Externe Beauftragte für Informationssicherheit

Kommunen im Freistaat Sachsen können die Aufgabe des/der Beauftragten für Informationssicherheit an externe Experten übertragen.

Gesetzliche Pflicht – auch extern professionell umsetzbar

Gesetzliche Anforderungen – effektiv erfüllt

Im Freistaat Sachsen sind Körperschaften des öffentlichen Rechts laut § 8 des Sächsischen Informationssicherheitsgesetzes (SächsISichG) verpflichtet, einen Beauftragten für Informationssicherheit (BfIS) zu benennen.

Dabei gilt: „Der oder die Beauftragte muss nicht Beschäftigte*r der nichtstaatlichen Stelle sein.“

Das bedeutet: Kommunen können für diese Aufgabe auch externe, qualifizierte Dienstleister beauftragen. Besonders für kleinere Städte, Gemeinden oder Einrichtungen ohne eigenes IT-Fachpersonal bietet sich das als praktikable und effiziente Lösung an.

Dienstleistungsvertrag als Grundlage

Klar geregelt – Ihre vertragliche Grundlage

Wenn Sie einen externen Informationssicherheitsbeauftragten einsetzen möchten, ist der Abschluss eines entsprechenden Dienstleistungsvertrages verpflichtend. Dieser regelt u. a.:

Aufgaben und Verantwortlichkeiten
Datenschutz- und Vertraulichkeitsansprüche
Kommunikations- und Reaktionswege

Die SAKD stellt Formulierungshilfen für solche Verträge zur Verfügung – praxisnah und kommunal erprobt.

Ergänzender Vertragsabschluss notwendig

EVB-IT

Neben dem formellen Bestellungsschreiben sollte stets ein ergänzender Vertrag abgeschlossen werden. Dieser regelt weiterführende Aspekte der Zusammenarbeit, noch über die reine Aufgabenbeschreibung hinaus. Dazu gehören insbesondere:

Art und Weise der Zusammenarbeit
Vorgehensmodelle und Arbeitsmethoden
Anforderungen an Kommunikation, Dokumentation und Abstimmungen

Zur Ausgestaltung dieses Vertrags können standardisierte Vorlagen wie die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) herangezogen werden, da sie sich gut für öffentliche Auftraggeber eignen.

Sie bieten entsprechende Leistungen an?

Dann senden Sie bitte folgende Nachweise an Herrn Kretschmer

Qualifikationsnachweise
Referenzprojekte (idealerweise in sächsischen Kommunen)
Erklärung zur Vor-Ort-Betreuung der Kundschaft

Herr Kretschmer

Referent Informationssicherheit, Telekommunikation

kretschmer(at)sakd.de

03594 7752-56

Beauftragung eines externen Informationssicherheitsbeauftragten (BfIS)

Wird ein externer Informationssicherheitsbeauftragter (BfIS) bestellt, orientieren sich seine Aufgaben in erster Linie an den im Bestellungsschreiben aufgeführten Pflichten. Dieses Schreiben basiert in der Regel auf dem von der Sächsischen Anstalt für kommunale Datenverarbeitung (SAKD) bereitgestellten Muster.

Formulierungsvorschläge und individuelle Anpassung

Vorschläge

Es stehen verschiedene Formulierungsvorschläge (in Anführungszeichen und kursiv) zur Verfügung, die auf die oben genannten Themenfelder eingehen. Diese Textbausteine bieten eine bewährte Grundlage, sollten jedoch unbedingt an die konkreten Rahmenbedingungen und Zielstellungen der beauftragenden Behörde angepasst werden, bevor sie in einem Vertrag übernommen werden.

Eingefügte Platzhalter (z. B. ###PLATZHALTER###) sind vor Vertragsabschluss zwingend durch die entsprechenden konkreten Angaben zu ersetzen (wie z. B. konkrete Namen, Fristen, Zuständigkeiten etc.).

"Der Auftragnehmer wendet in seiner Tätigkeit für den Auftraggeber die BSI-IT-Grundschutz-Methodik (BSI-Broschüre zum IT-Grundschutz) an."

Nur mit der Anwendung einer etablierten Methodik ist eine systematische (vollständige, inhaltlich fundierte, dokumentierte, revisionsfähige) Absicherung gewährleistet. Neben dem BSI-IT-Grundschutz gibt es weitere Methodiken. Die BSI-Methodik wird von der SAKD empfohlen, da sie sehr verbreitet ist, es zahlreiche kostenlose Informationen und Vorarbeiten gibt, Schulungen und Werkzeuge oft darauf basieren und das SächsISichG die Methodik empfiehlt. Formulierungen wie "orientiert sich an" oder "basiert auf" schwächen das Ansinnen der systematischen Absicherung und das Ergebnis ist nicht zertifizierbar, falls erforderlich.

