Präambel

Staat, Wirtschaft und Gesellschaft werden durch die immer intensivere Nutzung moderner Informationstechnik (IT) geprägt. Informationsinfrastrukturen gehören heute neben Straßen, Wasser- und Stromleitungen zu den nationalen Infrastrukturen, ohne die das berufliche und das private Leben zum Stillstand kämen. Auch für den Sächsischen Landtag wäre eine effektive parlamentarische Arbeit ohne geeignete Informationsinfrastruktur nicht mehr denkbar.

Der Freistaat Sachsen stellt mit dem Sächsischen Verwaltungsnetz eine Informationsinfrastruktur bereit. Diese steht einem Verbund staatlicher und nicht staatlicher Stellen, dem der Sächsische Landtag einschließlich seiner gewählten Mitglieder und deren Beschäftigten, der Fraktionen und deren Mitarbeiterinnen und Mitarbeitern und seiner Verwaltung angehört, zur Nutzung zur Verfügung. Das Sächsische Verwaltungsnetz gilt es gegen Angriffe auf die Informationssicherheit und auf die IT-Sicherheit zu schützen, um sowohl die Vertraulichkeit und die Integrität der gespeicherten Daten als auch die Verfügbarkeit und die Funktionsfähigkeit der Informations- und Kommunikationssysteme sicherzustellen.

Um die Informationssicherheit im Freistaat Sachsen zu erhöhen und Gefahren für informationstechnische Systeme abzuwehren, hat der Sächsische Landtag ein Gesetz zur Gewährleistung der Informationssicherheit im Freistaat Sachsen (Sächsisches Informationssicherheitsgesetz) beschlossen. Es trägt der verfassungsmäßigen Stellung des Sächsischen Landtags Rechnung, indem es den Sächsischen Landtag nur teilweise in seinen Geltungsbereich einbezieht und ihm im Übrigen die Verpflichtung auferlegt, sich eine Informationssicherheitsleitlinie zu geben.

Mit der Informationssicherheitsleitlinie hat der Sächsische Landtag nicht nur für sich selbst ein angemessenes Sicherheitsniveau festzulegen, sondern darüber hinaus auch sicherzustellen, dass sich seine Schutzmechanismen wirkungsvoll in das Gesamtsystem, welches sich aus der Einbindung in das Sächsische Verwaltungsnetz zum einen und aus dem vom Sächsischen Informationssicherheitsgesetz vorgegebenen Rahmen zum anderen ergibt, eingliedern. Die vorliegende Informationssicherheitsleitlinie basiert auf der bereits seit dem Jahre 2014 in der Landtagsverwaltung etablierten Leitlinie zur Gewährleistung der IT-/Informationssicherheit für den Sächsischen Landtag.

1
Bedeutung der IT-/Informationssicherheit für den Sächsischen Landtag

Durch die verstärkte Abhängigkeit von moderner Kommunikationstechnik hat sich das Risiko der Beeinträchtigung von Informationsinfrastrukturen und deren Komponenten durch vorsätzliche Angriffe von innen und außen, fahrlässiges Handeln, Nachlässigkeiten, Ignoranz, Unkenntnis und potenzielles Versagen der Technik sowohl qualitativ als auch quantitativ deutlich erhöht. Auch der Sächsische Landtag ist diesen Risiken ausgesetzt.

Vor diesem Hintergrund ist eine angemessene IT-/Informationssicherheit in den Geschäftsprozessen des Sächsischen Landtags zu organisieren. Es sind organisatorische Rahmenbedingungen zur nachhaltigen Gewährleistung von IT-/Informationssicherheit zu schaffen, ein IT-/Informationssicherheitsmanagement einzurichten, Standards zur IT-/Informationssicherheit einschließlich der Definition von Verantwortlichkeiten und Befugnissen zu erarbeiten, Komponenten zur Steigerung der IT-/Informationssicherheit zu standardisieren und alle Sicherheitsvorkehrungen und Sicherheitsmaßnahmen hinreichend zu dokumentieren.

Die Informationssicherheitsleitlinie beschreibt die allgemeinen Ziele, Strategien und Organisationsstrukturen, welche für die Initiierung und Etablierung eines ganzheitlichen IT-/Informationssicherheitsprozesses erforderlich sind. Sie bildet außerdem den Rahmen für spezifische Sicherheitskonzepte und Organisationsanweisungen des Sächsischen Landtags im Bereich der IT-/Informationssicherheit, insbesondere für das IT-Sicherheitskonzept und das Notfallkonzept.

