LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode Drucksache 16/5685 29.04.2014 Datum des Originals: 29.04.2014/Ausgegeben: 02.05.2014 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 2147 vom 31. März 2014 der Abgeordneten Daniel Schwerd und Frank Herrmann PIRATEN Drucksache 16/5448 Fahrlässiger Umgang mit den vereinbarten Zielen des IT-Planungsrats zur ITSicherheit im Land NRW Der Minister für Inneres und Kommunales hat die Kleine Anfrage 2147 mit Schreiben vom 29. April 2014 namens der Landesregierung beantwortet. Vorbemerkung der Kleinen Anfrage Am 08.03.2013 hat der IT-Planungsrat unter Beteiligung der nordrhein-westfälischen Landesregierung , vertreten durch den damaligen Staatssekretär des Ministeriums für Inneres und Kommunales, ein verbindliches Abkommen mit dem Titel „Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung“ getroffen. Mitglieder des IT-Planungsrates sind der Bund und die Länder. Die Umsetzung der Leitlinie ist für die Mitglieder des IT-Planungsrates verbindlich. Das Abkommen besteht aus zwei Teilen. Das sogenannte Hauptdokument enthält die gemeinsame Zielsetzung aller Bundesländer und des Bundes zur Verbesserung der ITSicherheit . Der sogenannte Umsetzungsplan enthält den Zeitrahmen für die vollständige Umsetzung der vereinbarten Ziele und Zwischenschritte. Insgesamt werden 17 Ziele definiert , die innerhalb bestimmter Fristen nach Inkrafttreten der Leitlinie durch Bund und Länder umgesetzt werden sollen. Einmal pro Jahr soll eine Erfolgskontrolle für jedes einzelne Bundesland sowie für das Gesamtprojekt erfolgen. Beide auf der Webseite des IT-Planungsrates veröffentlichten Dokumente datieren bereits auf den 19.02.2013 und stellen anscheinend den Abschluss der Verhandlungen auf der Arbeitsebene dar. In der Antwort auf die Kleine Anfrage 2022 der Abgeordneten Schwerd und Herrmann (Drs. 16/5219) stellt die Landesregierung fest, dass sie erst nach dem 10.12.2013 damit begonnen hat, die in der Leitlinie vereinbarten Maßnahmen umzusetzen. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/5685 2 Seit Verabschiedung der Leitlinie ist bereits ein Jahr vergangen. In diesem Jahr wurden durch die von Edward Snowden ermöglichten Veröffentlichungen bisher ungekannte Anstrengungen ausländischer Geheimdienste bekannt, bestehende Sicherheitslücken für Angriffe auf IT-Infrastrukturen in der gesamten Bundesrepublik zu nutzen. Die Landesregierung hat auf diese neuartige Bedrohungslage bisher kaum reagiert. Die gebotene Vor- und Umsicht ist nicht zu erkennen. 1. Wie lautet der Kabinettsbeschluss vom 10.12.2013, der von der Landesregierung in der Antwort auf die Kleine Anfrage 2022 genannt wird? (Bitte um Übersendung des vollständigen Dokuments.) Mit Kabinettbeschluss vom 10. Dezember 2013 zum Thema „Informationssicherheit in der Landesverwaltung“ wurde das Ministerium für Inneres und Kommunales gebeten, in Abstimmung mit den Ressorts den Aufbau des Informationssicherheitsmanagements in der Landesverwaltung zu koordinieren sowie mit der Umsetzung übergreifender Sicherheitsmaßnahmen zu beginnen. Die Ressorts wurden gebeten, mit dem Aufbau des ressortspezifischen Informationssicherheitsmanagements durch die Umsetzung der in dieser Vorlage beschriebenen Sicherheitsmaßnahmen zu beginnen. Im Übrigen stehen die Maßnahmen unter Haushaltsvorbehalt. 2. Ist der im Umsetzungsplan (Kapitel 0 „Allgemeines“) genannte jährliche Bericht bzw. die Evaluation über den Stand der Umsetzung bereits erstellt worden? (Bitte um Übersendung der Unterlagen.) Die Bund/Länder-Arbeitsgruppe Informationssicherheit des IT-Planungsrates, an der auch das Land Nordrhein-Westfalen beteiligt ist, erstellt derzeit erstmalig diesen Bericht. Dieser soll dem IT-Planungsrat zu seiner Sitzung am 10. Juli 2014 vorgelegt werden. 3. Aus welchen Gründen hat die Landesregierung – trotz immer neuer Enthüllun- gen in den Medien über die Aktivitäten ausländischer Geheimdienste – über 9 Monate (Beschluss des IT-PLR 08.03.2013/Kabinettsbeschluss laut Kleiner Anfrage 2022 10.12.2013) benötigt, um erste Schritte zur Umsetzung der in der Leitlinie vereinbarten Maßnahmen zu unternehmen? Unmittelbar nach der Befassung des Kabinetts mit der „Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung“ im April 2013 wurde eine ressortübergreifende Arbeitsgruppe unter Leitung des Ministeriums für Inneres und Kommunales mit dem Auftrag eingerichtet, einen mit allen Ressorts abgestimmten Vorschlag zur Umsetzung der Leitlinie zu arbeiten. Am 15. Mai 2013 fand die erste Sitzung dieser Arbeitsgruppe statt. In insgesamt sieben Sitzungen hat sie sich u. a. mit Fragen des Geltungsbereichs, der organisatorischen Auswirkungen , der Zuständigkeiten für einzelne Umsetzungsmaßnahmen sowie den zeitlichen Vorstellungen zur Umsetzung befasst. Auftragsgemäß hat das Ministerium für Inneres und Kommunales dem Kabinett den mit allen Ressorts abgestimmten Plan zur Umsetzung im Dezember 2013 vorgelegt. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/5685 3 4. Der Umsetzungsplan der Leitlinie enthält mehrere verbindliche Termine für bestimmte Aufgaben, die notwendige Zwischenschritte und/oder Ziele des Projekts darstellen. Welche dieser Ziele wurden in NRW bereits erreicht? (Bitte nutzen Sie zur Gliederung dieser Antwort die Einteilungen und Vorgaben des Umsetzungsplanes, also die Nummerierung 1-17.) Eine detaillierte Darstellung ist der als Anlage beigefügten Tabelle zu entnehmen. 5. Ist die Abteilung des Chief Information Officer NRW, die bekannter Weise noch bis Mitte des Jahres 2014 nur unvollständig besetzt sein wird, überhaupt in der Lage, mit dem durch die Landesregierung verursachten Zeitverlust den zeitlichen Rahmen des IT-Planungsrates und des Umsetzungsplanes einzuhalten? Wie aus der Antwort auf Frage 3 hervorgeht, hat die Landesregierung unmittelbar nach Verabschiedung der Leitlinie durch den IT-Planungsrat reagiert. Die Umsetzung der Leitlinie ist eine Aufgabe aller Ressorts und die Landesregierung ist sich hierbei ihrer Verantwortung für die IT-Sicherheit in der Landesverwaltung bewusst. Der als Anlage zu Frage 4 beigefügte Umsetzungsstand macht dies deutlich. Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung ‐  Umsetzungsplan Maßnahmen umzusetzen bis Verantwortlichkeit Umsetzungsgrad Überführung der Kooperationsgruppe in eine ständige Arbeitsgruppe  Informationssicherheit des IT‐PLR 2013 IT‐PLR erledigt Der erreichte Stand der Umsetzung des vorliegenden Umsetzungsplans  ist jährlich intern zu evaluieren und im Rahmen der Erfolgskontrolle dem  IT‐PLR vorzulegen 2014 AG InfoSic in Bearbeitung Benennung der Landes‐/Bundes‐IT‐Sicherheitsbeauftragten  2018 NRW in Bearbeitung Benennung der IT‐Sicherheitsbeauftragten für die wesentlichen Behörden  2018 NRW in Bearbeitung Verabschiedung der jeweiligen verbindlichen Leitlinie für die  Informationssicherheit  2018 NRW in Bearbeitung 6 a IT‐Sicherheitskonzepte werden erstellt  2018 NRW in Bearbeitung 6 b Abläufe bei IT‐Sicherheitsvorfällen sind festgelegt und dokumentiert  2018 NRW in Bearbeitung 6 c Prozesse eingerichtet, mit denen Umsetzung, Wirksamkeit und  Beachtung der Sicherheitsmaßnahmen regelmäßig kontrolliert und die  Einleitung ggf. erforderlicher Maßnahmen (z. B. Fortschreibung  Sicherheitskonzepte) gewährleistet wird 2018 NRW in Bearbeitung 6 d  Anforderungsgerechte, einheitliche Fortbildung der IT‐ Sicherheitsbeauftragten  2018 NRW in Bearbeitung Vereinheitlichung der ISMS orientiert an IT‐Grundschutz  2018 NRW in Bearbeitung Jahrestagung der IT‐Sicherheitsbeauftragten zum gegenseitigen  Erfahrungsaustausch Daueraufgabe AG InfoSic erledigt Information, Weiterbildung, Sensibilisierung aller Beschäftigten der  öffentlichen Verwaltung zu Themen der Informationssicherheit Daueraufgabe NRW in Bearbeitung Verabschiedung der Anschlussbedingungen durch Bund und Länder  gemeinsam im Koordinierungsgremium für das Verbindungsnetz (IT‐PLR)  gemäß §4 IT‐NetzG unter Beachtung der vereinbarten  Rahmenbedingungen und Ziele 2014 IT‐PLR  in Bearbeitung Bei der Planung und Anpassung Ebenenübergreifender IT‐Verfahren ist  der IT‐Grundschutz nach BSI anzuwenden 2013 NRW erledigt Erfassung und Beschreibung der im jeweiligen Bereich betriebenen  Ebenenübergreifenden IT‐Verfahren, insbesondere der kritischen  Ebenenübergreifenden IT‐Verfahren 2014 NRW  in Bearbeitung Beginn des Aufbaus der Landes‐CERTS 2014 NRW erledigt Verabschiedung der Geschäftsordnung für den VerwaltungsCERT‐ Verbund unter Beachtung der vereinbarten Rahmenbedingungen und  Ziele 2014 AG InfoSic erledigt Gewährleistung der Erreichbarkeit von für IT‐Krisen relevanten Stellen  und Benennung von entsprechenden Ansprechstellen für die IT‐ Krisenreaktion zur Warnung, Alarmierung und Krisenreaktion 2014 NRW in Bearbeitung Aufbau Landes‐CERTS abgeschlossen  2016 NRW erledigt Erarbeitung eines Konzeptes für die regelmäßige Bedarfsermittlung und  gemeinsame Festlegung von Mindestsicherheitsanforderungen für  sichere Produkte, Systeme und Verfahren notwendig mit dem Ziel,  gemeinsame Basiskomponenten einzusetzen 2015 AG InfoSic in Bearbeitung Anlage zur Antwort auf die Kleine Antwort 2147 Umsetzungsgrad der Leitlinie für Informationssicherheit in Nordrhein‐Westfalen Nr. Stand: April 2014 1 2 3 4 5 7 8 9 17 13 14 15 16 10 11 12