(1)
1Die oder der Beauftragte für Informationssicherheit des Landes wird von der oder dem Beauftragten für Informationstechnologie des Freistaates Sachsen ernannt und nimmt ihre oder seine Aufgaben hauptamtlich wahr. 2Sie oder er(1) Die oder der Beauftragte für Informationssicherheit des Landes wird von der oder dem Beauftragten für Informationstechnologie des Freistaates Sachsen ernannt und nimmt ihre oder seine Aufgaben hauptamtlich wahr. Sie oder er
1.
fördert und unterstützt durch die Erstellung von konkreten Handlungsempfehlungen, Maßnahme- und Formulierungsvorschlägen, Erläuterungen, Leitfäden und auf Anforderungen durch individuelle Beratung die Beauftragten für Informationssicherheit nach § 7 Absatz 1 bei der Erfüllung ihrer Aufgaben, insbesondere bei der Erstellung und Pflege eines Informationssicherheitsmanagementsystems,
2.
initiiert und koordiniert landesweite Sensibilisierungs- und Schulungsmaßnahmen sowie Projekte zur Informationssicherheit,
3.
hat ein direktes Vorspracherecht bei der oder dem Beauftragten für Informationstechnologie des Freistaates Sachsen,
4.
berät und unterstützt die Beauftragte oder den Beauftragten für Informationstechnologie des Freistaates Sachsen bei ihrer oder seiner Aufgabenwahrnehmung bezüglich der Informationssicherheit,
5.
ist zuständige Behörde nach Artikel 8 Absatz 1 und 2 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L.
2
333 vom 27.12.2022, S. 80) für die Aufsicht über die staatlichen Stellen.
3Die oder der Beauftragte für Informationssicherheit des Landes meldet dem Bundesamt für Sicherheit in der Informationstechnik die nach § 7 Absatz 4 identifizierten staatlichen Stellen erstmals sechs Monate nach Inkrafttreten dieses Gesetzes und danach alle zwei Jahre. Die oder der Beauftragte für Informationssicherheit des Landes meldet dem Bundesamt für Sicherheit in der Informationstechnik die nach § 7 Absatz 4 identifizierten staatlichen Stellen erstmals sechs Monate nach Inkrafttreten dieses Gesetzes und danach alle zwei Jahre.
(2)
Zur Erfüllung ihrer oder seiner Aufgaben kann die oder der Beauftragte für Informationssicherheit des Landes dem Sicherheitsnotfallteam fachliche Weisungen erteilen.
(3)
1Gegenüber an das Sächsische Verwaltungsnetz angeschlossenen staatlichen Stellen kann die oder der Beauftragte für Informationssicherheit des Landes Anordnungen treffen oder Maßnahmen ergreifen, um Gefahren für die informationstechnischen Systeme, die mit dem Sächsischen Verwaltungsnetz verbunden sind, abzuwehren. 2Zur Abwehr von stellenübergreifenden Sicherheitsvorfällen ihrer informationstechnischen Systeme oder Prozesse darf sie oder er bei Gefahr im Verzug vorübergehende Netztrennungen anordnen. 3Die Leiterin oder der Leiter der staatlichen Stelle und die oder der für die staatliche Stelle ernannte Beauftragte für Informationssicherheit sind unverzüglich zu unterrichten. 4Für die Umsetzung der Maßnahmen bedient sich die oder der Beauftragte für Informationssicherheit des Landes des Sicherheitsnotfallteams. 5Gegenüber staatlichen Stellen kann im Benehmen mit der jeweils zuständigen obersten Staatsbehörde die oder der Beauftragte für Informationssicherheit des Landes Anordnungen treffen oder Maßnahmen zur Umsetzung der Verpflichtungen aus § 4 Absatz 1 und 1a ergreifen, soweit Tatsachen die Annahme rechtfertigen, dass Anforderungen aus § 4 Absatz 1 und 1a nicht oder nicht richtig umgesetzt wurden. 6Gegenüber dem Sächsischen Rechnungshof sowie der oder dem Sächsischen Datenschutzbeauftragten können statt Anordnungen oder Maßnahmen nach Satz 1 nur Hinweise gegeben werden.