ISMSR: Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften
¹Um ein nachhaltiges und hohes IT-Sicherheitsniveau in der gesamten bayerischen Verwaltung zu erreichen, fördert der Freistaat Bayern im Rahmen der Initiative Cybersicherheit nach Maßgabe dieser Förderrichtlinie und im Rahmen der allgemeinen haushaltsrechtlichen Bestimmungen (insbesondere der Art. 23, 44 der Bayerischen Haushaltsordnung und der dazu erlassenen Verwaltungsvorschriften) die Implementierung eines Informationssicherheits-Managementsystems (ISMS) bei den kommunalen Gebietskörperschaften. ²Das ISMS soll dazu beitragen, eine Schutzstrategie zu entwickeln und entsprechende Maßnahmen zur Sicherung der Verfügbarkeit, der Vertraulichkeit und der Integrität von IT‑Systemen und Daten umzusetzen. ³Die Förderung erfolgt ohne Rechtsanspruch im Rahmen der verfügbaren Haushaltsmittel.
1. Zweck der Zuwendung
1.1 Zweck der Förderung
¹Der IT-Planungsrat hat den kommunalen Behörden, sofern diese ebenenübergreifende IT‑Verfahren einsetzen, empfohlen, die Anforderungen der „Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung“ des IT-Planungsrates zu erfüllen. ²Gemäß Art. 11 Abs. 1 Satz 2 des Bayerischen E-Government-Gesetzes müssen Behörden zur Sicherstellung der Sicherheit der informationstechnischen Systeme angemessene technische und organisatorische Maßnahmen im Sinne von Art. 32 der Verordnung (EU) 2016/679 und Art. 32 des Bayerischen Datenschutzgesetzes treffen und die hierzu erforderlichen Informationssicherheitskonzepte erstellen.
1.2 Ziel der Förderung
Diese Förderrichtlinie dient dem Ziel, vor allem kleine und mittelgroße kommunale Gebietskörperschaften bei der Implementierung eines modernen, aber mit tragbarem Aufwand umsetzbaren ISMS finanziell zu fördern, um so rasch und nachhaltig ein hohes IT‑Sicherheitsniveau in der gesamten bayerischen Verwaltung zu erreichen.
2. Fördergegenstand
¹Der Fördergegenstand umfasst:
die Einführung eines ISMS, das den vom IT-Planungsrat beschlossenen Zielsetzungen entspricht,
die Umsetzung der nachfolgend bestimmten Vor- und Zwischenstufen eines solchen ISMS sowie
deren Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor.
²Im Einzelnen sind dies:
Arbeitshilfe der Innovationsstiftung Bayerische Kommune – ISK V 4.0 oder höher (Vorstufe): Umsetzung der Arbeitshilfe zur Erstellung von Informationssicherheitskonzepten der Innovationsstiftung Bayerische Kommune durch Kommunen oder kommunale Zusammenschlüsse mit weniger als 150 rechnergestützten Arbeitsplätzen, soweit sie das Siegel „kommunale IT-Sicherheit“ noch nicht erworben haben,
VdS 10000 (Vorstufe): Umsetzung der Richtlinie VdS 10000 der VdS Schadenverhütung GmbH durch kommunale Unternehmen sowie deren Zertifizierung oder abschließende Prüfung durch einen zugelassenen Auditor,
CISIS12 sowie Schulung von ISB: Einführung von CISIS12, deren Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor sowie die Schulung von Mitarbeitern zum Informationssicherheitsbeauftragten (ISB) und deren Zertifizierung (Vorstufe),
Basisabsicherung (Zwischenstufe): Implementierung der im IT-Grundschutz-Profil für Kommunen
Kernabsicherung (Zwischenstufe): Absicherung von Fachprozessen und Fachverfahren der Kommunen oder von den Kommunen obliegenden Aufgaben nach IT-Grundschutz sowie deren Zertifizierung oder abschließende Prüfung der Implementierung durch einen zugelassenen Auditor,
Standardabsicherung: Einführung von IT-Grundschutz des BSI oder ISO/IEC 2700X sowie deren Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor.
3. Zuwendungsempfänger
¹Förderberechtigt sind alle bayerischen kommunalen Gebietskörperschaften und deren Zusammenschlüsse sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen und Einrichtungen mit Sitz in Bayern. ²Auf die Beschränkung der Förderberechtigten bei Maßnahmen nach Nr. 2 Satz 2 Buchst. a und b wird hingewiesen.
4. Zuwendungsvoraussetzungen
Voraussetzung für die Gewährung einer Zuwendung für Maßnahmen nach Nr. 2 ist die vollständige Implementierung eines ISMS, das den Zielsetzungen des IT-Planungsrates entspricht oder die Umsetzung einer Vor- oder Zwischenstufe eines solchen ISMS, die mit einem Testat oder Zertifikat nachgewiesen ist.
