Archiv: ²⁰¹⁷

Bezug:

a) Gem. RdErl. v. 09.11.2016 (Nds. MBl. S. 1193)
- VORIS 20500 -

b) Gem. RdErl. v. 29.10.2024 (Nds. MBl. 2024 Nr. 497)
- VORIS 20500 -

c) Gem. RdErl. v. 05.05.2021 (Nds. MBl. S. 1075), zuletzt geändert durch Gem. RdErl. v. 13.01.2025 (Nds. MBl. 2025 Nr. 48)

1. Gegenstand und Bezüge

1.1 Gegenstand

Diese Informationssicherheitsrichtlinie legt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass zu a - Mindestanforderungen an die organisatorischen Rahmenbedingungen zum Umgang mit Informationssicherheitsvorfällen (ISi-Vorfällen) und zur Vermeidung von ISi-Vorfällen fest. Sie dient dem Zweck, die Informationssicherheit in der Landesverwaltung kontinuierlich zu verbessern.

1.2 Ziel

Ziel der ISRL-ISi-Vorfälle ist es, künftige ISi-Vorfälle möglichst zu vermeiden, auf eingetretene ISi-Vorfälle angemessen zu reagieren sowie Rückschlüsse auf erforderliche Anpassungen von Sicherheitskonzepten, Risikoanalysen und ergriffenen Maßnahmen aus eingetretenen ISi-Vorfällen zu ziehen. Durch eine abgestimmte, schnelle und wirksame Reaktion auf ISi-Vorfälle sollen außerdem Schäden an Informationen der Landesverwaltung abgewehrt oder minimiert werden.

1.3 Bezug zur Umsetzung der NIS-2-Richtlinie in Niedersachsen

Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 ( NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022 S. 80; L, 2023/90206, 22.12.2023) - im Folgenden: NIS-2-Richtlinie - wird abschließend in dem Gem. RdErl. Umsetzung der NIS-2-Richtlinie in Niedersachsen (NIS2UmsRdErl) - Bezugserlass zu b - umgesetzt. Für wichtige Einrichtungen i. S. von Artikel 3 Abs. 2 Satz 1 i. V. m. Anhang I Nr. 10 Alternative 2 der NIS-2-Richtlinie geht der Bezugserlass zu b im Falle von Konflikten dieser Informationssicherheitsrichtlinie (ISRL) vor.

1.4 Negativabgrenzung

Nicht Gegenstand dieser ISRL sind der Umgang mit Notfällen und Krisen, die statistische Erhebung von ISi-Vorfällen sowie Regelungen zur technischen Sensorik und Protokollierung. Diese ISRL legt Mindestanforderungen an vorzuhaltende Strukturen fest und harmonisiert einzurichtende Prozesse in den Sicherheitsdomänen. Sie trifft keine abschließenden Vorgaben zu Prozessen innerhalb der einzelnen Sicherheitsdomänen.

1.5 Begriffsbestimmungen

Begriffsbestimmungen richten sich nach dem Bezugserlass zu c.

2. Zentralstelle für Informationssicherheit

2.1 Beratung

Die Zentralstelle für Informationssicherheit ¹ berät die Sicherheitsdomänen zu der Bewältigung von ISi-Vorfällen. Hiervon umfasst sind insbesondere Handlungsempfehlungen zur präventiven Schadensvermeidung sowie Vorschläge zur Entwicklung reaktiver Sicherheitsmaßnahmen mit dem Ziel der Schadensbegrenzung und dauerhaften Problemlösung.

2.2 Beratung, Unterstützung innerhalb einer Sicherheitsdomäne bei schwerwiegenden ISi-Vorfällen

Die Zentralstelle für Informationssicherheit berät und unterstützt bei der Koordination der Bewältigung von schwerwiegenden ISi-Vorfällen innerhalb der betroffenen Sicherheitsdomäne.