(3) Gegenüber an das Sächsische Verwaltungsnetz angeschlossenen staatlichen Stellen kann die oder der Beauftragte für Informationssicherheit des Landes Anordnungen treffen oder Maßnahmen ergreifen, um Gefahren für die informationstechnischen Systeme, die mit dem Sächsischen Verwaltungsnetz verbunden sind, abzuwehren. Zur Abwehr von stellenübergreifenden Sicherheitsvorfällen ihrer informationstechnischen Systeme oder Prozesse darf sie oder er bei Gefahr im Verzug vorübergehende Netztrennungen anordnen. Die Leiterin oder der Leiter der staatlichen Stelle und die oder der für die staatliche Stelle ernannte Beauftragte für Informationssicherheit sind unverzüglich zu unterrichten. Für die Umsetzung der Maßnahmen bedient sich die oder der Beauftragte für Informationssicherheit des Landes des Sicherheitsnotfallteams. Gegenüber staatlichen Stellen kann im Benehmen mit der jeweils zuständigen obersten Staatsbehörde die oder der Beauftragte für Informationssicherheit des Landes Anordnungen treffen oder Maßnahmen zur Umsetzung der Verpflichtungen aus § 4 Absatz 1 und 1a ergreifen, soweit Tatsachen die Annahme rechtfertigen, dass Anforderungen aus § 4 Absatz 1 und 1a nicht oder nicht richtig umgesetzt wurden. Gegenüber dem Sächsischen Rechnungshof sowie der oder dem Sächsischen Datenschutzbeauftragten können statt Anordnungen oder Maßnahmen nach Satz 1 nur Hinweise gegeben werden.
(4)
1Gegenüber nicht-staatlichen Stellen kann die oder der Beauftragte für Informationssicherheit des Landes Anordnungen im Benehmen mit der oder dem Beauftragten für Informationssicherheit des Betreibers des Kommunalen Datennetzes treffen, um Gefahren für die informationstechnischen Systeme, die mit dem Kommunalen Datennetz verbunden sind, abzuwehren. 2Zur Abwehr von stellenübergreifenden Sicherheitsvorfällen auf informationstechnische Systeme oder Prozesse innerhalb des Sächsischen Verwaltungsnetzes darf sie oder er bei Gefahr im Verzug vorübergehende Trennungen des Kommunalen Datennetzes vom Sächsischen Verwaltungsnetz anordnen. 3Die Leiterin oder der Leiter der nicht-staatlichen Stelle, die oder der für diese ernannte Beauftragte für Informationssicherheit und die oder der Beauftragte für Informationssicherheit des Betreibers des Kommunalen Datennetzes sind unverzüglich zu unterrichten. 4Die von der oder dem Beauftragten für Informationssicherheit des Landes angeordneten Maßnahmen nach Satz 2 werden durch das Sicherheitsnotfallteam umgesetzt.(4) Gegenüber nicht-staatlichen Stellen kann die oder der Beauftragte für Informationssicherheit des Landes Anordnungen im Benehmen mit der oder dem Beauftragten für Informationssicherheit des Betreibers des Kommunalen Datennetzes treffen, um Gefahren für die informationstechnischen Systeme, die mit dem Kommunalen Datennetz verbunden sind, abzuwehren. Zur Abwehr von stellenübergreifenden Sicherheitsvorfällen auf informationstechnische Systeme oder Prozesse innerhalb des Sächsischen Verwaltungsnetzes darf sie oder er bei Gefahr im Verzug vorübergehende Trennungen des Kommunalen Datennetzes vom Sächsischen Verwaltungsnetz anordnen. Die Leiterin oder der Leiter der nicht-staatlichen Stelle, die oder der für diese ernannte Beauftragte für Informationssicherheit und die oder der Beauftragte für Informationssicherheit des Betreibers des Kommunalen Datennetzes sind unverzüglich zu unterrichten. Die von der oder dem Beauftragten für Informationssicherheit des Landes angeordneten Maßnahmen nach Satz 2 werden durch das Sicherheitsnotfallteam umgesetzt.
(5)
Die oder der Beauftragte für Informationssicherheit des Landes ist für die Erstellung des Informationssicherheitsmanagementsystems für die sächsische Staatsverwaltung zuständig.
