Verordnung über die Sicherheitsgrundsätze und das Bewilligungsverfahren im Bereich des e... (39b)
CH - LU

Verordnung über die Sicherheitsgrundsätze und das Bewilligungsverfahren im Bereich des elektronischen Datenaustausches

SRL-Nummer
39b Titel Verordnung über die Sicherheitsgrundsätze und das Bewilligungsverfahren im Verordnung über die Sicherheitsgrundsätze und das Bewilligungsverfahren im Bereich des elektronischen Datenaustausches Bereich des elektronischen Datenaustausches Abkürzung Datum
23. April 1996 Inkrafttreten
1. Mai 1996 Fundstelle G 1996 65 Änderungen Tabelle (18KB) Rechtstext HTML PDF (107KB)
1 Tabelle der Änderungen der Verordnung über die Sich erheitsgrundsätze und das Bewilligungsver- fahren im Bereich des elektronischen Datenaustausch es vom 23. April 1996 (G 1996 65) Nr. der Ändernder Erlass Datum Kantonsblatt Gesetzess ammlung Geänderte Stellen
Art der Änderung Jahrgang Jahrgang
Änderung Seite Seite
1. Änderung
11. 12. 07 — G 2007 445

§ 10

geändert
SRL Nr. 39b Verordnung über die Sicherheitsgrundsätze und das Bewilligungsverfahren im Bereich des elektronischen Datenaustausches vom 23. April 1996* Der Regierungsrat des Kantons Luzern, gestützt auf § 25 Absatz 2 des Gesetzes über die Organisation von Regierung und Ver- waltung (Organisationsgesetz) vom 13. März 1995
1 sowie § 7 Absatz 2 des Gesetzes über den Schutz von Personendaten (Datenschutzgesetz) vom 2. Juli 1990
2 auf Antrag des Finanz- und des Justizdepartementes, beschliesst:

§ 1

Gegenstand und Zweck
1 Die Verordnung bestimmt a. die für den elektronischen Datenaustausch zwischen Organen geltenden Sicherheits- grundsätze, b. das Bewilligungsverfahren für die Errichtung von Anschlüssen zu kantonsinternen und -externen Informationssystemen, Netzwerken und Anwendungen.
2 Sie bezweckt eine geordnete und gesamtwirtschaftliche Entwicklung im Kommunika- tionsbereich.

§ 2

Geltungsbereich
1 Die Verordnung gilt für die gesamte kantonale Verwaltung mit Ausnahme der selb- ständigen Anstalten. * G 1996 65
1 SRL Nr. 20
2 SRL Nr. 38
2 Nr. 39b
2 Sie gilt auch für die Gemeinden und andere Organe, welche an das Datenkommunika- tionsnetz des Kantons Luzern (LUnet) angeschlossen werden.

§ 3

Begriffe
1 Die folgenden Begriffe bedeuten: Anbieter Inhaber oder Betreiber eines Informationssystems Endbenutzer alle Mitarbeiterinnen und Mitarbeiter der Netzbenutzer Informationssystem EDV-System zur Bearbeitung und Speicherung von Daten und Programmen Integrität Unversehrtheit von Informationen und Programmen LUnet Datenkommunikationsnetz des Kantons Luzern Netzbetreiber Stelle, die den täglichen Betrieb eines Netzes sicherstellt Netzbenutzer Organ mit einer Anschlussbewilligung Organe Behörden, Dienststellen und Verwaltungseinheiten, die für ein Gemeinwesen handeln, sowie private Personen, soweit ihnen öffentliche Aufgaben übertragen sind Verfügbarkeit Betriebszustand, in dem Informationen und Dienstleistungen zugänglich sind Vertraulichkeit Schutz sensitiver Informationen vor unberechtigtem Zugriff
2 Im übrigen gelten die Begriffsbestimmungen der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993
3 .