2
Geltungsbereich

Diese Informationssicherheitsleitlinie gilt

• für jegliche Informations- und Kommunikationstechnik, die über die IT-Infrastruktur des Sächsischen Landtags an das Sächsische Verwaltungsnetz angebunden ist und

• von den Mitgliedern des Sächsischen Landtags (nachfolgend: Abgeordnete) und deren Beschäftigten, den Fraktionen des Sächsischen Landtags (nachfolgend: Fraktionen) und deren Beschäftigten sowie von den Beschäftigten der Landtagsverwaltung genutzt wird.

Externe, die vom Sächsischen Landtag, von Abgeordneten, den Fraktionen bzw. der Landtagsverwaltung mit der Erbringung von Leistungen im Zusammenhang mit Informations- und Kommunikationstechnik beauftragt werden, haben die Vorgaben dieser Informationssicherheitsleitlinie ebenfalls einzuhalten. Sie sind dazu von der jeweiligen Auftraggeberin oder dem jeweiligen Auftraggeber auf die Einhaltung dieser Informationssicherheitsleitlinie vertraglich zu verpflichten.

3
Grundsätze und Ziele der IT-/Informationssicherheit

3.1
Grundsätze

3.1.1
Begriffseinführung

IT-/Informationssicherheit: IT-/Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. Die IT-/Informationssicherheit umfasst die Sicherheit der IT-Systeme und der darin gespeicherten Daten.

Vertraulichkeit: Vertrauliche Informationen, Daten und Programme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen. Zu den Schutzobjekten gehören die gespeicherten oder transportierten Nachrichteninhalte, die näheren Informationen über den Kommunikationsvorgang (wer, wann, wie lange etc.) sowie die Daten über den Sende- und Empfangsvorgang.

Integrität: Integrität heißt Vollständigkeit und Korrektheit. Der Begriff der Integrität bezieht sich auf Informationen, Daten und gesamte IT-Systeme. Die Integrität der Daten kann nur bei ordnungsgemäßer Verarbeitung und Übertragung sichergestellt werden.

Vollständigkeit: Vollständigkeit setzt voraus, dass alle Teile der Information verfügbar sind.

Korrektheit: Korrekt sind Daten, wenn sie den bezeichneten Sachverhalt unverfälscht wiedergeben.

Verfügbarkeit: Die Funktionen der Hard- und Software im System- und Netzbereich sowie notwendige Informationen stehen Nutzerinnen und Nutzern zum geforderten Zeitpunkt in der erforderlichen Weise zur Verfügung.

3.1.2
IT-/Informationssicherheitsstandards

Für das IT-Sicherheitskonzept, das Notfallkonzept, die Risikoanalysen und die weiteren Maßnahmen zur Erreichung und Aufrechterhaltung eines angemessenen und ausreichenden IT-/Informationssicherheitsniveaus gelten grundsätzlich die Standards und Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in der jeweils aktuellen Fassung.

3.1.3
IT-/Informationssicherheit als Leistungsmerkmal von IT-Verfahren

Die IT-/Informationssicherheit ist ein zu bewertendes und herbeizuführendes Leistungsmerkmal von IT-Verfahren. Bleiben im Einzelfall trotz der Sicherheitsvorkehrungen Risiken untragbar, ist auf den IT-Einsatz zu verzichten. Belange der IT-/Informationssicherheit sind zu berücksichtigen bei:

• der Entwicklung und Einführung von IT-Verfahren

• dem Betrieb und der Pflege von IT-Verfahren

• der Beschaffung und Beseitigung/Entsorgung von IT-Produkten

• der Nutzung von Diensten Dritter.

3.1.4
IT-/Informationssicherheit als Leistungsmerkmal der Organisation

Bei der Gestaltung von technischen und organisatorischen Sicherheitsmaßnahmen ist darauf zu achten, dass diese stets integraler Bestandteil der Prozesse sind. Belange der IT-/Informationssicherheit sind zu berücksichtigen bei:

• der Gestaltung der Organisation

• der Schaffung und Besetzung von Rollen

• der Führung von Mitarbeiterinnen und Mitarbeitern

• dem Bereich Aus- und Weiterbildung

• der Gestaltung von Arbeitsabläufen

• der Zusammenarbeit mit anderen Behörden und Externen

• der Auswahl und dem Einsatz von Arbeits- und Hilfsmitteln.

