Nachnutzungserfahrungen aus Thüringen Typische Hürden im nachnutzenden Land (Kommunaler Bereich) Anforderung:   Ansprache geeigneter (Pilot)Kommunen für die EfA-Nachnutzung Problem:       Die Interessenvertretung der Kommunen erfolgt durch die Kommunalen Spitzenverbände (KSV‘s) gemäß Art. 91 Abs. 4 ThürVerf. Bei einer Betroffenheit der Kommunalverwaltungen muss die Einbindung der Kommunalen Spitzenverbände erfolgen (§127 ThürKO), Kommunikation über Kommunale Spitzenverbände gestaltete sich langwierig Lösung:        Festlegung einer geeigneten Kommunikationsstruktur mit den KSV‘s, wie die Erst- und Zweitansprache der Kommunen erfolgen soll inkl. standardisiertem Anschreiben für Verwaltungsleitungen und Fachabteilungen, zusätzliche Beratungsleistungen über SPoC (Kompetenzzentrum Verwaltung 4.0) 5

Nachnutzungserfahrungen aus Thüringen Typische Hürden im nachnutzenden Land (Kommunaler Bereich) Anforderung:   Flächendeckender Rollout der EfA-Leistung Problem:       bei ca. 250 eigenständigen Kommunen herrscht eine hohe Heterogenität in der Organisation und ihrer technischen Infrastruktur vor Lösung:        Ertüchtigung und Förderung des kommunalen Steuerungsgremiums innerhalb des Beirats „Kommunales E- Government“ (in Prüfung) Prüfung der Machbarkeit eines einheitlichen Vorgehens für rapide Massenrollouts für Thüringer Kommunen für EfA-Leistung durch den Kommunalen IT-DL in Thüringen (Schwerpunkte: Kommunikation/Akzeptanz, Technik, Organisation) 6

Nachnutzungserfahrungen aus Thüringen Typische Hürden im nachnutzenden Land (Kommunaler Bereich) Anforderung:   Antragsdatenübermittlung in die Fachverfahren Problem:       Fehlende Standards XFall/XÖV für Antragsdatenübermittlung zu den Fachverfahren, (bspw. 14 (Fach)Standards in DVDV Dienstübersicht bislang nur gelistet), bisher kein Beschluss bzgl. FitConnect; Wer zahlt und beauftragt Schnittstellenanpassungen bei Fachverfahren, die in unterschiedlichen BL in Anwendung sind? Wie stabil sind die vorläufigen Standards (bspw. FIM- Container vs. XÖV), Zeitverzögerungen bei Beauftragung Fachverfahrenshersteller Lösung:        Frühzeitige Einbindung der geläufigsten Fachverfahrenshersteller bereits bei der Konzeption der EfA-Leistung, Beschlusslage bzgl. FitConnect herbeiführen, EfA-Mindestanforderungen spezifizieren und fortschreiben, Treffen von Regelungen, wie Softwareanpassungen bei Fachverfahren gemeinsam finanziert werden können 7

Unternehmensplattform D B2G Plattform, B1, Seite 1

Digitale Verwaltung für die Wirtschaft als Infrastrukturaufgabe  Basis: vorhandene Infrastrukturen (z.B. PVOG, Bundes- und Landesportale, SDG/Your Europe)  Anbindung von Fachportalen (Förderung, Vergabe, eRechnung etc.)  Stärkung der Redaktionssysteme (u.a. Optimierung der Standards)  Angemeldete und nicht angemeldete unternehmensoptimierte Suche  Single Sign On  Plattform für die M2M Kommunikation  Mobile First und Business App für Kontofunktionen B2G Plattform, B1, Seite 2

