I.
Zweck der Verwaltungsvorschrift

Diese Verwaltungsvorschrift konkretisiert die Vorgaben des Sächsischen Informationssicherheitsgesetzes vom 2. August 2019 (SächsGVBl. S. 630), das zuletzt durch Artikel 2 Absatz 2 des Gesetzes vom 22. Juli 2024 (SächsGVBl. S. 706) und durch das Gesetz vom 5. Juli 2024 (SächsGVBl. S. 590) geändert worden ist.

II.
Geltungsbereich, Regelungskompetenz und Regelungsgegenstand

1.

Diese Verwaltungsvorschrift gilt gemäß § 2 Absatz 1 Satz 1 des Sächsischen Informationssicherheitsgesetzes für die staatlichen Stellen

–

SMWA sowie

die ihm gemäß § 13 Absatz 1 des Sächsischen Verwaltungsorganisationsgesetzes vom 25. November 2003 (SächsGVBl. S. 899), das zuletzt durch Artikel 7 des Gesetzes vom 20. Dezember 2022 (SächsGVBl. S. 705) geändert worden ist, unmittelbar nachgeordneten Behörden

–

Landesamt für Straßenbau und Verkehr (LASuV),

–

Sächsisches Oberbergamt (OBA),

–

Digitalagentur Sachsen (DiAS) und

–

Zentrum für Fachkräftesicherung und Gute Arbeit (ZEFAS).

2.

Die dem SMWA unmittelbar nachgeordneten Behörden unterstehen bei allen Angelegenheiten der Informationssicherheit keiner übergeordneten Aufsicht. Die Gesamtverantwortung hierfür verbleibt uneingeschränkt bei der jeweiligen Leitung der Behörde.

3.

Das SMWA und die ihm unmittelbar nachgeordneten Behörden haben gemäß § 4 Absatz 1 Satz 5 1 des Sächsischen Informationssicherheitsgesetzes jeweils ein behördeneigenes Managementsystem für die Informationssicherheit (ISMS) zu führen. Als grundlegende Komponente des ISMS ist eine behördeneigene Leitlinie zur Informationssicherheit zu erstellen und zu pflegen.

III.
Zusammenarbeit

1.

Die Beauftragten für Informationssicherheit (BfIS) der staatlichen Stellen kommen in regelmäßigen Abständen zusammen, um sich zu den Belangen der Informationssicherheit im Geschäftsbereich auszutauschen und abstimmungsbedürftige Angelegenheiten zu koordinieren.

2.

Die oder der BfIS des SMWA informiert über wichtige Planungsvorgänge und strategische Entscheidungen aus der gemäß § 10 des Sächsischen Informationssicherheitsgesetzes tätigen Arbeitsgruppe Informationssicherheit. Sie oder er nimmt Hinweise und Fragen zur Informationssicherheit der unmittelbar nachgeordneten Behörden entgegen und trägt sie bei Erfordernis in die Arbeitsgruppe Informationssicherheit.

IV.
Fortbildung (Sensibilisierung und Schulung)

1.

Alle Bediensteten der staatlichen Stellen sind systematisch und zielgruppengerecht zu Sicherheitsrisiken zu sensibilisieren und zu Fragen der Informationssicherheit zu schulen. Grundsätzlich zuständig ist in jeder staatlichen Stelle die oder der BfIS. Weitere Zuständigkeiten liegen bei der Behördenleiterin oder dem Behördenleiter, den Vorgesetzten und den für die Fortbildung sowie den IT-Betrieb zuständigen Organisationseinheiten.

2.

Bedienstete haben sich regelmäßig zur Informationssicherheit fortzubilden. Jährlich abwechselnd absolvieren sie dazu mindestens das zentral im Intranet angebotene E-Learning zur Informationssicherheit oder nehmen an den behördeninternen Schulungen zur Informationssicherheit teil.

V.
Externe Leistungserbringer (Dritte als Auftragnehmer)

1.

Bei der Beschaffung von durch Dritte zu erbringenden Leistungen ist die in dieser VwV enthaltene Mustererklärung (Anlage) zum Bestandteil der Leistungsbeschreibung beziehungsweise Vertragsunterlagen zu machen. Vor Vertragsschluss ist die Erklärung von dem Bieter auszufüllen, entsprechend den formalen Vorgaben der beauftragenden staatlichen Stelle zu zeichnen und zu übermitteln. Der Zeitpunkt der Übergabe der Erklärung wird in dem der Beschaffung zugrundeliegenden Verfahren festgelegt.

2.

Für die bereits vor dem Inkrafttreten dieser VwV erteilten Aufträge ist von der oder dem Fachverantwortlichen zu prüfen, ob sich die Leistungserbringung auf die Informationssicherheit auswirken kann. Bei einem unsicheren Prüfergebnis ist der BfIS der staatlichen Stelle einzubeziehen. Insofern sich die Leistungserbringung auf die Informationssicherheit auswirken kann, hat die beauftragende staatliche Stelle gegenüber dem Auftragnehmer auf eine der Ziffer V Nummer 1 Satz 1 entsprechende Vertragsergänzung hinzuwirken. Bleibt dies erfolglos, ist bei einer gemäß § 4 Absatz 1 Satz 4 des Sächsischen Informationssicherheitsgesetzes standardgerecht festgestellten Schutzbedarfskategorie „hoch“ oder „sehr hoch“ zu prüfen, ob das Vertragsverhältnis beendet werden kann. Entsprechende Schritte sind gegebenenfalls einzuleiten.

VI.
Inkrafttreten, Außerkrafttreten

Diese Verwaltungsvorschrift tritt am Tag nach der Veröffentlichung in Kraft. Gleichzeitig tritt die VwV Leitlinie Informationssicherheit SMWA vom 14. Mai 2012 (SächsABl. S. 743), zuletzt enthalten in der Verwaltungsvorschrift vom 21. November 2023 (SächsABl. SDr. S. S 300), außer Kraft.

Dresden, den 11. Dezember 2024

Der Staatsminister für Wirtschaft, Arbeit und Verkehr
Martin Dulig

Anlage
(zu Ziffer V Nummer 1 Satz 1)