3.1.5
Ressourcenbereitstellung und Ausstattung

Für die Umsetzung der in dieser Leitlinie beschriebenen erforderlichen und angemessenen Sicherheitsmaßnahmen sind die notwendigen Ressourcen und Investitionsmittel und die erforderlichen Haushaltsmittel bereitzustellen. Zu bewerten sind besonders die Auswirkungen auf die physische und psychische Unversehrtheit von Menschen, bestimmbare finanzielle Schäden und die Beeinträchtigung des Ansehens des Sächsischen Landtags.

3.1.6
Sicherheit vor Verfügbarkeit

Bei Bedrohung der IT-/Informationssicherheit des Sächsischen Landtags kann die Verfügbarkeit von Informations- und Kommunikationstechnik, IT-Anwendungen, Daten und Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko vorübergehend eingeschränkt werden. Im Interesse der Funktionsfähigkeit des gesamten Hauses ist der Schutz vor Schäden vorrangig. Vertretbare Einschränkungen in Bedienung und Komfort sind hinzunehmen. Dies gilt insbesondere für alle Übergänge zu anderen Netzwerken.

3.1.7
Prinzip der informierten Nutzerinnen und Nutzer

Die Nutzerinnen und Nutzer sind bezüglich der IT-/Informationssicherheit wiederkehrend zu sensibilisieren und fortwährend zu qualifizieren. Die aktuellen Regelungen sind den Nutzerinnen und Nutzern bekannt zu machen und regelmäßig in Erinnerung zu rufen.

3.2
IT-/Informationssicherheitsziele

Alle Einrichtungen, die der Erstellung, Speicherung, Aufbewahrung und Übertragung von Daten dienen, sind so auszuwählen, zu integrieren und zu konfigurieren, dass für die auf ihnen verarbeiteten Daten zu jeder Zeit und unter allen Umständen das angemessene Maß an Verfügbarkeit, Vertraulichkeit und Integrität sichergestellt ist. Die Einhaltung dieser Anforderungen ist unabdingbarer Bestandteil jedes Einsatzes von Informations- und Kommunikationstechnik.

3.2.1
Verfügbarkeit

Für jedes IT-Verfahren sind die Zeiten, in denen es verfügbar sein soll, festzulegen. Die Beschreibung der notwendigen Verfügbarkeit umfasst:

• die regelmäßigen Betriebszeiten

• die Zeiten mit erhöhter Verfügbarkeitsanforderung

• die maximal tolerierbare Dauer einzelner Ausfälle

Ebenfalls festzulegen sind Konditionen planbarer Ausfallzeiten.

3.2.2
Vertraulichkeit

Die in allen IT-Verfahren erhobenen, gespeicherten, verarbeiteten und weitergegebenen Daten sind zu klassifizieren. Dementsprechend ist der zugriffsberechtigte Personenkreis zu bestimmen. Der Zugriff auf IT-Systeme, IT-Anwendungen und Daten sowie Informationen ist auf den unbedingt erforderlichen Personenkreis zu beschränken. In diesem Zusammenhang sind vor allem die mit der parlamentarischen Arbeit verbundenen Besonderheiten zu beachten.

3.2.3
Integrität

Alle IT-Verfahren sollen stets aktuelle und vollständige Informationen liefern, eventuelle verfahrens- oder informationsverarbeitungsbedingte Einschränkungen sind zu dokumentieren. Entsprechend ihrer Klassifizierung sind Daten gegen unbeabsichtigte Veränderung und Verfälschung zu schützen.

3.2.4
Festlegungen

Die Festlegungen zur Verfügbarkeit, Vertraulichkeit und Integrität erfolgen im IT-Sicherheitskonzept und im Notfallkonzept.

4 Verantwortlichkeiten

4.1
Verantwortlichkeit der Leitungsebene

Die Präsidentin oder der Präsident des Sächsischen Landtags ist für eine angemessene IT-/Informationssicherheit des Sächsischen Landtags in seiner Gesamtheit und insbesondere als Teilnehmer im Sächsischen Verwaltungsnetz verantwortlich.

