Verordnung des Innenministeriums zur Verbesserung der Cybersicherheit in Baden-Württemberg (Cybersicherheitsverordnung - CSVO)1Vom 16. April 2025

Anlage (zu § 5 Absatz 1 und § 6 Absatz 1)Kategorisierung von meldepflichtigen Informationen und erheblichen SicherheitsvorfällenI. MeldekategorienEine Meldepflicht nach § 5 Absatz 1 liegt vor, soweit die Information für die Erfüllung von Aufgaben oder die Cybersicherheit von Bedeutung ist oder sein kann, nicht allgemein bekannt oder von der Meldepflicht nach § 4 Absätze 3 und 4 des Cybersicherheitsgesetzes ausgenommen ist und einer der nachfolgenden Kategorien zugeordnet werden kann:1. Externe Angriffe, insbesonderea) die erfolgte Installation eines Schadprogramms,b) Systemeinbruch, beispielsweise durch Hacking, Ausnutzen von Schwachstellen, Missbrauch von Passwörtern,c) unautorisierte Systemnutzung, beispielsweise durch Hacking, Defacement, Datenmanipulation, Missbrauch als Botnet-Client, Spam-Relay oder Dropzone,d) Datenabfluss durch Schadprogramme oder durch Hacking,e) Manipulation von Hard- oder Software,f) gezielte Überlastung von Informationstechnik oderg) anderweitige unbefugte Manipulation von Informationstechnik; 2. Abhandenkommen von dienstlichen Informationen, die schützenswert und öffentlich nicht zugänglich sind, durcha) unbefugte Offenlegung durch unautorisiertes Personal oder Datenabfluss,b) unsachgemäße Entsorgung von Informationstechnik oder von Datenträgern oderc) Abhandenkommen von Informationstechnik; sofern die Informationen auf den Datenträgern nur verschlüsselt vorliegen und die eingesetzte Verschlüsselung den Vorgaben des BSI bezüglich des jeweiligen Schutzbedarfs entspricht, kann von der Meldung abgesehen werden;3. Neuartige Schwachstellen in der Informationstechnik, die durch die meldepflichtige Stelle entdeckt wurden;4. Störung von Informationstechnik, soweit nicht von den Nummern 6 und 7 erfasst, insbesondere durcha) schwerwiegenden Ausfall von Informationstechnik, beispielsweise Ausfall von Telekommunikationsanlagen,b) schwerwiegende Fehlfunktion von Informationstechnik, beispielsweise erratisches, nicht-deterministisches Verhalten sowie Systemabsturz, kein Wiederanlaufen eines Fachverfahrens nach Softwareaktualisierungen, oderc) schwerwiegende Überlastsituation, beispielsweise bei Ausfall von Teilsystemen; 5. widerrechtliche Handlungen, insbesondere durcha) Verstoß gegen Regelungen zur Informationssicherheit, sofern sie Aspekte der Cybersicherheit betreffen,b) schwerwiegender Missbrauch von Informationstechnik,c) unautorisiertes Erstellen von Kopien oderd) unzulässige Datenverarbeitung; 6. interne Ursachen, insbesondere durch schwerwiegende betriebsrelevante Nichtverfügbarkeit von Informationstechnik infolge eines Ausfalls der Stromversorgung oder der Kühlung;7. externe Einflüsse, insbesondere durch schwerwiegende betriebsrelevante Nichtverfügbarkeit von Informationstechnik durch höhere Gewalt oder Beschädigung.II. Erheblicher Sicherheitsvorfall1. Ein erheblicher Sicherheitsvorfall nach § 6 Absatz 1 ist ein Sicherheitsvorfall, der schwerwiegende Betriebsstörungen der Dienste oder schwerwiegende finanzielle Verluste für die betroffene Stelle verursacht hat oder verursachen kann oder andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.2. Bei der Beurteilung, ob ein Sicherheitsvorfall erheblich ist, sind insbesondere das von der meldenden Stelle zum Zeitpunkt der Meldung erkennbare Ausmaß, in dem das Funktionieren des Dienstes beeinträchtigt wird, die Dauer eines Sicherheitsvorfalls oder die Zahl der betroffenen Nutzer von Diensten zu berücksichtigen.3. Für den Fall, dass die Europäische Kommission einen oder mehrere Durchführungsrechtsakte gemäß Artikel 23 Absatz 11 Unterabsatz 2 der Richtlinie (EU) 2022/2555 erlässt, worin näher bestimmt wird, in welchen Fällen ein Sicherheitsvorfall als erheblich anzusehen ist, geht dieser oder gehen diese den Nummern 1 und 2 insoweit vor.

Aufgrund von § 13 und § 2 Absatz 9, § 3 Absatz 1 Satz 2 Nummer 3, § 4 Absatz 3 und § 7 des Cybersicherheitsgesetzes vom 4. Februar 2021 (GBl. S. 182) wird im Einvernehmen mit dem IT-Rat Baden-Württemberg verordnet:

§ 1 ZweckDiese Verordnung konkretisiert die Standards für die Cyber- und Informationssicherheit einschließlich der Verfahren zur Überprüfung der Standards für die Cybersicherheit und regelt das Nähere zu den Meldepflichten, zur Untersuchung der Sicherheit in der Informationstechnik und zur ressortübergreifenden Organisation im Bereich der Cyber- und Informationssicherheit. Insoweit setzt sie zugleich die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80, ber. ABl. L 2023/90206 vom 22.12.2023, S. 1) um, soweit Regelungsadressaten der Richtlinie (EU) 2022/2555 die Einrichtungen der öffentlichen Verwaltung auf Landesebene sind. Ziel der Verordnung ist es, die Cyber- und Informationssicherheit für die öffentlichen Stellen und die an das Landesverwaltungsnetz angeschlossenen Stellen zu verbessern und ihnen hierbei Unterstützung zu gewähren.

§ 10 Aufgabenwahrnehmung und Organisationseinheiten für die Cyber- und Informationssicherheit der öffentlichen Stellen des Landes(1) Die Aufgaben im Bereich der Cyber- und Informationssicherheit werden wahrgenommen von1. der Cybersicherheitsagentur als zuständige Behörde nach Artikel 8 der Richtlinie (EU) 2022/2555; die Cybersicherheitsagentur nimmt als Computer-Notfallteam nach Artikel 10 der Richtlinie (EU) 2022/2555 die Aufgaben nach Artikel 11 Absatz 3 der Richtlinie (EU) 2022/2555 wahr und kann an Peer Reviews nach Artikel 19 der Richtlinie (EU) 2022/2555 mitwirken,2. dem Arbeitskreis Informationstechnik (AK-IT) als den IT-Rat Baden-Württemberg beratendes und die Umsetzung der Beschlüsse des IT-Rates Baden-Württemberg begleitendes Gremium nach § 22 des E-Government-Gesetzes Baden-Württemberg,3. einer oder einem übergeordneten Informationssicherheitsbeauftragten für die Landesverwaltung Baden-Württemberg (Landes-CISO),4. einer oder einem Informationssicherheitsbeauftragten für jeden Ressortbereich (Ressort-CISO),5. einer oder einem Informationssicherheitsbeauftragten der öffentlichen Stelle des Landes (Dienststellen-CISO),6. verantwortlichen Personen für Verfahren und Anwendungen sowie der dazugehörigen Informationstechnik (Fachverfahrensverantwortliche).(2) Die oder der Landes-CISO sowie alle Ressort-CISOs bilden die Koordinierungsgruppe Informationssicherheit der Landesverwaltung Baden-Württemberg (KG InfoSic). Beratend können Dritte zu einzelnen Sitzungen der KG InfoSic hinzugezogen werden. Die KG InfoSic bereitet Entscheidungen des AK-IT im Bereich der Informationssicherheit vor und unterstützt diesen bei seiner Arbeit.

§ 11 Informationsaustausch(1) Die Cybersicherheitsagentur ermöglicht den Informationsaustausch der öffentlichen Stellen und der an das Landesverwaltungsnetz angeschlossenen Stellen zu Sicherheitsvorfällen, Beinahevorfällen, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, gegnerischen Taktiken, bedrohungsspezifischen Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Aufdeckung von Cyberangriffen.(2) Die Teilnahme am Informationsaustausch steht grundsätzlich allen öffentlichen Stellen und den an das Landesverwaltungsnetz angeschlossenen Stellen offen. Die Cybersicherheitsagentur kann im Einvernehmen mit dem Innenministerium weiteren Stellen die Teilnahme ermöglichen.(3) Die Vorschriften zum Schutz personenbezogener Daten bleiben unberührt.

§ 12 InkrafttretenDiese Verordnung tritt am Tag nach ihrer Verkündung in Kraft.

§ 2 Begriffsbestimmungen(1) IT-Grundschutz nach dieser Verordnung ist die Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Absicherung von Daten, Systemen und Informationen.(2) Cyberbedrohung nach dieser Verordnung ist eine Cyberbedrohung im Sinne des Artikel 2 Nummer 8 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15). Eine Cyberbedrohung ist erheblich, wenn sie aufgrund ihrer besonderen technischen Merkmale bei Informationstechnik erheblichen materiellen oder immateriellen Schaden verursachen kann.(3) Schwachstelle nach dieser Verordnung ist eine Schwäche, Anfälligkeit oder Fehlfunktion in der Informationstechnik, die bei einer Cyberbedrohung ausgenutzt werden kann, um sich gegen den Willen der berechtigten Person Zugang zur Informationstechnik zu verschaffen oder die Funktion von Informationstechnik zu beeinflussen.(4) Sicherheitsvorfall nach dieser Verordnung ist ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder Dienste, die über Informationstechnik angeboten werden oder zugänglich sind, beeinträchtigt.(5) Beinahevorfall nach dieser Verordnung ist ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Informationstechnik angeboten werden oder zugänglich sind, beeinträchtigt haben könnte, dessen Eintritt jedoch erfolgreich verhindert worden ist oder aus anderen Gründen nicht erfolgt ist.

§ 3 Standards für die Cyber- und Informationssicherheit(1) Die öffentlichen Stellen und die an das Landesverwaltungsnetz angeschlossenen Stellen treffen die erforderlichen Maßnahmen nach dem Stand der Technik zur Sicherung der elektronischen Kommunikation und der Verwendung elektronischer Dokumente und beachten dabei insbesondere die Anforderungen für den Schutz personenbezogener Daten.(2) Alle öffentlichen Stellen des Landes erstellen ein verbindliches behördenspezifisches Sicherheitskonzept zur Informationssicherheit. Dieses Sicherheitskonzept beruht auf einer behördenspezifischen Abwägung des Schutzbedarfs der Informationen, Dienste, der Informationstechnik, Komponenten und Prozesse sowie der Bedrohungslage. Dabei werden auch die Anforderungen an das Mindestsicherheitsniveau für eine sichere und ebenenübergreifende Kommunikation berücksichtigt. Die technischen und organisatorischen Maßnahmen und Zuständigkeiten werden unter Nutzung gängiger Methoden im Sicherheitskonzept beschrieben und durch die Stellen umgesetzt. Jede öffentliche Stelle des Landes überprüft regelmäßig das Sicherheitskonzept auf seine Wirksamkeit und die Wirtschaftlichkeit der Umsetzung und schreibt dieses regelmäßig sowie anlassbezogen fort.(3) Öffentliche Stellen des Landes oder unmittelbar an das Landesverwaltungsnetz angeschlossene Rechenzentren, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte (wichtige Stellen des Landes), sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Informationstechnik, die diese wichtigen Stellen des Landes für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten.(4) Maßnahmen nach Absatz 3 sollen unter Einhaltung des Stands der Technik und unter Berücksichtigung der einschlägigen europäischen und internationalen Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau der Informationstechnik gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Risikoexposition der Stelle, die Größe der Stelle und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen sowie deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, zu berücksichtigen.(5) Die Maßnahmen nach Absatz 3 müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Informationstechnik, Komponenten und Prozesse und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit in der Informationstechnik,2. Bewältigung von Sicherheitsvorfällen,3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Stellen,5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung einschließlich Management und Offenlegung von Schwachstellen,6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme innerhalb der Stelle.(6) Bei der Umsetzung von Maßnahmen nach Absatz 3 durch wichtige Stellen des Landes, die der Fachaufsicht mehrerer oberster Landesbehörden unterliegen, bedarf es der frühzeitigen Abstimmung und Zusammenarbeit dieser obersten Landesbehörden.(7) Durch die Umsetzung der Anforderungen des IT-Grundschutzes ist die Erfüllung der Vorgaben nach den Absätzen 1 bis 5 gewährleistet. Satz 1 gilt nicht für die wichtigen Stellen des Landes, soweit die Europäische Kommission einen Durchführungsrechtsakt nach Artikel 21 Absatz 5 Unterabsatz 2 der Richtlinie (EU) 2022/2555 erlässt, in dem weitergehende technische und methodische Anforderungen festgelegt werden.(8) Die obersten Landesbehörden stellen in ihrem Geschäftsbereich sicher, dass die Leitungen von wichtigen Stellen des Landes regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erwerben. Die Leitungen von unmittelbar an das Landesverwaltungsnetz angeschlossenen Rechenzentren, die als wichtige Stelle des Landes gelten, sind zu regelmäßigen Schulungen verpflichtet.(9) Die obersten Landesbehörden sind verpflichtet, die wichtigen Stellen des Landes in ihrem Geschäftsbereich erstmals sechs Monate nach Inkrafttreten dieser Verordnung und danach alle zwei Jahre bei der Cybersicherheitsagentur zu registrieren. Unmittelbar an das Landesverwaltungsnetz angeschlossene Rechenzentren, die als wichtige Stellen des Landes gelten, jedoch nicht in den Geschäftsbereich einer obersten Landesbehörde fallen, sind verpflichtet, sich sechs Monate, nachdem sie als wichtige Stelle des Landes gelten, bei der Cybersicherheitsagentur zu registrieren. Die Cybersicherheitsagentur übermittelt der nationalen zentralen Anlaufstelle im Sinne des Artikel 8 Absatz 3 der Richtlinie (EU) 2022/2555 erstmalig sechs Monate nach Inkrafttreten dieser Verordnung und danach alle zwei Jahre die Anzahl der wichtigen Stellen des Landes, im Fall von Änderungen unverzüglich.(10) Anderweitig begründete höhere Anforderungen an die Cyber- und Informationssicherheit bleiben unberührt. Den sonstigen öffentlichen Stellen und den an das Landesverwaltungsnetz angeschlossenen Stellen wird die Umsetzung der Maßnahmen nach den Absätzen 3 bis 5 und 8 empfohlen.

§ 4 Überprüfung der Einhaltung der Standards für die Cybersicherheit(1) Die zuständigen obersten Landesbehörden sind berechtigt, die Cybersicherheitsagentur zu ersuchen, die Einhaltung der Standards für die Cybersicherheit nach § 2 Absatz 11 des Cybersicherheitsgesetzes in ihrem Ressortbereich zu überprüfen.(2) Den Umfang der Überprüfung und die zu ergreifenden Maßnahmen bestimmt die fachlich zuständige oberste Landesbehörde. Der Überprüfung haben eine Beratung und eine Risikobetrachtung durch die Cybersicherheitsagentur voranzugehen.(3) Die Cybersicherheitsagentur, die zu überprüfende Stelle und die fachlich zuständige oberste Landesbehörde wirken gemeinsam auf eine ordnungsgemäße und zügige Überprüfung hin und stellen sich hierfür gegenseitig unverzüglich alle erforderlichen Informationen zur Verfügung. Für eine Verarbeitung personenbezogener Daten zum Zweck der Überprüfung bleibt die zu überprüfende Stelle datenschutzrechtlich verantwortlich. Soweit die Überprüfung Informationstechnik betrifft, die von der Landesoberbehörde IT Baden-Württemberg (BITBW), dem Landeszentrum für Datenverarbeitung (LZfD) oder der Anstalt des öffentlichen Rechts Komm.ONE (Komm.ONE) betrieben wird, unterstützen die jeweiligen Stellen die Cybersicherheitsagentur bei der Überprüfung. Soweit die Überprüfung die Verarbeitung personenbezogener Daten erfordert, bleiben die Verpflichtungen der BITBW, des LZfD und der Komm.ONE als Auftragsverarbeiter unberührt.(4) Die Cybersicherheitsagentur kann im Einvernehmen mit der fachlich zuständigen obersten Landesbehörde unmittelbar der BITBW, dem LZfD oder der Komm.ONE Weisungen erteilen, die den Weisungen der zu überprüfenden Stelle aus Auftragsverarbeitung vorgehen und zu deren Befolgung die BITBW, das LZfD oder die Komm.ONE aus dem Auftragsverarbeitungsverhältnis verpflichtet sind, soweit dies zur Durchführung der Überprüfung erforderlich ist und der Zweck der Überprüfung durch die Einbeziehung der zu überprüfenden Stelle vereitelt würde. Inhalt der Weisung darf die Verarbeitung personenbezogener Daten sein, soweit dies zur Durchführung der Überprüfung erforderlich ist. In diesem Fall informiert der Auftragsverarbeiter die zu überprüfende Stelle unverzüglich über die Weisung und die vorgenommene Verarbeitung personenbezogener Daten, sobald diese Informationen den Überprüfungszweck nicht mehr vereiteln. In diesem Fall ist auch die Cybersicherheitsagentur datenschutzrechtlich verantwortlich.(5) Die Cybersicherheitsagentur informiert in regelmäßigen Abständen über den Bearbeitungsstand und übermittelt den Abschlussbericht mit den aus der Überprüfung gewonnenen Erkenntnissen unverzüglich an die überprüfte Stelle und an die fachlich zuständige oberste Landesbehörde. Der Bericht ist nach § 4 Absatz 2 des Landessicherheitsüberprüfungsgesetzes in Verbindung mit den Vorschriften der Verschlusssachenanweisung einzustufen.

§ 5 Allgemeines Meldeverfahren(1) Die öffentlichen Stellen des Landes oder unmittelbar an das Landesverwaltungsnetz angeschlossenen Stellen melden Sicherheitsvorfälle auf Basis der Meldekategorien nach der Anlage zu dieser Verordnung unverzüglich an die Cybersicherheitsagentur. Etwaige anderweitige Melde- und Benachrichtigungspflichten, insbesondere solche aufgrund einer Verletzung des Schutzes personenbezogener Daten, sowie interne Meldeprozesse bleiben hiervon unberührt.(2) Werden einer öffentlichen Stelle des Landes oder unmittelbar an das Landesverwaltungsnetz angeschlossenen Stelle Informationen bekannt, die für die Abwehr von Gefahren für die Cybersicherheit einer öffentlichen Stelle von Bedeutung sind oder sein können und1. als Sicherheitsvorfall nicht eindeutig einer Meldekategorie nach der Anlage zuzuordnen sind,2. als Cyberbedrohung oder Beinahevorfall zu bewerten sind oder3. als Sicherheitsvorfall, Cyberbedrohung oder Beinahevorfall zu bewerten sind und eine öffentliche Stelle betreffen, die nicht nach Absatz 1 gegenüber der Cybersicherheitsagentur meldepflichtig ist,sollen diese Informationen der Cybersicherheitsagentur gemeldet werden, soweit es sich nicht um Informationen nach § 4 Absatz 4 des Cybersicherheitsgesetzes handelt. Im Fall von Satz 1 Nummer 3 ist die betroffene öffentliche Stelle durch die Cybersicherheitsagentur über die Meldung in Kenntnis zu setzen.(3) Sofern die Informationen nach den Absätzen 1 oder 2 personenbezogene Daten enthalten, sind diese zu anonymisieren. Ist eine Anonymisierung nur mit unverhältnismäßigem Aufwand möglich, sind sie zu pseudonymisieren. Sind die personenbezogenen Daten im Rahmen der Meldung zur Abwehr von Gefahren erforderlich oder ist eine Pseudonymisierung nur mit unverhältnismäßigem Aufwand möglich, dürfen personenbezogene Daten zum Zweck der Abwehr von Gefahren für die Cybersicherheit verarbeitet werden. Die Originaldaten sind von der meldepflichtigen Stelle bis zum Abschluss des Meldeverfahrens zu speichern.(4) Dritte können auf freiwilliger Basis Meldungen zu erheblichen Sicherheitsvorfällen, Cyberbedrohungen und Beinahevorfällen an die Cybersicherheitsagentur übermitteln. Soweit erforderlich übermittelt die Cybersicherheitsagentur der nationalen zentralen Anlaufstelle im Sinne des Artikel 8 Absatz 3 der Richtlinie (EU) 2022/2555 die Informationen über die nach Satz 1 eingegangenen Meldungen in anonymisierter Form.(5) Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten darf der Austausch von Informationen mit der Cybersicherheitsagentur nicht dazu führen, dass der meldepflichtigen Stelle zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Information nicht übermittelt hätte.(6) § 4 Absätze 3 und 4 ist entsprechend anzuwenden.