Mit der Abbildung von Verwaltungsverfahren als verteilte Anwendungen über Netzgrenzen von verbundenen Systemen ist die Erfüllung von Informationssicherheitsanforderungen, basierend auf der BSI-Grundschutz-Methodik, in Teilbereichen verpflichtend.

"Der Auftragnehmer erfasst den Informationsverbund des Auftraggebers, die Anforderungen, die Gefährdungen und die Maßnahmen und deren Umsetzung elektronisch in einer beim BSI gelisteten Anwendung und übergibt diese Daten in strukturierter lesbarer Form nach jeder größeren Änderung, jährlich zu jedem ###TAG, MONAT DER ÜBERGABE### und zum Vertragsende an den Auftragnehmer. Die Anwendung stellt die Bausteine des BSI-IT-Grundschutzes zur Verfügung und ermöglicht die Ausleitung der Informationen in Form von Listen und Reports.

Die Erfassung erfolgt mit der Anwendung ###NAME DER ANWENDUNG### im Format ###FORMATBEZEICHNUNG###."

Aufgrund des u.U. erheblichen Umfanges der Daten sollte bei einer Vertragsauflösung oder einem Vertragsübergang der Datenbestand medienbrucharm übertragen werden können. Eine Speicherung in Form von Excel-, Word- oder PDF-Dokumenten ist hier nicht zielführend. Auch wenn die Anwendungen zur Erfassung der Informationssicherheitsinformationen sehr speziell sind und das Format proprietär, so können die nach der beschriebenen Anforderung übergebenen Daten in eine gleiche Anwendung eines anderen Dienstleisters importiert werden. Sollte das Zielsystem ein anderes sein, kann zumindest eine Konvertierung angestrebt werden.

"Der Auftragnehmer behandelt alle Informationen des Auftraggebers als vertraulich. Eine Weitergabe an Dritte ist nur mit ausdrücklicher Zustimmung des Auftraggebers gestattet, welche Empfänger und Umfang bestimmt.
Hiervon ausgenommen sind die jährlichen Meldungen nach §5, Abs. 8, Satz 2 SächsISichG."

In den Informationen ist der gesamte Informationsverbund der Behörde mit den noch ausstehenden Maßnahmen (quasi Schwachstellen) detailliert beschrieben. Unter Umständen kann hier auf vorhandene Verschlusssachenanweisungen der Behörde Bezug genommen werden.

"Der Auftragnehmer stimmt der Übermittlung seiner Kontaktdaten nach §8 Sächsisches Informationssicherheitsgesetz an den Beauftragten für Informationssicherheit des Freistaates Sachsen zu."

"Der Auftraggeber stellt die für die Erfüllung des Vertrages nötigen personellen und finanziellen Ressourcen zur Verfügung. Er benennt einen übergeordneten Ansprechpartner mit Vertretung, ggfs. die Mitglieder eines Informationssicherheits-Teams und im Bedarfsfall fachliche Ansprechpartner.

Er bindet den Auftragnehmer rechtzeitig in Projekte ein und erbringt benötigte Zuarbeiten zeitnah."

Bestimmte Tätigkeiten können aufgrund der Intention, der benötigten Detailkenntnisse und auch aus Kostengründen nur mit Hilfe der Behörde ausgeführt werden. Z.B. muss die Behördenleitung die Ziele festlegen und Dokumente inhaltlich ausgestalten und verabschieden. Die Feststellung des Schutzbedarfes von Prozessen können Behördenmitarbeiter in Form von Interviews mit den Prozessinhabern mit einem Formular als Handreichung gut selbst vornehmen. Und letztlich können die identifizierten Maßnahmen zur Verbesserung der Informationssicherheit nur von der Behörde umgesetzt werden.

"Ziel der Zusammenarbeit ist eine ständige Aufrechterhaltung der Informationssicherheit. Insbesondere bei neuen Gefährdungen oder Vorfällen muss eine unverzügliche Reaktion sicher gestellt sein.

Die Kommunikation erfolgt telefonisch, über E-Mail-Funktionspostfächer und/oder über eine sichere Internet-Plattform zur Zusammenarbeit.

