(1)
1Die staatlichen Stellen treffen angemessene organisatorische und technische Vorkehrungen sowie sonstige Maßnahmen zur Gewährleistung der Informationssicherheit. 2Für technische Maßnahmen soll der Stand der Technik maßgeblich sein. 3Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen der Verletzung der Schutzziele steht. 4Um die Erreichung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus zu gewährleisten, haben alle staatlichen Stellen die jeweils geltenden Standards und das jeweils geltende IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. 5Die staatlichen Stellen erstellen und pflegen ein Informationssicherheitsmanagementsystem.(1) Die staatlichen Stellen treffen angemessene organisatorische und technische Vorkehrungen sowie sonstige Maßnahmen zur Gewährleistung der Informationssicherheit. Für technische Maßnahmen soll der Stand der Technik maßgeblich sein. Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen der Verletzung der Schutzziele steht. Um die Erreichung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus zu gewährleisten, haben alle staatlichen Stellen die jeweils geltenden Standards und das jeweils geltende IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. Die staatlichen Stellen erstellen und pflegen ein Informationssicherheitsmanagementsystem.
(1a)
Die Verpflichtung nach Absatz 1 Satz 1 umfasst für staatliche Stellen mindestens Maßnahmen
1.
zur Risikoanalyse und zur Sicherheit von informationstechnischen Systemen,
2.
zur Bewältigung von Sicherheitsvorfällen,
3.
zur Aufrechterhaltung des Betriebs und zum Krisenmanagement der informationstechnischen Systeme,
4.
zur Absicherung von Lieferketten zu unmittelbaren Lieferanten oder Diensteanbietern,
5.
zur Sicherheit bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen einschließlich Management und Offenlegung von Sicherheitslücken,
6.
zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen,
7.
zu Sensibilisierungen zu grundlegenden Verfahren und Schulungen,
8.
für den Einsatz von Kryptografie und Verschlüsselung,
9.
für die Zugriffskontrolle und das Management von Anlagen,
10.
zur Multi-Faktor- oder kontinuierlichen Authentifizierung,
11.
zur gesicherten Sprach-, Video- und Textkommunikation sowie zur gesicherten Notfallkommunikation innerhalb der staatlichen Stelle.
(2)
1Für die nicht-staatlichen Stellen gilt Absatz 1 Satz 1 bis 3 entsprechend. 2Die jeweils geltenden Standards und das jeweils geltende IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik werden zur Anwendung empfohlen. 3Werden dem Freistaat Sachsen Informationssicherheitsstandards verbindlich durch Beschlüsse des IT-Planungsrates gemäß Artikel 91c Absatz 2 Satz 1 des Grundgesetzes für die Bundesrepublik Deutschland vorgeschrieben oder nach § 5 des Onlinezugangsgesetzes vom 14. August 2017 (BGBl. I S. 3122, 3138), in der jeweils geltenden Fassung, festgelegt, sind diese Standards durch die nicht-staatlichen Stellen bei den von ihnen eingesetzten informationstechnischen Systemen einzuhalten.(2) Für die nicht-staatlichen Stellen gilt Absatz 1 Satz 1 bis 3 entsprechend. Die jeweils geltenden Standards und das jeweils geltende IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik werden zur Anwendung empfohlen. Werden dem Freistaat Sachsen Informationssicherheitsstandards verbindlich durch Beschlüsse des IT-Planungsrates gemäß Artikel 91c Absatz 2 Satz 1 des Grundgesetzes für die Bundesrepublik Deutschland vorgeschrieben oder nach § 5 des Onlinezugangsgesetzes vom 14. August 2017 (BGBl. I S. 3122, 3138), in der jeweils geltenden Fassung, festgelegt, sind diese Standards durch die nicht-staatlichen Stellen bei den von ihnen eingesetzten informationstechnischen Systemen einzuhalten.
(3)
1Die Verantwortung für die Informationssicherheit im Sinne des Absatzes 1 trägt die jeweilige Leiterin oder der jeweilige Leiter der staatlichen oder nicht-staatlichen Stelle, bei Schulen der jeweilige Schulträger. 2Sie oder er stellt im Rahmen der ihr oder ihm zugewiesenen Aufgaben und Befugnisse die erforderlichen personellen und finanziellen Ressourcen zur Verfügung. 3Leiterinnen oder Leiter der staatlichen Stellen müssen regelmäßig an Schulungen zur Informationssicherheit teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich Informationssicherheit und deren Auswirkungen auf die von ihrer staatlichen Stelle erbrachten Dienste zu erwerben.(3) Die Verantwortung für die Informationssicherheit im Sinne des Absatzes 1 trägt die jeweilige Leiterin oder der jeweilige Leiter der staatlichen oder nicht-staatlichen Stelle, bei Schulen der jeweilige Schulträger. Sie oder er stellt im Rahmen der ihr oder ihm zugewiesenen Aufgaben und Befugnisse die erforderlichen personellen und finanziellen Ressourcen zur Verfügung. Leiterinnen oder Leiter der staatlichen Stellen müssen regelmäßig an Schulungen zur Informationssicherheit teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich Informationssicherheit und deren Auswirkungen auf die von ihrer staatlichen Stelle erbrachten Dienste zu erwerben.
(4)
Wesentliche Änderungen an den informationstechnischen Systemen einer staatlichen oder nicht-staatlichen Stelle dürfen nur im Benehmen mit der oder dem für diese staatliche oder nicht-staatliche Stelle ernannten Beauftragten für Informationssicherheit durchgeführt werden.
(5)
Im Einzelfall ist auf den Einsatz informationstechnischer Systeme zu verzichten, wenn die erforderlichen Vorkehrungen zur Gewährleistung der Informationssicherheit außer Verhältnis zur erreichbaren Herabsetzung des Risikos für die in § 3 Absatz 1 genannten Schutzziele stehen. 4