Brandenburgisches Vorschriftensystem

Auf Grund des § 6 Absatz 2 des Landesorganisationsgesetzes vom 24. Mai 2004 (GVBl. I S. 186), auch in Verbindung mit § 9 Absatz 2 Satz 2 und Absatz 1 Satz 3 des Landesorganisationsgesetzes, von denen § 6 Absatz 2 durch Artikel 2 des Gesetzes vom 10. Juli 2014 (GVBl. I Nr. 28 S. 2) geändert und § 9 Absatz 2 Satz 2 und Absatz 1 Satz 3 eingefügt worden sind, und des § 11 Absatz 2 Satz 1 in Verbindung mit Absatz 1 Satz 3 Nummer 1 des Brandenburgischen E-Government-Gesetzes vom 23. November 2018 (GVBl. I Nr. 28 S. 1), der durch das Gesetz vom 27. Oktober 2020 (GVBl. I Nr. 29) geändert worden ist, verordnet die Landesregierung:

§ 1
Zuständige Behörde

Die für die Wahrnehmung der Aufgaben, Ausübung der Befugnisse, Erstellung, Veröffentlichung und regelmäßige Überprüfung der Liste wichtiger Einrichtungen nebst erforderlicher Informationen, Erstellung, Notifizierung und regelmäßige Fortschreibung der Cybersicherheitsstrategie des Landes Brandenburg sowie die Berichterstattung und Teilnahme an der Zusammenarbeit und dem Informationsaustausch auf nationaler und Landesebene nach den Bestimmungen der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie; ABl. L 333 vom 27.12.2022, S. 80, L 2023, 22.12.2023) zuständige Behörde für Cybersicherheit im Sinne von Artikel 8 Absatz 1 der NIS-2-Richtlinie ist die für IT-Sicherheit zuständige oberste Landesbehörde.

§ 2
Computer-Notfallteam

Das für die Durchführung der Aufgaben, Ausübung der Befugnisse, Erfüllung der Anforderungen sowie Teilnahme am Informationsaustausch und an Kooperationsnetzen auf nationaler und internationaler Ebene nach den Bestimmungen der NIS-2-Richtlinie im Land Brandenburg verantwortliche Computer-Notfallteam (Computer Security Incident Response Team – CSIRT) im Sinne von Artikel 10 Absatz 1 der NIS-2-Richtlinie ist der Brandenburgische IT-Dienstleister.

§ 3
Risikomanagementmaßnahmen im Bereich der Cyber- und Informationssicherheit

Die gemäß § 1 von der zuständigen Behörde in die Liste wichtiger Einrichtungen nach Artikel 2 Absatz 2 Buchstabe f Unterbuchstabe ii in Verbindung mit Artikel 3 Absatz 2 Satz 1 und Anhang I Nummer 10, 2. Unterstrich der NIS-2-Richtlinie aufgenommenen Stellen sind zur Gewährleistung der Cyber- und Informationssicherheit im Landesverwaltungsnetz nach § 11 Absatz 1 Satz 3 Nummer 1 des Brandenburgischen E-Government-Gesetzes verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste oder auf andere Dienste zu verhindern oder möglichst gering zu halten. Diese Stellen beachten hierbei die in Artikel 21 Absatz 1 Unterabsatz 1 sowie Absatz 2 bis 4 der NIS-2-Richtlinie genannten Anforderungen an den Umfang, Inhalt und die Verhältnismäßigkeit der Maßnahmen und Korrekturmaßnahmen und berücksichtigen die in den Durchführungsrechtsakten der Europäischen Kommission nach Artikel 21 Absatz 5 der NIS-2-Richtlinie enthaltenen Vorgaben.

§ 4
Berichtspflichten und freiwillige Meldung relevanter Informationen

Die wichtigen Einrichtungen nach § 3 Satz 1 übermitteln dem CSIRT bei Eintritt eines erheblichen Sicherheitsvorfalls im Sinne des Artikel 23 Absatz 3 der NIS-2-Richtlinie die in Artikel 23 Absatz 4 der NIS-2-Richtlinie genannten Informationen innerhalb der in dieser Bestimmung genannten Fristen. Sie können dem CSIRT freiwillige Meldungen nach Artikel 30 Absatz 1 der NIS-2-Richtlinie erstatten.

§ 5
Umsetzungs-, Überwachungs- und Schulungspflichten

Die Leitungen wichtiger Einrichtungen nach § 3 Satz 1 sind für die Umsetzung und Kontrolle der diesen Einrichtungen nach den vorstehenden Bestimmungen obliegenden Risikomanagementmaßnahmen und Berichtspflichten verantwortlich und befugt, die dafür notwendigen Entscheidungen und Anordnungen zu treffen. Sie nehmen regelmäßig an Schulungen zur Erlangung ausreichender Kenntnisse und Fähigkeiten sowie Erkennung und Bewertung von Risiken und Managementpraktiken im Bereich der Informationssicherheit teil und sollen ihren Mitarbeiterinnen und Mitarbeitern entsprechende Schulungen anbieten. Bei Verstößen gegen die Leitungspflichten nach Satz 1 richtet sich die Haftung nach den geltenden allgemeinen Amtshaftungsregelungen.

§ 6
Sonstige Vorschriften

Soweit die NIS-2-Richtlinie Begriffsbestimmungen für Begriffe enthält, die in dieser Verordnung verwendet werden, gelten die Begriffsbestimmungen der NIS-2-Richtlinie auch für diese Verordnung.

§ 7
Inkrafttreten

Diese Verordnung tritt am Tag nach der Verkündung in Kraft.

Potsdam, den 14. Juli 2025

Die Landesregierung
des Landes Brandenburg

Der Ministerpräsident

Dr. Dietmar Woidke

Der Minister der Justiz
und für Digitalisierung

Dr. Benjamin Grimm