BayVSA: 44. Freigabe des Betriebs von VS-IT

BayVSA

Text gilt ab: 01.01.2026

Fassung: 09.12.2025

44.

Freigabe des Betriebs von VS-IT

44.1

¹Voraussetzung für die Freigabe von VS-IT ist grundsätzlich die Einhaltung der Standards zur Informationssicherheit des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung. ²Abweichend von Satz 1 gelten für die Freigabe von VS-IT, mit der lediglich Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH verarbeitet werden, die Anforderungen des Art. 43 Abs. 1 BayDiG. ³Das Landesamt für Sicherheit in der Informationstechnik kann in den Fällen des Satzes 2 beratend hinzugezogen werden.

44.2

Die Überprüfung der Anforderungen nach Nr. 44.1 übernimmt die Informationssicherheitsbeauftragte oder der Informationssicherheitsbeauftragte im Rahmen der mit der Richtlinie zur Informationssicherheitsorganisation der bayerischen Staatsverwaltung übertragenen Aufgaben.

44.3

¹Für eine Freigabe ist zudem erforderlich, dass die Anforderungen des Geheimschutzes erfüllt sind; das sind regelmäßig:

a): die Erfüllung des Grundsatzes „Kenntnis nur, wenn nötig“ (Nrn. 3.1, 21.2, 52.1 Satz 1 Buchst. b),
b): die Beachtung der Grundsätze zu Einstufung und Kennzeichnung von Verschlusssachen (Nrn. 12, 14.1, 15.2, 16, 17.2),
c): die Verwaltung und der Nachweis der Verschlusssachen (Nr. 18),
d): die Einhaltung der Regeln zur Aufbewahrung von Verschlusssachen (Nr. 20),
e): die Gewährleistung der Sicherheit von VS-IT über deren gesamten Lebenszyklus (Nr. 43.2),
f): die Aussonderung und Vernichtung von Verschlusssachen (Nrn. 27 ff., 50),
g): die Beachtung der Vorgaben zur Übertragung von Verschlusssachen über technische Kommunikationsverbindungen (Nr. 49),
h): die Beachtung der einschlägigen Bestimmungen über- oder zwischenstaatlicher Organisationen sowie bilateraler Geheimschutzabkommen (Nr. 31).

²Die Anforderungen des Geheimschutzes werden in den vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Geheimschutzbausteinen des IT-Grundschutzes konkretisiert. ³Im Einzelfall und insbesondere infolge weiterer Geheimschutzanforderungen aufgrund nationaler und internationaler Bestimmungen mit Bezug auf die Handhabung und Verarbeitung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher können die Geheimschutzbeauftragten weitere Anforderungen vorsehen.

44.4

¹Vor der Freigabe von VS-IT für die Verarbeitung von Verschlusssachen des Geheimhaltungsgrades VS-VERTRAULICH oder höher veranlasst die Geheimschutzbeauftragte oder der Geheimschutzbeauftragte eine Beratungsleistung durch das Landesamt für Verfassungsschutz zur Einschätzung der umgesetzten Geheimschutzanforderungen nach Nr. 44.3. ²Für VS-IT ausschließlich für die Verarbeitung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH sind Geheimschutzanforderungen nach Nr. 44.3 durch die Informationssicherheitsbeauftragte oder den Informationssicherheitsbeauftragten in Abstimmung mit der Geheimschutzbeauftragten oder dem Geheimschutzbeauftragten der jeweiligen Dienststelle zu prüfen. ³Das Ergebnis der Überprüfung ist in der Geheimschutzdokumentation festzuhalten.

44.5

¹Die Dienststellenleiterin oder der Dienststellenleiter erteilt die Freigabe, sofern die in den Nrn. 44.1 und 44.3 genannten Voraussetzungen vorliegen. ²Sollen Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher verarbeitet werden, tritt als weitere Voraussetzung ein Freigabevotum des Landesamtes für Verfassungsschutz unter Einbindung des Landesamtes für Sicherheit in der Informationstechnik hinzu. ³Das Freigabevotum ist in der Geheimschutzdokumentation festzuhalten.

44.6

¹Bei mehreren beteiligten Dienststellen erfolgt die Gesamtfreigabe durch die Dienststellenleiterin oder den Dienststellenleiter der Dienststelle, welche oder welcher die Gesamtverantwortung für das VS-IT-System hat. ²Diese Gesamtfreigabe erfolgt auf der Grundlage der von der Dienststellenleiterin oder dem Dienststellenleiter, soweit erforderlich, eingeholten Einzelprüfnachweise der beteiligten Dienststellen über die getroffenen Geheimschutzmaßnahmen. ³Im Zweifel bestimmt bei ressortinternen VS-IT-Verbünden die zuständige oberste Staatsbehörde und bei ressortübergreifenden VS-IT-Verbünden die zuständige Dienststellenleiterin oder der zuständige Dienststellenleiter des VS-IT-Verbundes. ⁴Sie informiert die beteiligten Dienststellen über das Ergebnis der Gesamtfreigabe.

44.7

¹Die Freigabe von VS-IT für die Geheimhaltungsgrade VS-VERTRAULICH oder höher ist dem Landesamt für Verfassungsschutz mitzuteilen. ²Das Landesamt für Verfassungsschutz führt eine Liste über die in den Dienststellen freigegebene VS-IT nach Satz 1 und setzt das Landesamt für Sicherheit in der Informationstechnik unverzüglich über die Liste in Kenntnis.

44.8

¹Geheimschutzrelevante Änderungen bei freigegebener VS-IT bedürfen der vorherigen Zustimmung der Geheimschutzbeauftragten oder des Geheimschutzbeauftragten. ²Bei Bedarf ist das Landesamt für Verfassungsschutz oder die Informationssicherheitsbeauftragte oder der Informationssicherheitsbeauftragte beratend hinzuzuziehen.

Inhalt