Artikel 1
Änderung des Sächsischen Informationssicherheitsgesetzes

Das Sächsische Informationssicherheitsgesetz vom 2. August 2019 (SächsGVBl. S. 630), das durch Artikel 14 des Gesetzes vom 31. Mai 2023 (SächsGVBl. S. 329) geändert worden ist, wird wie folgt geändert:

1.

In der Inhaltsübersicht wird die Angabe zu § 5 wie folgt gefasst:

„§ 5

Beauftragte oder Beauftragter für Informationssicherheit des Landes“.

2.

§ 2 wird wie folgt geändert:

a)

Absatz 1 Satz 2 wird wie folgt gefasst:

„Auf Beliehene findet ausschließlich Absatz 4 Anwendung.“

b)

In Absatz 3 werden die Wörter „den Mitteldeutschen Rundfunk“ durch die Wörter „die Rundfunkanstalt Mitteldeutscher Rundfunk, die Deutsche Rentenversicherung Mitteldeutschland, die AOK PLUS,“ ersetzt.

c)

Absatz 4 wird aufgehoben.

d)

Absatz 5 wird Absatz 4.

3.

§ 3 wird wie folgt geändert:

a)

Absatz 1 wird wie folgt gefasst:

„(1) Informationssicherheit im Sinne dieses Gesetzes bedeutet die Gewährleistung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der in informationstechnischen Systemen verarbeiteten Informationen und Daten.“

b)

In Absatz 6 werden nach dem Wort „Schutzziele“ die Wörter „Vertraulichkeit, Integrität oder Verfügbarkeit“ eingefügt.

c)

In Absatz 8 werden die Wörter „22. Juni 2004 (BGBl. I S. 1190), das zuletzt durch Artikel 1 des Gesetzes vom 29. November 2018 (BGBl. I S. 2230)“ durch die Wörter „23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 35 des Gesetzes vom 6. Mai 2024 (BGBl. 2024 I Nr. 149)“ ersetzt.

d)

In Absatz 9 Satz 2 werden die Wörter „Nummer 30 des Telekommunikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 1 des Gesetzes vom 28. September 2017 (BGBl. I S. 3530)“ durch die Wörter „Nummer 70 des Telekommunikationsgesetzes und Nutzungsdaten nach § 2 Absatz 2 Nummer 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045), das zuletzt durch Artikel 8 des Gesetzes vom 6. Mai 2024 (BGBl. 2024 I Nr. 149) geändert worden ist“ ersetzt.

4.

§ 4 wird wie folgt geändert:

a)

Nach Absatz 1 wird folgender Absatz 1a eingefügt:

„(1a) Die Verpflichtung nach Absatz 1 Satz 1 umfasst für staatliche Stellen mindestens Maßnahmen

1.

zur Risikoanalyse und zur Sicherheit von informationstechnischen Systemen,

2.

zur Bewältigung von Sicherheitsvorfällen,

3.

zur Aufrechterhaltung des Betriebs und zum Krisenmanagement der informationstechnischen Systeme,

4.

zur Absicherung von Lieferketten zu unmittelbaren Lieferanten oder Diensteanbietern,

5.

zur Sicherheit bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen einschließlich Management und Offenlegung von Sicherheitslücken,

6.

zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen,

7.

zu Sensibilisierungen zu grundlegenden Verfahren und Schulungen,

8.

für den Einsatz von Kryptografie und Verschlüsselung,

9.

für die Zugriffskontrolle und das Management von Anlagen,

10.

zur Multi-Faktor- oder kontinuierlichen Authentifizierung,

11.

zur gesicherten Sprach-, Video- und Textkommunikation sowie zur gesicherten Notfallkommunikation innerhalb der staatlichen Stelle.“

b)

Absatz 3 wird wie folgt geändert:

aa)

In Satz 1 werden vor den Wörtern „der jeweilige Leiter“ die Wörter „die jeweilige Leiterin oder“ eingefügt.

bb)

In Satz 2 wird das Wort „Er“ durch die Wörter „Sie oder er“ ersetzt und werden vor dem Wort „ihm“ die Wörter „ihr oder“ eingefügt.

cc)

Folgender Satz wird angefügt:

„Leiterinnen oder Leiter der staatlichen Stellen müssen regelmäßig an Schulungen zur Informationssicherheit teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich Informationssicherheit und deren Auswirkungen auf die von ihrer staatlichen Stelle erbrachten Dienste zu erwerben.“

dd)

In Absatz 4 werden vor dem Wort „dem“ die Wörter „der oder“ eingefügt.

