InfSG LSA - die Kommunen sind (aktuell) außen vor

Es gibt einen Unterschied zwischen einem Gesetz, das eine europäische Richtlinie umsetzt, und einem, das ein Resilienzkonzept formuliert. Mit dem Entwurf des Informationssicherheitsgesetzes (InfSG LSA) versucht Sachsen-Anhalt beides: solide NIS-2-Umsetzung - und mit Experimentierklausel und Evaluierungspflicht zwei bundesweit einmalige Instrumente. Daneben steht eine Leerstelle: Sachsen-Anhalt erlebte im Juli 2021 mit dem Cyberangriff auf Anhalt-Bitterfeld den ersten Cyber-Katastrophenfall der bundesdeutschen Geschichte. Das Ereignis steht in der Gesetzesbegründung; die Verwaltungsebene, auf der es stattfand, ist vom Anwendungsbereich vollständig ausgenommen.

Eine Bemerkung zur Lage: Die NIS-2-Richtlinie war bis zum 17. Oktober 2024 umzusetzen, das Bundesgesetz ist am 6. Dezember 2025 in Kraft getreten (BSI), gegen Deutschland läuft seit Mai 2025 die zweite Stufe des Vertragsverletzungsverfahrens (EU-Kommission). Der Druck, jetzt zügig ein Landesgesetz nachzuziehen, ist real. Er darf aber nicht dazu führen, kurz vor Ende der Legislaturperiode einen normativ schmal geschnittenen Entwurf durchzuwinken. Ein Gesetz, das einen ganzen Verwaltungszweig ausklammert, lässt sich später nur schwer öffnen - die strategische Tiefe, die jetzt unterbleibt, wird in fünf Jahren nicht nachgeholt.

Was das Gesetz leistet - und wo es im Bundesvergleich steht

Das InfSG LSA setzt die NIS-2-Mindestanforderungen für die unmittelbare Landesverwaltung um. Das Ministerium für Infrastruktur und Digitales (MID) wird zuständige Behörde nach Art. 8 NIS-2; beim MID wird nach § 4 Abs. 3 eine operativ unabhängige, weisungsfreie Stelle angesiedelt, ein CSIRT eingerichtet - operativ über die Drittenklausel an das CERT Nord mandatierbar (§ 5 Abs. 5). Die elf Mindestmaßnahmen aus Art. 21 sind übernommen, die Meldepflicht folgt der dreistufigen NIS-2-Struktur (24 / 72 Stunden / ein Monat plus 72 Stunden, § 9 Abs. 1). Behördenleitungen tragen persönliche Verantwortung (§ 10 Abs. 1); Informationssicherheitsbeauftragte können kumulativ benannt werden (§ 10 Abs. 3) und sind weisungsfrei (§ 10 Abs. 7). Der Pflichtnachweis ist spätestens drei Jahre nach Inkrafttreten zu erbringen (§ 8 Abs. 5).

Erfasst sind ausschließlich „wichtige Stellen der unmittelbaren Landesverwaltung" (§ 2 Abs. 1, Abs. 2 Buchstaben a und b) - automatisch alle obersten Landesbehörden, risikobasiert weitere mit Ausfallwirkung über 30 Tage. Ausgenommen nach § 2 Abs. 4: Landtag, Landesbeauftragte für den Datenschutz, Rechnungshof, Rechtsprechung samt Staatsanwaltschaften und Justizvollzug, Hochschulen und Universitätsklinika, SED-Aufarbeitung, Kirchen, MDR, öffentlich-rechtliche Kreditinstitute und Versicherungsanstalten, nationale Sicherheit, Verteidigung, Strafverfolgung - und, die zentrale Leerstelle, sämtliche Kommunen, Landkreise und Einrichtungen der mittelbaren Landesverwaltung.

Zwei Schwachstellen begrenzen die Durchsetzung. Bußgeldtatbestände gegen Behörden fehlen - wie in allen Landesgesetzen. Anordnungen des MID nach § 12 Abs. 2 setzen das Einvernehmen der betroffenen wichtigen Stelle voraus (§ 12 Abs. 4 Satz 1); bei nachgeordneten Behörden nach § 2 Abs. 2 Buchstabe b erteilt zusätzlich die zuständige oberste Landesbehörde das Einvernehmen (Satz 2). Nur zur Gefahrenabwehr im Eilfall darf das MID darauf verzichten (Satz 3). Die Grundregel bleibt zustimmungspflichtig. NRW zeigt eine differenziertere Lösung: Einvernehmen ist dort nur gegenüber obersten Landesbehörden erforderlich; gegenüber wichtigen Behörden genügt das schwächere „Benehmen" (§ 12 Abs. 2 InfoSiG NRW). Zudem verweist § 8 Abs. 2 auf „Stand der Technik" und europäische Normen, ohne den BSI-IT-Grundschutz verbindlich vorzuschreiben - Bayern verlangt eine ISMS- und IT-Grundschutz-Leitlinie, das NIS2UmsuCG verpflichtet die Bundesbehörden darauf.

