RVaktuell - Fachzeitschrift und amtliche Mitteilungen
RVaktuell - Fachzeitschrift und amtliche Mitteilungen der Deutschen Rentenversicherung

Verbindliche Entscheidung des Bundesvorstandes der Deutschen Rentenversicherung Bund (1/2024*)

RVaktuell 1/2024
Der Bundesvorstand der Deutschen Rentenversicherung Bund hat folgende verbindliche Entscheidung getroffen:

1. Die Leitlinie zur Informationssicherheit (Informationssicherheits-Policy – Ebene 1 [Anlage 1]) und die Grundzüge der Informationssicherheit (Informationssicherheits-Policy – Ebene 2 [Anlage 2]) sind für alle Träger der Deutschen Rentenversicherung verbindlich.

2. Der IT-Sicherheitsbeauftragte der Deutschen Rentenversicherung (IT-SIBE DRV

a) nimmt ein herausgehobenes Amt mit Kontroll- und Eingriffsrechten wahr, die in die Träger der Deutschen Rentenversicherung hineinwirken. Diese Sonderstellung in der Deutschen Rentenversicherung bedingt, dass der IT-SIBE DRV in der Wahrnehmung der fachlichen Aufgaben weisungsfrei und an den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgerichtet ist,

b) nimmt bei der Deutschen Rentenversicherung Bund eine Grundsatz- und Querschnittsaufgabe wahr. Die Deutsche Rentenversicherung Bund verantwortet eine geeignete organisatorische Ausführung der Funktion,

c) ist Richtliniengeber für die IT-Sicherheit der Deutschen Rentenversicherung und sichert durch seine Kontroll- und Eingriffsrechte die IT-Sicherheit der Kritischen Dienstleistungen sowie insgesamt ein angemessenes Niveau der IT-Sicherheit in der Deutschen Rentenversicherung ab,

d) leitet operative Tätigkeiten in Bezug auf Detektion und Reaktion von IT-Sicherheitsvorfällen der Gesamtanlage Deutsche Rentenversicherung,

e) berichtet dem Bundesvorstand (BVORST).

3. Die Verantwortung für die IT-Sicherheit der Kritischen Dienstleistungen liegt bei den Leitungen der Träger der Deutschen Rentenversicherung.

4. Der IT-SIBE DRV nimmt im Regelkreis der IT-Sicherheit (Plan – Do – Check – Act) folgende weitere Aufgaben wahr:

a) „Plan“

(1) Der IT-SIBE DRV steuert und koordiniert die in der Deutschen Rentenversicherung übergreifenden Aufgaben zur IT-Sicherheit, die eine Grundsatz- und Querschnittsaufgabe sind. Zur Umsetzung wird ihm die Geschäftsstelle Informationssicherheit (GSIS) zugeordnet.

(2) Der IT-SIBE DRV bestimmt und verantwortet zur Sicherstellung gemeinsamer Standards die Richtlinien zur Informationssicherheit (ISP Ebene 3) sowie die Fortschreibung der Informationssicherheits-Policy (ISP) und des Branchenspezifischen Sicherheitsstandards (B3S DRV). Zu diesem Zweck wird ihm ein Fachgremium beigestellt.

b) „Do“

(1) Der IT-SIBE DRV ist der zentrale Ansprechpartner der Deutschen Rentenversicherung zur IT-Sicherheit. Die Gemeinsame Übergreifende Ansprechstelle (GÜAS) als zentrale Meldestelle gegenüber Aufsichten und Behörden ist ihm zugeordnet.

(2) Dem IT-SIBE DRV ist das Computer Emergency Response Team der Deutschen Rentenversicherung (CERT-DRV) mit folgenden Aufgaben zugeordnet.

a. Behandlung von Sicherheitsvorfällen

b. Maßnahmen zum Schutz der Deutschen Rentenversicherung im Internet oder Darknet

c. Berichtswesen

(3) Der IT-SIBE DRV nimmt die für die IT-Sicherheit des gemeinsamen Netzzugangs der Deutschen Rentenversicherung notwendigen Konzepte ab und erstellt dafür die IT-Security-Policy.

(4) Der IT-SIBE DRV ist für die IT-Sicherheit zentraler Verfahren und Services, die übergreifend für alle Träger der Rentenversicherung gemeinsam entwickelt oder betrieben werden, zuständig.