§ 4

Grundsätze
1 Datenkommunikation unter Organen im Sinn dieser Verordnung setzt einen entspre- chenden Leistungsauftrag voraus.
2 Jedes Datenkommunikationsvorhaben zwischen kantonalen Organen oder das Öffnen eines kantonalen Informationssystems für ein anderes Organ ist bewilligungspflichtig. Rechte und Pflichten der Netzbenutzer, der Anbieter sowie des Netzbetreibers werden in separaten Anschlussvereinbarungen geregelt.
3 Der ausgewiesene Datenkommunikationsbedarf der kantonalen Organe wird grundsätz- lich über LUnet abgewickelt. Ausnahmen richten sich nach § 10 Absatz 3 dieser Ver- ordnung.
4 Jedes Datenkommunikationsvorhaben ist gemäss den §§ 13–18 der Informatikverord- nung vom 22. Januar 1993
4 projektmässig abzuwickeln.
3 SR 235.11
4 SRL Nr. 39
Nr. 39b
3

§ 5

LUnet
1 LUnet ist ein bedarfsabhängiges kantonales Netzwerk mit dem Zweck, den auf gesetz- lichen Leistungsaufträgen basierenden Datenkommunikationsbedarf der Organe effi- zient, kostengünstig und sicher zu befriedigen.
2 LUnet übernimmt für die vom Bund betriebenen Informationssysteme gemäss dem vom Bundesrat verabschiedeten Konzept «Kommunikation Bundesverwaltung Phase 3» (KOMBV3) die kantonsinterne Feinverteilung.

§ 6

Projektierung von Datenkommunikationsvorhaben
1 Jedes Datenkommunikationsvorhaben ist zu beantragen und zu begründen.
2 In der Begründung sind namentlich der Zweck, die Art und der Umfang des Daten- kommunikationsvorhabens darzutun. Sie enthält zudem eine Risikobeurteilung gemäss §
7 und die Darlegung der vorgesehenen Sicherheitsvorkehrungen gemäss § 8. Ferner muss die Zustimmung des Anbieters zum Anschluss vorliegen.

§ 7

Risikobeurteilung
1 Bei jedem Datenkommunikationsvorhaben zwischen Organen sind das damit verbun- dene Risiko und die zu ergreifenden angemessenen Sicherheitsmassnahmen zu beurtei- len.
2 Bei der Beurteilung arbeiten die angehenden Netzbenutzer und Anbieter nach Bedarf mit dem Netzbetreiber und dem kantonalen Datenschutzbeauftragten zusammen.
3 Massgebend für die Risikobeurteilung eines Netzanschlusses sind folgende Kriterien: a. die Schutzwürdigkeit der gespeicherten und der zu übermittelnden Daten, b. das durch den Netzanschluss verursachte Gefährdungspotential, c. die Wirksamkeit der bereits eingerichteten oder der noch einzurichtenden Sicher- heitsvorkehrungen.

§ 8

Sicherheitsvorkehrungen
1 Gestützt auf die Risikobeurteilung treffen die angehenden Netzbenutzer die angemes- senen Sicherheitsvorkehrungen.
2 Die Dienststelle Informatik
5 berät die Organisations- und Informatikbeauftragten, den kantonalen Datenschutzbeauftragten sowie die kantonalen und kommunalen Organe auf Verlangen bei Fragen organisatorischer und technischer Natur.
5 Gemäss Änderung vom 11. Dezember 2007 der Verordnung über die Aufgaben der Departemente und der Staatskanzlei sowie die Gliederung der Departemente in Dienststellen, in Kraft seit dem
1. Januar 2008 (G 2007 497), wurde die Bezeichnung «Dienststelle Informatik und Dienste» durch «Dienststelle Informatik» ersetzt.
4 Nr. 39b

§ 9

Koordination durch die Organisations- und Informatikbeauftragten
1 Alle Datenkommunikationsvorhaben sind den zuständigen Organisations- und Infor- matikbeauftragten vorzulegen.
2 Sind personenbezogene Daten betroffen, geben die Organisations- und Informatikbe- auftragten dem kantonalen Datenschutzbeauftragten Gelegenheit zur Stellungnahme.

