Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Cybersicherheitsverordnung

Am 16. April 2025 trat die Verordnung des Innenministeriums zur Verbesserung der Cybersicherheit in Baden-Württemberg, kurz Cybersicherheitsverordnung (CSVO), in Kraft. Die Verordnung konkretisiert das Cybersicherheitsgesetz und setzt eine Richtlinie des Europäischen Parlaments und des Rates um.

© CSBW

Die CSVO konkretisiert das Cybersicherheitsgesetz (CSG) und setzt die NIS-2-Richtlinie für Behörden auf Landesebene in Hinblick auf die Standards für Cyber- und Informationssicherheit und deren Prüfung um. Zudem

  • klärt sie, wie die Aufgaben und organisatorischen Einheiten für die Cyber- und Informationssicherheit bei den Landeseinrichtungen aufgebaut sind.
  • harmonisiert sie Begrifflichkeiten mit denen des europäischen Gesetzgebers, wenn sie etwa von Sicherheitsvorfällen in Abgrenzung zu Cyberbedrohungen, Schwachstellen und Beinahevorfällen spricht.
  • legt sie fest, wann Sicherheitsvorfälle gemeldet werden müssen und regelt besondere Meldepflichten für erhebliche Sicherheitsvorfälle.
  • definiert sie Cybersicherheit eindeutig als Führungsaufgabe.

Die CSVO führt den Begriff der „wichtigen Stellen“ und eine Registrierungspflicht für diese Stellen ein. 
Die obersten Landesbehörden, also die Ministerien, sind verpflichtet, die wichtigen Stellen des Landes in ihrem Geschäftsbereich erstmals sechs Monate nach Inkrafttreten der CSVO und danach alle zwei Jahre bei der CSBW zu registrieren.

Die Cybersicherheitsverordnung konkretisiert das Cybersicherheitsgesetz des Landes und setzt die NIS-2-Richtlinie um. Das sorgt für noch mehr Klarheit. Sie spezifiziert außerdem die damit verbundenen Aufgaben der CSBW.

Nicole Matthöfer, Präsidentin der CSBW

Auswirkungen der CSVO auf Landeseinrichtungen

Konkret wirkt sich die CSVO auf alle öffentlichen Stellen aus. Für öffentliche Stellen des Landes und unmittelbar an das Landesverwaltungsnetz angeschlossene Stellen – im Folgenden Landeseinrichtungen genannt – schreiben CSG als auch CSVO umfangreichere Pflichten vor und geben der CSBW auch andere Möglichkeiten. 

Standards für die Cyber- und Informationssicherheit

Für alle öffentlichen Stellen reguliert die CSVO die Standards in der Cyber- und Informationssicherheit. So müssen sie Maßnahmen treffen, um die elektronische Kommunikation und die Verwendung elektronischer Dokumente zu sichern. Der Schutz personenbezogener Daten steht hierbei im Fokus. 

Die Stellen des Landes müssen ein verbindliches Sicherheitskonzept erstellen und geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen treffen, um IT-Risiken zu kontrollieren und Sicherheitsvorfälle zu verhindern oder abzuschwächen. 

Für „wichtige Stellen“ gilt gar, dass deren Leitungen durch die CSVO verpflichtet werden, regelmäßig an Schulungen teilzunehmen, um Risiken in der IT-Sicherheit erkennen und bewerten können.
CSBW Icon Sicherheit

Schwachstellenscans

Für die Untersuchungen der IT-Sicherheit bietet die CSBW den Landeseinrichtungen insbesondere Schwachstellenscans an.

Meldepflichten

Durch die CSVO sind Landeseinrichtungen verpflichtet, Sicherheitsvorfälle und Informationen zu melden, die für die Abwehr von Cybersicherheitsgefahren von Bedeutung sind oder sein können. Dritte können auf freiwilliger Basis an die CSBW melden, wenn erhebliche Sicherheitsvorfälle, Cyberbedrohungen und Beinahevorfälle stattfanden.

Dabei gibt es zwei Meldeverfahren

  • das allgemeine Meldeverfahren sowie
  • das besondere Meldeverfahren für erhebliche Sicherheitsvorfälle bei wichtigen Stellen.

Das besondere Meldeverfahren betrifft nur wichtige Stellen und auch diese nur bei einem erheblichen Sicherheitsvorfall. Erheblich ist ein Sicherheitsvorfall, wenn er schwerwiegende Betriebsstörungen der Dienste oder schwerwiegende finanzielle Verluste für die betroffene Stelle verursacht hat oder verursachen kann. Oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Das besondere Meldeverfahren beinhaltet konkrete zeitliche Fristen:

  • Die Erstmeldung muss innerhalb von 24 Stunden erfolgen.
  • Eine Aktualisierung muss innerhalb von 72 Stunden nach Kenntniserlangung vorliegen.

