Sachsen ist das erste deutsche Bundesland, das die europäischen Vorgaben zur Erhöhung der Cyber-Sicherheit umsetzt. Mit Beschluss des Sächsischen Landtags werden die europarechtlichen Vorgaben der NIS-2-Richtlinie im Sächsischen Informationssicherheitsgesetz verankert.
Das seit 2019 bestehende Sächsische Informationssicherheitsgesetz wurde „um die Anforderungen der europäischen NIS-2-Richtlinie erweitert. Ich freue mich, dass wir das Gesetzesvorhaben fristgerecht und noch vor dem Ende der sächsischen Legislaturperiode abschließen konnten“, so Thomas Popp, Staatssekretär für Digitale Verwaltung und Verwaltungsmodernisierung. Das Informationssicherheitsgesetz verpflichtet staatliche und kommunale Behörden, die Anforderungen zur Informationssicherheit zu erfüllen. So müssen Behörden beispielsweise einen Beauftragten für Informationssicherheit ernennen, die Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) berücksichtigen, angemessene organisatorische und technische Maßnahmen zur Informationssicherheit treffen und ein Informationssicherheitsmanagementsystem betreiben.
Zusammenarbeit mit der EU
Durch die europaweit geltende NIS-2-Richtlinie werden manche Regelungen erweitert. So wird der Beauftragte für Informationssicherheit des Landes zukünftig auch die Aufgaben einer Aufsichtsbehörde erfüllen. In dieser Funktion muss er die Umsetzung von Informationssicherheitsmaßnahmen in Behörden überprüfen, aber auch Sicherheitsvorfälle in wichtigen staatlichen Behörden über den Bund an die Europäische Union melden, um das Cyber-Lagebild in der EU zu komplettieren. Das sächsische Sicherheitsnotfallteam SAX.CERT muss künftig seine Dienste und Unterstützungsleistungen in ständiger Bereitschaft halten und darf vertiefte Scan- und Prüfaktivitäten in lokalen Netzen der staatlichen Behörden vornehmen. Zudem werden bestimmte Maßnahmen zur Erhöhung der Informationssicherheit verpflichtend konkretisiert und priorisiert, etwa zur Bewältigung von Sicherheitsvorfällen, zum Management von Sicherheitslücken und zur Einbindung von Lieferketten in die Sicherheitsbetrachtungen.
Die NIS-2-Richtlinie über Maßnahmen für ein hohes gemeinsames Cyber-Sicherheitsniveau in der Europäischen Union ist eine EU-Richtlinie, um das Niveau der Cyber-Resilienz in der Union zu stärken. Mit der NIS-2-Richtlinie wurde der Rechtsrahmen zur Cyber-Sicherheit weiterentwickelt, der bereits seit über einer Dekade besteht. In Deutschland geht Sachsen nun voran.