Bundesvergleich der Landesregelungen

Niedersachsen (Runderlass), Brandenburg (Rechtsverordnung) und Bremen (Verwaltungsvorschrift) bleiben in Bindungswirkung und Reichweite zurück. Sachsen ist seit 2019 das einzige Flächenland mit verbindlicher kommunaler Einbeziehung. Bayern hat mit Art. 49a BayDiG die qualitativ stärkste risikobasierte Identifizierung; das LSI agiert als eigenständige Aufsicht mit operativem Durchgriff. NRW integriert seit 14. Januar 2026 Organe der Rechtspflege und den Landtag und wahrt die richterliche Unabhängigkeit durch eine spezifische Einvernehmensregel (§ 16 Abs. 4). Sachsen-Anhalt steht normativ hoch, in der Reichweite des Adressatenkreises auf der niedrigeren Stufe.

Die Ausnahmeliste des § 2 Abs. 4 wirkt über den kommunalen Ausschluss hinaus. Der Verweis auf richterliche Unabhängigkeit zwingt nicht zur kompletten Herausnahme der Justiz - NRW hat den Konflikt durch differenzierte Einvernehmensregeln gelöst. Für Hochschulen und Universitätsklinika fehlt eine spezifische Begründung; gerade sie sind wegen Forschungsdaten und Versorgungssicherheit besonders exponiert. Für Landtag und Rechnungshof zeigt NRW, dass eine eigene Leitlinienpflicht möglich ist, ohne parlamentarische Eigenständigkeit anzutasten.

Die operative Hilfeleistung des CERT Nord steht den Kommunen Sachsen-Anhalts faktisch bereits zur Verfügung: Über die Multiländerverträge mit Dataport sind die Leistungen auf Kommunalverwaltungen erweitert; nach TLP-Registrierung erhalten Kommunen kostenfrei Sicherheitsmeldungen, Lagebilder, Schwachstellenhinweise und 24/7-Incident-Response. Was fehlt, ist nicht die Verfügbarkeit, sondern die rechtliche Verankerung. Die Leistung beruht auf einem Vertragskonstrukt zwischen MID und Dataport (rund 396.000 Euro jährlich) - haushälterisch verletzlich, an Vertragslaufzeiten gebunden, ohne Mindestschutzstandards, ohne NIS-2-Meldepflicht, ohne Aufsichtsregime. Flankiert wird das durch eine WiBA-basierte Beratung über 257 Fragen für 133 Kommunen (Pilot Halberstadt, Salzlandkreis, Arneburg-Goldbeck), Fortbildungen, 25 Notfalllaptops und Warndienst. Freiwilligkeit erzeugt jedoch Selektionsverzerrung; die rund fünf Millionen Euro WiBa-basierten Beratungsmittel sind bei flächendeckender Beteiligung knapp, das Förderprogramm Sachsen-Anhalt Digital ist ausgeschöpft.

Experimentierklausel und Evaluierungspflicht als spannendes Alleinstellungsmerkmal

In dieser Kombination existieren beide Vorschriften in keinem anderen Bundesland.

§ 16 - Experimentierklausel. Jede oberste Landesbehörde wird ermächtigt, durch Rechtsverordnung zur Erprobung neuer Datenanalysesysteme für die Gefahrenabwehr in den IT-Systemen des Landes sachlich und örtlich begrenzte Ausnahmen zur Datenauswertung zuzulassen - für höchstens drei Jahre, im Einvernehmen mit der zuständigen Stelle nach § 4 Abs. 3 Satz 1 und mit Zustimmung der Landesbeauftragten für den Datenschutz. Die Begründung räumt offen ein, dass nicht vorhersehbar sei, welche Daten künftig ausgewertet werden müssen - auch solche, die „weder zu den üblichen Protokolldaten gehören, noch an Schnittstellen erfasst werden oder zum Zeitpunkt der Gesetzgebung elektronisch vorliegen". Nutzbar ist diese Klausel für KI-basierte Anomalieerkennung, Graph-Analysen, maschinelles Lernen auf historischen Vorfallsdaten, Threat-Intelligence-Korrelation und KI-gestützte Vorklassifikation in Meldesystemen. Mehrfach abgesichert - Ambition ohne Kontrollverlust. Drei Lücken bleiben: keine Veröffentlichungspflicht, kein Sanktionsmechanismus gegen Nicht-Nutzung, kein Überführungspfad in den Regelbetrieb.

