Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

§ 1 Zweck und Geltungsbereich

Dieses Gesetz dient der Informationssicherheit des Landesdatennetzes, der informationstechnischen Systeme, der genutzten Anwendungen und der darüber verarbeiteten Informationen der Behörden des Saarlandes. Dieses Gesetz gilt für die Verwaltungstätigkeit der Behörden des Landes, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts. Verwaltungstätigkeit im Sinne dieses Gesetzes umfasst die öffentlich-rechtliche Verwaltungstätigkeit und rechtsgeschäftliche oder tatsächliche Tätigkeiten im allgemeinen privatrechtlichen Rechtsverkehr einschließlich der fiskalischen Hilfsgeschäfte. Behörde im Sinne dieses Gesetzes ist jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt. Die Vorschriften dieses Gesetzes gelten entsprechend für die Gerichte und Staatsanwaltschaften.

§ 2 Begriffsbestimmungen

Im Sinne dieses Gesetzes sind:

1. Informationssicherheit:
   die Gewährleistung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität von Informationen durch Sicherheitsvorkehrungen in oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen,
2. Schadprogramme:
   Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten auszuspähen, zu manipulieren, zu nutzen oder zu löschen oder die dem Zweck dienen, unbefugt auf sonstige informationstechnische Abläufe einzuwirken,
3. das Landesdatennetz:
   eine Kommunikationsinfrastruktur, die eine gesicherte Verbindung zwischen den lokalen Netzen der damit verbundenen Behörden sowie zu Netzen anderer Verwaltungen ermöglicht und durch das Land oder im Auftrag des Landes betrieben wird,
4. informationstechnische Systeme mit dem Landesdatennetz verbunden:
   wenn sie direkt, über ein behördeneigenes Subnetz oder über einen IT-Dienstleister technisch angeschlossen sind,
5. Angriffe:
   Versuche, die Informationssicherheit eines Computersystems unbefugt zu beeinflussen,
6. Sicherheitslücken:
   Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Unbefugte Zugang zu informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können,
7. Protokolldaten:
   Steuerungsdaten und Ereignisprotokolle einer informationstechnischen Datenverarbeitung oder eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt einer Datenverarbeitung gespeichert oder unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes enthalten,
8. Inhaltsdaten:
   Informationen, die den Inhalt einer Datenverarbeitung oder eines Telekommunikationsvorgangs betreffen und die keine Protokolldaten sind,
9. Informationstechnik:
   alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen,
10. Informationstechnik des Landes:
    Informationstechnik, die von einer oder mehreren Landesbehörden oder im Auftrag einer oder mehrerer Landesbehörden betrieben wird.

§ 3 Behördenübergreifende Pflichten

(1) Die Sicherheit der informationstechnischen Systeme der Behörden ist nach dem Stand der Technik im Rahmen der Verhältnismäßigkeit und unter Beachtung der Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. Mai 2016, S. 1; L 314 vom 22. November 2016, S. 72) sowie des Saarländischen Datenschutzgesetzes vom 16. Mai 2018 (Amtsbl. I S. 254) sicherzustellen. Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.

(2) Werden Behörden Informationen bekannt, die zur Abwehr von Gefahren für die Informationssicherheit von Bedeutung sind, unterrichten diese den zentralen IT-Dienstleister des Landes unverzüglich hierüber, soweit andere Vorschriften oder Vereinbarungen mit Dritten nicht entgegenstehen, Meldepflichten aufgrund gesetzlicher Vorschriften bestehen oder sie einem Meldesystem innerhalb eines anderen deutschen CERT-Verbundes angeschlossen sind.

§ 4 Abwehr von Gefahren für die Informationssicherheit