§ 6 Besonderes Meldeverfahren bei erheblichen Sicherheitsvorfällen(1) Die wichtigen Stellen des Landes übermitteln der Cybersicherheitsagentur bei erheblichen Sicherheitsvorfällen nach der Anlage zu dieser Verordnung:1. unverzüglich, in jedem Fall innerhalb 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf eine rechtswidrige oder böswillige Handlung zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung in der die unter Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;3. auf Ersuchen der Cybersicherheitsagentur eine Zwischenmeldung über relevante Statusaktualisierungen;4. spätestens einen Monat nach Übermittlung der Meldung nach Nummer 2 eine Abschlussmeldung, die Folgendes enthält:a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;b) Angaben zur Art der Bedrohung oder der zugrundeliegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;d) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.(2) Dauert ein erheblicher Sicherheitsvorfall zu dem in Absatz 1 Nummer 4 genannten Zeitpunkt noch an, legt die betroffene Stelle statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fortschrittsmeldung vor. Die Abschlussmeldung ist dann innerhalb eines Monats nach Abschluss der Bearbeitung des erheblichen Sicherheitsvorfalls vorzulegen.(3) Die Cybersicherheitsagentur übermittelt der betroffenen Stelle bei erheblichen Sicherheitsvorfällen unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der frühen Erstmeldung eine Bestätigung über den Eingang der Meldung, einschließlich einer ersten Rückmeldung zu dem erheblichen Sicherheitsvorfall und stellt auf Ersuchen der betroffenen Stelle, Orientierungshilfen oder operative Beratung zu Abhilfemaßnahmen zur Verfügung.(4) Treten erhebliche Sicherheitsvorfälle bei Informationstechnik auf, die von der BITBW, dem LZfD oder der Komm.ONE betrieben wird, erfolgen die frühe Erstmeldung sowie die weiteren Meldungen nach den Absätzen 1 und 2 ausschließlich durch die BITBW, das LZfD oder die Komm.ONE. In diesen Fällen sind Meldungen anderer wichtiger Stellen des Landes nach den Absätzen 1 und 2 entbehrlich. Die BITBW, das LZfD und die Komm.ONE benachrichtigen zudem unverzüglich die anderen wichtigen Stellen des Landes, bei denen Auswirkungen erkennbar sind, über die vorgenommenen Meldungen.(5) Soweit erforderlich unterrichtet die Cybersicherheitsagentur das BSI über eingegangene Meldungen. § 5 Absatz 4 Satz 2 gilt entsprechend.(6) Soweit die Europäische Kommission einen Durchführungsrechtsakt nach Artikel 23 Absatz 11 Unterabsatz 1 der Richtlinie (EU) 2022/2555 erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind auch diese Vorgaben einzuhalten.(7) § 4 Absätze 3 und 4 sowie § 5 Absätze 3 und 5 sind entsprechend anzuwenden.(8) § 4 Absätze 3 und 4 des Cybersicherheitsgesetzes ist entsprechend anzuwenden.