2.3 Sicherheitsdomänenübergreifende Kommunikation

Die Zentralstelle für Informationssicherheit koordiniert bei schwerwiegenden ISi-Vorfällen die domänenübergreifende Kommunikation der Sicherheitsdomänen. Die Zentralstelle für Informationssicherheit stellt anhand der bei ihr eingegangenen Meldungen fest, ob es sich um einen schwerwiegenden ISi-Vorfall mit bereits eingetretenen oder bevorstehenden domänenübergreifenden Auswirkungen handelt. Sie informiert die Kontaktstellen derjenigen Sicherheitsdomänen, die von diesem ISi-Vorfall betroffen sind, die betroffen sein könnten oder wo die Gefahr einer zukünftigen Betroffenheit bestehen könnte.

2.4 Kommunikationsschnittstelle

Die Zentralstelle für Informationssicherheit stellt den Sicherheitsdomänen eine Kommunikationsschnittstelle für die Meldungen nach den Nummern 4.3.3 und 4.4.5 zur Verfügung und bestimmt ein Muster für den Informationsaustausch. Dieses umfasst insbesondere Angaben zu den betroffenen Ressourcen und Verwaltungsaufgaben, zu vermuteten Ursachen, zu den erkennbaren Auswirkungen und zur zeitlichen Kritikalität der betroffenen Verwaltungsaufgabe.

2.5 Halbjahresbericht

Die Zentralstelle für Informationssicherheit berichtet halbjährlich gegenüber dem Niedersächsischen IT-Planungsrat und gegenüber dessen Koordinierungsgremium für das Informationssicherheitsmanagementsystem (ISMS-Board) über die ihr gemeldeten ISi-Vorfälle.

2.6 Länderübergreifende Meldeverpflichtung

Die Zentralstelle für Informationssicherheit gibt länderübergreifende Meldungen ab. Eigene länderübergreifende Meldeverpflichtungen einer Sicherheitsdomäne bleiben hiervon unberührt, bedürfen aber der Meldung als schwerwiegender ISi-Vorfall ².

3. Kontaktstelle in der Sicherheitsdomäne

3.1 Einrichtung einer Kontaktstelle

Die Behördenleitung richtet in ihrer Sicherheitsdomäne eine Kontaktstelle ein. Dies gilt auch, wenn eine andere öffentliche oder nicht öffentliche Stelle mit einzelnen Arbeitsschritten (insbesondere der Meldestelle gemäß Nummer 4.1.2) beauftragt wurde oder werden soll.

3.2 Aufgaben der Kontaktstelle

Die Kontaktstelle ist der direkte Ansprechpartner der Zentralstelle für Informationssicherheit bei ISi-Vorfällen einer Sicherheitsdomäne. Insbesondere steuert sie den Umgang mit schwerwiegenden ISi-Vorfällen in der Sicherheitsdomäne und arbeitet mit der Zentralstelle für Informationssicherheit zusammen.

3.3 Anzeigepflicht

Die Kontaktstelle sowie deren aktuelle Kontaktinformationen sind der Zentralstelle für Informationssicherheit anzuzeigen. Änderungen der Kontaktinformationen sind der Zentralstelle für Informationssicherheit unverzüglich zur Kenntnis zu geben.

4. Umgang mit ISi-Vorfällen und schwerwiegenden ISi-Vorfällen

4.1 Aufgaben

4.1.1 Die Behördenleitung ist für den Umgang mit ISi-Vorfällen und schwerwiegenden ISi-Vorfällen sowie einem Verdacht auf solche Fälle im Rahmen ihrer Zuständigkeit verantwortlich. Dies gilt insbesondere für Behörden in der Rolle als Eigentümer oder Betreiber von Services und Fachverfahren.

4.1.2 Die Behördenleitung richtet in ihrer Sicherheitsdomäne eine Meldestelle ein, die mit der Entgegennahme von Meldungen über ISi-Vorfälle, mit deren fortlaufender Dokumentation und mit der anforderungsgerechten Auswertung betraut wird. Diese Meldestelle ist allen Beschäftigten bekannt zu geben.