5.

§ 5 wird wie folgt geändert:

a)

Die Überschrift wird wie folgt gefasst:

„§ 5
Beauftragte oder Beauftragter für Informationssicherheit des Landes“.

b)

Absatz 1 wird wie folgt gefasst:

„(1) Die oder der Beauftragte für Informationssicherheit des Landes wird von der oder dem Beauftragten für Informationstechnologie des Freistaates Sachsen ernannt und nimmt ihre oder seine Aufgaben hauptamtlich wahr. Sie oder er

1.

fördert und unterstützt durch die Erstellung von konkreten Handlungsempfehlungen, Maßnahme- und Formulierungsvorschlägen, Erläuterungen, Leitfäden und auf Anforderungen durch individuelle Beratung die Beauftragten für Informationssicherheit nach § 7 Absatz 1 bei der Erfüllung ihrer Aufgaben, insbesondere bei der Erstellung und Pflege eines Informationssicherheitsmanagementsystems,

2.

initiiert und koordiniert landesweite Sensibilisierungs- und Schulungsmaßnahmen sowie Projekte zur Informationssicherheit,

3.

hat ein direktes Vorspracherecht bei der oder dem Beauftragten für Informationstechnologie des Freistaates Sachsen,

4.

berät und unterstützt die Beauftragte oder den Beauftragten für Informationstechnologie des Freistaates Sachsen bei ihrer oder seiner Aufgabenwahrnehmung bezüglich der Informationssicherheit,

5.

ist zuständige Behörde nach Artikel 8 Absatz 1 und 2 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L. 333 vom 27.12.2022, S. 80) für die Aufsicht über die staatlichen Stellen.

Die oder der Beauftragte für Informationssicherheit des Landes meldet dem Bundesamt für Sicherheit in der Informationstechnik die nach § 7 Absatz 4 identifizierten staatlichen Stellen erstmals sechs Monate nach Inkrafttreten dieses Gesetzes und danach alle zwei Jahre.“

c)

In Absatz 2 wird nach dem Wort „Erfüllung“ die Wörter „ihrer oder“ und werden vor dem Wort „der“ die Wörter „die oder“ eingefügt.

d)

Absatz 3 wird wie folgt geändert:

aa)

In Satz 1 werden vor dem Wort „der“ die Wörter „die oder“ eingefügt.

bb)

In Satz 2 werden nach dem Wort „darf“ die Wörter „sie oder“ eingefügt.

cc)

In Satz 3 wird das Wort „Der“ durch die Wörter „Die Leiterin oder der“ ersetzt und werden nach dem Wort „und“ die Wörter „die oder“ eingefügt.

dd)

In Satz 4 werden nach dem Wort „sich“ die Wörter „die oder“ eingefügt.

ee)

Die folgenden Sätze werden angefügt:

„Gegenüber staatlichen Stellen kann im Benehmen mit der jeweils zuständigen obersten Staatsbehörde die oder der Beauftragte für Informationssicherheit des Landes Anordnungen treffen oder Maßnahmen zur Umsetzung der Verpflichtungen aus § 4 Absatz 1 und 1a ergreifen, soweit Tatsachen die Annahme rechtfertigen, dass Anforderungen aus § 4 Absatz 1 und 1a nicht oder nicht richtig umgesetzt wurden. Gegenüber dem Sächsischen Rechnungshof sowie der oder dem Sächsischen Datenschutzbeauftragten können statt Anordnungen oder Maßnahmen nach Satz 1 nur Hinweise gegeben werden.“

e)

Absatz 4 wird wie folgt geändert:

aa)

In Satz 1 werden nach dem Wort „kann“ die Wörter „die oder“ und nach den Wörtern „im Benehmen mit“ die Wörter „der oder“ eingefügt.

bb)

In Satz 2 werden nach dem Wort „darf“ die Wörter „sie oder“ eingefügt.