§ 17 - Evaluierungspflicht. Erstmals zum 31. Dezember 2027 ein Bericht an den Landtag über Auswirkungen, Projekte nach § 16, Kosten, Nutzen, Weiterentwicklungsbedarf; danach Fünf-Jahres-Berichte. Rechtsstaatliche Pointe: § 15 schränkt Artikel 10 GG sowie Artikel 14 und 6 der Landesverfassung ein - wer in dieser Tiefe in Grundrechte eingreift, muss vor dem Parlament Rechenschaft ablegen. Drei Schwächen: Der erste Zyklus bis Ende 2027 ist in einem monatlich veränderlichen Bedrohungsumfeld zu lang; messbare Erfolgsindikatoren fehlen; die veranschlagten 5.000 Euro jährlich sind keine Wochenstelle auf E14-Niveau.

Die Stärke liegt in der Kombination. Erprobung ohne Wirkungsanalyse bleibt eine Sammlung isolierter Pilotprojekte, Evaluation ohne Erprobungsraum produziert Berichte ohne Bewegung. Zusammen entsteht eine lernende Sicherheitsarchitektur - ein iterativer Zyklus aus Experiment, Bewertung und Normfortbildung, der Exekutive und Legislative koppelt.

Es gibt einen oft übersehenen Nebeneffekt dieser Konstruktion, der mir aus der Praxis besonders wichtig erscheint: Jede Erprobung nach § 16 ist faktisch eine Übung in interorganisationalem Krisenmanagement. Sie verlangt Ressorteinvernehmen mit der zuständigen Stelle nach § 4 Abs. 3 Satz 1, die Zustimmung der Landesbeauftragten für den Datenschutz, sachliche und örtliche Eingrenzung, Wirkungsbewertung im Rahmen der Evaluierung und Befristung auf drei Jahre. Wer diesen Prozess einmal durchlaufen hat, hat im Verwaltungsalltag jene Koordinationsroutinen aufgebaut, die im echten Krisenfall fehlen: belastbare Abstimmungswege zwischen IT-Sicherheit, Datenschutz, Fachressort und parlamentarischer Berichterstattung. Das InfSG LSA würde damit institutionelle Krisenmanagementkompetenz weit über die reine Cyberabwehr hinaus stärken - vorausgesetzt, die Klausel wird tatsächlich genutzt und der Evaluationsbericht macht die durchlaufenen Verfahren öffentlich.

Begrenzt wird das ganze Potenzial durch den kommunalen Ausschluss. Eine Experimentierklausel, die nicht auf kommunale Netze ausgedehnt werden kann, schützt den Palast, nicht die Stadt. Und eine Krisenmanagement-Übungsarchitektur, die nur die Landesebene koppelt, lässt genau die Verwaltungsebene außen vor, auf der reale Cyberlagen zuerst landen.

Kommunaler Ausschluss, Gesamtverteidigung und das verlorene Potenzial

§ 2 Abs. 1 beschränkt den Anwendungsbereich auf „wichtige Stellen der unmittelbaren Landesverwaltung". Die Begründung formuliert mit unüblicher Klarheit: „Das Informationssicherheitsgesetz Sachsen-Anhalt schafft für Kommunen keine Verpflichtungen." Verwiesen wird auf das Konnexitätsprinzip nach Art. 87 Abs. 3 der Landesverfassung und auf den IT-Planungsratsbeschluss 2023/39, der die Länder gebeten hat, „von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen". Die Argumentation ist formal korrekt, verfehlt aber die strategische Dimension. Konnexität wäre durch Mehrbelastungsausgleich, Anschlussmodelle und Fördertatbestände lösbar; der Beschluss des IT-Planungsrats ist Bitte, nicht bindende Weisung.