4.1.3 Soweit eine andere öffentliche oder nicht öffentliche Stelle außerhalb der eigenen Sicherheitsdomäne mit der Bearbeitung von ISi-Vorfällen oder von einzelnen Arbeitsschritten (z.B. als Meldestelle gemäß Nummer 4.1.2) beauftragt werden soll, wird der Auftragnehmer vom Auftraggeber auf die Einhaltung der Sicherheitsanforderungen dieser Sicherheitsrichtlinie verpflichtet. Es ist insbesondere zu vereinbaren, in welchem Umfang und in welchen Zeitintervallen der Auftragnehmer über die ihm gemeldeten Sicherheitsvorfälle i. S. des Bezugserlasses zu b und dieser ISRL berichtet, damit die Sicherheitsdomäne ihren eigenen Meldeverpflichtungen nachkommen kann. Zudem sind Vereinbarungen zu treffen, dass und unter welchen Rahmenbedingungen der Auftragnehmer dem Auftraggeber Zugriffsberechtigungen auf die Verlaufsdokumentation erteilt. Die Beauftragung ist zu dokumentieren.

4.2 Meldung und Sensibilisierung

4.2.1 Die Beschäftigten sind über die Definition eines ISi-Vorfalls i. S. von Nummer 2.30a des Bezugserlasses zu c zu unterrichten. Sie sind in regelmäßigen Abständen und anlassbezogen zu sensibilisieren, wie sie mutmaßliche ISi-Vorfälle erkennen und wie sie sich bei einem Verdacht auf einen ISi-Vorfall verhalten sollen. Beschäftigte von Service Desks sind hierbei besonders für das Erkennen von ISi-Vorfällen zu trainieren.

4.2.2 Jeder Verdacht auf einen ISi-Vorfall ist unverzüglich der Meldestelle gemäß Nummer 4.1.2 zu melden.

4.3 Verfahren bei ISi-Vorfällen und schwerwiegenden ISi-Vorfällen ³

Die Behördenleitung veranlasst, wie mit ISi-Vorfällen und schwerwiegenden ISi-Vorfällen zu verfahren ist. Sie legt einen strukturierten Ablauf fest, der insbesondere die nachfolgenden Schritte für die Sicherheitsdomäne näher spezifiziert.

4.3.1 Analyse

4.3.1.1 Zur Steuerung des weiteren Vorgehens wird das gemeldete Ereignis analysiert und initial bewertet. Die Behördenleitung der betroffenen Dienststelle stellt sicher, dass die Analyse durch eine von ihr zu benennende Stelle koordiniert und überwacht wird. Bei ISi-Vorfällen, die durch den Einsatz von IT in der Sicherheitsdomäne ausgelöst wurden, ist die Unterstützung in der Analyse und initialen Bewertung durch den jeweils betroffenen IT-Dienstleister sicherzustellen. Dies kann zur Folge haben, dass das Ereignis dort ebenfalls als ISi-Vorfall zu behandeln ist.

4.3.1.2 Die Behördenleitung legt anhand eines sicherheitsdomänenspezifischen Ereigniskatalogs Kriterien für eine Bewertung und Klassifizierung der gemeldeten möglichen ISi-Vorfälle fest. Der sicherheitsdomänenspezifische Ereigniskatalog umfasst mindestens die in der Anlage aufgeführten Ereignisse.

4.3.1.3 Die Behördenleitung legt fest, dass durch eine von ihr zu benennende Stelle eine initiale Bewertung der ISi-Vorfälle erfolgt, bei der anhand der eingetretenen oder erwarteten Auswirkungen entschieden wird, ob ein "schwerwiegender ISi-Vorfall" vorliegt.

4.3.2 Behandlung

4.3.2.1 Es werden strukturierte und sachgerechte Abläufe definiert, um angemessen auf einen ISi-Vorfall, einen schwerwiegenden ISi-Vorfall oder einen Verdacht auf solche zu reagieren und unverzüglich den Normalzustand wiederherzustellen. Diese umfassen insbesondere Arbeitsschritte für die Schadensbegrenzung, die Umsetzung einer vorläufigen Lösung, die Ursachenforschung, die Schadensanalyse, die dauerhafte Problemlösung und die Tatsachenfeststellung einschließlich der Störerermittlung sowie die Prüfung rechtlicher Schritte.

