Beauftragter für Informationssicherheit des Landes (BfIS Land)

Jörg Steinig, Jahrgang 1968, schloss 1995 das Studium der Elektrotechnik an der TU Dresden als Diplomingenieur erfolgreich ab. Nach ersten beruflichen Stationen bei Bosch Telekom in Radeberg und Siemens in München baute er im Zuge der Liberalisierung des Telekommunikationsmarktes in Deutschland - aus den Stadtwerken Dresden heraus - einen lokalen Stadtnetzbetreiber mit auf.
 
Mit dem Wechsel zur Festnetztochter Arcor stieg er 2000 in den Vodafone-Konzern ein. Nach verschiedenen Führungspositionen an den Standorten Dresden, Berlin und Düsseldorf war er zuletzt in der Vodafone-Zentrale als Leiter „Management Major Projects“ für alle großen Netzinfrastrukturprojekte im Mobilfunk sowie Glasfaserkabelnetz des Konzerns in Deutschland verantwortlich.
 
Im April 2017 trat er als Unternehmensbereichsleiter „IT-Lösungen / IT-Verfahren“ des landeseigenen IT-Dienstleisters in den Dienst in der Sächsische Staatsverwaltung und wechselte im September 2021 als Referatsleiter „Informations- und Cybersicherheit, kritische Infrastrukturen“ in die Sächsische Staatskanzlei. Der CIO des Freistaats Sachsen, Staatssekretär Prof. Thomas Popp, berief ihn zeitgleich zum Beauftragten für Informationssicherheit des Landes.

Das Gesetz zur Neuordnung der Informationssicherheit im Freistaat Sachsen (SächsGVBl. S. 630) ist am 31. August 2019 in Kraft getreten. Damit wurde ein wesentlicher Schritt zur Stärkung der Informationssicherheit in der öffentlichen Verwaltung unternommen. Die bisherigen Verwaltungsvorschriften zur Informationssicherheit sowie die entsprechenden Regelungen im Sächsischen E-Government-Gesetz wurden zu dem Gesetz zur Gewährleistung der Informationssicherheit im Freistaat Sachsen (SächsISichG) zusammengefasst und erheblich erweitert.

Der  Aufbau einer leistungsfähigen Organisation der Informationssicherheit wurde nunmehr gesetzlich festgeschrieben. Die Informationssicherheitsorganisation enthält:

■ den BfIS Land als zentrale strategische Sicherheitsinstanz,

■ das Sicherheitsnotfallteam (SAX.CERT) im SID als zentrale Stelle für operative Fragen der Informationssicherheit ,

■ den obligatorischen Beauftragten für Informationssicherheit in den staatlichen Stellen, die fakultativen Beauftragten für Informationssicherheit der nicht-staatlichen Stellen und

■ die Arbeitsgruppe Informationssicherheit (AG IS) als Plattform der ressortübergreifenden Zusammenarbeit.

Auf Basis dieser Organisationsstruktur werden die Vorgaben und Maßnahmen zur Informationssicherheit im Freistaat Sachsen abgestimmt und ausgebaut.

Die zentrale strategische Sicherheitsinstanz in der Informationssicherheitsorganisation der Staatsverwaltung ist der BfIS Land. Er wird vom Beauftragten für Informationstechnologie des Freistaates Sachsen ernannt und ist innerhalb der CIO-Organisation eingegliedert. Er ist in der Sächsischen Staatskanzlei angesiedelt (Referat 45 Informations-und Cybersicherheit, kritische Infrastrukturen,) und für alle operativen und koordinierenden Belange der Informationssicherheit zuständig.

Die Gesamtverantwortung der Ressorts für die Informationssicherheit im Rahmen ihrer Ressortverantwortung bleibt davon unberührt. Zu der Ressortverantwortung gehört demnach, dass in jeder obersten Landesbehörde ein hauptamtlicher BfIS zu ernennen ist, der für alle operativen und koordinierenden Belange und Fragen der Informationssicherheit in seinem Verantwortungsbereich zuständig ist.

Die Befugnisse des BfIS Land sind durch das Sächsische Informationssicherheitsgesetz deutlich erweitert worden. Hierzu gehört sein nunmehr festgeschriebenes unmittelbares Vorspracherecht beim Beauftragten für Informationstechnologie des Freistaates Sachsen (CIO https://www.sk.sachsen.de/staatssekretaer-und-amtschef-4617.html). Außerdem wird er mit Kompetenzen ausgestattet, um zur Abwehr von Gefahren für informationstechnische Systeme gegenüber staatlichen und nicht-staatlichen Stellen im Sinne des Gesetzes Anordnungen treffen oder Maßnahmen ergreifen zu dürfen. Er ist für den Aufbau des landesweiten Informationssicherheitsmanagementsystems zuständig und kann verbindliche Mindeststandards für die Informationssicherheit für staatliche Stellen festlegen. Zur Prüfung der Erfolgskontrolle der Umsetzungsmaßnahmen erhält er ein Revisionsrecht gegenüber den staatlichen Stellen.

Über die Ernennung eines Beauftragten für Informationssicherheit der nicht-staatlichen Stellen ist der Beauftragte für Informationssicherheit des Landes innerhalb eines Monats zu unterrichten, § 8 Absatz 1 Satz 5 SächsISichG. Die Mitteilung über ernannte Beauftragte für Informationssicherheit der nicht-staatlichen Stellen kann unter https://mitdenken.sachsen.de/bfis erfolgen.

Das Gesetz statuiert eine jährliche Berichtspflicht des BfIS Land gegenüber dem Sächsischen Landtag. Außerdem unterrichtet er den LA ITEG, den AK ITEG, den IT-Kooperationsrat und die Arbeitsgruppe Informationssicherheit regelmäßig über seine Tätigkeit.

Das Referat des BfIS Land betreut neben dem Themenfeld der Informationssicherheit in der Landesverwaltung auch die Cybersicherheit bei Bürgern und Wirtschaft im Freistaat Sachsen sowie das Themengebiet der IT-Sicherheit kritischer Infrastrukturen in Sachsen.

Das vielfältige Aufgabengebiet des BfIS Land spiegelt sich in der Mitarbeit und Mitgliedschaft zahlreicher Gremien und Initiativen auf Bundes- und Landesebene sowie zwischen diesen Ebenen und auch mit dem kommunalen Bereich wider. In Sachsen ist der BfIS Land Vorsitzender der Arbeitsgemeinschaft Informationssicherheit, Mitglied im Arbeitskreis IT und E-Government, im IT-Kooperationsrat (Land und Kommunen) und im Arbeitskreis Sächsisches Verwaltungsnetz. Auf Bundesebene ist der BfIS Land Mitglied in der AG Informationssicherheit des IT-Planungsrates sowie in der Länder-Arbeitsgruppe Cybersicherheit der Innenministerkonferenz. Zudem ist er Mitglied in der Allianz für Cybersicherheit und im UP KRITIS.