§ 7 Untersuchung zur Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit(1) Die Cybersicherheitsagentur kann bei öffentlichen Stellen des Landes und den an das Landesverwaltungsnetz angeschlossenen Stellen zur Detektion von Schwachstellen und anderen Sicherheitsrisiken1. Untersuchungen von Informationstechnik durchführen, um festzustellen, ob die Stelle unzureichend geschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein könnte,2. Abfragen an den Schnittstellen öffentlich erreichbarer Informationstechnik zu öffentlichen Telekommunikationsnetzen durchführen, um festzustellen, ob diese Schnittstellen unzureichend geschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein könnten.(2) Informationstechnik nach § 5 Absatz 1 Satz 8 in Verbindung mit § 2 Absatz 6 Satz 2 und Absatz 7 Satz 2 des Cybersicherheitsgesetzes ist von der Befugnis nach Absatz 1 nicht erfasst.

§ 8 Verfahren der Untersuchung(1) Eine Untersuchung nach § 7 Absatz 1 Nummer 1 erfolgt1. auf Antrag der jeweils zuständigen obersten Landesbehörde,2. auf Antrag der zu untersuchenden Stelle oder3. nach Empfehlung der Cybersicherheitsagentur.In den Fällen der Nummern 2 und 3 ist das Einvernehmen mit der zuständigen obersten Landesbehörde erforderlich. Erfolgt eine Untersuchung auf Antrag, ist der Eingang des Antrags durch die Cybersicherheitsagentur zu bestätigen. § 4 Absatz 2 Satz 2 ist entsprechend anzuwenden.(2) Die Cybersicherheitsagentur erhält von der zu untersuchenden Stelle bei der Untersuchung nach § 7 Absatz 1 Nummer 1 die notwendigen Zugriffsrechte hinsichtlich der zu untersuchenden Informationstechnik sowie notwendige Informationen einschließlich technischer Details, soweit andere Regelungen dem nicht entgegenstehen.(3) Die zu untersuchende Stelle ist berechtigt, bei der Untersuchung nach § 7 Absatz 1 Nummer 1 teilzunehmen und gegebenenfalls mitzuwirken. Etwaige von der Cybersicherheitsagentur erlangte Daten sind, soweit sie für den weiteren Verlauf der Untersuchung nicht oder nicht mehr erforderlich sind, unverzüglich zu löschen.(4) Wird durch die Untersuchung eine Schwachstelle oder ein anderes Sicherheitsrisiko in der Informationstechnik erkannt, ist die untersuchte Stelle unverzüglich darüber zu informieren. Die Cybersicherheitsagentur soll dabei auf bestehende Abhilfemöglichkeiten hinweisen.(5) § 4 Absätze 3 und 4 ist entsprechend anzuwenden.

§ 9 Verantwortung für die Cyber- und Informationssicherheit(1) Die Leitung der jeweiligen öffentlichen oder an das Landesverwaltungsnetz angeschlossenen Stelle ist dafür verantwortlich, unter Berücksichtigung der Belange des Betriebs der Informationstechnik die Voraussetzungen zur Gewährleistung der Cyber- und Informationssicherheit zu schaffen und ihre Umsetzung zu überwachen.(2) Kommt eine wichtige Stelle des Landes den Pflichten nach § 3 Absätze 3 und 4 oder § 6 Absätze 1 bis 4 nicht nach, kann die Cybersicherheitsagentur im Einvernehmen mit der fachlich zuständigen obersten Landesbehörde die erforderlichen Anordnungen treffen und Maßnahmen ergreifen. Sofern ein Einvernehmen nicht hergestellt werden kann, trifft der nach § 20 Absatz 1 des E-Government-Gesetzes Baden-Württemberg eingerichtete IT-Rat Baden-Württemberg die Entscheidung über die Anordnungen oder Maßnahmen.(3) Die öffentlichen Stellen, die Leistungen für andere öffentliche Stellen erbringen, gewährleisten die Cyber- und Informationssicherheit dieser Leistungen.(4) Vertragliche Dienstleister, die als Auftragnehmer für öffentliche Stellen Leistungen erbringen, sind bei der Auftragserteilung auf die Einhaltung dieser Verordnung im notwendigen Umfang zu verpflichten. Dies ist über einzelvertragliche Regelungen oder Rahmenverträge sicherzustellen und vom Auftraggeber angemessen zu kontrollieren.