Verantwortlich sind des Weiteren

• für die Bereiche der Fraktionen die oder der jeweilige Fraktionsvorsitzende oder eine von dieser Person benannte verantwortliche Person (Abgeordnete oder leitende Angestellte als akkreditierte Mitarbeiterin oder akkreditierter Mitarbeiter einer Fraktion),

• die Abgeordneten für ihre Bereiche,

• für den Bereich der Landtagsverwaltung die Direktorin oder der Direktor beim Landtag.

4.2
Verantwortung der Nutzerinnen und Nutzer

Im Übrigen ist jede Nutzerin oder jeder Nutzer dafür verantwortlich, dass die IT-/Informationssicherheit in dem von dem jeweils beeinflussbaren Bereich durch verantwortungsvolles Handeln gewährleistet wird. Sie haben die für die IT-/Informationssicherheit relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen einzuhalten sowie korrekt und verantwortungsbewusst mit den genutzten Informationen, Daten und IT-Systemen umzugehen.

5 IT-/Informationssicherheitsorganisation

Die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerfüllung und damit auch für die Informationssicherheit verbleibt bei der Präsidentin oder dem Präsidenten des Sächsischen Landtags. In gleicher Weise ist die Direktorin oder der Direktor des Sächsischen Landtags verantwortlich für die Informationssicherheit in der Verwaltung, die Abgeordneten für die Informationssicherheit im Rahmen ihrer Mandatsausübung, die Fraktionsvorsitzenden für die Informationssicherheit in den Fraktionen, soweit von den Fraktionsvorsitzenden hierfür nicht andere Verantwortliche benannt werden. Die Verantwortung erstreckt sich jeweils auch auf die Beschäftigten der jeweiligen Organisationseinheiten sowie gegebenenfalls auf Dritte, die als Auftragnehmerin oder Auftragnehmer für die unter den Sätzen 1 und 2 genannten Leistungen erbringen.

5.1
IT-/Informationssicherheitsbeauftragte, IT-/Informationssicherheitsbeauftragter

Für den Sächsischen Landtag wird durch die Präsidentin oder den Präsidenten im Benehmen mit dem Präsidium eine Mitarbeiterin oder ein Mitarbeiter der Landtagsverwaltung als IT- und Informationssicherheitsbeauftragte oder als IT- und Informationssicherheitsbeauftragter bestellt. Die oder der IT- und Informationssicherheitsbeauftragte berichtet an die Direktorin oder den Direktor des Landtags und kann sich unmittelbar an die Präsidentin oder den Präsidenten, das Präsidium und das Informationssicherheitsteam wenden. Die oder der IT- und Informationssicherheitsbeauftragte ist zentrale IT-/Informationssicherheitsinstanz im Sächsischen Landtag. IT-/Informationssicherheitsbeauftragte unterstehen bei der Ausübung ihrer Aufgaben nur dem Weisungsrecht der Präsidentin oder des Präsidenten des Sächsischen Landtags.

Die oder der IT- und Informationssicherheitsbeauftragte hat insbesondere folgende Aufgaben:

• Unterstützung und Beratung der Verantwortlichen gemäß Nummer 4.1 in allen Fragen der Informationssicherheit,

• Ansprechpartner für die Nutzerinnen und Nutzer zu den Fragen der IT-/Informationssicherheit,

• Aufbau, Betrieb und Weiterentwicklung der IT-/Informationssicherheitsorganisation und des dazugehörigen Managementprozesses,

• Steuerung des IT-/Informationssicherheitsprozesses,

• Überprüfung der Umsetzung der Vorgaben zur IT-/Informationssicherheit,

• Erstellung, Fortschreibung und Umsetzung des IT-Sicherheitskonzeptes und des Notfallkonzeptes,

• Vorschlag von neuen Sicherheitsmaßnahmen und -strategien,

• Analyse und Nachbearbeitung von IT-/Informationssicherheitsvorfällen,

• Unterstützung und Beratung der Beauftragten für Organisation bei allen Prozessen, Regelungen, Maßnahmen usw., die Aspekte der IT-/Informationssicherheit berühren,

• Mitwirkung bei Beschaffungsmaßnahmen, die Auswirkungen auf die Sicherheit der Informationstechnik haben,

• Koordination von Sensibilisierungs- und Schulungsmaßnahmen,

• Maßnahmen nach § 13 Absatz 6 und 7 des Sächsischen Informationssicherheitsgesetzes; diese sind im Einvernehmen zu treffen mit:

