systeme. ²⁰
Er definiert zur Wahrung des Sicherheitsniveaus in Abstimmung mit den Ressorts Anschlussbedingungen für die Nutzung des Landesnetzes und der von ihm betriebenen informationstechnischen Systeme in der Landesverwaltung.

7.1.6 Ressort-Informationssicherheitsbeauftragte (R-ISB)

(1) Die R-ISB unterstützen die Leitung eines Ressorts bei der Sicherstellung der Belange der Informationssicherheit innerhalb des jeweiligen Ressorts und koordinieren entsprechende Maßnahmen.

(2) Sie haben ein unmittelbares Vortragsrecht bei der Ressortleitung und berichten ihr mindestens einmal jährlich zum Stand der Umsetzung der Informationssicherheitsmaßnahmen (gemäß Kap. 6.2.6) im Ressort (Jahresbericht).

(3) Die R-ISB stellen sicher, dass alle Verdachts- und Sicherheitsvorfälle im Ressort erfasst werden.

(4) Sie sind für die Einhaltung der Meldepflichten zu Verdachts- und Sicherheitsvorfällen im Ressort verantwortlich und stellen sicher, dass alle Sofortmeldungen unverzüglich an das Hessen3C gemeldet werden.

7.1.7 Arbeitskreis Informationssicherheit (AK Informationssicherheit)

(1) Zur Koordination der landesweiten Sicherheitsstandards und zur Unterstützung und Beratung der ISBn in den Ressorts sowie zur Abstimmung und Koordination ressortübergreifender, gemeinsamer Anforderungen und Maßnahmen zur Informationssicherheit richtet die für Informations- und Cybersicherheit in der Landesverwaltung zuständige Ministerin oder der hierfür zuständige Minister einen ständigen Arbeitskreis für die ISBn der Ressorts ein (AK Informationssicherheit).

(2) Einzelheiten und die organisatorische Einbindung regelt eine Geschäftsordnung. Änderungen der Geschäftsordnung sind mit den Ressorts abzustimmen.

7.2 Rollen in den Dienststellen

Die Organisationsstruktur für die Informationssicherheit der Dienststellen besteht aus den folgenden Rollen:

7.2.1 Dienststellenleitung ²¹

(1) Die Dienststellenleitung trägt die Verantwortung für die Umsetzung der erforderlichen Informationssicherheitsmaßnahmen ( Kap. 6.2) sowie eine geeignete Dokumentation innerhalb ihres Zuständigkeitsbereiches. Sie stellt die erforderlichen personellen und finanziellen Ressourcen zur Verfügung.

(2) Die Dienststellenleitung benennt die oder den ISB und ihre oder seine jeweilige Vertretung. Bei der organisatorischen Zuweisung der Aufgaben der ISBn sollen Interessenkonflikte vermieden werden.

7.2.2 Informationssicherheitsbeauftragte der Dienststelle (ISB)

(1) Die für die Dienststellen zuständigen ISBn koordinieren die Maßnahmen zur Implementierung und Verbesserung des ISMS in ihrem Zuständigkeitsbereich. Sie und ihre Vertretung werden im Geschäftsverteilungsplan ausgewiesen.

(2) Die ISBn können sich unmittelbar an die Leitung der Dienststelle und die R-ISBn wenden.

(3) Die ISBn berichten der Dienststellenleitung und den R-ISBn mindestens einmal jährlich über den Stand der Informationssicherheit.

(4) Die Leitung des Informationssicherheitsmanagement-Teams gemäß 7.2.3 obliegt den ISBn.

(5) Die ISBn stellen die Einhaltung der Dokumentationspflicht nach Kap. 6 und der Meldepflicht nach Kap. 6.2.7 sicher. Sie etablieren dafür einen Prozess in der Dienststelle.

(6) Die ISBn arbeiten mit den behördlichen Datenschutzbeauftragten und den IT-Verantwortlichen in ihrem Zuständigkeitsbereich zusammen.

(7) Die ISBn werden in ihrer Arbeit durch alle Bereiche ihrer Dienststelle unterstützt.

(8) Die ISBn und die Vertretungen bilden sich regelmäßig weiter. Sie werden darin von der Dienststelle unterstützt.

7.2.3 Informationssicherheitsmanagement-Team (ISM-Team)

(1) Die ISBn und ihre Vertretungen bilden ein Informationssicherheitsmanagement-Team, das bedarfsabhängig durch zusätzliche Personen erweitert werden sollte.

(2) Es unterstützt die oder den ISB, indem es übergreifende Maßnahmen im Rahmen des ISMS koordiniert.

7.2.4 IT-Leitung

(1) Die für den IT-Betrieb zuständige Stelle ist zuständig für die Umsetzung und kontinuierliche Prüfung geeigneter Sicherheitsmaßnahmen innerhalb der eigenverantwortlich betriebenen IT.

(2) Sie arbeitet in ihrem Zuständigkeitsbereich mit den jeweiligen ISBn zusammen.

