(1)
Auf Vorschlag der für IT- und Cybersicherheit in der Landesverwaltung zuständigen Ministerin oder des hierfür zuständigen Ministers setzt die Landesregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung eine Zentrale Informationssicherheitsbeauftragte oder einen Zentralen Informationssicherheitsbeauftragten (Chief Information Security Officer, CISO) ein. Die oder der CISO ist ressortübergreifend tätig, hat ein umfassendes Informationsrecht und ist von den Dienststellen der Landesverwaltung bei ihrer oder seiner Aufgabenerfüllung zu unterstützen, soweit Rechtsvorschriften nicht entgegenstehen. Er oder sie koordiniert ressortübergreifende Informationssicherheitsthemen und nimmt die Außenvertretung der hessischen Landesverwaltung in Belangen der Informationssicherheit wahr.
(2)
Die Aufgaben der oder des CISO umfassen insbesondere
1.
die Fortschreibung der Informationssicherheitsleitlinie der hessischen Landesverwaltung in Abstimmung mit der Staatskanzlei und den Ministerien und die kontinuierliche Verbesserung der Informationssicherheit in der Landesverwaltung,
2.
die Beratung der Beauftragten oder des Beauftragten der Landesregierung für E-Government und Informationstechnik (CIO), der Staatskanzlei und der Ministerien sowie die Entwicklung von Empfehlungen in Fragen der Informationssicherheit,
3.
die Koordinierung der Abwehrmaßnahmen nach § 5 Abs. 2 Satz 1 Nr. 2,
4.
regelmäßige Berichte an die Landesregierung über den Sachstand der Informationssicherheit in der Landesverwaltung sowie über Maßnahmen und Anordnungen nach Abs. 3,
5.
die Koordinierung des IT-Krisenmanagements der Landesverwaltung.
(3)
Die oder der CISO ist berechtigt, zur Erfüllung der Aufgaben nach Abs. 2, insbesondere bei dienststellenübergreifenden informationstechnischen Sicherheitsvorfällen, unter Einbeziehung des jeweils betroffenen Geschäftsbereichs Maßnahmen zu empfehlen. Bei unmittelbaren und erheblichen Gefahren für die Informationssicherheit in der Landesverwaltung kann er oder sie erforderliche Sicherheitsmaßnahmen anordnen; die betroffenen Stellen sind unverzüglich zu informieren.
(4)
Die oder der CISO hat ein Vortragsrecht bei der für IT- und Cybersicherheit in der Landesverwaltung zuständigen Ministerin oder dem hierfür zuständigen Minister und bei der oder dem CIO. Bei schwerwiegenden Anlässen hat die oder der CISO ein Vortragsrecht bei den Staatssekretärinnen oder Staatssekretären der Ministerien und bei der Chefin oder dem Chef der Staatskanzlei.