Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk; Datenschutz

Abschnitt 1
Allgemeine Vorschriften

§ 1 Zweck des Gesetzes

Zweck dieses Gesetzes ist, die Informationssicherheit im Freistaat Sachsen zu erhöhen und Gefahren für informationstechnische Systeme abzuwehren. Die Gewährleistung der Informationssicherheit ist eine wichtige im öffentlichen Interesse liegende Aufgabe.

§ 2 Anwendungsbereich

(1) Dieses Gesetz gilt für die Behörden und die Gerichte des Freistaates Sachsen (staatliche Stellen) sowie die seiner Aufsicht unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts (nichtstaatliche Stellen). Auf Beliehene finden ausschließlich die Absätze 4 und 5 Anwendung.

(2) Der Landtag gewährleistet die ihn betreffende Informationssicherheit durch den Beschluss einer für ihn, seine Gremien, seine Mitglieder und deren Beschäftigte, seine Fraktionen und deren Beschäftigte sowie für die Landtagsverwaltung geltenden Informationssicherheitsleitlinie. Für den Landtag gelten im Übrigen ausschließlich die §§ 10 und 12 bis 15 entsprechend den in der Informationssicherheitsleitlinie getroffenen Maßgaben.

(3) Dieses Gesetz gilt nicht für den Verfassungsgerichtshof des Freistaates Sachsen, den Mitteldeutschen Rundfunk, die öffentlich-rechtlichen Kreditinstitute im Freistaat Sachsen und die Sachsen-Finanzgruppe.

(4) Dieses Gesetz gilt nicht, soweit auf Behörden des Freistaates Sachsen und die seiner Aufsicht unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts die Regelungen des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, in der jeweils geltenden Fassung, Anwendung finden.

(5) Soweit Beliehene an das Sächsische Verwaltungsnetz oder an das Kommunale Datennetz angeschlossen sind oder Dienste aus diesen Netzen heraus anbieten, sind sie zur Gewährleistung einer gleichwertigen Informationssicherheit gemäß § 4 Absatz 1 Satz 1 bis 3 zu verpflichten.

§ 3 Begriffsbestimmungen

(1) Informationssicherheit im Sinne dieses Gesetzes bedeutet Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit der in informationstechnischen Systemen verarbeiteten Informationen und Daten.

(2) Informationstechnische Systeme im Sinne dieses Gesetzes sind alle technischen Mittel zur Erfassung, Speicherung, Verarbeitung, Nutzung, Übermittlung oder Löschung von Informationen und Daten. Schadprogramme im Sinne dieses Gesetzes sind Programme sowie sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu verarbeiten oder auf sonstige informationstechnische Abläufe einzuwirken.

(3) Sicherheitslücken im Sinne dieses Gesetzes sind Eigenschaften von Systemen oder Prozessen, durch deren Ausnutzung es Unbefugten möglich ist, Zugang zu informationstechnischen Systemen und den verarbeiteten Daten zu erhalten oder die Funktion der informationstechnischen Systeme zu beeinflussen.

(4) Ein Sicherheitsvorfall ist ein Ereignis, das tatsächlich nachteilige Auswirkungen auf die Informationssicherheit hat.

(5) Ein Sicherheitsereignis ist ein Versuch, eines der Schutzziele zu verletzen.

(6) Ein Informationssicherheitsmanagementsystem ist die Aufstellung von verbindlichen Prozessen und Regeln, die die Informationssicherheit in einer staatlichen oder nichtstaatlichen Stelle dauerhaft steuern, kontrollieren, aufrechterhalten und fortlaufend verbessern.

(7) Inhaltsdaten sind Daten, die den Inhalt einer Kommunikation betreffen und die keine Verkehrsdaten im Sinne des Telekommunikationsgesetzes vom 22. Juni 2004 (BGBl. I S. 1190), das zuletzt durch Artikel 1 des Gesetzes vom 29. November 2018 (BGBl. I S. 2230) geändert worden ist, in der jeweils geltenden Fassung, sind.

(8) Protokolldaten im Sinne dieses Gesetzes beschreiben oder historisieren Zustände und Aktionen von informationstechnischen Systemen. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 1 des Gesetzes vom 28. September 2017 (BGBl. I S. 3530) geändert worden ist, enthalten.

§ 4 Grundsätze der Informationssicherheit

(1) Die staatlichen Stellen treffen angemessene organisatorische und technische Vorkehrungen sowie sonstige Maßnahmen zur Gewährleistung der Informationssicherheit. Für technische Maßnahmen soll der Stand der Technik maßgeblich sein. Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen der Verletzung der Schutzziele steht. Um die Erreichung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus zu gewährleisten, haben alle staatlichen Stellen die jeweils geltenden Standards und das jeweils geltende IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. Die staatlichen Stellen erstellen und pflegen ein Informationssicherheitsmanagementsystem.