Praktische Erfahrungen aus der ISO 27001-Zertifizierung

der EU-Zahlstelle Mecklenburg-Vorpommern

Schwerin, 20.09.2016Version: 1.0

Stand: 19.09.2016

Agenda

2

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

II. Anforderungen an die Informationssicherheit

III. Erfahrungswerte aus dem Zertifizierungsverfahren

Agenda

3

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

II. Anforderungen an die Informationssicherheit

III. Erfahrungswerte aus dem Zertifizierungsverfahren

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

1) Rechtliche Grundlage und Definition

Artikel 7 der VO (EU) Nr. 1306/2013

„Zahlstellen sind Dienststellen oder Einrichtungen der Mitgliedstaaten, die für die Verwaltung

und Kontrolle der Ausgaben des EGFL und des ELER zuständig sind.“

2) Europäische Agrarfonds

Artikel 3 der VO (EU) Nr. 1306/2013

EGFL (Europäischer Garantiefonds für die Landwirtschaft)

ELER (Europäischer Landwirtschaftsfonds für die Entwicklung des ländlichen Raumes)

Deutschlandweit: ca. 6,35 Mrd. EURO jährlich für Agrarförderung von 2014 – 2020

ELER-Mittel für Mecklenburg-Vorpommern 2014 bis 2020: 936,7 Millionen EURO

Kofinanzierung aus Bundes-, Landes- und kommunalen Mitteln: 262,6 Millionen EURO

4

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

3) Aufgaben der EU-Zahlstelle M-V

Verwaltung und Kontrolle der Ausgaben des EGFL und des ELER

Hauptfunktionen:

• Bewilligung und Kontrolle der Zahlungen

• Auszahlung

• Verbuchung und Erklärung der Zahlungen

5

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

4) Organisatorischer Aufbau

6

Ministerium für Landwirtschaft, Umwelt und Verbraucherschutz M-V

Referat Zahlstellen-

koordinierungKoordinierung der

Zahlstellenaufgaben im

Rahmen ELER und EGFL

Interner

RevisionsdienstPrüfung des Verwaltungs-

und Kontrollsystem

Zuständige BehördeZulassung der Zahlstelle

ELER-

Fondsverwaltung

Programmplanung

und -koordinierung,

Monitoring,

Evaluierung,

Berichtswesen als

Verwaltungsbehörde

Leiter der Zahlstelle

Staatssekretär Ministerium für Wirtschaft,

Arbeit und Tourismus

Ministerium für Inneres und

Sport

Ministerium für Energie,

Infrastruktur und

Landesentwicklung

Finanzministerium

Fachreferate - Fachaufsichtim LU 260, 300, 330, 340, 350, 360, 370, 400; im WM 530; im IM 460; im EM 310; im FM 420

Bewilligungsbehörden – Bewilligung und Kontrolle der ZahlungenStÄLU, AfBR, LUNG, LALLF, LFoA, Landkreise, FM, LFI

Haushalts-

referatAusführung der

Zahlungen,

Verbuchung der

Zahlungen

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

Artikel 7 der VO (EU) Nr. 1306/2013

„Zahlstellen sind Dienststellen oder Einrichtungen der Mitgliedstaaten, die für die Verwaltung

und Kontrolle der Ausgaben des EGFL und des ELER zuständig sind.“

7

Agenda

8

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

II. Anforderungen an die Informationssicherheit

III. Erfahrungswerte aus dem Zertifizierungsverfahren

Agenda

9

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

II. Anforderungen an die Informationssicherheit

III. Erfahrungswerte aus dem Zertifizierungsverfahren

II. Anforderungen an die Informationssicherheit

1) Allgemeine Anforderungen an die Informationssicherheit in M-V

Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von

Mecklenburg-Vorpommern (IS-Leitlinie M-V) vom 12.05.2014:

„Behörden, die an das CN LAVINE angeschlossen sind, müssen über ein

Sicherheitskonzept, das auf den IT-Grundschutzkatalogen des BSI beruht, verfügen.“

§ 22 Abs. 5 Datenschutzgesetz Mecklenburg-Vorpommern (DSG M-V):

„In einem Sicherheitskonzept ist für jedes automatisierte Verfahren festzulegen, in welcher

Form die Anforderungen des § 21 und der Absätze 1 bis 4 umzusetzen sind.“

VV zu §§ 70-80 Landeshaushaltsordnung Mecklenburg-Vorpommern (LHO M-V):

„Es ist eine auf Zahlungen, Buchführung und Rechnungslegung bezogene

Verfahrensdokumentation einschließlich einer Gefährdungsanalyse und eines

Ordnungsmäßigkeitskonzeptes […] zu erstellen. […] Die Regelungen im IT-Grundschutz