Kommunalverwaltungen erbringen die operative Daseinsvorsorge - Meldewesen, Sozialleistungen, Baugenehmigungen, Kfz-Zulassung, Schulverwaltung, Wasserversorgung, ÖPNV-Steuerung. In Sachsen-Anhalt verwalten 133 Kommunen Millionen personenbezogener Datensätze. Anhalt-Bitterfeld ist nicht die Ausnahme, Anhalt-Bitterfeld ist die Vorhersage. Hinzu tritt die Propagationsdimension: Kommunen nutzen geteilte IT-Dienstleister, die teilweise auch Landesstellen versorgen; Kompromittierungen können lateral auf Landesnetze übergreifen. Wer die kommunale Ebene aus dem Anwendungsbereich nimmt, schützt die Landesebene damit nicht vor sich selbst.

Spätestens hier wechselt die Logik von Cyberabwehr zu Gesamtverteidigung. Dr. Ingmar Soll, Oberst d. R. und Bereichsleiter Kommunale Lösungen bei Dataport.kommunal, hatdie Rolle der Kommunen in vier Aufgabenfeldern beschrieben: Sicherung von Staats- und Regierungsfunktionen, Aufrechterhaltung des Zivilschutzes, Versorgung der Bevölkerung in Notlagen, Unterstützung der Streitkräfte. In allen vier Feldern führen die operativen Linien durch die Kommunalverwaltung: Meldewesen, Standesämter und Wahlinfrastrukturen; Landratsämter und untere Katastrophenschutzbehörden; Stadtwerke und Eigenbetriebe; Host Nation Support, Liegenschaften, Verkehrsführung und medizinische Versorgung im Hinterland. Eine Sicherheitsgesetzgebung, die die kommunale Ebene ausspart, schneidet das digitale Fundament aller vier Felder ab.

Sachsen-Anhalt hätte das erste Bundesland sein können, das Experimentierklausel, Evaluierungspflicht und einen Adressatenkreis bis in die kommunale Ebene kombiniert - kein anderes Land verbindet Reichweite mit Lernfähigkeit. CERT-Nord-Infrastruktur und Multiländervertrag erstrecken sich auf die Kommunen und eine WiBa-basierte Beratung existieren. Was fehlt, ist die normative Verklammerung zu einem ebenenübergreifenden Frühwarnverbund.

Anschlussfähige und wirksame Empfehlungen

Verbindliche Einbeziehung der Kommunen (§ 2 Abs. 1, Abs. 5 neu) - nach sächsischem Vorbild

Das SächsISichG zeigt seit 2019, dass eine verpflichtende Adressierung der kommunalen Ebene rechtlich tragfähig und praktisch handhabbar ist. § 2 Abs. 1 wird um Kommunen, Landkreise, kommunale Zweckverbände und Anstalten öffentlichen Rechts in kommunaler Trägerschaft erweitert; § 2 Abs. 5 gibt einen risikobasierten Stufenplan vor (zunächst Landkreise und kreisfreie Städte, im zweiten Schritt kreisangehörige Gemeinden ab einer durch Rechtsverordnung festzulegenden Schwelle, mit angemessenen Übergangsfristen). Die Konnexitätsfrage wird durch verbindlichen Mehrbelastungsausgleich, pauschalierte Förderkulisse für Erst- und Folgeertüchtigung und Bereitstellung gemeinsamer Dienste über das CSIRT gelöst.

CERT-Nord-Leistungen für Kommunen verankern (§ 5)

§ 5 hält ausdrücklich fest, dass das CSIRT - und das nach § 5 Abs. 5 mandatierte CERT Nord - Sicherheitsmeldungen, Lagebilder, Schwachstellenhinweise und 24/7-Incident-Response auch für Kommunen und Landkreise erbringt. Aus vertraglicher Reaktivkomponente wird gesetzlich abgesicherte Regelleistung.

Strukturierte Meldewege für kommunale Vorfälle (§ 9)

Erstreckung der dreistufigen NIS-2-Meldepflicht nach § 9 Abs. 1 auf die nach § 2 erfassten kommunalen Stellen. Die freiwillige Meldung nach § 9 Abs. 7 bleibt erhalten und wird ausdrücklich auf Kommunen ausgedehnt, die nach Stufenplan noch nicht verpflichtet sind. Damit entsteht ein nahtloser Übergang von freiwilliger Frühphase zu verbindlicher Regelmeldung.

Belastbare Evaluierungs-Indikatorik (§ 17 Abs. 1a neu)

Verpflichtung zu messbaren Indikatoren im ersten Bericht - mindestens: gemeldete erhebliche Vorfälle nach § 9 (gegliedert nach Landes- und kommunaler Ebene), Anteil wichtiger Stellen mit abgeschlossenem ISMS nach § 8 Abs. 5, Prüfungen nach § 11, erprobte Systeme nach § 16 mit Wirkungseinschätzung. Anhebung des Evaluierungsbudgets auf mindestens 80.000 bis 100.000 Euro für den ersten Zyklus, parlamentarische Aussprache binnen 60 Tagen, formloser Zwischenbericht nach 18 Monaten.

