Franz-Mayer-Str. 1 93053 Regensburg
+49(0)941.604889-15
hello[ -/ @ -/ ]it-sicherheitscluster.de

FAQs für Kommunen

- InformationsSicherheitsmanagementSystem in 12 Schritten

Gibt es eine gesetzliche Verpflichtung zur Einführung eines Informationssicherheitsmanagementsystems oder von ISIS12?

Gem. Artikel 8 des BayEGovG müssen Kommunen ein Sicherheitskonzept erstellen. Ein Sicherheitskonzept ist nicht gleichzusetzen mit einem Informationssicherheitsmanagementsystem (ISMS). Im Klartext heißt das, dass Kommunen mit „normalem“ Schutzbedarf kein ISMS einführen müssen, da ein ISMS deutlich mehr ist als ein Sicherheitskonzept. Mit der Einführung von ISIS12 wäre der Artikel 8 natürlich erfüllt und ist eine Empfehlung der Bayerischen Staatsregierung, bzw. des IT-Planungsrats.

Ist ein Zusammenschluss von mehreren kleinen Gemeinden förderberechtigt?

Das Förderprogramm steht auch kleinen Gemeinden offen, die im Rahmen der kommunalen Zusammenarbeit gemeinsam ein Informations-Sicherheitsmanagementsystem (ISMS) implementieren wollen. Laut Nr. 3.1 der Zuwendungsvereinbarung sind Zusammenschlüsse kommunaler Gebietskörperschaften förderberechtigte Zuwendungsempfänger.

Kann die Aufgabe des Informationssicherheitsbeauftragten an einen externen IT-Dienstleister übertragen werden?

Es ist möglich die Aufgaben des Informationssicherheitsbeauftragten an einen fachkundigen externen IT-Dienstleister zu übertragen, sofern eigene Ressourcen nicht vorhanden sind. Es muss aber sichergestellt sein, dass der externe IT-Dienstleister allen Verpflichtungen des Informationssicherheitsbeauftragten im Rahmen des implementierten Informations-Sicherheitsmanagementsystems (ISMS) nachkommt.

Ist die Förderung auf Gemeinden mit maximal 500 Mitarbeitern beschränkt?

Förderberechtigt sind Kommunen mit bis zu 500 Mitarbeitern bzw. PC-Arbeitsplätzen.

Kann die ISIS12 Software auch ohne Beratervertrag bezogen werden?

Ja, Kommunen können die Software auch ohne Beratervertrag beziehen. Informationen zur Software finden Sie hier.

Es wurde bereits ein Dienstleister gefunden und es soll auf weitere Angebote verzichtet werden. Ist dies im Rahmen des kommunalen Vergabeverfahrens möglich?

Kommunen sind bei der Vergabe von Dienstleistungen grundsätzlich verpflichtet mindestens drei Angebote einzuholen. Dies dient der Einhaltung des Gebots von Sparsamkeit und Wirtschaftlichkeit. Im Einzelfall kann die Kommune aus sachlichen Gründen auf die Einholung von Vergleichsangeboten verzichten. Ob dies gerechtfertigt ist, hängt von den Umständen des Einzelfalls ab. Hierzu gibt es keine allgemeine Regelung. Wenn eine Kommune nur ein Angebot einholt, müssen dafür objektive, sachliche und dokumentierte Gründe vorliegen. Ein typischer Fall wäre, dass aus besonderen (sachlichen) Gründen nur ein Dienstleister in Betracht kommt.

Muss die Implementierung von ISIS12 noch 2018 erfolgen?

Die Zuwendungsvereinbarung schreibt keinen bestimmten Zeitpunkt für den Projektstart vor. Entscheidend ist, dass das Projekt innerhalb des Bewilligungszeitraums durchgeführt wird (Nr. 6.4 der Zuwendungsvereinbarung).

Ist es grundsätzlich möglich, die Förderung heuer, Mitte des Jahres, zu beantragen, die Ausschreibung und Vergabe dann im Herbst durchzuführen und die Durchführung erst in 2017 zu veranlassen, also das Konzept erst in 2017 zu erstellen?

Die Zuwendungsvereinbarung schreibt keinen bestimmten Zeitpunkt für den Projektstart vor. Entscheidend ist vielmehr, dass das Projekt innerhalb des Bewilligungszeitraumes durchgeführt wird (Nr. 6.4 der Zuwendungsvereinbarung). Sofern nach Einschätzung des IT-Sicherheitsclusters die Kommune bei dem genannten Starttermin das Projekt innerhalb des Bewilligungszeitraums abschließen kann, bestehen gegen eine Förderung keine Bedenken.
Zu beachten ist hier, dass der zertifizierte IT-Dienstleister innerhalb von drei Monaten nach Vertragsabschluss beauftragt werden muss. Die Ausschreibung und Gesprächstermine können vorab vorgenommen werden.