§ 10

Bewilligungsverfahren, Bewilligungsbehörden
1 Die Organisations- und Informatikbeauftragten reichen die Anträge für die Bewilligung von Datenkommunikationsvorhaben mit ihrem Begutachtungsbericht der zuständigen Bewilligungsbehörde ein.
2 Anschlüsse und Verbindungen mit verwaltungsinternen oder -externen Informations- systemen, Netzwerken und Anwendungen bedürfen einer Bewilligung der betroffenen Departemente, der Staatskanzlei, des Obergerichts oder des Verwaltungsgerichts. Der Regierungsrat kann auf Antrag des Fachgremiums für beide Bereiche Globalbewilligun- gen erteilen.
3 Die in Absatz 2 genannten Anschlüsse und Verbindungen kantonaler Organe, die nicht über LUnet abgewickelt werden sollen, bedürfen einer Ausnahmebewilligung des Re- gierungsrates. Das Fachgremium ist anzuhören.
4 Datenkommunikationsvorhaben unter Gemeinden, welche über LUnet abgewickelt werden sollen, bedürfen einer Bewilligung der betroffenen Gemeinden.
6
5 Die Bewilligungsbehörden stellen dem Netzbetreiber und dem kantonalen Daten- schutzbeauftragten je eine Kopie der Bewilligung zu.

§ 11

Anschlussvereinbarung mit dem Netzbetreiber
1 Nach der Bewilligung gemäss § 10 schliessen Netzbenutzer oder Anbieter mit dem Netzbetreiber eine entsprechende Anschlussvereinbarung ab.
2 Die Anschlussvereinbarung enthält insbesondere Angaben über die Verantwortlichkei- ten hinsichtlich Verfügbarkeit, Integrität und Vertraulichkeit, über die Art der zu über- mittelnden Daten sowie über die anfallenden Kommunikationskosten.
3 Der Netzbetreiber ist verantwortlich für die Verfügbarkeit und die Transportkontrolle. Er sorgt für den einwandfreien Betrieb und Unterhalt des Kommunikationsnetzes, für Bau und Zumiete von Leitungen, für Änderungen an der Installation und Ausrüstung, für Parametrisierung und Programmierung der Kommunikationsinfrastruktur sowie die Schulung der eigenen Mitarbeiterinnen und Mitarbeiter.
4 Der Netzbetreiber kann Einschränkungen in der Nutzung festlegen, um die allgemeine Verfügbarkeit sicherzustellen. Diese werden in der Anschlussvereinbarung umschrieben.
6 Fassung gemäss Änderung vom 11. Dezember 2007, in Kraft seit dem 1. Januar 2008 (G 2007 445).
Nr. 39b
5
5 Der Netzbenutzer und der Anbieter sind vorbehältlich besonderer Vereinbarungen ver- antwortlich für die Integrität und Vertraulichkeit beim Einsatz ihrer Informatikmittel. Der Anbieter sorgt für die Zugangs-, Bekanntgabe-, Speicher-, Benutzer-, Zugriffs- und Eingabekontrolle. Es gelten die Vorschriften des § 11 Absätze 2 und 3 der Informatik- verordnung
7 . Der Netzbenutzer lässt die Endbenutzer so ausbilden, dass sie ihre Ver- antwortung im Sicherheitsbereich wahrnehmen können.

§ 12

Überwachung des täglichen Betriebs und der Sicherheitsgrundsätze
1 Die Netz- und die Endbenutzer haben sicherheitsrelevante Vorfälle unverzüglich dem Netzbetreiber, dem zuständigen Organisations- und Informatikbeauftragten und bei per- sonenbezogenen Daten auch dem kantonalen Datenschutzbeauftragten zu melden.
2 Der Netzbetreiber überprüft einmal im Jahr zusammen mit dem kantonalen Daten- schutzbeauftragten die Sicherheitsgrundsätze für den elektronischen Datenaustausch zwischen Organen und deren Umsetzung auf ihre Aktualität. Das Fachgremium ist an- zuhören.

§ 13

Übergangsbestimmungen
1 Alle bestehenden Datenkommunikationsverbindungen bedürfen einer nachträglichen Bewilligung der zuständigen Behörde gemäss § 10.
2 Die nachträgliche Bewilligung ist innerhalb von 24 Monaten nach Inkrafttreten dieser Verordnung einzuholen, ansonsten die Berechtigung zur Datenkommunikation entfällt.
3 Aufwendungen für die Überführung von Datenkommunikationsverbindungen auf LU- net sind im Informatikbudget einzustellen.

§ 14

Inkrafttreten Die Verordnung tritt am 15. Mai 1996 in Kraft. Sie ist zu veröffentlichen. Luzern, 23. April 1996 Im Namen des Regierungsrates Der Schultheiss: Fellmann Der Staatsschreiber: Baumeler
7 SRL Nr. 39
Markierungen
Leseansicht