Bayerisches Siegel „Kommunale IT-Sicherheit“

Wabe Siegel
© Landesamt für Sicherheit in der Informationstechnik

Das LSI bietet den bayerischen Kommunen an, mit einem Siegel "Kommunale IT-Sicherheit" auf Basis einer Selbst-Auskunft eine Mindestabsicherung in der Informationssicherheit nachzuweisen. Für die Digitalisierung der Fachverfahren in der öffentlichen Verwaltung gilt es, die Voraussetzungen in der Informationssicherheit zu schaffen. Bayerische Kommunen müssen verpflichtend ein Informationssicherheitskonzept eingeführt haben. Rechtliche Grundlage ist Art. 43 Abs. 1 BayDiG. Das Informationssicherheitskonzept hat dabei die drei Grundwerte der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – sicherzustellen.

Um der aktuellen Sicherheitslage gerecht zu werden und um die schrittweise Verbesserung der Informationssicherheit in Bayern weiter zu unterstützen, wurden mit der Veröffentlichung des Fragebogens in der Version 3.0 ab sofort einige bestehende Maßnahmen angepasst und andere neu hinzugefügt – neben der Betrachtung von IoT-Geräten / Haus-IT, Vorkehrungen bei exponierten Servern oder SSL-Analyse, flossen Erkenntnisse aus kommunalen Sicherheitsvorfällen ein.

Mit dem Siegel „Kommunale IT-Sicherheit“ des LSI haben gerade auch kleinere bayerische Städte, Märkte und Gemeinden die Möglichkeit:

  • Die gesetzeskonforme Einführung eines Informationssicherheitskonzeptes zu belegen und damit nachzuweisen, dass ihr Informationssicherheitskonzept die wichtigsten Aspekte hinsichtlich der Grundwerte der Informationssicherheit adressiert - nach aktuellem Stand der Technik und Rechtslage.
  • Feedback und Unterstützung durch das LSI zum Informationssicherheitskonzept einzuholen.
  • Bürgern und Gewerbetreibenden gegenüber den sicheren IKT-Einsatz darzustellen.
  • Möglichkeit, das Siegel "Kommunale IT-Sicherheit" des LSI während der Gültigkeitsdauer zu verwenden.

Infoblatt zum Siegel "Kommunale IT-Sicherheit"

Das Siegel ist unabhängig von einem ISMS-Standard. Bei der Entwicklung des Siegels „Kommunale IT-Sicherheit“ wurden die bei bayerischen Kommunen verbreiteten ISMS in Bezug auf den Umfang der jeweils behandelten Informationssicherheitsaspekte verglichen. Das Siegel berücksichtigt die grundlegenden Fragen der Informationssicherheit, die in der Schnittmenge der betrachteten Standards abgedeckt sind. Zusätzlich berücksichtigt das Siegel die Mindestanforderungen des IT-Planungsrates und die Empfehlungen für die Maßnahmen in der Informationssicherheit zur Europawahl 2019.

Das Siegel ist als Vorstufe zur Zertifizierung zu sehen und speziell auf die Bedürfnisse von kleineren Städten und Gemeinden ausgerichtet. Das Siegel ersetzt weder eine Zertifizierung zu einem ISMS-Standard, noch hat es den Anspruch, einen ISMS-Standard vollständig abzudecken. Bestehende Zertifizierungen werden anerkannt. Kommunen, die nach einem gängigen ISMS-Standard von unabhängiger Stelle zertifiziert sind, haben die Möglichkeit, beim LSI mit dem gültigen Zertifikat zusätzlich eine elektronische und gedruckte Ausfertigung des Siegels zu erhalten.

Evaluationsgegenstand, Evaluationsinstanz und Evaluationsprinzipien

Evaluationsgegenstand ist der ausgefüllte Fragebogen. Dieses Formular (xlsx) erhalten Sie auf Anfrage bei . Dort erhalten Sie auch Hilfestellung zum Ausfüllen des Fragenbogens. Das eingereichte Formular stellt eine Selbstauskunft dar.

Zu den einzelnen Prüffragen können Sie auswählen, ob in Ihrer Kommune

  • die Maßnahme bereits umgesetzt ist
  • die Umsetzung der Maßnahme geplant ist (mit Ziel-Datum)
  • die Umsetzung der Maßnahme (noch) nicht geplant ist

Evaluationsinstanz ist das Referat für die Beratung für Kommunen im LSI.

Schicken Sie das ausgefüllte Formular an

Die Prüfung findet dokumentenbasiert statt (anhand des ausgefüllten Formulars). Es findet kein Audit vor Ort statt. Die Verantwortung für die Richtigkeit der Angaben und die Umsetzung der Maßnahmen bleibt in der Kommune. Ein Teil der Maßnahmen muss bereits umgesetzt sein. Für einen weiteren Teil der Kriterien müssen Maßnahmen geplant und terminiert sein.

Was passiert nach dem Einsenden der Unterlagen?

Bei erfolgreicher Prüfung des Formulars erhalten Sie das Siegel in elektronischer Form und in einer gedruckten Ausfertigung.

Auch wenn Sie noch nicht alle Kriterien vollständig erfüllen, können Sie sich an uns wenden. Wir beraten Sie als bayerische Kommune gerne bei technischen und organisatorischen Maßnahmen zur Informationssicherheit.

Gültigkeitszeitraum - Wie lange gilt das Siegel?

Das Siegel ist, für Kommunen unter 20.000 Einwohner, zwei Jahre gültig. Für größere Kommunen, aufgrund der höheren Anforderungen, ein Jahr. Für Kommunen mit mehr als 50.000 Einwohnern, Kreisfreie Städte sowie Landratsämter ist, für den Erhalt des Siegels, eine Zertifizierung erforderlich. Alternativ ist auch ein Testat nach der Basis-Absicherung des BSI IT-Grundschutzes bzw.  die Abnahme des IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung ausreichend. Mit einem Zertifikat, unabhängig von der Größe der Kommune, richtet sich die Gültigkeitsdauer des Siegels nach der des Zertifikats. Mit Erlöschen des Zertifikats erlischt auch die Gültigkeit des Siegels. Danach haben Kommunen die Möglichkeit, das Siegel wieder zu erwerben. Für einen Wiedererwerb des Siegels ist die Umsetzung der geplanten Maßnahmen Voraussetzung. Die Maßnahmenliste des Siegels wird an die weitere Entwicklung der Technik und Rechtslage angepasst werden und kann beim Wiedererwerb von der aktuellen Fassung abweichen.

Was kostet das Siegel "Kommunale IT-Sicherheit"?

Die Beantragung und Ausstellung des Siegels "Kommunale IT-Sicherheit" ist kostenlos.