Gibt es die Möglichkeit einer Verlängerung der Frist von drei Monaten für die Nennung des Dienstleisters?

Eine Fristverlängerung ist in der Zuwendungsvereinbarung nicht vorgesehen. Daher muss der Dienstleister innerhalb von drei Monaten nach Vertragsschluss benannt werden.

Unterliegen Zweckverbände zur Wasserversorgung auch dem Energiewirtschaftsgesetz oder dürfen sie ISIS12 einführen? Der Zweckverband ist eine juristische Person des öffentlichen Rechts.

Ob in öffentlich-rechtlicher Form betriebene kommunale Wasserversorgungsunternehmen eine Förderung erhalten können kann nicht generell festgestellt werden, sondern ist eine Frage des Einzelfalls.
Voraussetzung ist hier, dass das Unternehmen als Standardbehörde mit normalem Schutzbedarf betrachtet werden kann. Dies ist zu verneinen bei Anlagen, die aufgrund ihres hohen Versorgungsgrades dem IT-Sicherheitsgesetz unterliegen.

Wer ist bei der ISIS12 Einführung in einem Landratsamt der Antragsteller? Das Landratsamt oder der Landkreis?

Zuwendungsempfänger der Förderung sind nach Nr.3.1 der Zuwendungsvereinbarung  alle bayerischen kommunalen Gebietskörperschaften. Gemäß Art. 1 der Landkreisordnung für den Freistaat Bayern (LKrO) sind die Landkreise Gebietskörperschaften des öffentlichen Rechts. Antragsteller ist deshalb der Landkreis.

Was sind Standardbehörden?

Eine Standardbehörde hat:

  • Bis zu 500 Mitarbeiter bzw. PC-Arbeitsplätze (siehe Antwort zu Frage 3)
  • Eine möglichst homogene IT-Basisinfrastruktur
  • Keine über öffentliche Netze ungeschützt angebundene Außenstellen
  • Einen überwiegend normalen Schutzbedarf
  • Keine Hochverfügbarkeitsanforderungen an IT-Systeme
  • Keine kritischen Anwendungen (im Sinne keine kritischen Infrastrukturen)

Viele Stadtwerke trennen ihre Netze sauber in „Netzbetrieb“ und „Büronetz“. Im „Netzbetrieb“ wird das zwingend vorgeschriebene ISMS nach ISO/IEC 27001 eingeführt. Im „Büronetz“ soll auf freiwilliger Basis ISIS12 eingeführt werden. Ist hier eine Förderung möglich?

Energieversorger fallen wegen ihres höheren Schutzbedarfs in der Regel nicht unter den Begriff „Standardbehörde“ (siehe Antwort zu Frage 9), unabhängig davon, wie innerbetriebliche Abläufe organisiert sind.
Eine Förderung des „Büronetzes“ von Energieversorgungsunternehmen ist also nicht möglich.

Besteht eine Fördermöglichkeit für kommunale Energieversorger, die zur Einführung der ISO27001 verpflichtet sind, wenn als Basis der Einführung von ISO 27001 ISIS12 verwendet wird?

Die Förderung kommunaler Energieversorger, die auf Basis des Sicherheitskatalogs der Bundesnetzagentur zur Einführung von ISO 27001 verpflichtet sind ist nicht möglich.
Die Energieversorger erreichen mit ISIS12 kein anerkanntes Schutzniveau.

Was sind Ebenen-übergreifende Verfahren?

Ebenen-übergreifende IT-Verfahren im Sinne der Informationssicherheitsleitlinie der öffentlichen Verwaltung sind IT-Verfahren, die über Verwaltungsgrenzen hinweg angeboten bzw. genutzt werden (z.B. Bund-Länder-übergreifend oder von mehreren Bundesländern genutzte IT-Verfahren).

Müssen alle 12 Schritte bei der Implementierung von ISIS12 durchgeführt werden?

Ja, denn die Auszahlung des Förderbetrags ist an die vollständige Implementierung gebunden.

Wie wird die vollständige Implementierung von ISIS12 geprüft?

Für die Prüfung gibt es zwei Möglichkeiten:

  • Es wird eine Zertifizierung durch die DQS GmbH (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) durchgeführt. Informationen zur Zertifizierung finden Sie hier.
  • Es erfolgt eine Abnahme, ohne Zertifizierung, durch den Bayerischen IT-Sicherheitscluster e.V.

Gibt es Erfahrungswerte oder Kennzahlen anhand derer eine verlässliche Aufwandsschätzung für die Einführung von ISIS12 erstellt werden kann?
Aufgrund der individuellen Gegebenheiten jeder Kommune ist es nicht möglich eine Aussage zum erwarteten Aufwand zu treffen.
Wir empfehlen den Kontakt zu einem der zertifizierten Berater aufzunehmen und in einem unverbindlichen Erstgespräch eine Aufwandsschätzung zu machen.

Die Liste der zertifizierten Berater für Kommunen finden Sie hier.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen