466/2016 Vorlage KSD-Redaktionssystem

Landeshauptstadt Stuttgart
Technisches Referat
Gz: T

GRDrs 466/2016

Stuttgart,

09/26/2016

Umsetzung des IT-Sicherheitsgesetzes im Bereich des Eigenbetriebs Stadtentwässerung Stuttgart

Beschlußvorlage

Vorlage an	zur	Sitzungsart	Sitzungstermin
Betriebsausschuss Stadtentwässerung Verwaltungsausschuss Gemeinderat	Vorberatung Vorberatung Beschlussfassung	öffentlich öffentlich öffentlich	04.10.2016 05.10.2016 06.10.2016

Beschlußantrag:

Das sich aus den Vorgaben des IT-Sicherheitsgesetz ergebende Umsetzungskonzept wird zur Kenntnis genommen.
Über die Schaffung der ab 2018 erforderlichen dauerhaften 1,9 Stellen für den Betrieb und Fortschreibung des IT-Sicherheitsmanagements wird im Rahmen des Wirtschaftsplanverfahrens des Eigenbetriebs Stadtentwässerung Stuttgart 2018/2019 entschieden.
Für die fristgemäße Umsetzung der Vorgaben des IT Sicherheitsgesetzes und der KritisVO wird der Eigenbetrieb SES ermächtigt, bereits ab dem 1. November 2016 Personal in folgendem Umfang – außerhalb der im Wirtschaftsplan 2016/2017 ausgewiesenen Personalstellen – zu beschäftigen:

1,9 Vollzeitkräfte (VZK) mit einschlägigem Studium der Entgeltgruppe (EG) 12 TVöD unbefristet sowie die Beauftragung eines externen Beraters im Umfang von 0,7 VZK zunächst befristet für ein Jahr.

4. Es wird Kenntnis genommen, dass die für die Umsetzung des IT-Sicherheitsgesetzes anfallenden Personal- und Sachkosten in der jeweiligen Gebührenvorkalkulation der Entwässerungsgebühren des betreffenden Jahres ab 2017 berücksichtigt werden.

Kurzfassung der Begründung:
Ausführliche Begründung siehe Anlage 1

Das IT-Sicherheitsgesetz, das zum 17. Juli 2015 in Kraft trat, gibt den rechtlichen Rahmen für ein systematisches, überwachtes und branchenübergreifendes IT-Sicherheits-management vor. In der seit 3. Mai 2016 gültigen BSI-Kritisverordnung werden die Anlagenkategorien und Schwellenwerte für Einrichtungen, Anlagen oder Teile von ihnen bestimmt, die nach dem IT-Sicherheitsgesetz als Kritische Infrastruktur gelten. Darunter fallen bei der Stadtverwaltung Stuttgart ausschließlich die Anlagen des Eigenbetriebs Stadtentwässerung Stuttgart (Kanalisation, 115 Sonderbauwerke wie z.B. Pumpwerke, 4 Kläranlagen und die Leitwarte sowie die Prozessleitsysteme). Darüber hinaus wurde in der aktuell aufgrund des wandelnden Sicherheitsumfelds erstellten Konzeption Zivile Verteidigung des Bundesministeriums des Inneren vom 24.8.2016 die Abwasserbeseitigung explizit mit einbezogen.

Es ergeben sich dadurch gesetzliche Pflichten hinsichtlich der IT-Sicherheit, die zeitnah umzusetzen sind. Bis Ende des Jahres 2016 ist eine Kontaktstelle zu benennen, die jederzeit erreichbar sein muss und damit einen 24x7 Bereitschaftsdienst erfordert. Erhebliche Störungen, die zu einem Ausfall oder einer Beeinträchtigung der Funktionalität führen können oder bereits geführt haben, sind unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Darüber hinaus müssen bis spätestens Mai 2018 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse getroffen werden, die für die Funktionalität der betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen.

Die Betreiber kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen entweder durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Sollte gegen die genannten Pflichten verstoßen werden, kann ein Bußgeld in Höhe von bis zu 100.000 EUR verhängt werden. Durch die Einstellung des beantragten Personals kann die Umsetzung fristgerecht erfolgen.

Zur Umsetzung der o.g. Vorgaben sind aus Sicht des Eigenbetriebs Stadtentwässerung Stuttgart (SES) folgende Schritte umzusetzen:

Erstellung einer IT-Sicherheitsleitlinie und -organisation

Erstellung eines IT-Sicherheitskonzepts als Basis für ein IT-Sicherheits-management (ISMS) unter Berücksichtigung allgemeiner und verbindlicher branchenspezifischer Sicherheitsstandards

Umsetzung von umfangreichen technischen Maßnahmen zur Verbesserung der IT-Sicherheit

Implementierung in ein operatives ISMS und Betrieb der technischen Maßnahmen

Audit oder Zertifizierung

Fortschreibung auf Änderungen interner/externer, vor allem technischer Rahmenbedingungen.