Die benannten Ansprechpartner des Auftragnehmers und des Auftraggebers oder deren benannte Vertreter sichern die Erreichbarkeit während der Dienstzeit ###VON BIS WOCHENTAGE UHRZEIT### mit einer Reaktionszeit von ###ANZAHL### Stunden über die Kommunikationskanäle ab.

Bei einer direkten Kommunikation mit den fachlichen Ansprechpartnern oder dem Informationssicherheits-Team ist der benannte übergeordnete Ansprechpartner in Kenntnis zu setzen."

Initialpaket

"Der Auftragnehmer erarbeitet folgende Dokumente gemäß der BSI-IT-Grundschutzmethodik:

Leitlinie zur Informationssicherheit
Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
Definition der Schutzbedarfskategorien
Strukturanalyse
- Abgrenzung des Informationsverbunds,
- Bereinigter Netzplan,
- Liste der Geschäftsprozesse, Anwendungen, IT-Systeme, Räume,
Gebäude und Standorte, Kommunikationsverbindungen, Dienstleister
Schutzbedarfsfeststellung der Objekte der Strukturanalyse
Modellierung – Zuordnung der Bausteine des BSI-IT-Grundschutz (Anforderungen, Gefährdungen, Maßnahmen) zu den Objekten der Strukturanalyse
Ergebnisse des IT-Grundschutz-Checks
Ergebnisse der Risikoanalyse
Realisierungsplan

Er stellt dafür Vorlagen zur Verfügung, erfasst die Daten in der vereinbarten Anwendung und übergibt die erarbeiteten Dokumente an den Auftraggeber.

Der Auftraggeber stellt zur Unterstützung eine enge Zusammenarbeit mit dem Auftragnehmer sicher, indem er an Abstimmungen teilnimmt und alle nötigen Informationen zeitnah zur Verfügung stellt."

Je nach initial angestrebten Sicherheitsniveau (Basis-, Standard-, Kernabsicherung) und Umfang der Unterstützung durch den Dienstleister muss die Liste der Dokumente angepasst werden. Die Umsetzung kann auch in Stufen erfolgen, z.B. erst Basisabsicherung und im Anschluss Standard- oder Kernabsicherung.

Jährliches Leistungspaket

"Der Auftragnehmer führt eine jährliche Mitarbeitersensibilisierung/Schulung mit einer Dauer von 4 Stunden beim Auftraggeber durch (inkl. Vorbereitung und Anreise zum Auftraggeber).

Er analysiert die Aktivitäten beim Auftraggeber und weitere Informationsquellen zur Informationssicherheit und übermittelt daraus abgeleitete Informationen zu neuen Gefährdungen und Vorschläge zu deren Abwehr an den Auftraggeber:

Der Auftragnehmer führt mit Unterstützung durch den Auftraggeber die Revision der Dokumente 4 bis 9 (siehe Initialpaket) durch und übergibt die erarbeiteten Dokumente an den Auftraggeber.

Er fasst die Meldungen nach §5 SächsISichG zusammen und übermittelt sie an den Beauftragten für Informationssicherheit des Freistaates Sachsen."

Tätigkeiten nach Aufwand

"Der Auftragnehmer wird nach Einzelbeauftragung tätig z.B.

Zur Beratung der Behördenleitung in der Planung von IT-Projekten
Bei Ereignissen und Vorfällen
Zur Mitwirkung bei Zertifizierungen"

"Für das Initialpaket wird eine Vergütung in Höhe von ###SUMME### € nach Abschluss der Tätigkeiten des Paketes vereinbart."

Je nach Laufzeit des Projektes sind u.U. Abschläge nach Projektfortschritt zu vereinbaren.

"Die im jährlichen Leistungspaket genannten Tätigkeiten werden dem AN mit einer pauschalen Summe von ###SUMME### € jährlich im Voraus vergütet.

Einzeln beauftragte Leistungen werden nach Aufwand nach Erbringung der Leistung abgerechnet.

Der Stundensatz für Tätigkeiten nach Aufwand beträgt ###EURO JE STUNDE###€. Hinzu kommen Reisekosten in Höhe von ###EURO### je Kilometer und ggfs. Übernachtungskosten.

Die aufgeführten Beträge sind Nettobeträge und werden nach Rechnungsstellung zuzüglich der geltenden Umsatzsteuer fällig."