(6)
1Die oder der Beauftragte für Informationssicherheit des Landes erstellt verbindliche Mindeststandards zur Informationssicherheit für die staatlichen Stellen und legt sie nach Anhörung der Arbeitsgruppe Informationssicherheit dem Gremium nach § 17 Absatz 1 des Sächsischen E-Government-Gesetzes in der Fassung der Bekanntmachung vom 8. November 2019, (SächsGVBl. S. 718), das durch Artikel 3 der Verordnung vom 12. April 2021 (SächsGVBl. S. 517) geändert worden ist, in der jeweils geltenden Fassung, zur Entscheidung vor. 2Die Arbeitsgruppe Informationssicherheit unterstützt die Beauftragte oder den Beauftragten für Informationssicherheit des Landes dabei. 3Den nicht-staatlichen Stellen wird die Anwendung der Mindeststandards empfohlen. 4Auf Ersuchen berät die oder der Beauftragte für Informationssicherheit des Landes die staatlichen oder nicht-staatlichen Stellen bei der Umsetzung und Einhaltung der Mindeststandards.(6) Die oder der Beauftragte für Informationssicherheit des Landes erstellt verbindliche Mindeststandards zur Informationssicherheit für die staatlichen Stellen und legt sie nach Anhörung der Arbeitsgruppe Informationssicherheit dem Gremium nach § 17 Absatz 1 des Sächsischen E-Government-Gesetzes in der Fassung der Bekanntmachung vom 8. November 2019, (SächsGVBl. S. 718), das durch Artikel 3 der Verordnung vom 12. April 2021 (SächsGVBl. S. 517) geändert worden ist, in der jeweils geltenden Fassung, zur Entscheidung vor. Die Arbeitsgruppe Informationssicherheit unterstützt die Beauftragte oder den Beauftragten für Informationssicherheit des Landes dabei. Den nicht-staatlichen Stellen wird die Anwendung der Mindeststandards empfohlen. Auf Ersuchen berät die oder der Beauftragte für Informationssicherheit des Landes die staatlichen oder nicht-staatlichen Stellen bei der Umsetzung und Einhaltung der Mindeststandards.
(7)
1Um die Umsetzung der Anforderungen aus § 4 Absatz 1 und 1a, die Wirksamkeit des Informationssicherheitsmanagementsystems und den Stand der Erfüllung der Mindeststandards zu überprüfen, kann die oder der Beauftragte für Informationssicherheit des Landes die erforderlichen Auskünfte und die Überlassung von entsprechenden Unterlagen der staatlichen Stellen verlangen. 2Zu diesem Zweck darf sie oder er eigene Revisionen durchführen, wobei für den Sächsischen Rechnungshof, die Sächsische Datenschutzbeauftragte oder den Sächsischen Datenschutzbeauftragten, die Gerichte und Staatsanwaltschaften sowie die Behörden und Organisationen mit Sicherheitsaufgaben hierfür deren Einvernehmen einzuholen ist. 3Staatliche Stellen haben im Benehmen mit der jeweils zuständigen obersten Staatsbehörde der oder dem Beauftragten für Informationssicherheit des Landes und den in deren oder dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Behörden- und Betriebsräume während der üblichen Dienst- und Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstige Unterlagen vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. 4Sie oder er ist über geplante Audits und Revisionen zu unterrichten. 5Vorliegende Zertifikate nach dem BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, und der BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die zuletzt durch Artikel 74 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, in den jeweils geltenden Fassungen, sind dabei zu beachten. 6Bei der Überprüfung festgestellte Verstöße einer staatlichen Stelle gegen Verpflichtungen aus § 4 Absatz 1 und 1a oder § 16, die eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, L 74 vom 4.3.2021, S. 35) zur Folge haben können, teilt die oder der Beauftragte für Informationssicherheit des Landes unverzüglich der oder dem Sächsischen Datenschutzbeauftragten mit.(7) Um die Umsetzung der Anforderungen aus § 4 Absatz 1 und 1a, die Wirksamkeit des Informationssicherheitsmanagementsystems und den Stand der Erfüllung der Mindeststandards zu überprüfen, kann die oder der Beauftragte für Informationssicherheit des Landes die erforderlichen Auskünfte und die Überlassung von entsprechenden Unterlagen der staatlichen Stellen verlangen. Zu diesem Zweck darf sie oder er eigene Revisionen durchführen, wobei für den Sächsischen Rechnungshof, die Sächsische Datenschutzbeauftragte oder den Sächsischen Datenschutzbeauftragten, die Gerichte und Staatsanwaltschaften sowie die Behörden und Organisationen mit Sicherheitsaufgaben hierfür deren Einvernehmen einzuholen ist. Staatliche Stellen haben im Benehmen mit der jeweils zuständigen obersten Staatsbehörde der oder dem Beauftragten für Informationssicherheit des Landes und den in deren oder dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Behörden- und Betriebsräume während der üblichen Dienst- und Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstige Unterlagen vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Sie oder er ist über geplante Audits und Revisionen zu unterrichten. Vorliegende Zertifikate nach dem BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, und der BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die zuletzt durch Artikel 74 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, in den jeweils geltenden Fassungen, sind dabei zu beachten. Bei der Überprüfung festgestellte Verstöße einer staatlichen Stelle gegen Verpflichtungen aus § 4 Absatz 1 und 1a oder § 16, die eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, L 74 vom 4.3.2021, S. 35) zur Folge haben können, teilt die oder der Beauftragte für Informationssicherheit des Landes unverzüglich der oder dem Sächsischen Datenschutzbeauftragten mit.
(8)
1Die oder der Beauftragte für Informationssicherheit des Landes unterrichtet den Landtag jährlich allgemein über ihre oder seine Tätigkeit und über (8) Die oder der Beauftragte für Informationssicherheit des Landes unterrichtet den Landtag jährlich allgemein über ihre oder seine Tätigkeit und über
1.
die durch das Sicherheitsnotfallteam getroffenen Anordnungen und ergriffenen Maßnahmen gemäß § 6 Absatz 3,
2.
die Anzahl von Fällen der Verarbeitung personenbezogener Daten durch das Sicherheitsnotfallteam zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, gemäß § 6 Absatz 4,
3.
die zur Abwehr von Gefahren für die informationstechnischen Systeme ergriffenen Maßnahmen gemäß § 12,
4.
die Anzahl von Fällen der nicht automatisierten Auswertung, der personenbezogenen Verarbeitung und der Wiederherstellung des Personenbezugs pseudonymisierter Daten bei Protokolldaten gemäß § 13 Absatz 2,
5.
die Anzahl von Fällen der Speicherung und der Auswertung von Inhaltsdaten und Wiederherstellung des Personenbezugs pseudonymisierter Daten gemäß § 13 Absatz 3,
6.
die Anzahl von Fällen der nicht automatisierten Verarbeitung von Daten gemäß § 13 Absatz 4,
7.
die Anzahl der durchgeführten, unterbliebenen sowie nachgeholten Benachrichtigungen gemäß § 13 Absatz 5,
8.
die Anzahl von Fällen der Übermittlung von Daten gemäß § 13 Absatz 6 und 7,
9.
den Umgang mit unzulässig erlangten Daten, die den Kernbereich privater Lebensgestaltung betreffen, gemäß § 13 Absatz 8, sowie
10.
die Anzahl von gemäß §§ 15 bis 17 gemeldeten Sicherheitsereignissen und Sicherheitsvorfällen.
2Die staatlichen und nicht-staatlichen Stellen, die die Maßnahmen nach §§ 12 und 13 in eigener Zuständigkeit ausüben, unterrichten die Beauftragte oder den Beauftragten für Informationssicherheit des Landes jährlich über ihre Tätigkeit gemäß Satz 1 Nummer 3 bis 10. Die staatlichen und nicht-staatlichen Stellen, die die Maßnahmen nach §§ 12 und 13 in eigener Zuständigkeit ausüben, unterrichten die Beauftragte oder den Beauftragten für Informationssicherheit des Landes jährlich über ihre Tätigkeit gemäß Satz 1 Nummer 3 bis 10.
(9)
Die oder der Beauftragte für Informationssicherheit des Landes unterrichtet die Gremien nach § 17 Absatz 1 und § 18 Absatz 2 des Sächsischen E-Government-Gesetzes und die Arbeitsgruppe Informationssicherheit regelmäßig über ihre oder seine Tätigkeit.
(10)
Die oder der Beauftragte für Informationssicherheit des Landes unterrichtet die Öffentlichkeit über wesentliche Entwicklungen der Informationssicherheit im Freistaat Sachsen. 5