Das BSI hat zur Abschätzung des Stellenaufwands für die Umsetzung der Vorgaben ein entsprechendes Stellenbemessungs-Tool zur Verfügung gestellt. Danach wird für die Umsetzung des ISMS unter Berücksichtigung der Kennwerte des Eigenbetriebs SES für das 1. Jahr von 533,5 Personentage (PT) ausgegangen.

Auf Grundlage der in der Stadtverwaltung festgelegten durchschnittlichen Nettoarbeitstage im Jahr für Beschäftigte von 201,42 ergibt sich daraus ein Stellenbedarf von 2,6 Stellen. Für die Folgejahre werden nach dieser Berechnung ungefähr 376 PT benötigt, was einen Bedarf von 1,9 Stellen entspricht. Hierbei handelt es sich um einen Orientierungsrahmen.

Aufgrund des dargestellten Umfangs und der Komplexität der Aufgabe ist die Umsetzung dieser Vorgaben nicht mit den bestehenden personellen Ressourcen zu bewerkstelligen. Eine Stellenschaffung von dauerhaft 1,9 Mitarbeitern mit einem Informatikstudium bzw. Verfahrenstechnikstudium in EG 12 TVöD wird für unbedingt erforderlich gehalten.

Auch die für die IT-Sicherheit zuständige Stelle der Stadtverwaltung, AK/DSB, sieht einen enormen Umsetzungsaufwand für den Eigenbetrieb SES und empfiehlt personelle Verstärkung, da von dort, über eine Beratung hinaus, keine freien Kapazitäten zur Unterstützung zur Verfügung stehen. Vergleichbare Stadtentwässerungsbetriebe sehen ebenfalls einen zusätzlichen Personalbedarf.

Der zusätzliche Personalbedarf im Umfang von dauerhaft 1,9 VZK ist unverzüglich aufgrund der Zeitvorgaben zu decken. Darüber hinaus ist die Beauftragung eines externen Beraters im Umfang von 0,7 VZK für mindestens ein Jahr erforderlich, der die anfallenden Aufgaben wie Bestandserhebung, Risikobeurteilung und Maßnahmenauswahl mit wahrnehmen wird.

Im Rahmen der Wirtschaftsplanberatungen 2018/2019 wird das benötigte Personal von 1,9 Stellen beantragt.

Finanzielle Auswirkungen

Die durch die Umsetzung des IT-Sicherheitsgesetzes verursachten Kostensteigerungen führen zu einem Gebührenmehrbedarf. Der Mehraufwand für die 1,9 Stellen in EG 12 beträgt 172.900 EUR pro Jahr. Darüber hinaus fallen externe Beraterleistungen im Umfang von etwa 63.700 EUR für ein Jahr an. Die zur Umsetzung erforderlichen Sachkosten können derzeit noch nicht abgeschätzt werden, da zunächst eine Bestandserhebung, Risikobeurteilung und eine Maßnahmenauswahl erforderlich ist.

Durch die beschriebenen Umsetzungsmaßnahmen ist nicht damit zu rechnen, dass sich das Jahresergebnis gegenüber dem bisherigen Erfolgsplan verschlechtert, da die vorgesehenen Mehraufwendungen durch entsprechende Gebührenerlöse finanziert werden.

Durch die fristgerechte Umsetzung der Vorgaben, kann die bei Nichtumsetzung mögliche Strafzahlung vermieden werden.

Beteiligte Stellen

WFB und AKR haben die Vorlage mitgezeichnet.

Folgender Hinweis wurde seitens AKR angeführt:

Die in Beschlussziffer 3 vorgesehene, unbefristete Einstellung von 1,9 Vollzeitkräften (VZK) erfolgt im Vorgriff auf die Bereitstellung der entsprechenden personellen Kapazitäten (Stellen) im Wirtschaftplanverfahren 2018/2019 (Beschlussziffer 2). Sollte sich im weiteren Prüfungsverfahren herausstellen, dasss die volle Kapazität von 1,9 VZK doch nur befristet in der Konzeptions- und Einführungsphase benötigt wird, gehe ich davon aus, dass das Tiefbauamt/der Eigenbetrieb SES dies im Rahmen seiner personellen Planungen und Maßnahmen rechtzeitig berücksichtigt und kompensieren kann.

Dirk Thürnau Wolfgang Schanz
Bürgermeister Erster Betriebsleiter

Anlagen

zum Seitenanfang