cc)

Satz 3 wird wie folgt gefasst:

„Die Leiterin oder der Leiter der nicht-staatlichen Stelle, die oder der für diese ernannte Beauftragte für Informationssicherheit und die oder der Beauftragte für Informationssicherheit des Betreibers des Kommunalen Datennetzes sind unverzüglich zu unterrichten.“

dd)

In Satz 4 wird das Wort „vom“ durch die Wörter „von der oder dem“ ersetzt.

f)

In Absatz 5 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt.

g)

Absatz 6 wird wie folgt gefasst:

„(6) Die oder der Beauftragte für Informationssicherheit des Landes erstellt verbindliche Mindeststandards zur Informationssicherheit für die staatlichen Stellen und legt sie nach Anhörung der Arbeitsgruppe Informationssicherheit dem Gremium nach § 17 Absatz 1 des Sächsischen E-Government-Gesetzes in der Fassung der Bekanntmachung vom 8. November 2019, (SächsGVBl. S. 718), das durch Artikel 3 der Verordnung vom 12. April 2021 (SächsGVBl. S. 517) geändert worden ist, in der jeweils geltenden Fassung, zur Entscheidung vor. Die Arbeitsgruppe Informationssicherheit unterstützt die Beauftragte oder den Beauftragten für Informationssicherheit des Landes dabei. Den nicht-staatlichen Stellen wird die Anwendung der Mindeststandards empfohlen. Auf Ersuchen berät die oder der Beauftragte für Informationssicherheit des Landes die staatlichen oder nicht-staatlichen Stellen bei der Umsetzung und Einhaltung der Mindeststandards.“

h)

Absatz 7 wird wie folgt gefasst:

„(7) Um die Umsetzung der Anforderungen aus § 4 Absatz 1 und 1a, die Wirksamkeit des Informationssicherheitsmanagementsystems und den Stand der Erfüllung der Mindeststandards zu überprüfen, kann die oder der Beauftragte für Informationssicherheit des Landes die erforderlichen Auskünfte und die Überlassung von entsprechenden Unterlagen der staatlichen Stellen verlangen. Zu diesem Zweck darf sie oder er eigene Revisionen durchführen, wobei für den Sächsischen Rechnungshof, die Sächsische Datenschutzbeauftragte oder den Sächsischen Datenschutzbeauftragten, die Gerichte und Staatsanwaltschaften sowie die Behörden und Organisationen mit Sicherheitsaufgaben hierfür deren Einvernehmen einzuholen ist. Staatliche Stellen haben im Benehmen mit der jeweils zuständigen obersten Staatsbehörde der oder dem Beauftragten für Informationssicherheit des Landes und den in deren oder dessen Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Behörden- und Betriebsräume während der üblichen Dienst- und Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstige Unterlagen vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Sie oder er ist über geplante Audits und Revisionen zu unterrichten. Vorliegende Zertifikate nach dem BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, und der BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die zuletzt durch Artikel 74 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, in den jeweils geltenden Fassungen, sind dabei zu beachten. Bei der Überprüfung festgestellte Verstöße einer staatlichen Stelle gegen Verpflichtungen aus § 4 Absatz 1 und 1a oder § 16, die eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, L 74 vom 4.3.2021, S. 35) zur Folge haben können, teilt die oder der Beauftragte für Informationssicherheit des Landes unverzüglich der oder dem Sächsischen Datenschutzbeauftragten mit.“

i)

Absatz 8 wird wie folgt geändert:

aa)

In Satz 1 Satzteil vor Nummer 1 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt und werden nach den Wörtern „allgemein über“ die Wörter „ihre oder“ eingefügt.

bb)

In Satz 2 werden nach dem Wort „unterrichten“ die Wörter „die Beauftragte oder“ eingefügt und wird das Wort „Nummern“ durch das Wort „Nummer“ ersetzt.

j)

In Absatz 9 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt und werden nach dem Wort „über“ die Wörter „ihre oder“ eingefügt.

k)

In Absatz 10 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt.

6.