5. Art und Umfang der Zuwendung
5.1 Art der Förderung
Die Zuwendung erfolgt als Anteilfinanzierung im Rahmen einer Projektförderung als nicht rückzahlbare Zuweisung beziehungsweise Zuschuss.
5.2 Zuwendungsfähige Ausgaben
5.2.1
Zuwendungsfähig sind die innerhalb des Bewilligungszeitraums anfallenden Ausgaben für Maßnahmen nach Nr. 2:
die Beratung und Begleitung bei der Implementierung durch fachkundige IT‑Dienstleister,
Schulungen für Mitarbeiter durch zertifizierte Anbieter,
die Erst-Zertifizierung eines ISMS oder der Umsetzung einer Vorstufe (Nr. 2 Satz 2 Buchst. a, b, c am Ende) und Zwischenstufe (Nr. 2 Satz 2 Buchst. d, e) eines solchen ISMS beziehungsweise die abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor.
5.2.2
¹Die Förderung setzt mindestens zuwendungsfähige Ausgaben in Höhe von 2 500 Euro (brutto) voraus (Bagatellgrenze). ²Abweichend von Satz 1 beträgt die Bagatellgrenze bei der Umsetzung der Vorstufe CISIS12 nach Nr. 2 Satz 2 Buchst. c am Ende 500 Euro (brutto).
5.2.3
Die Förderung von Leistungen ist auf maximal 1 200 Euro (brutto) je Beratertag beschränkt.
5.2.4
Die Förderung von Leistungen nach Nr. 5.2.1 Buchst. c ist auf maximal 6 000 Euro (brutto) beschränkt.
5.3 Höhe der Förderung
5.3.1
¹Der Zuschuss beträgt
bis zu 50 % der zuwendungsfähigen Ausgaben gemäß Nr. 5.2.1 Buchst. a und b für die Umsetzung der Arbeitshilfe zur Erstellung von Informationssicherheitskonzepten der Innovationsstiftung Bayerische Kommune nach Nr. 2 Satz 2 Buchst. a, höchstens 5 000 Euro,
bis zu 50 % der zuwendungsfähigen Ausgaben gemäß Nr. 5.2.1 für die Implementierung von CISIS12 nach Nr. 2 Satz 2 Buchst. c oder der Umsetzung der Richtlinie VdS 10000 der VdS Schadenverhütung GmbH nach Nr. 2 Satz 2 Buchst. b, höchstens 15 000 Euro,
bis zu 50 % der zuwendungsfähigen Ausgaben gemäß Nr. 5.2.1 für die Vorstufe CISIS12 nach Nr. 2 Satz 2 Buchst. c am Ende, höchstens 6 000 Euro,
bis zu 60 % der zuwendungsfähigen Ausgaben gemäß Nr. 5.2.1 für die Basisabsicherung nach Nr. 2 Satz 2 Buchst. d, höchstens 20 000 Euro,
bis zu 60 % der zuwendungsfähigen Ausgaben gemäß Nr. 5.2.1 für die Kernabsicherung nach Nr. 2 Satz 2 Buchst. e, höchstens 20 000 Euro,
bis zu 75 % der zuwendungsfähigen Ausgaben gemäß Nr. 5.2.1 für die Standardabsicherung nach Nr. 2 Satz 2 Buchst. f, höchstens 60 000 Euro.
²Bei Zusammenarbeit von Förderberechtigten ohne Begründung einer eigenen Rechtspersönlichkeit (zum Beispiel Zweckvereinbarung) gilt der Höchstbetrag nach Satz 1 je beteiligten Förderberechtigten. ³Für kommunale Gebietskörperschaften, die über ein kommunales Behördennetz an das Bayerische Behördennetz angebunden sind oder ein kommunales Behördennetz für kreisangehörige Gemeinden betreiben, erhöht sich der Zuschuss gemäß Satz 1 Buchst. a bis f um zehn Prozentpunkte. ⁴Für kommunale Gebietskörperschaften, die bereits das bayerische Siegel „Kommunale IT-Sicherheit“ erworben haben, erhöht sich der Zuschuss gemäß Satz 1 Buchst. b bis f ebenfalls um zehn Prozentpunkte. ⁵Die Erhöhung der Zuschüsse wird kumulativ gewährt. ⁶In Summe darf der Zuschuss höchstens 80 % der zuwendungsfähigen Ausgaben betragen.
5.3.2
¹Die Förderung von Leistungen nach Nr. 5.2.1 kann von Förderberechtigten für jeden der in Nr. 2 Satz 2 Buchst. a bis f genannten Fördergegenstände beantragt werden. ²Die Förderung wird je Förderberechtigten für jeden Fördergegenstand nach Nr. 2 Satz 2 Buchst. a bis c (
5.4 Mehrfachförderung
Eine Förderung ist nicht zulässig, wenn das Vorhaben im Rahmen anderer öffentlicher Programme gefördert wird.