Dezentrale Architektur B2G Plattform, B1, Seite 3

- 2- Komponenten Sicherheitsanforderungen vor, die sich mit den Anforderungen der ISO 27001, denen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der EU- DSGVO und den Anforderungen des Landes Hessens an die Informationssicherheit decken.    Da    die  hessische    Landesverwaltung     die  Anforderungen     an   die Informationssicherheit nach BSI laut Informationssicherheitsleitlinie umzusetzen hat, sollten   die   im   Verordnungsentwurf      angegebenen    Anforderungen     in   den Sicherheitskonzepten der betreffenden Komponenten bereits jetzt adressiert sein. Aufgrund konkurrierender Anforderungen ist dies punktuell nicht vollständig umgesetzt. Es ist damit zu rechnen, dass die Anforderungen, die sich sowohl auf den Portalverbund als auch auf alle angeschlossenen IT-Komponenten beziehen, in der gewünschten Ausprägung aktuell noch nicht vollumfänglich erfüllt werden können. Die konkreten kommunalen Umsetzungsstände sind den Landesverwaltungen nicht vollumfänglich bekannt. Die Umsetzung wird daher nicht nur zu einer Anhebung der Informationssicherheit auf das der aktuellen Bedrohungslage entsprechende Niveau, sondern auch zu Mehrkosten und Zeitverzögerungen in den einzelnen Projekten der OZG-Umsetzung und dem späteren Gesamtbetrieb führen. Angesichts der stetig steigenden Bedrohungslage, z.B. durch Ransomware und Advanced Persistent Threats, ist die Investition von Ressourcen und Mitteln in geeignete Schutzmaßnahmen ein dringend notwendiger Schritt in eine zukunftsfähige OZG-Infrastruktur. In bestimmten Anwendungsbereichen des Verordnungsentwurfs sind bereits vielfältige IT-Sicherheitsvorkehrungen anzuwenden. Durch den Verordnungsentwurf erfolgt eine flächendeckende Anordnung hoher Schutzstandards, die für den Einzelfall teilweise nicht angemessen sind.      Die Einführung einer abgestuften Regelung        im Wege einer Verhältnismäßigkeits- bzw. Angemessenheitsregelung zum persönlichen und sachlichen Anwendungsbereich spezifischer IT-Sicherheitsstandards ist aus hessischer Sicht unabdingbar. Dies ermöglicht die Anpassung an tatsächliche Gegebenheiten.

- 3- 2. Praktische Umsetzung Es ist mit erheblichen Aufwendungen bei der Umsetzung des Verordnungsentwurfs auf kommunaler Ebene zu rechnen, die von den hessischen Kommunen teilweise kritisch bewertet werden. Wird § 2 Abs. 4 RVO-E so ausgelegt, dass jede an den Portalverbund angeschlossene Stelle eine Verpflichtung zur Umsetzung des IT-Grundschutzes hat, führt dies auf kommunaler Ebene zu einem erheblichen Aufwand. Die Einführung einer Unterscheidung, ob die Stellen mittelbar oder unmittelbar an den Portalverbund angeschlossen sind, kann den finanziellen Aufwand an einigen Stellen reduzieren. Kritisch wird ebenfalls die Vermutung aus § 2 Abs. 2 RVO-E bewertet, dass die Einhaltung des Stands der Technik von der Einhaltung der Standards in Form von Schutzprofilen und Technischen Richtlinien des BSI abhängt. Durch die einseitige Änderung der Schutzprofile und Technischen Richtlinien des BSI im Benehmen mit den Ländern, kann den Ländern und Kommunen in Zukunft ein erheblicher zusätzlicher Aufwand entstehen. Da die Dokumentationspflicht aus § 2 Abs. 8 RVO-E bei der Erstellung eines Informationssicherheitsmanagementsystems in der Regel nur von Experten erfüllt werden         kann,        können      bei      der         Verschriftlichung      des Informationssicherheitsmanagementsystems aufgrund        von   personellen    Engpässen zeitliche Verzögerungen eintreten. Die vorgesehene Frist ist auf Praxistauglichkeit zu überprüfen. 3. Rechtliche Einschätzung Kritisch wird aus Sicht des Landes Hessen der Anwendungsbereich des § 2 Abs. 1 RVO- E beurteilt. Der sachliche Anwendungsbereich kann so ausgelegt werden, dass auch an den Portalverbund angebundene Systeme der Länder und Kommunen nach den Regelungen des Verordnungsentwurfs zu beurteilen sind, wofür § 5 OZG keine taugliche Ermächtigungsgrundlage darstellt. Die Definitionen des RVO-E sind teilweise zu überarbeiten. Der Begriff der IT- Komponenten ist nicht durchgängig eindeutig definiert. Hier ergeben sich zwischen dem