  1. 1.)

     der Präsidentin oder dem Präsidenten des Sächsischen Landtags und den jeweiligen Fraktionsvorsitzenden oder deren benannten anderen Verantwortlichen im Rahmen der Betroffenheit der Fraktion,

  2. 2.)

     der Präsidentin oder dem Präsidenten des Sächsischen Landtags und den jeweiligen betroffenen Abgeordneten im Rahmen der Betroffenheit der Mandatsausübung,

  3. 3.)

     der Direktorin oder dem Direktor des Sächsischen Landtags gemeinsam mit einer oder einem weiteren Bediensteten mit Befähigung zum Richteramt im Rahmen der Betroffenheit der Verwaltung,

• Meldung von besonders sicherheitsrelevanten Zwischenfällen, insbesondere gemäß § 15 des Sächsischen Informationssicherheitsgesetzes; diese sind im Einvernehmen zu treffen mit:

  1. 1.)

     der Präsidentin oder dem Präsidenten des Sächsischen Landtags und den jeweiligen Fraktionsvorsitzenden oder deren benannten anderen Verantwortlichen im Rahmen der Betroffenheit der Fraktion,

  2. 2.)

     der Präsidentin oder dem Präsidenten des Sächsischen Landtags und den jeweiligen betroffenen Abgeordneten im Rahmen der Betroffenheit der Mandatsausübung,

  3. 3.)

     der Direktorin oder dem Direktor des Sächsischen Landtags gemeinsam mit einer oder einem weiteren Bediensteten mit Befähigung zum Richteramt für die Fälle der Betroffenheit der Verwaltung.

5.2
IT-/Informationssicherheitsteam

Der oder dem IT- und Informationssicherheitsbeauftragten steht ein IT-/Informationssicherheitsteam beratend zur Seite. Ihm gehören neben den von der Direktorin oder dem Direktor entsandten Beschäftigten der Landtagsverwaltung je eine von jeder Fraktion benannte Abgeordnete oder ein von jeder Fraktion benannter Abgeordneter und eine Abgeordnete oder ein Abgeordneter als Stellvertreterin oder Stellvertreter an. Es darf je Fraktion eine als Mitarbeiterin der Fraktion akkreditierte Beraterin oder ein als Mitarbeiter der Fraktion akkreditierter Berater gemeinsam mit der oder dem jeweiligen Abgeordneten an den Sitzungen und Beratungen teilnehmen.

Die Mitglieder des IT-/Informationssicherheitsteams unterstützen die IT- und Informationssicherheitsbeauftragte oder den IT- und Informationssicherheitsbeauftragten auf dessen Verlangen hin.

Die oder der IT-/Informationssicherheitsbeauftragte informiert das IT-/Informationssicherheitsteam regelmäßig über ihre oder seine Arbeit, insbesondere über die Arbeit der Arbeitsgruppe Informationssicherheit.

6 Maßnahmen zur Sicherung und Verbesserung der IT-/Informationssicherheit

6.1
Allgemeine Maßnahmen

Die Verantwortlichen gemäß Nummer 4.1 gewährleisten für ihre Verantwortungsbereiche die Umsetzung dieser Richtlinie, stellen im Rahmen der verfügbaren Haushaltsmittel die Ressourcen für die Beschaffung und den Betrieb der vereinbarten und angeordneten Sicherheitsmaßnahmen zur Verfügung, veranlassen erforderliche Schulungsmaßnahmen und unterstützen einen auf die Verbesserung der IT-/Informationssicherheit gerichteten kontinuierlichen Prozess.

Der IT-/Informationssicherheitsprozess wird von den Verantwortlichen gemäß Nummer 4.1 regelmäßig auf seine Aktualität, Wirksamkeit und Einhaltung überprüft. Abweichungen vom angestrebten Sicherheits- und Datenschutzniveau werden mit dem Ziel analysiert, die IT-/Informationssicherheit zu verbessern und ständig auf dem aktuellen Stand zu halten. Insbesondere werden die Maßnahmen daraufhin evaluiert, ob sie bekannt, umsetzbar und in den Betriebsablauf integrierbar sind.

Die Nutzerinnen und Nutzer sind verpflichtet, der oder dem IT- und Informationssicherheitsbeauftragten Unregelmäßigkeiten oder Schwachstellen im System zu melden und darüber hinaus angehalten, mögliche Verbesserungen vorzuschlagen.

