Sitzung vom 28. März 2023

Lastenheft für einen öffentlichen Dienstleistungsauftrag über eine Risikoanalyse und einen Aktionsplan für kritische IT-Infrastrukturen und Systeme im Ministerium der Deutschsprachigen Gemeinschaft

1. Beschlussfassung: 

Die Regierung beschließt die Durchführung einer Risikoanalyse und eines Aktionsplans für kritische IT-Infrastrukturen und Systeme im Ministerium der Deutschsprachigen Gemeinschaft durch einen externen Berater.

Die Regierung stimmt dem vorgelegten Entwurf des Lastenheftes „Risikoanalyse und einen Aktionsplan für kritische IT-Infrastrukturen und Systeme im Ministerium der Deutschsprachigen Gemeinschaft“ zu.

Der Ministerpräsident wird mit der Durchführung des vorliegenden Beschlusses beauftragt.

2. Erläuterungen: 

Das Projekt ist unter Nummer 4.5 Bestandteil der Maßnahmen im Rahmen der Verwaltungsreform.

Zur Erfüllung seines öffentlichen Auftrags im Rahmen seiner Zuständigkeiten erhebt und verarbeitet das Ministerium in großem Umfang Daten.

Angesichts der zunehmenden Bedrohungen (z. B. Social Engineering, Malware, Naturkatastrophen, Systemausfälle, Konfigurationsfehler usw.) muss das Ministerium auch in Krisensituationen in der Lage sein, seinen öffentlichen Auftrag zu erfüllen und seine Dienstleistungen für Bürger, Unternehmen, lokale Einrichtungen und Vereinigungen anzubieten. Diese Anforderung erhält eine zusätzliche Bedeutung durch die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2), von der das Ministerium betroffen sein wird.

Der Auftrag besteht in der Durchführung eines Evaluierungsaudits (White Audit) der bestehenden (IT-)Infrastruktur in Bezug auf die Dienstleistungen des Ministeriums mit einer Priorisierung nach Relevanz für Bürger, Unternehmen, lokale Einrichtungen und Vereinigungen durch externe Experten. Daraus sollen Empfehlungen für ein Informationssicherheits-Managementsystem abgeleitet werden.

In einem ersten Schritt werden auf Basis einer Bestandsaufnahme der Dienstleistungen des Ministeriums die vorhandenen Ressourcen (insbesondere IT-Infrastruktur) und Prozesse erfasst und abgebildet. 

Anschließend werden diese Ressourcen und Prozesse nach ihrer Relevanz für Bürgerinnen und Bürger, Unternehmen, lokale Einrichtungen und Vereinigungen priorisiert und damit der Umfang für die weiteren Schritte festgelegt.

Nach der Identifikation der kritischsten Ressourcen werden diese in einem zweiten Schritt in Anlehnung bzw. Anwendung der Norm ISO 27001 auf mögliche Risiken hinsichtlich Verfügbarkeit, Authentizität und Integrität, Vertraulichkeit und Konformität mit gesetzlichen und sonstigen Vorgaben untersucht.

Basierend auf diesen Erkenntnissen wird in einer dritten Phase ein Aktionsplan mit konkreten Maßnahmen erstellt, der den Umgang mit Vorfällen und Risiken regelt und Verfahren zur Sicherstellung des betrieblichen Informationssicherheits- bzw. Kontinuitätsmanagements vorsieht. Am Ende steht der Aufbau eines Informationssicherheits-Managementsystems mit entsprechender Dokumentation.

Auch wenn derzeit keine Zertifizierung nach ISO27001 angestrebt wird, sollen die Anforderungen dieser Norm als Referenz für die Risikobewertung dienen.

3. Finanzielle Auswirkungen:

Das Einholen von Angeboten hat keine unmittelbaren finanziellen Auswirkungen. 

Die Beauftragung des Anbieters wird jedoch finanzielle Auswirkungen haben, die sich aus der Vergabe des Auftrages ergeben, insofern der Auftrag vergeben wird. 

Diese finanziellen Auswirkungen entsprechen den Kosten der Risikoanalyse und liegen voraussichtlich unter 120.000,- € (ohne MwSt.).

4. Gutachten: 

Ein Gutachten des Finanzinspektors vom 22. März 2023 liegt vor.

5. Rechtsgrundlage: 

  • Gesetz vom 17. Juni 2016 über öffentliche Aufträge; 
  • Gesetz vom 17. Juni 2013 über die Begründung, Unterrichtung und Rechtsmittel im Bereich öffentlicher Aufträge und bestimmter Bau-, Liefer- und Dienstleistungsaufträge sowie Konzessionen; 
  • Königlicher Erlass vom 18. April 2017 über die Vergabe öffentlicher Aufträge in den klassischen Bereichen; 
  • Königlicher Erlass vom 14. Januar 2013 zur Festlegung der allgemeinen Regeln für die Ausführung öffentlicher Aufträge.