7.2.5 Beschäftigte

(1) Die Beschäftigten tragen durch verantwortliches Handeln zur Informationssicherheit bei und halten die für die Informationssicherheit relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und Regelungen ein.

(2) Die Beschäftigten melden sicherheitsrelevante Ereignisse unverzüglich den in den Dienststellen definierten zuständigen Stellen.

7.2.6 Disziplinarverantwortliche

Die Bereiche mit Disziplinarverantwortung informieren den IT-Betrieb über Zu- oder Abgänge bzw. Veränderungen von Zugangsberechtigungen der Beschäftigten in ihrem Zuständigkeitsbereich gemäß Kap. 6.

7.3 Weitere Rollen in der Informationssicherheit

Die weitere Organisationsstruktur für die Informationssicherheit besteht aus den im Folgenden aufgelisteten Rollen. Zusätzliche Rollen und Gremien können bei Bedarf in die Organisationsstruktur eingebunden werden.

7.3.1 IT-Dienstleister

(1) Die IT-Dienstleister haben folgende Aufgaben eigenverantwortlich wahrzunehmen:

Betrieb eines ISMS für ihren Zuständigkeitsbereich.
Angemessene und wirksame Umsetzung der Anforderungen der Informationssicherheit für die in ihrem Zuständigkeitsbereich angebotene IT.
Nachweis der Umsetzung von Maßnahmen im eigenen Zuständigkeitsbereich auf Nachfrage gegenüber den betroffenen Dienststellen.
Definition der dienstleistungsspezifischen Anforderungen, welche im Informationssicherheitskonzept der Dienststelle zu bearbeiten sind.
Eigenständige Einleitung von Maßnahmen zur Risikobewältigung bei Schwachstellen und sicherheitsrelevanten Ereignissen sofern unmittelbare und erhebliche Gefahren für die Informationssicherheit in der Landesverwaltung bestehen und in angemessener Zeit mit dem Auftraggeber keine Abstimmung erfolgen kann; auch wenn dies zu vorübergehenden Einschränkungen in der Verfügbarkeit von IT-Systemen und Anwendungen führen kann . Die auftraggebende Stelle ist unverzüglich zu informieren.

(2) Sie gewähren neben den gesetzlich berechtigten Stellen der oder dem CISO und den R-ISBn Einsicht in die Informationssicherheitskonzepte.

7.3.2 Auftraggebende Stelle und auftragnehmende Stelle

(1) Im Rahmen ihrer Gesamtverantwortung für die Umsetzung der Verwaltungsaufgabe, ist die auftraggebende Stelle für die folgenden wesentlichen Aufgaben zuständig:

die Herbeiführung der Freigabe der zugehörigen Informationssicherheitskonzepte,
die Feststellung des Schutzbedarfs,
die Bewertung verbleibender Risiken und die Klärung der Risikobehandlung,
die Freigabe der Inbetriebnahme der zugehörigen Verwaltungsprozesse, Anwendungen, IT-Systeme und Infrastrukturen.

(2) Die auftraggebende Stelle kann zur Umsetzung einer Verwaltungsaufgabe Aufgaben an Anwendungsverantwortliche delegieren.

Zu diesen delegierbaren Aufgaben gehören

Erstellung, Umsetzung und Fortschreibung von Sicherheitskonzepten
die Konzeptionierung der Strategie für die Implementierung und den Betrieb einer Anwendung oder eines IT-Systems
die Weiterentwicklung einer Anwendung oder eines IT-Systems
die Kontrolle von Gebrauch und Sicherheit von Informationen und der sie verarbeitenden IT-Komponenten.

(3) Die Gesamtverantwortung zur Umsetzung einer Verwaltungsaufgabe verbleibt stets bei der auftraggebenden Stelle.

(4) Die auftraggebenden und die anwendungsverantwortlichen Stellen werden im IT-Portfolio ²² des Landes geführt.

(5) Die auftraggebende Stelle und die auftragnehmende Stelle zur Umsetzung einer Verwaltungsaufgabe haben die zur Einhaltung der Informationssicherheitsziele erforderlichen Sicherheitsanforderungen zu vereinbaren . Die auftraggebende Stelle hat die auftragnehmende Stelle zu verpflichten, bei erkennbaren Mängeln oder Risiken eingesetzter Sicherheitsmaßnahmen oder bei Sicherheitslücken in eingesetzter Software und IT-Infrastruktur, die auftraggebende Stelle zu informieren.

8 Verstöße und Folgen

Werden Verstöße gegen die Vorgaben dieser Leitlinie festgestellt, so wird dies der zuständigen Stelle gemeldet.

9 Schlussbestimmungen

(1) Diese Leitlinie zur Informationssicherheit tritt am Tage nach ihrer Verkündung (21.10.2025) in Kraft.

(2) Diese Informationssicherheitsleitlinie ist in den Ressorts und Dienststellen umzusetzen und allen Beschäftigten in geeigneter Weise bekannt zu geben.