Es beinhaltet zusätzlich besondere Pflichten zu Aktualisierungen, Zwischen- und Abschlussmeldung seitens der betroffenen Stelle.
CSBW Icon Sicherheit

Sicherheitsvorfälle

Treten erhebliche Sicherheitsvorfälle bei wichtigen Stellen ein, bearbeitet die CSBW diese priorisiert. 

Aufgaben der CSBW

Aus der CSVO ergeben sich für die CSBW Aufgaben und Befugnisse: 

  • Die CSVO sieht vor, dass die CSBW die Einhaltung der Cybersicherheits-Standards prüft. Die CSBW wird dabei auf Ersuchen der zuständigen obersten Landesbehörde tätig. Diese legt auch den Umfang der Prüfung und die notwendigen Maßnahmen fest.

  • Die CSVO eröffnet der CSBW die Möglichkeit, bei Landeseinrichtungen Untersuchungen durchzuführen. Diese beziehen sich auf die Informationstechnik und Abfragen an den Schnittstellen öffentlich erreichbarer Informationstechnik zu öffentlichen Telekommunikationsnetzen. Untersuchungen können auf Antrag der jeweils zuständigen obersten Landesbehörde oder der zu untersuchenden Stelle stattfinden. Darüber hinaus kann eine Untersuchung auch auf Empfehlung der CSBW erfolgen.

  • Die CSBW hat gemäß CSVO den Informationsaustausch der öffentlichen Stellen und an das Landesverwaltungsnetz angeschlossenen Stellen zu ermöglichen. Die Inhalte dieses Austausches sind: Sicherheitsvorfälle, Beinahevorfälle, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, gegnerische Taktiken, bedrohungsspezifische Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Aufdeckung von Cyberangriffen.

Auswirkungen auf Gemeinden, Städte und Dritte

Für Gemeinden und Städte gilt gemäß der CSVO, dass alle öffentlichen Stellen erforderliche Maßnahmen nach dem Stand der Technik treffen müssen, um die elektronische Kommunikation und die Verwendung elektronischer Dokumente zu sichern. Dabei müssen sie insbesondere den Schutz personenbezogener Daten beachten. Darüber hinaus wird den Gemeinden, Städte sowie Landkreisen empfohlen, die Anforderungen umzusetzen, die für die wichtigen Stellen gelten. Eine weitere Konkretisierung erfolgt nicht.
Vertragliche Dienstleister, die als Auftragnehmer für öffentliche Stellen tätig sind, sind entsprechend auf die Einhaltung der Vorgaben aus der CSVO zu verpflichten.

Fragen und Antworten

  • Wichtige Stellen sind solche öffentlichen Stellen des Landes oder unmittelbar an das Landesverwaltungsnetz angeschlossene Rechenzentren, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnten.

  • Die wichtigen Stellen werden von den obersten Landesbehörden bei der CSBW registriert. Dabei registriert jedes Ressort die wichtigen Stellen in seinem Geschäftsbereich.

  • Meldepflichtig sind nach CSVO Landeseinrichtungen und beispielsweise die ans Landesverwaltungsnetz angeschlossene Komm.ONE. Für wichtige Stellen gilt bei erheblichen Sicherheitsvorfällen ein besonderes Meldeverfahren. Dritte können auf freiwilliger Basis Meldungen an die CSBW übermitteln.

  • Die Meldepflichten der CSVO gegenüber der CSBW betreffen lediglich Landeseinrichtungen und beispielsweise die ans Landesverwaltungsnetz angeschlossene Komm.ONE. Kommunen sind von den Meldepflichten also nicht betroffen. Sie können jedoch freiwillig an die CSBW melden. Dies trägt zur Erhellung des Dunkelfelds und zur Verbesserung des landesweiten Lagebildes bei. Davon losgelöst sind mögliche vertragliche Meldepflichten gegenüber dem eigenen IT-Dienstleister (bspw. Komm.ONE) sowie die Meldepflicht an den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, wenn datenschutzrechtliche Belange berührt sind.

     

  • Ein erheblicher Sicherheitsvorfall ist ein Sicherheitsvorfall, der schwerwiegende Betriebsstörungen der Dienste oder schwerwiegende finanzielle Verluste für die betroffene Stelle verursacht hat oder verursachen kann. Er hat andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder kann dies zur Folge haben.

  • Es gibt das allgemeine Meldeverfahren, das alle Landeseinrichtungen zur Meldung verpflichtet. Für die Landesverwaltung kann eine Meldung über die Cyber-Ersthilfe BW und den Warn- und Informationsdienst erfolgen. 

    Daneben gibt es das besondere Meldeverfahren für wichtige Stellen bei erheblichen Sicherheitsvorfällen, welches besondere Fristen (Erstmeldung innerhalb von 24 Stunden und Aktualisierung innerhalb von 72 Stunden nach Kenntniserlangung) und Pflichten zu Meldungen (Erstmeldung, Aktualisierung und Abschlussmeldung) seitens der betroffenen Stelle enthält.