4.3.2.2 Die Behördenleitung stellt sicher, dass die Einhaltung der Arbeitsschritte zur Behandlung von ISi-Vorfällen und schwerwiegenden ISi-Vorfällen durch eine von ihr zu benennende Stelle überwacht wird.

4.3.3 Meldepflichten bei schwerwiegenden ISi-Vorfällen

4.3.3.1 Meldepflicht

Der Verdacht auf einen schwerwiegenden ISi-Vorfall sowie festgestellte schwerwiegende ISi-Vorfälle sind durch die Kontaktstelle der Sicherheitsdomäne über die Kommunikationsschnittstelle nach Nummer 2.4 der Zentralstelle für Informationssicherheit zu melden.

4.3.3.2 Erstmeldung

Unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme eines Verdachts auf einen schwerwiegenden ISi-Vorfall oder nach Feststellung eines schwerwiegenden ISi-Vorfalls, ist eine frühe Erstmeldung abzugeben. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich. Sofern ihr bereits Meldungen aus anderen Sicherheitsdomänen vorliegen, die mit der Erstmeldung im Zusammenhang stehen könnten, teilt sie dies mit der Eingangsbestätigung mit.

4.3.3.3 Entwarnungsmeldung

Sofern sich der Verdacht auf einen schwerwiegenden ISi-Vorfall nicht bestätigt oder sich die Annahmen für einen festgestellten schwerwiegenden ISi-Vorfall nachträglich ändern, ist gegenüber der Zentralstelle für Informationssicherheit unverzüglich eine Entwarnungsmeldung abzugeben. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich und informiert andere Sicherheitsdomänen, an die die Meldung weitergegeben wurde.

4.3.3.4 Folgemeldung

Innerhalb von 72 Stunden nach Verdacht auf einen schwerwiegenden ISi-Vorfall oder nach Feststellung eines schwerwiegenden ISi-Vorfalls, ist eine Folgemeldung über diesen abzugeben, in der die in der Erstmeldung nach Nummer 4.3.3.2 gemachten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des schwerwiegenden ISi-Vorfalls, einschließlich seines vermuteten Schweregrads, seiner bekannten Auswirkungen und ggf. mögliche Ursachen angegeben werden. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich und gibt die Informationen gemäß Nummer 2.3 Satz 3 weiter.

4.3.3.5 Zwischenmeldung

Auf Ersuchen der Zentralstelle für Informationssicherheit ist eine Zwischenmeldung über relevante Statusaktualisierungen abzugeben. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich und gibt die Informationen gemäß Nummer 2.3 Satz 3 weiter.

4.3.3.6 Fortschrittsmeldung/Abschlussmeldung

Konnte einen Monat nach Übermittlung der Erstmeldung der Verdacht auf einen schwerwiegenden ISi-Vorfall noch nicht bestätigt werden oder dauert der festgestellt schwerwiegende ISi-Vorfall noch an, gibt die Kontaktstelle der Sicherheitsdomäne eine Fortschrittsmeldung ab.

Ist einen Monat nach Übermittlung der Erstmeldung eines schwerwiegenden ISi-Vorfalls die Bearbeitung abgeschlossen, ist eine Abschlussmeldung abzugeben. Diese enthält:

• eine ausführliche Beschreibung des schwerwiegenden ISi-Vorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,
• soweit bekannt, Angaben zur Art der Bedrohung oder der zugrunde liegenden Ursache, die den schwerwiegenden ISi-Vorfall ausgelöst hat,
• Angaben zu den getroffenen und laufenden Abhilfemaßnahmen,
• gegebenenfalls die domänenübergreifenden Auswirkungen des schwerwiegenden ISi-Vorfalls.