[…] gelten unmittelbar.“

10

II. Anforderungen an die Informationssicherheit

2) Zahlstellenspezifische Anforderungen

Anhang I der delegierten Verordnung (EU) Nr. 907/2014 vom 11.03.2014:

„B. Sicherheit der Informationssysteme

i) Unbeschadet der Ziffer ii stützt sich die Sicherheit der Informationssysteme auf die Kriterien in einer in

dem betreffenden Haushaltsjahr gültigen Fassung eines der folgenden internationalen Standards:

- International Standards Organisation 27002: Code of practice for Information Security controls (ISO),

- Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch/IT Baseline Protection Manual (BSI),

- Information Systems Audit and Control Foundation: Control objectives for Information and related Technology (COBIT).

ii) Ab 16. Oktober 2016 erfolgt die Zertifizierung der Sicherheit der Informationssysteme nach der ISO-Norm

27001: Informationssicherheits-Managementsysteme - Anforderungen.

Die Kommission kann die Mitgliedstaaten ermächtigen, die Sicherheit ihrer Informationssysteme nach

anderen anerkannten Normen zu zertifizieren, sofern diese Normen ein Schutzniveau gewährleisten, das

zumindest dem der ISO-Norm 27001 gleichwertig ist.“

11

II. Anforderungen an die Informationssicherheit

2) Zahlstellenspezifische Anforderungen

Anhang I der delegierten Verordnung (EU) Nr. 907/2014 vom 11.03.2014:

„B. Sicherheit der Informationssysteme

i) Unbeschadet der Ziffer ii stützt sich die Sicherheit der Informationssysteme auf die Kriterien in einer in

dem betreffenden Haushaltsjahr gültigen Fassung eines der folgenden internationalen Standards:

- International Standards Organisation 27002: Code of practice for Information Security controls (ISO),

- Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch/IT Baseline Protection Manual (BSI),

- Information Systems Audit and Control Foundation: Control objectives for Information and related Technology (COBIT).

ii) Ab 16. Oktober 2016 erfolgt die Zertifizierung der Sicherheit der Informationssysteme nach der ISO-Norm

27001: Informationssicherheits-Managementsysteme - Anforderungen.

Die Kommission kann die Mitgliedstaaten ermächtigen, die Sicherheit ihrer Informationssysteme nach

anderen anerkannten Normen zu zertifizieren, sofern diese Normen ein Schutzniveau gewährleisten, das

zumindest dem der ISO-Norm 27001 gleichwertig ist.“

Zertifizierung nach ISO-27001 auf der Basis von IT-Grundschutz

12

Agenda

13

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

II. Anforderungen an die Informationssicherheit

III. Erfahrungswerte aus dem Zertifizierungsverfahren

Agenda

14

I. Die EU-Zahlstelle Mecklenburg-Vorpommern

II. Anforderungen an die Informationssicherheit

III. Erfahrungswerte aus dem Zertifizierungsverfahren

III. Erfahrungswerte aus dem Zertifizierungsverfahren

Nr. 1

„An der Seite eines fordernden Partners lernst Du Dich kennen.“

- Heinz Körber

15

III. Erfahrungswerte aus dem Zertifizierungsverfahren

Nr. 2

„Nur der Mensch ist der Dokumentation fähig.“

- Friedrich Löchner

16

III. Erfahrungswerte aus dem Zertifizierungsverfahren

Nr. 3

„Offene Türen lassen mehr zu.“

- Siegfried Santura

17

III. Erfahrungswerte aus dem Zertifizierungsverfahren

Nr. 4

„Erfolg ist kein Zustand, den wir einmal erreichen und der uns

dann erhalten bleibt, sondern ein Prozess, an dem wir

fortgesetzt arbeiten müssen, damit er anhält.“

- Prof. Querulix

18

III. Erfahrungswerte aus dem Zertifizierungsverfahren

19

III. Erfahrungswerte aus dem Zertifizierungsverfahren

20

Veröffentlicht unter:

https://www.bsi.bund.de

III. Erfahrungswerte aus dem Zertifizierungsverfahren

21

Veröffentlicht unter:

https://www.bsi.bund.de

III. Erfahrungswerte aus dem Zertifizierungsverfahren

Nr. 4

„Erfolg ist kein Zustand, den wir einmal erreichen und der uns

dann erhalten bleibt, sondern ein Prozess, an dem wir

fortgesetzt arbeiten müssen, damit er anhält.“

- Prof. Querulix

22

23

Ministerium für Landwirtschaft,

Umwelt und Verbraucherschutz

Mecklenburg-Vorpommern

Robert Krelle

IT-Sicherheitsbeauftragter

Telefon: 0385/588-6161

E-Mail: r.krelle@lu.regierung-mv.de