(3) Im Rahmen des PDCA wird diese Leitlinie zur Informationssicherheit spätestens zwei Jahre nach Inkrafttreten auf ihre Aktualität hin überprüft und gegebenenfalls aktualisiert.

10 Dokumentverweise

Dokument	Langbezeichnung
Informationssicherheitsleitlinie des Bundes und der Länder	Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung; Version 2 .0; 6 . Dezember 2018; IT-Planungsrat; www.itplanungsrat.de Menü / Beschlüsse & Informationen / Sitzungen IT-Planungsrat / 28. → Sitzung Beschluss 2019/04 Leitlinie Informationssicherheit
Datenschutzleitlinie	Datenschutzleitlinie für IT-Verfahren und -Projekte der hessischen Landesverwaltung; zum Zeitpunkt des Inkrafttretens der Informationssicherheitsleitlinie in Bearbeitung
HITSiG	Hessisches Gesetz zum Schutz der elektronischen Verwaltung (Hessisches IT-Sicherheitsgesetz - HITSiG); 29 . Juni 2023; Hessisches Ministerium des Innern, für Sicherheit und Heimatschutz; www.rv.hessenrecht.hessen.de Menü / Gesetze und Verordnungen / 2 Rechtspflege / 21 Organisation und Verfahren der Gerichte / 210 Ordentliche Gerichte → HITSiG 210-105
Richtlinie zur Behandlung von Informationssicherheitsrisiken	Richtlinie zur Behandlung von Informationssicherheitsrisiken der hessischen Landesregierung; Version 1 .0; 5 . September 2024; www.map.intern.hessen.de Startseite / Menü Fachinformationen / IT / Standardisierung → Behandlung von Informationssicherheitsrisiken -22
200-1	BSI-Standard 200-1; Management für Informationssicherheit (ISMS); Version 1 .0; 15 . November 2017; Bundesamt für Sicherheit in der Informationstechnik (BSI); www.bsi.bund.de Startseite Menü / Unternehmen und Organisationen / Grundschutz in der Informationssicherheit / IT-Grundschutz / BSI-Standards → BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
200-2	BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1 .0, 15 . November 2017, Bundesamt für Sicherheit in der Informationstechnik (BSI); www.bsi.bund.de Startseite Menü / Unternehmen und Organisationen / Grundschutz in der Informationssicherheit / IT-Grundschutz / BSI-Standards → BSI-Standard 200-2: IT-Grundschutz-Methodik
200-3	BSI-Standard 200-3, Risikoanalyse auf der Basis von IT-Grundschutz, Version 1 .0, 15 . November 2017, Bundesamt für Sicherheit in der Informationstechnik (BSI) www.bsi.bund.de Startseite Menü / Unternehmen und Organisationen / Grundschutz in der Informationssicherheit / IT-Grundschutz / BSI-Standards → BSI-Standard 200-3: Risikomanagement
IT-Portfolio	https://anwendungen.intern.hessen.de Reiter IT Portfolio
Leitfaden für die IS-Revision auf Basis von IT- Grundschutz	Informationssicherheitsrevision; Ein Leitfaden für die IS-Revision auf Basis von IT-Grundschutz; Version 4 .0; Bundesamt für Sicherheit in der Informationstechnik; www.bsi.bund.de Startseite Menü Themen / Staat und Verwaltung / Sicherheitsprüfungen / IS-Revision / Leitfaden

11 Abkürzungsverzeichnis

Tabelle 1: Abkürzungsverzeichnis

Abkürzung	Langbezeichnung
AK	Arbeitskreis
BSI	Bundesamt für Sicherheit in der Informationstechnik
CIO	Chief Information Officer
CISO	Chief Information Security Officer
Hessen3C	Hessen CyberCompetencecenter
Abkürzung	Langbezeichnung
HMdI	Hessisches Ministerium des Innern, für Sicherheit und Heimatschutz
HZD	Hessische Zentrale für Datenverarbeitung
ISB	Die oder der Informationssicherheitsbeauftragte
ISM	Informationssicherheitsmanagement
ISMS	Informationssicherheitsmanagementsystem

______
l) Mit diesem Dokument wird für die hessische Landesverwaltung der Beschluss 2019/04 des IT-Planungsrates zur Erstellung einer Informationssicherheitsleitlinie und dem Betrieb eines angemessenen Informationssicherheitsmanagements in den Ländern umgesetzt.

2) Siehe Kapitel Dokumentverweise

3) Definition § 3 Abs. 1 Satz 3 HITSiG

4) Siehe Kapitel Dokumentverweise

5) § 3 Abs. 1 Satz 4 HITSiG

6) Siehe Kapitel Dokumentverweise

7) Siehe Kapitel Dokumentverweise

8) Siehe Kapitel Dokumentverweise

9) Siehe Kapitel Dokumentverweise

10) § 3 Abs. 3 Satz 4 HITSiG

11) § 18 Abs. 1 HITSiG

12) Siehe Kapitel Dokumentverweise

13) Siehe Kapitel Dokumentverweise