Verzeichnis externer Anbieter in Sachsen

Sächsische Dienstleister auf einen Blick

grafische Unterstützung des Begriffs "digitale Verwaltung"

Um Kommunen die Suche nach qualifizierten Anbietern zu erleichtern, hat die SAKD ein Verzeichnis externer Dienstleister zusammengestellt, die die Rolle des BfIS übernehmen können.

Wichtig zu wissen:

Die Liste dient ausschließlich der Kontaktunterstützung
Die Reihenfolge ist kein Qualitätsranking
Es erfolgt keine Bewertung durch die SAKD

Vorteile für Ihre Kommune:

Auf einen Blick

Keine internen Ressourcen binden

Sie müssen keine eigene Stelle schaffen oder Personal weiterqualifizieren. Die Verantwortung wird an einen erfahrenen Dienstleister übergeben.

Schnelle Umsetzung der gesetzlichen Vorgaben

Durch bestehendes Fachwissen und vorhandene Prozesse können externe Beauftragte zügig starten und zeitnah die gesetzlichen Mindestanforderungen erfüllen.

Zugriff auf spezialisierte Expertise

Externe BfIS verfügen über umfangreiche Erfahrung im Bereich Informationssicherheit, kennen Best Practices und sind mit der BSI-Grundschutzmethodik bestens vertraut.

Kostentransparenz und Planbarkeit

Der Leistungsumfang kann vertraglich genau geregelt werden. Damit behalten Kommunen die Kontrolle über Aufwand und Kosten.

Praxisnahe Unterstützung statt theoretischer Konzepte

Externe bringen erprobte Vorlagen, Checklisten und Handlungsempfehlungen mit – reduziert den Aufwand und stärkt die Handlungsfähigkeit vor Ort.

Häufige Fragen zur Benennung externer Beauftragte für Informationssicherheit

FAQ

In unserem FAQ beantworten wir die häufigsten Fragen zur Beauftragung, zu Anforderungen, Auswahlprozessen und zur Unterstützung durch die SAKD – verständlich, kompakt und praxisnah.

Ja. Das Sächsische Informationssicherheitsgesetz (SächsISichG) verpflichtet alle Körperschaften des öffentlichen Rechts zur Benennung einer verantwortlichen Person für die Informationssicherheit. Diese Regelung betrifft Städte, Gemeinden, Landkreise, Zweckverbände sowie weitere nichtstaatliche Stellen.

Die Benennung eines oder einer Beauftragten für Informationssicherheit (BfIS) ist gesetzlich vorgeschrieben und betrifft alle Körperschaften des öffentlichen Rechts in Sachsen. Gerade kleinere Kommunen oder Einrichtungen ohne eigenes IT-Personal stehen dabei häufig vor organisatorischen oder fachlichen Herausforderungen.

Eine bewährte Lösung bietet die Beauftragung eines*r externen Dienstleisters mit dieser verantwortungsvollen Rolle – eine Möglichkeit, die das Sächsische Informationssicherheitsgesetz (§ 8 SächsISichG) ausdrücklich vorsieht.

Ja, ausdrücklich. § 8 SächsISichG stellt klar, dass der oder die Beauftragte nicht zwingend Beschäftigte*r der Kommune oder Einrichtung sein muss. Externe Fachkräfte oder Dienstleister können diese Aufgabe übernehmen – besonders hilfreich für kleinere Verwaltungen mit begrenztem Personal oder IT-Know-how.

Wird die Aufgabe extern vergeben, muss ein rechtlich abgesicherter Dienstleistungsvertrag abgeschlossen werden. Die SAKD stellt dazu Formulierungshilfen und Musterverträge zur Verfügung, um eine rechtssichere und bedarfsgerechte Ausgestaltung zu erleichtern.

Die SAKD führt eine Übersicht externer Dienstleister, die in Sachsen als Beauftragte für Informationssicherheit tätig sind. Diese Liste dient der besseren Orientierung bei der Anbietersuche und wird regelmäßig aktualisiert. Sie trifft jedoch keine Aussage über Qualität oder Leistungsumfang der aufgeführten Unternehmen.

Wenn Sie als Dienstleister in dieses Verzeichnis aufgenommen werden möchten, senden Sie bitte eine formlose E-Mail an kretschmer(at)sakd.de mit folgenden Nachweisen:

einschlägige Qualifikationen und Zertifikate
Referenzen in der Informationssicherheit – idealerweise aus sächsischen Kommunen
eine Erklärung zur Sicherstellung der Vor-Ort-Betreuung Ihrer Kunden