Neues Informationssicherheitsgesetz Mecklenburg-Vorpommern: Was Kommunen und öffentliche Einrichtungen jetzt beachten müssen

Informationssicherheit wird in Mecklenburg-Vorpommern verpflichtend

Mit dem neuen Informationssicherheitsgesetz Mecklenburg-Vorpommern (ISichG M-V) setzt das Land zentrale Anforderungen der europäischen NIS-2-Richtlinie um. Für Behörden, Kommunen, öffentliche Einrichtungen sowie zahlreiche kommunale Unternehmen bedeutet dies: Informationssicherheit wird künftig deutlich verbindlicher organisiert und technisch überprüfbar.


Das Gesetz trittt am 20. Mai 2026 in Kraft und schafft erstmals einen landesweiten Rahmen für:

  • Informationssicherheitsmanagement
  • Sicherheitsüberwachung
  • Meldepflichten
  • Security Operations Center (SOC)
  • Einsatz des BSI IT-Grundschutzes
  • Sicherheitsorganisation und Verantwortlichkeiten


Gerade kleinere Kommunen und öffentliche Einrichtungen stehen damit vor neuen organisatorischen und technischen Herausforderungen.

Wer ist betroffen?

Das Gesetz gilt insbesondere für:

  • Landesbehörden
  • Städte, Gemeinden und Ämter
  • Landkreise
  • kommunale Eigenbetriebe
  • kommunale Unternehmen
  • öffentliche Einrichtungen
  • Beteiligungen der öffentlichen Hand
  • IT-Dienstleister öffentlicher Stellen

Die wichtigsten Anforderungen im Überblick

1. Einführung eines ISMS

Alle betroffenen Stellen müssen ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und dauerhaft betreiben.

Dazu gehören unter anderem:

  • Risikoanalysen
  • Sicherheitsrichtlinien
  • Notfallmanagement
  • Dokumentation
  • regelmäßige Wirksamkeitskontrollen

Die Verantwortung liegt ausdrücklich bei der Leitung der jeweiligen Organisation.

 

2. Verpflichtender Einsatz des BSI IT-Grundschutzes

Das Gesetz verpflichtet öffentliche Stellen zur Anwendung des BSI IT-Grundschutzes.

Für Kommunen gilt zunächst das:

IT-Grundschutz-Profil Basis-Absicherung Kommunalverwaltung

Ab Mai 2028 wird der vollständige IT-Grundschutz verpflichtend.

 

3. Benennung eines Informationssicherheitsbeauftragten (ISB)

Jede Organisation muss einen qualifizierten Informationssicherheitsbeauftragten benennen.

Der ISB:

  • überwacht Sicherheitsmaßnahmen
  • koordiniert Sicherheitsvorfälle
  • besitzt Vortragsrecht gegenüber der Leitung
  • kontrolliert Meldepflichten
  • unterstützt beim Aufbau des ISMS

 

4. Security Operations Center (SOC)

Öffentliche Stellen müssen künftig:

  • ein eigenes SOC betreiben
  • oder sich einem externen bzw. gemeinsamen SOC anschließen

Ziel ist die kontinuierliche Erkennung von Angriffen, Schwachstellen und Sicherheitsvorfällen.

 

5. Meldepflichten bei Sicherheitsvorfällen

Sicherheitsvorfälle müssen unverzüglich an das CERT M-V gemeldet werden.

Dazu zählen insbesondere:

  • Ransomware-Angriffe
  • Systemausfälle
  • kritische Schwachstellen
  • kompromittierte Benutzerkonten
  • Angriffe auf Verwaltungsprozesse

Auch Vorfälle bei IT-Dienstleistern können meldepflichtig sein.

Welche Herausforderungen entstehen?

Viele Kommunen verfügen aktuell noch nicht über:

  • ausreichende personelle Ressourcen
  • etablierte Sicherheitsprozesse
  • durchgängige Dokumentationen
  • Sicherheitsmonitoring
  • ein vollständiges ISMS

Hinzu kommt der Fachkräftemangel im Bereich Informationssicherheit.

Dadurch steigt der Bedarf an:

  • externen Informationssicherheitsbeauftragten
  • Managed Security Services
  • Schwachstellenmanagement
  • Sicherheitsmonitoring
  • Sicherheitskonzepten
  • Awareness-Schulungen

Wie unterstützt Cyber24Security?

Cyber24Security unterstützt Kommunen, öffentliche Einrichtungen und Unternehmen bei der Umsetzung der gesetzlichen Anforderungen.

Unsere Leistungen umfassen unter anderem:

Informationssicherheitsmanagement

  • Aufbau und Betreuung eines ISMS
  • Einführung des BSI IT-Grundschutzes
  • Erstellung von Sicherheitskonzepten
  • Risikoanalysen

Technische Sicherheitsleistungen

  • Schwachstellenanalysen
  • Penetrationstests
  • Sicherheitsmonitoring
  • Unterstützung beim SOC-Betrieb
  • Firewall- und Netzwerkprüfungen

Awareness und Schulungen

  • Schulungen für Mitarbeitende
  • Phishing-Simulationen
  • Sensibilisierung der Leitungsebene
 

Fazit

Mit dem neuen Informationssicherheitsgesetz Mecklenburg-Vorpommern wird Informationssicherheit zu einer verbindlichen Managementaufgabe.

 

Gerade Kommunen und öffentliche Einrichtungen sollten frühzeitig prüfen:

  • Welche Anforderungen bereits erfüllt sind
  • Wo organisatorische und technische Lücken bestehen
  • Welche Maßnahmen priorisiert umgesetzt werden müssen

 

Cyber24Security unterstützt Sie praxisnah bei der Umsetzung der Anforderungen – von der ersten Analyse bis zum laufenden Betrieb.

 

Gerne beraten wir Sie umfassend zur NIS-2-Risikoanalyse und zur Meldepflicht.

Erfahren Sie mehr