Bestellung eines/einer Beauftragten für Informationssicherheit - BfIS

Nach dem am 31. August 2019 in Kraft getretenen Sächsischen Informationssicherheitsgesetz „soll“ mit Ablauf der Übergangsregelung nach § 20 (31.12.2020) in jeder „nicht-staatlichen Stelle ein Beauftragter für Informationssicherheit und ein Vertreter ernannt werden“. „Soll“ bedeutet hier, dass eine Pflicht besteht, welche im Regelfall erfüllt werden muss.
Nur in fundierten Ausnahmefällen und wenn die flexiblen Möglichkeiten des Gesetzes zur Bestellung ausgeschöpft sind, kann von der Pflichterfüllung mit entsprechender Begründung abgesehen werden.

Die mit der Bestellung verbundene Tätigkeit ist in einem Bestellungsschreiben zu definieren und das Schreiben an den/die Bestellte/n auszuhändigen.

Bei der Bestellung externer Dienstleister ist ergänzend ein Dienstleistungsvertrag abzuschließen (inhaltliche Formulierungsvorschläge).

Die/der Bestellte ist mit den erforderlichen zeitlichen Ressourcen auszustatten. Für die reine Koordinierung mit externen Dienstleistern und Zuarbeiten empfiehlt der Sächsische Rechnungshof z.B. bei Kommunen mit 5000-10000 Einwohnern auf kommunaler Seite für diese Tätigkeit 0,1 VZÄ einzuplanen (https://www.rechnungshof.sachsen.de/SRH_BA_OrgEmpf_5-10TEW.pdf).

Bei der umfänglichen Ausführung der Aufgaben eines BfIS mit eigenem Personal ist insbesondere in der Aufbauphase von einem höheren Bedarf auszugehen. Dieser hängt von den Umständen, wie

  • konkrete Ausgestaltung der Aufgabe,
  • Mitarbeitendenverantwortung (z. B. BfIS als Leitung eines Informationssicherheitsmanagementteams),
  • Größe der Gemeindeverwaltung,
  • welche Dienstleistungen von der Gemeinde konkret erbracht werden,
  • Stand der Umsetzung der Anforderungen des IT-Grundschutzes,
  • das angestrebte Niveau der Umsetzung des IT-Grundschutzes,
  • Betrieb der Dienstleistungen im eigenen Haus oder im Rechenzentrum (Outsourcing, Cloud-Betrieb)

ab.

Der genaue Bedarf sollte durch eine Personalbedarfsermittlung (PBE) nach einem standardisierten Verfahren ermittelt werden. Das Bundesministerium des Innern und für Heimat (BMI) stellt dafür ein Organisationshandbuch zur Verfügung (https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/orghandbuchNeu-node.html).

Dieses ist zwar in erster Linie für die Bundesverwaltung konzipiert, kann aber auch von Landes- und Kommunalverwaltungen genutzt werden.

Die Belegschaft der Organisation und andere Beteiligte sind über die Bestellung zu informieren. Eine Übergabe des Bestellungsschreibens am Rande einer Belegschaftsversammlung wäre eine geeignete Form. Ersatzweise kann die Information per Rundschreiben oder im Intranet erfolgen.

Das hier zur Verfügung gestellte Muster soll die Erarbeitung des Bestellungsschreibens vereinfachen,

Es lehnt sich an eine Vorlage des Bundesamtes für Sicherheit in der Informationstechnik – BSI an.

Das Muster gliedert sich in

Überschrift
Bestellung
Organisatorisches
     Einordnung in die Organisation
     Unbefangenes Arbeiten
     Ressourcen
     Allgemeine Aufgabe
     Informationsverbund (Anwendungsbereich)
Detaillierte Aufgaben
Befugnisse
Unterschriften

Für die konkrete Verwendung muss das Muster auf die bestellte Person und die bestellende Organisation angepasst werden. Entsprechen Stellen sind <GEKENNZEICHNET>. In dem Zug sind auch  einige Artikel anzupassen und Varianten zum Geschlecht der Person auszuwählen.

Die Aufzählungen zum Informationsverbund, den Aufgaben und den Befugnissen sind nicht abschließend und müssen eventuell ergänzt oder gekürzt werden.
Zum Beispiel gliedert sich die Notfallvorsorge u.U. in eine schon bestehende Notfallorganisation ein und die Aufgabe muss konkretisiert werden.

Im Muster sind einige Stellen in Klammern eingeschlossen. Auch hier ist zu entscheiden, was zutreffend ist.

Bei einer Kürzung ist darauf zu achten, dass die Stellung des/der Bestellten in der Organisation noch hinreichend genau definiert ist.

Im Bestellungsschreiben sollten keine außerhalb zu definierenden Sachverhalte aufgenommen werden (z.B. die Person der Vertretung), da das Schreiben bei Änderungen solcher Sachverhalte Bestand haben soll.

Auch mit der Bestellung eines BfIS verbleibt die Verantwortung für Informationssicherheit bei der Leitung der Organisation (§4, Abs.3, SächsISichG).

Bei Anmerkungen und Vorschlägen zu diesem Muster wenden Sie sich bitte an bfis(at)sakd.de .

Zum Download in 3 Formaten:
für Textverarbeitung Microsoft Word
für Textverarbeitung universell RTF – Rich Text Format
PDF – Portable Document Format