6. Förderverfahren
6.1 Beginn
6.1.1
¹Zuwendungen dürfen nur für solche Vorhaben bewilligt werden, die noch nicht begonnen worden sind. ²Beginn ist grundsätzlich die Abgabe einer verbindlichen Willenserklärung zum Abschluss eines der Ausführung zuzurechnenden Leistungsvertrags.
6.1.2
Im Rahmen von Veröffentlichungen und in öffentlicher Kommunikation im Zusammenhang mit dem Förderprogramm sowie in direkter Kommunikation mit Antragstellern ist ausdrücklich darauf hinzuweisen, dass Zuwendungen aus dem Programm freiwillige Leistungen darstellen und nur insoweit bewilligt werden können, als dafür Haushaltsmittel zur Verfügung stehen, und deshalb ein Zuwendungsantrag unter Umständen wegen Überzeichnung des Förderprogramms nicht bewilligt werden kann.
6.2 Antrag
¹Anträge auf Gewährung einer Förderung sind schriftlich oder elektronisch an die Regierung von Oberfranken als Bewilligungsstelle zu richten. ²Hierzu ist das von ihr unter der Internetpräsenz elektronisch bereitgestellte Antragsformular zu verwenden. ³Die Antragsunterlagen können auf elektronischem Weg direkt an die Bewilligungsstelle (Regierung von Oberfranken, Sachgebiet 22, isms-kommune@reg-ofr.bayern.de) übermittelt werden. ⁴Unvollständig ausgefüllte Anträge sowie Anträge, denen die erforderlichen Unterlagen nicht vollzählig beigelegt sind, werden von der Regierung in der Regel abgelehnt, sofern der Antragsteller sie trotz Aufforderung nicht innerhalb einer angemessenen Frist nach Antragseingang bei der Regierung vervollständigt. ⁵Über eingehende Förderanträge wird das Landesamt für Sicherheit in der Informationstechnik durch die Bewilligungsstelle in Kenntnis gesetzt.
6.3 Bewilligungsstelle
¹Die Regierung von Oberfranken ist Bewilligungsstelle. ²Die Bewilligungsstelle prüft die Förderanträge nach Maßgabe dieser Förderrichtlinie und entscheidet über den Antrag durch Bescheid. ³Die Allgemeinen Nebenbestimmungen für Zuwendungen zur Projektförderung an kommunale Körperschaften (ANBest-K) sind zum Bestandteil des Bewilligungsbescheids zu machen.
6.4 Bewilligungszeitraum
¹Die geförderte Maßnahme muss binnen 24 Monaten nach Erlass des Förderbescheids beendet sein. ²In begründeten Ausnahmefällen kann die Bewilligungsstelle auf Antrag des Zuwendungsempfängers Ausnahmen von den Fristen zulassen.
6.5 Auszahlung der Zuwendung
Die Zuwendung kann mit Vorlage eines einfachen Verwendungsnachweises angefordert werden.
6.6 Nachweise
6.6.1 Nachweis der Verwendung
¹Die zweckentsprechende Verwendung der Zuwendung ist durch Vorlage eines einfachen Verwendungsnachweises zu belegen. ²Dabei ist für Maßnahmen nach Nr. 2 der Nachweis der vollständigen Implementierung oder der vollständigen Umsetzung einer Vor- oder Zwischenstufe zu führen. ³Der Nachweis kann durch Vorlage eines entsprechenden Testats oder Zertifikats einer unabhängigen Stelle oder einer entsprechenden Bescheinigung durch einen für das jeweilige Vorhaben zugelassenen Auditor gegenüber der Bewilligungsstelle erfolgen. ⁴Abweichend hiervon kann der Nachweis der vollständigen Implementierung bei Maßnahmen nach Nr. 2 Satz 2 Buchst. a durch Erwerb des Siegels „Kommunale IT-Sicherheit“ des Landesamts für Sicherheit in der Informationstechnik geführt werden.
6.6.2 Nachweis der fachlichen Qualifikation
Die Fachkunde wird regelmäßig durch
– anerkannte Zertifikate für Prüfstellen einer unabhängigen Stelle oder
– Zertifikate für das Personal über die Personenzertifizierung des BSI oder des Council for Registered Ethical Security Testers (CREST)
nachgewiesen.
7. Rechnungsprüfung
Der Bayerische Oberste Rechnungshof ist gemäß Art. 91 BayHO berechtigt, beim Zuwendungsempfänger zu prüfen.
8. Inkrafttreten, Außerkrafttreten
¹Diese Bekanntmachung tritt am 1. April 2022 in Kraft und mit Ablauf des 31. Dezember 2023 außer Kraft. ²Mit Ablauf des 31. März 2022 tritt die Bekanntmachung des Bayerischen Staatsministeriums des Innern, für Sport und Integration über die ISMS-Förderrichtlinie (ISMSR) vom 30. März 2021 (BayMBl. Nr. 270) außer Kraft.
Karl Michael Scheufele
Ministerialdirektor
Feedback