6.2
IT-Sicherheitskonzept, Notfallkonzept

Das Präsidium beschließt ein für den gesamten Geltungsbereich der Informationssicherheitsleitlinie verbindliches IT-Sicherheitskonzept und Notfallkonzept. Es soll entsprechend § 14 des Sächsischen Informationssicherheitsgesetzes ausgestaltet werden.

Das IT-Sicherheitskonzept enthält eine Strukturanalyse aller im Sächsischen Landtag betriebenen IT-Systeme, Anwendungen, Infrastruktur-Komponenten und Räume sowie im Rahmen einer Schutzbedarfsfeststellung eine Bewertung hinsichtlich Verfügbarkeit, Vertraulichkeit sowie Integrität. Anhand eines Gefährdungskataloges enthält es aufbauend einen Basissicherheitscheck sowie eine erweiterte Sicherheitsanalyse in Bezug auf Verfügbarkeit, Vertraulichkeit und Integrität ab Schutzbedarf "hoch".

Das Notfallkonzept analysiert und bewertet Unterbrechungen von Geschäftsprozessen, die Auswirkung auf den gesamten Landtag haben, sowie deren Schadensentwicklung. Es definiert Verfügbarkeitsanforderungen und legt den Übergang von der Störung zum Notfall fest. Es definiert Rollen und Verantwortlichkeiten sowie eine prioritäre Einstufung von Maßnahmen im Notbetrieb und beim Wiederanlauf.

6.3
Maßnahmen der Gefahrenabwehr

Die oder der IT- und Informationssicherheitsbeauftragte ist berechtigt, die in § 12 Absatz 1 des Sächsischen Informationssicherheitsgesetzes vorgesehenen Maßnahmen im gesamten Geltungsbereich der Richtlinie zu ergreifen. Für die Verantwortlichen gemäß Nummer 4.1 gilt dies eingeschränkt auf den jeweiligen Verantwortungsbereich entsprechend.

Zur Abwehr von Gefahren für die IT-/Informationssicherheit ist die oder der IT- und Informationssicherheitsbeauftragte nach Information der Betroffenen berechtigt, alle erforderlichen Maßnahmen, bis hin zur Sperrung von Anwendungen oder Netzzugängen, zu ergreifen und anzuordnen.

Vor Durchführung der Maßnahmen hat die oder der IT- und Informationssicherheitsbeauftragte die Zustimmung

• der Präsidentin oder des Präsidenten, sofern der Landtag in seiner Gesamtheit oder Bereiche mehrerer Fraktionen,

• der jeweiligen Fraktionsvorsitzenden oder einer oder eines von ihnen benannten Verantwortlichen, sofern nur Bereiche einer Fraktion, mehrerer Abgeordneter oder Beschäftigter dieser Fraktion oder

• der jeweiligen Abgeordneten, sofern nur deren Bereiche betroffen sind,

einzuholen. Die Präsidentin oder der Präsident kann die erforderliche Zustimmung nur im Einvernehmen mit dem Präsidium erteilen.

Bei Gefahr im Verzug kann die oder der IT- und Informationssicherheitsbeauftragte die Maßnahmen auch ohne Information der Betroffenen und ohne vorherige Einholung der erforderlichen Zustimmung durchführen. Dabei hat die oder der IT- und Informationssicherheitsbeauftragte die Präsidentin oder den Präsidenten des Landtags, die Direktorin oder den Direktor beim Landtag sowie die für den betroffenen Bereich Verantwortlichen gemäß Nummer 4.1 unverzüglich nachträglich von der Maßnahme zu unterrichten.

6.4
Weitere Maßnahmen bei Nichtbeachtung der Informationssicherheitsleitlinie

Bei schwerwiegenden oder wiederholten Verstößen gegen die Vorgaben der Informationssicherheitsleitlinie informiert die Präsidentin oder der Präsident das Präsidium. Dieses entscheidet über weitergehende Maßnahmen.

Ein Verhalten, das die Ziele dieser Informationssicherheitsleitlinie gefährdet, kann von den Abgeordneten, den Fraktionen und der Landtagsverwaltung gegenüber den jeweiligen Beschäftigten disziplinar- oder arbeitsrechtlich geahndet werden.

Das Recht zur Geltendmachung von Schadensersatzansprüchen bleibt unberührt.