§ 6 wird wie folgt geändert:

a)

Absatz 1 wird wie folgt geändert:

aa)

Satz 2 wird wie folgt gefasst:

„Aufgaben des Sicherheitsnotfallteams sind

1.

die Wahrnehmung der Aufgaben des Computer-Notfallteams nach Artikel 10 und 11 der Richtlinie (EU) 2022/2555 für die staatlichen Stellen,

2.

das Aufzeigen von Lösungen bei konkreten Sicherheitsereignissen oder -vorfällen,

3.

die Prüfung auf Risiken im Betrieb von informationstechnischen Systemen und die Unterstützung bei ihrer Beseitigung,

4.

die Information zu Sicherheitslücken,

5.

die Erfassung und Analyse der Lage der Informationssicherheit sowie die Erstellung daraus abgeleiteter Empfehlungen,

6.

die Wahrnehmung der zentralen Meldestelle im Sinne des BSI-Gesetzes,

7.

die Wahrnehmung der zentralen Meldestelle im Sinne des IT-Planungsrates im Verwaltungs-CERT-Verbund,

8.

die Mitwirkung bei der technischen und technologischen Koordinierung der Informationssicherheit in den staatlichen und nicht-staatlichen Stellen sowie

9.

die regelmäßige Information über die Lage der Informationssicherheit im Freistaat Sachsen.“

bb)

In Satz 3 werden nach dem Wort „unterstützt“ die Wörter „die Beauftragte oder“ eingefügt.

b)

Nach Absatz 1 wird folgender Absatz 1a eingefügt:

„(1a) Das Sicherheitsnotfallteam kann im Rahmen seiner Aufgaben nach Absatz 1 zur Erkennung von Sicherheitslücken bei staatlichen Stellen oder auf Ersuchen einer staatlichen Stelle Maßnahmen an den Schnittstellen öffentlich erreichbarer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen durchführen, um festzustellen, ob diese ungeschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sind. Erlangt das Sicherheitsnotfallteam dabei Informationen, die durch Artikel 10 des Grundgesetzes für die Bundesrepublik Deutschland geschützt sind, darf es diese nur nach § 13 Absatz 6 und 7 übermitteln. Liegen dessen Voraussetzungen nicht vor, sind diese Informationen unverzüglich zu löschen. Das Sicherheitsnotfallteam unterrichtet die für das informationstechnische System Verantwortlichen unverzüglich über die durch Maßnahmen gemäß Satz 1 erkannten Sicherheitslücken. Es soll dabei auf bestehende Abhilfemöglichkeiten hinweisen.“

c)

Absatz 2 wird wie folgt geändert:

aa)

In Satz 3 werden die Wörter „des Sächsischen Datenschutzbeauftragten“ durch die Wörter „der oder des Sächsischen Datenschutzbeauftragten“ ersetzt.

bb)

In Satz 5 werden die Wörter „und hochschulnahe Einrichtungen“ gestrichen.

d)

In Absatz 3 Satz 1 werden jeweils vor dem Wort „dem“ die Wörter „der oder“ eingefügt.

e)

In Absatz 4 Satz 2 werden die Wörter „des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2)“ gestrichen.

f)

In Absatz 5 Satz 2 wird die Angabe „vom 30. Juni 2017 (BGBl. I S. 2097)“ gestrichen.

g)

Folgender Absatz 6 wird angefügt:

„(6) Das Sicherheitsnotfallteam muss an einem sicheren Standort eingerichtet werden und ausgestattet sein mit

1.

einer geeigneten, sicheren und belastbaren Kommunikations- und Informationsinfrastruktur,

2.

einer Anzahl an Kommunikationskanälen, die einen hohen Grad von deren Verfügbarkeit gewährleistet,

3.

einem geeigneten System zur Verwaltung und Weiterleitung von Anfragen, insbesondere um wirksame und effiziente Übergaben zu erleichtern,

4.

Personal, das die ständige Bereitschaft seiner Dienste gewährleistet, sowie

5.

Redundanzsystemen und Ausweicharbeitsräumen.“

7.

