Veröffentlicht am von Michael_Schulze

Anfrage an den OB zu kritischen IT-Infrastrukturen in der Verwaltung und bei Beteiligungsunternehmen

Guten Morgen,

ich habe folgende Fragen zu kritischen IT-Infrastrukturen in Duisburg und möchte Sie bitten diese auch an die Verantwortlichen bzw. die Stellen in den entsprechend betroffenden Beteiligungsunternehmen zu senden.

Ich frage vor allem vor dem Hintergrund einiger Ankündigungen hinsichtlich der Weiterführung der Aktivitäten im Zusammenhang mit SmartCityDuisburg (u.a. mit HUAWEI) sowie im Zusammenhang mit künftigen Online-Angeboten bzgl. der Umsetzungen gemäß OZG, das nächstes Jahr in Kraft tritt.

Mit dem Inkrafttreten des „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (kurz IT-Sicherheitsgesetz 2.0) wurde über die Neuregelung des § 9b BSI-Gesetz ein Prüfverfahren für den Einsatz kritischer Komponenten im Sinne von § 2 Abs. 13 BSI-Gesetz in Kritischen Infrastrukturen eingeführt.

Die Bundesnetzagentur hat im Einvernehmen mit dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit den Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen (nach § 109 Abs. 6 S. 1 TKG) und für die Verarbeitung personenbezogener Daten als Grundlage für das Sicherheitskonzept (nach § 109 Abs. 4 TKG) erstellt.

Meine Fragen:

Sind städtische IT-Infrastrukturen und/oder die von beauftragten Unternehmen und/oder die von städtischen Beteiligungsunternehmen gemäß des vorerwähnten IT-Sicherheitsgesetzes 2.0 betroffen bzw. unterliegen sie dem Gesetz?

Sind bereits Prüfverfahren durchgeführt worden, wenn ja von wem und mit welchen Ergebnissen?

Wie werden BürgerInnen bei der Nutzung der vorerwähnten IT-Infratstrukturen konkret geschützt bzw. wie schützen sie sich am besten selbst bei der Nutzung und gibt es dazu Handlungsanweisungen die über ein notwendiges übliches Maß an Vorsichtsmaßnahmen hinausgehen?

Gibt es ein öffentliches Register und/oder Meldesystem zum Speichern und/oder Melden von sicherheitsrelevanten Vorfällen?

Werden den BürgerInnen Komponnenten hardwareseitig und/oder softwareseitig zur Verfügung gestellt um Schwachstellen zu prüfen und/oder solche zu vermeiden?

Inwieweit wird das IT-Personal geschult und von wem und wird es regelmässig sicherheitstechnisch überwacht und überprüft?

Mit freundlichem Gruß

DUISTOP
Stadtmagazin

Michael Schulze

Für alle die sich weitergehender für das wichtige Thema interessieren hier vier Links:

https://www.bmi.bund.de/DE/themen/it-und-digitalpolitik/it-und-cybersicherheit/kritische-infrastrukturen/pruefung-nach-para-9b-bsi-g.html

https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Sicherheitsanforderungen-node.html

https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/KatalogSicherheitsanforderungen.pdf

https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/ListekritischeFunktionen.pdf