Überführungspfad für Pilotprojekte (§ 16 Abs. 2 neu)

Dokumentation der Erprobungsergebnisse und Empfehlungen zur Überführung in dauerhaften Betrieb oder gesetzliche Regelung mit dem Bericht nach § 17 Abs. 1; öffentlich zugänglich, soweit nicht Sicherheits- oder Datenschutzgründe entgegenstehen. Damit wird die Experimentierklausel von einer Sammlung von Einzelvorhaben zu einem Regelmechanismus der Normfortbildung.

Verbindlicher Sicherheitsstandard (§ 8 Abs. 2)

Klarstellung, dass „Stand der Technik" mindestens den BSI-IT-Grundschutz in der jeweils geltenden Fassung umfasst, soweit nicht eine gleichwertige, dokumentierte Alternative gewählt wird. Damit wird der schwächere Verweis auf europäische Normen ohne Verankerungspunkt geschlossen.

Anbindung an Katastrophenschutz (§ 6 Abs. 1) und Gesamtverteidigung

§ 4 Abs. 2 Nr. 4 verpflichtet das MID bereits zur Konzeption von Maßnahmen für Notfälle und Katastrophen im Bereich der Informationssicherheit; § 6 ist der systematische Ort, um daran anzuschließen. Ergänzung der Zusammenarbeitsklausel um die für Brand- und Katastrophenschutz zuständigen Stellen des Landes und die Landkreise als untere Katastrophenschutzbehörden; ausdrücklicher Auftrag zur Mitwirkung an Strukturen ziviler Verteidigung als Schnittstelle zu Bundeswehr-Territorialkommandos, Landeskommando und zivil-militärischen Beratungselementen. Damit wird die im Begründungsteil bereits angesprochene Katastrophenfallqualität von Cybervorfällen in einer Kooperationsnorm operativ greifbar.

Dynamische Bundesanschlussklausel (§ 6)

Pflicht des Ministeriums, die Strukturen kompatibel mit NIS2UmsuCG, KRITIS-Dachgesetz und BSI-Gesetz in der jeweils geltenden Fassung auszugestalten. Damit muss das Landesrecht nicht bei jeder Bundesänderung nachjustiert werden.

Schluss

Das InfSG LSA ist ein ernstzunehmendes, handwerklich solides Gesetz mit zwei strukturell innovativen, bundesweit alleinstellenden Instrumenten - und verfehlt seinen Anspruch als ganzheitlicher Ansatz dennoch. Es schließt die kommunale Ebene normativ aus, obwohl Gesamtverteidigung sie nicht aussparen kann und Anhalt-Bitterfeld vorgeführt hat, was der Ausfall einer einzigen Kreisverwaltung bedeutet. Es lässt operative Leistungen über das CERT Nord, die faktisch bereitstehen, gesetzlich unverankert. Und es verschenkt den Nebeneffekt, den Experimentierklausel und Evaluierungspflicht zusammen produzieren würden: eine institutionalisierte Routine in interorganisationalem Krisenmanagement, die die Verwaltung im Ernstfall handlungsfähiger macht.

Im Bundesvergleich bleibt der Entwurf hinter Sachsen, Bayern und Nordrhein-Westfalen zurück, bei zugleich höchster normativer Tiefe in der Erprobungs- und Evaluierungsarchitektur. Diese Asymmetrie ist die Signatur des Entwurfs. Die vorgeschlagenen Änderungen sind überwiegend minimalinvasiv; die zentrale Anpassung - die verbindliche Einbeziehung der Kommunen nach sächsischem Vorbild - ist im einstelligen Paragrafenbereich abbildbar und seit 2019 in Sachsen praktisch erprobt. Wer jetzt aus Fristdruck und Legislaturlogik darauf verzichtet, schafft kein schlankes Gesetz, sondern eines mit eingebauter Asymmetrie. Die Korrekturen verlängern das Verfahren um Wochen, nicht um Jahre - und machen aus einem guten Landesgesetz ein strategisch führendes Instrument öffentlicher Sicherheitsarchitektur, eines, das die Ebene schützt, auf der Resilienz im Ernstfall tatsächlich entschieden wird.