§ 7 wird wie folgt geändert:

a)

Absatz 1 wird wie folgt gefasst:

„(1) In jedem Staatsministerium, in der Staatskanzlei, dem Landespolizeipräsidium, der Leitstelle für Informationstechnologie der sächsischen Justiz, dem Staatsbetrieb Sächsische Informatik Dienste sowie bei dem Sächsischen Rechnungshof und der oder dem Sächsischen Datenschutzbeauftragten werden je eine hauptamtliche Beauftragte oder ein hauptamtlicher Beauftragter für Informationssicherheit und eine Vertreterin oder ein Vertreter ernannt. Die oder der Beauftragte für Informationssicherheit berichtet der Leiterin oder dem Leiter der staatlichen Stelle und der oder dem Beauftragten für Informationssicherheit des Landes mindestens einmal jährlich zum Stand der Informationssicherheit in seinem Zuständigkeitsbereich. Die Leiterin oder der Leiter unterstützt die oder den Beauftragten für Informationssicherheit bei der Erfüllung ihrer oder seiner Aufgaben nach Absatz 3, indem er die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellt.“

b)

Absatz 2 wird wie folgt geändert:

aa)

In Satz 1 werden nach dem Wort „je“ die Wörter „eine Beauftragte oder“ und nach dem Wort „und“ die Wörter „eine Vertreterin oder“ eingefügt.

bb)

In Satz 4 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt und werden nach dem Wort „nicht“ die Wörter „Beschäftigte oder“ eingefügt.

cc)

Satz 6 wird wie folgt gefasst:

„Die oder der Beauftragte für Informationssicherheit berichtet der Leiterin oder dem Leiter der staatlichen Stelle und der oder dem Beauftragten für Informationssicherheit der zuständigen Aufsichtsbehörde in angemessenen Abständen zum Stand der Informationssicherheit in ihrem oder seinem Zuständigkeitsbereich.“

c)

Absatz 3 wird wie folgt geändert:

aa)

In Satz 1 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt und werden nach dem Wort „innerhalb“ die Wörter „ihres oder“ eingefügt.

bb)

In Satz 2 wird das Wort „Der“ durch die Wörter „Die oder der“ und das Wort „beim“ durch die Wörter „bei der Leiterin oder dem“ ersetzt.

cc)

In Satz 3 wird das Wort „Er“ durch die Wörter „Die oder der Beauftragte für Informationssicherheit“ ersetzt und werden nach dem Wort „in“ die Wörter „ihrem oder“ eingefügt.

dd)

Satz 4 wird wie folgt gefasst:

„Im Fall eines Sicherheitsvorfalls oder eines Sicherheitsereignisses ist die oder der Beauftragte für Informationssicherheit oder deren oder dessen Vertreterin oder Vertreter berechtigt, Einsicht in die Protokolldaten ihres oder seines Zuständigkeitsbereichs zu nehmen oder diese anzufordern.“

ee)

In Satz 5 werden die Wörter „des Sächsischen Datenschutzbeauftragten“ durch die Wörter „der oder des Sächsischen Datenschutzbeauftragten“ ersetzt.

ff)

In Satz 7 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt und werden nach dem Wort „Ausübung“ die Wörter „ihrer oder“ eingefügt.

gg)

In Satz 8 wird das Wort „Er“ durch die Wörter „Sie oder er“ ersetzt und werden nach den Wörtern „Erfüllung der“ die Wörter „ihr oder“ eingefügt.

d)

Folgender Absatz 4 wird angefügt:

„(4) Das Gremium nach § 17 Absatz 1 des Sächsischen E-Government-Gesetzes beschließt ein Konzept zur Identifizierung der staatlichen Stellen nach Artikel 2 Absatz 2 Buchstabe f Ziffer ii der Richtlinie (EU) 2022/2555. Die obersten Staatsbehörden identifizieren für ihre jeweiligen Geschäftsbereiche auf der Grundlage dieses Identifizierungskonzeptes die betroffenen staatlichen Stellen und übermitteln der oder dem Beauftragten für Informationssicherheit des Landes für die von ihnen erstmals oder erneut identifizierten staatlichen Stellen

1.

den Namen der staatlichen Stelle,

2.

die Anschrift und die aktuellen Kontaktdaten der oder des Beauftragten für Informationssicherheit der staatlichen Stelle, einschließlich E-Mail-Adresse und Telefonnummer,

3.

die IP-Adressbereiche der staatlichen Stelle.