In den Fällen des Satzes 1 erfolgt die Abschlussmeldung einen Monat nach Abschluss der Bearbeitung des schwerwiegenden ISi-Vorfalls. Die Zentralstelle für Informationssicherheit bestätigt den Eingang der Meldung unverzüglich und gibt die Informationen gemäß Nummer 2.3 Satz 3 weiter.

4.3.4 Nachbereitung und Weiterentwicklung

4.3.4.1 Die Behördenleitung erlässt Regelungen zur Nachbereitung von ISi-Vorfällen und schwerwiegenden ISi-Vorfällen, die gewährleisten sollen, dass anhand der Erfahrungen aus den eingetretenen ISi-Vorfällen und schwerwiegenden ISi-Vorfällen künftige Vorfälle gleicher oder ähnlicher Ausprägung möglichst vermieden werden.

4.3.4.2 Die Nachbereitung umfasst insbesondere die Auswertung der Dokumentation. Darüber hinaus sind insbesondere die erlassenen Regelungen und getroffenen Abwehrmaßnahmen auf ihre Wirksamkeit zu prüfen und die daraus gewonnenen Erkenntnisse in der Aktualisierung der Sicherheitskonzepte, Risikoanalysen sowie der Weiterentwicklung der Geschäftsprozesse zu berücksichtigen.

4.3.4.3 Die Behördenleitung stellt sicher, dass die Nachbereitung durch eine von ihr zu benennende Stelle überwacht wird.

4.4 Kommunikation und Dokumentation

4.4.1 Die Behördenleitung regelt die Informationsweitergabe über ISi-Vorfälle und schwerwiegende ISi-Vorfälle an die zuständigen Stellen betroffener Behörden und trifft Festlegungen für die weitere Kommunikation.

4.4.2 Behörden in der Rolle als Eigentümer von Services und Fachverfahren vereinbaren mit den Leistungsempfängern ⁴, wie diese über ISi-Vorfälle und schwerwiegende ISi-Vorfälle zu den genutzten Services und eingesetzten Fachverfahren sowie über die dadurch möglicherweise eingetretene Erhöhung des Servicerisikos und des Fachverfahrensrisikos informiert werden. Gleiches gilt, sofern aus der Sicherheitsdomäne weitere Leistungen auch gegenüber weiteren externen Stellen angeboten werden.

4.4.3 Die Behördenleitung stellt sicher, dass sie durch eine von ihr zu benennende Stelle regelmäßig, wenigstens jedoch einmal jährlich, im Rahmen eines Berichts über aufgetretene ISi-Vorfälle und schwerwiegende ISi-Vorfälle informiert wird. Es ist zu regeln, dass alle betroffenen Stellen und Funktionen bei der Berichtserstellung ausreichend beteiligt werden.

4.4.4 Die Behördenleitung legt eine Kommunikations- und Kontaktstrategie fest. Hierin ist insbesondere zu regeln, in welcher Art und welchem Umfang Mitarbeiterinnen und Mitarbeiter sowie betroffene Vereinbarungs- oder Vertragspartner zu informieren sind. In Abstimmung mit dem Business Continuity Management (BCM) sollte eine Eskalationsstrategie festgelegt werden.

4.4.5 Ergänzend zu der Meldepflicht nach Nummer 4.3.3 sind der Zentralstelle für Informationssicherheit im Rahmen eines Monatsberichts mittels eines von dort zur Verfügung gestellten Meldeformulars bis zum zweiten Dienstag des Folgemonats alle weiteren neu bekannt gewordenen ISi-Vorfälle zur Kenntnis zu geben.

4.4.6 Jeder ISi-Vorfall, schwerwiegende ISi-Vorfall oder ein Verdacht auf solche ist mit allen Aktivitäten zeitnah und vollständig zu dokumentieren.

5. Schlussbestimmungen

Dieser Gem. RdErl. tritt mit Wirkung vom 01.01.2025 in Kraft und mit Ablauf des 31.12.2030 außer Kraft.

.

ENDE