Das Gesetz zur Gewährleistung der Informationssicherheit im Freistaat Sachsen (SächsISichG) soll als grundlegende Rechtsvorschriften die Informationssicherheit in den sächsischen Verwaltungen stärken. Dazu werden auch die Kommunen an die Informationssicherheitsstrukturen des Freistaates angebunden.
Die jeweils geltenden Standards und das jeweils geltende IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik werden zur Anwendung empfohlen. Werden durch den IT-Planungsrat Informationssicherheitsstandards verbindlich für den Freistaat Sachsen beschlossen, sind diese Standards auch durch die nicht-staatlichen Stellen bei den von ihnen eingesetzten informationstechnischen Systemen einzuhalten.
Ausgangspunkt für den Aufbau eines behördlichen Informationssicherheitsmanagementsystems (ISMS) ist die Ernennung einer/eines Beauftragten für Informationssicherheit (BfIS) (für die Kommunen siehe § 8 SächsSichG) samt Stellvertretung. Die bzw. der BfIS sind dem Beauftragten für Informationssicherheit des Landes zu melden. So wird die Kommune Teil des IT Sicherheitsnetzwerkes des Freistaates Sachsen. Die Aufgaben der/des BfIS können dabei sowohl intern übernommen oder an einen externen Auftragnehmer abgegeben werden. Die Beauftragten können dabei jeweils auch für mehrere Stellen zuständig sein.
Zum Aufgabengebiet der/des BfIS gehört die Förderung der Informationssicherheit und Planung entsprechender Maßnahmen innerhalb des Zuständigkeitsbereichs, die Beachtung und Einhaltung der Meldepflichten nach §§ 15 und 16 SächISichG sowie Schulungs- und Präventionsarbeit.
Darüber hinaus initiiert und koordiniert sie/er den Aufbau und die Funktion des behördlichen ISMS, insbesondere durch Erstellung eines Informationssicherheitskonzeptes. Bei der Erkennung und Bewertung von Informationssicherheitsvorfällen unterstützt die/der BfIS die Behördenleitung.
Zur Sicherstellung eines grundlegenden Schutzniveaus haben alle sächsischen Kommunen angemessene organisatorische und technische Vorkehrungen sowie sonstige Maßnahmen zur Gewährleistung der Informationssicherheit zu treffen. Diese Aufgabe betrifft übrigens auch Gemeinden, welche im Rahmen einer Verwaltungsgemeinschaft bereits wesentliche Aufgabenbereiche an eine andere Stadt oder Gemeinden abgegeben haben.
Die Bestellung eines gemeinsamen Beauftragten für Informationssicherheit durch mehrere Kommunen kann dazu beitragen, dass gerade kleine Gemeinden mit wenigen Verwaltungsmitarbeitern Teil des IT Sicherheitsnetzwerkes werden und die Aufgaben der Informationssicherheit bewältigen können.