Die erste Identifizierung nehmen die obersten Staatsbehörden zum 17. Januar 2025 vor und überprüfen diese alle zwei Jahre.“

8.

§ 8 wird wie folgt geändert:

a)

Absatz 1 wird wie folgt geändert:

aa)

In Satz 1 werden nach dem Wort „sollen“ die Wörter „eine Beauftragte oder“ und nach dem Wort „und“ die Wörter „eine Vertreterin oder“ eingefügt.

bb)

In Satz 2 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt und werden nach dem Wort „nicht“ die Wörter „Beschäftigte oder“ eingefügt.

cc)

In Satz 4 werden nach dem Wort „ist“ die Wörter „die oder“ eingefügt.

dd)

In Satz 5 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt.

b)

In Absatz 2 werden nach dem Wort „Für“ die Wörter „die oder“ eingefügt.

9.

§ 9 wird wie folgt geändert:

a)

In Satz 1 werden die Wörter „dem Sächsischen Datenschutzbeauftragten“ durch die Wörter „der oder dem Sächsischen Datenschutzbeauftragten“ ersetzt.

b)

In Satz 3 werden nach dem Wort „unterstützen“ die Wörter „die jeweilige Beauftragte oder“ und nach dem Wort „bei“ die Wörter „ihrer oder“ eingefügt.

10.

§ 10 wird wie folgt geändert:

a)

Absatz 1 wird wie folgt geändert:

aa)

In Satz 1 werden nach dem Wort „berät“ die Wörter „die Beauftragte oder“ eingefügt.

bb)

In Satz 2 werden die Wörter „des Sächsischen Datenschutzbeauftragten“ durch die Wörter „der oder des Sächsischen Datenschutzbeauftragten“ und die Wörter „Vertretern der Kommunen“ durch die Wörter „Personen, die die Kommunen vertreten“ ersetzt.

b)

In Absatz 2 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt.

c)

In Absatz 3 Satz 1 wird das Wort „vom“ durch die Wörter „von der oder dem“ ersetzt.

11.

In § 11 Absatz 3 wird das Wort „Behörden“ durch das Wort „Stellen“ ersetzt.

12.

§ 12 wird wie folgt geändert:

a)

Dem Absatz 1 wird folgender Satz angefügt:

„Jede staatliche Stelle kann ihre Befugnisse nach den §§ 12 und 13 im Einvernehmen mit dem Sicherheitsnotfallteam auf dieses übertragen.“

b)

In Absatz 2 wird jeweils nach der Angabe „Absatz 1“ die Angabe „Satz 1“ eingefügt.

c)

In Absatz 3 Satz 1 werden die Wörter „des Sächsischen Datenschutzbeauftragten“ durch die Wörter „der oder des Sächsischen Datenschutzbeauftragten“ ersetzt.

13.

§ 13 wird wie folgt geändert:

a)

In Absatz 2 Satz 6 werden nach dem Wort „durch“ die Wörter „die zuständige Leiterin oder“ eingefügt.

b)

Absatz 3 wird wie folgt geändert:

aa)

In Satz 2 wird das Wort „vom“ durch die Wörter „von der zuständigen Leiterin oder dem“ ersetzt und werden nach den Wörtern „nicht-staatlichen Stelle und“ die Wörter „einer oder“ eingefügt.

bb)

In Satz 7 werden nach dem Wort „durch“ die Wörter „die zuständige Leiterin oder“ und nach dem Wort „und“ die Wörter „einer oder“ eingefügt.

cc)

Satz 8 wird wie folgt gefasst:

„Sofern diese Stelle keine weitere Bedienstete oder keinen weiteren Bediensteten mit der Befähigung zum Richteramt beschäftigt, ist die Anordnung der Speicherung und Auswertung der Inhaltsdaten oder der Wiederherstellung des Personenbezugs pseudonymisierter Daten von der Leiterin oder dem Leiter der staatlichen oder nicht-staatlichen Stelle und einer oder einem Bediensteten der Aufsichtsbehörde mit der Befähigung zum Richteramt zu treffen.“

c)

Absatz 4 wird wie folgt geändert:

aa)