(5) Der IT-SIBE DRV verantwortet das Berichtswesen zur IT-Sicherheit der Gesamtanlage Deutsche Rentenversicherung.

c) „Check“

(1) Der IT-SIBE DRV ist verantwortlich für die IT-sicherheitsbezogene Kontrolle und Überprüfung der im B3S DRV definierten Gesamtanlage der Deutschen Rentenversicherung im Rahmen DRV-übergreifender Nachweise.

(2) In diesem Rahmen kann der IT-SIBE DRV Penetrationstests veranlassen und Bestandteile der Gesamtanlage vergleichend auditieren.

(3) Außerdem überwacht der IT-SIBE DRV die IT-Security-Policy des gemeinsamen Netzzugangs der Deutschen Rentenversicherung.

d) „Act“

(1) Der IT-SIBE DRV kann darauf hinwirken, IT-Systeme und Anwendungen, die unter die Kritische Infrastruktur fallen, ganz oder in Teilen stillzulegen, wenn sie nicht den BSI-IT-Grundschutzanforderungen (Basis- und Standardanforderungen) genügen.

(2) Der IT-SIBE DRV kann bei Gefahr in Verzug beauftragen oder bei Gefahr in Verzug und organisatorischen Hindernissen in der unverzüglichen Umsetzung veranlassen, jede Institution der Deutschen Rentenversicherung zum Schutz anderer Institutionen vom Netz der Deutschen Rentenversicherung (DRV-WAN), vom Internet oder anderen Netzen zu trennen.

(3) Der IT-SIBE einer Institution der Deutschen Rentenversicherung muss im Fall eines Sicherheitsvorfalls mit Gefährdungspotential für die Gesamtanlage Deutsche Rentenversicherung den IT-SIBE DRV unverzüglich einbinden.

(4) Der IT-SIBE DRV kann im Fall eines Sicherheitsvorfalls digitale forensische Analysen veranlassen.

(5) Die für die IT-Sicherheit verantwortlichen Geschäftsführungen der Träger der Deutschen Rentenversicherung gewähren dem IT-SIBE der Deutschen Rentenversicherung ein direktes Vorspracherecht. Die Konsultationen werden dokumentiert.

(6) Der IT-SIBE DRV hat das uneingeschränkte Auskunftsrecht über die Maßnahmenplanung im Rahmen von DRV-übergreifenden Nachweisen.

(7) Das dem IT-SIBE DRV beigestellte Fachgremium hat ein direktes Vorlagerecht in jedem Gremium der Deutschen Rentenversicherung mit Ausnahme der Bundesvertreterversammlung.

Gleichzeitig tritt die bisherige verbindliche Entscheidung vom März 2018, veröffentlicht am 18. Juni 2018, außer Kraft.

Die Entscheidung beruht auf § 138 Absatz 1 Satz 2 Nummer 6 in Verbindung mit Absatz 2 Satz 1 SGB VI, § 51 Absatz 2 Nummer 6 der Satzung der Deutschen Rentenversicherung Bund. Die Zuständigkeit des Bundesvorstandes ergibt sich aus § 138 Absatz 2 Satz 2, Absatz 3 SGB VI, § 53 Absatz 2 der Satzung der Deutschen Rentenversicherung Bund in Verbindung mit dem Beschluss der Vertreterversammlung (heute: Bundesvertreterversammlung) über die Delegation von Aufgaben vom 1. Oktober 2005.

Die Entscheidung wird mit der Veröffentlichung im Amtlichen Mitteilungsblatt der Deutschen Rentenversicherung Bund verbindlich.

 

Berlin, 14. März 2024

 

Anja Piel                  Alexander Gunkel

 

Datum der Veröffentlichung: 7.5.2024

*Nichtamtliche fortlaufende Nummerierung

Rechtsprechung Personalie aktuell

RVaktuell 1/2024

Jetzt lesen

Wir verwenden Cookies, um Ihnen die Inhalte und Funktionen der Website bestmöglich anzubieten. Darüber hinaus verwenden wir Cookies zur Analyse. Weiterführende Informationen erhalten Sie in unseren Datenschutzhinweisen.