In Satz 4 werden die Wörter „durch den Leiter“ durch die Wörter „von der Leiterin oder dem Leiter“ und die Wörter „einen Bediensteten“ durch die Wörter „einer oder einem Bediensteten“ ersetzt.

bb)

Satz 5 wird wie folgt gefasst:

„Sofern diese Stelle keine weitere Bedienstete oder keinen weiteren Bediensteten mit der Befähigung zum Richteramt beschäftigt, ist die Anordnung nach Satz 4 von der Leiterin oder dem Leiter der staatlichen oder nicht-staatlichen Stelle und einer oder einem Bediensteten der Aufsichtsbehörde mit der Befähigung zum Richteramt zu treffen.“

d)

Absatz 5 wird wie folgt geändert:

aa)

Satz 3 wird wie folgt gefasst:

„Die staatlichen und nicht-staatlichen Stellen legen Fälle, in denen sie von einer Benachrichtigung absehen, der oder dem zuständigen Datenschutzbeauftragten dieser Stelle und einer oder einem weiteren Bediensteten dieser Stelle mit Befähigung zum Richteramt zur Kontrolle vor.“

bb)

In Satz 4 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt und werden die Wörter „beziehungsweise § 11 Absatz 2 des Sächsischen Datenschutzgesetzes“ gestrichen.

cc)

In Satz 5 werden nach dem Wort „Wenn“ die Wörter „die oder“ eingefügt.

e)

Absatz 9 wird wie folgt gefasst:

„(9) Anstelle der Schulleiterin oder des Schulleiters ist für Anordnungen nach den Absätzen 3 und 4 eine Bedienstete oder ein Bediensteter zuständig, die oder der vom Schulträger zu bestimmen ist.“

14.

§ 16 Absatz 1 wird wie folgt gefasst:

„(1) Staatliche Stellen des Freistaates Sachsen haben Sicherheitsereignisse und Sicherheitsvorfälle ihrer informationstechnischen Systeme oder Prozesse an das Sicherheitsnotfallteam zu melden. Die Meldungen haben unverzüglich zu erfolgen, wenn es sich um erhebliche Sicherheitsvorfälle handelt. Ein erheblicher Sicherheitsvorfall ist ein Sicherheitsvorfall, der

1.

schwerwiegende Betriebsstörungen der Dienste oder materielle Schäden für die betreffende Einrichtung verursacht hat oder verursachen kann oder

2.

Dritte durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

soweit durch die Rechtsverordnung nach Absatz 2 keine abweichende Begriffsbestimmung erfolgt. Zu Sicherheitsereignissen und sonstigen Sicherheitsvorfällen sind mit Inkrafttreten der Rechtsverordnung nach Absatz 2 zusätzlich zu melden:

1.

statistische Auswertungen und

2.

Protokolldaten von Schutzsystemen, etwa Proxies, Virenscannern oder Firewalls in automatisierter Form.“

15.

§ 17 wird wie folgt geändert:

a)

In Satz 1 wird das Wort „informationstechnischen“ durch das Wort „informationstechnische“ ersetzt.

b)

Nach Satz 1 wird folgender Satz eingefügt:

„Hochschulen im Sinne von § 1 Absatz 1 des Sächsischen Hochschulgesetzes sind nach § 16 Absatz 1 hinsichtlich erheblicher Sicherheitsvorfälle meldepflichtig.“

16.

In § 19 Satz 1 werden nach den Wörtern „im Einvernehmen mit“ die Wörter „der oder“ eingefügt und werden die Wörter „des Sächsischen Datenschutzbeauftragten“ durch die Wörter „der oder des Sächsischen Datenschutzbeauftragten“ ersetzt.

17.

§ 20 Satz 2 wird aufgehoben.

18.

In § 21 werden die Wörter „fünf Jahre nach Verkündung dieses Gesetzes“ durch die Wörter „erstmals zum 31. Dezember 2024“ ersetzt.

Artikel 2
Inkrafttreten

Dieses Gesetz tritt am 1. Oktober 2024 in Kraft.

Dresden, den 5. Juli 2024

Der Landtagspräsident
Dr. Matthias Rößler

Der Ministerpräsident
Michael Kretschmer

Der Chef der Staatskanzlei und
Staatsminister für Bundesangelegenheiten und Medien
Oliver Schenk