Erteilung von Bescheinigungen über die Übereinstimmung von Online-Sammelsystemen mit der Verordnung (EU) Nr. 211/2011. Verfahrensbeschreibung

Transkript

1 Erteilung von Bescheinigungen über die Übereinstimmung von Online-Sammelsystemen mit der Verordnung (EU) Nr. 211/2011 Verfahrensbeschreibung Version 1.2 Stand

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik 2012

3 Vorwort Vorwort Mit dem Vertrag von Lissabon wurde eine neue Form der Bürgerbeteiligung an der Politikgestaltung der Europäischen Union (EU) eingeführt die Europäische Bürgerinitiative (EBI). Gemäß EU-Vertrag verabschiedeten das Europäische Parlament und der Rat am 16. Februar 2011 die Verordnung (EU) Nr. 211/2011, in der Vorschriften und Verfahren für dieses neue Instrument festgelegt sind. Ziel ist es, EU-Bürgern/-innen ein Mitspracherecht bei der Gesetzgebung der EU zu ermöglichen. Mit einer erfolgreichen Bürgerinitiative können EBI-Organisatoren/-innen die Europäische Kommission (KOM) auffordern, dem Gesetzgeber im Rahmen ihrer Befugnisse geeignete Vorschläge zu Themen zu unterbreiten, zu denen es nach Ansicht der Organisatoren/-innen und EU- Bürger/-innen eines Rechtsakts der Union bedarf. Zunächst benötigen die Organisatoren/-innen hierzu jedoch die Unterstützung von mindestens einer Million EU-Bürgern/-innen aus mindestens einem Viertel der EU-Mitgliedstaaten (gegenwärtig sieben Mitgliedstaaten). Für die Sammlung der erforderlichen Anzahl Unterstützungsbekundungen haben die Organisatoren ein Jahr Zeit. Die Sammlung kann dabei sowohl in Papierform als auch elektronisch über ein Online-Sammelsystem (online collection system, OCS) erfolgen. Bevor Unterstützungsbekundungen für eine Bürgerinitiative mit Hilfe eines OCS gesammelt werden dürfen, müssen die Organisatoren/-innen der zuständigen Behörde des Mitgliedstaats, in dem das System betrieben wird, gegenüber nachweisen, dass es die (Sicherheits-) Anforderungen der Verordnung (EU) Nr. 211/2011 erfüllt und eine entsprechende Bescheinigung erhalten. In Deutschland wird diese vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt. Diese Druckschrift richtet sich an EBI-Organisatoren/-innen, die für ein von ihnen betriebenes OCS die Erteilung einer Bescheinigung über dessen Übereinstimmung mit der Verordnung (EU) Nr. 211/2011 durch das BSI anstreben. Sie beschreibt den Ablauf und die Rahmenbedingungen des Bescheinigungsverfahrens und gibt einen Überblick über die beim BSI im Zuge der Antragstellung einzureichenden Unterlagen, Nachweise und Erklärungen. Weitergehende Informationen sind auf der Internet-Seite des BSI ( erhältlich. Für eine erste Kontaktaufnahme mit dem BSI können sich Interessenten an die folgende Adresse wenden: Bundesamt für Sicherheit in der Informationstechnik Referat S 24 Postfach Bonn Telefon (Infoline): +49 (0) ebi@bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik 3

4 4 Bundesamt für Sicherheit in der Informationstechnik

5 Inhaltsverzeichnis Inhaltsverzeichnis Vorwort Organisatorische & Rechtliche Rahmenbedingungen Rechtsgrundlagen Rollen, Aufgaben & Pflichten Antragsteller/-in Zuständige Behörde Datenschutz Zuständigkeit des BSI Antrag Kosten Gültigkeit erteilter Bescheinigungen Veröffentlichung von Verfahrensergebnissen Technische Rahmenbedingungen Zustand des OCS bei Antragstellung Bestandteile des OCS Open Source Software der KOM Das Bescheinigungsverfahren beim BSI Erforderliche Nachweise zum OCS Nachweise zu (Geschäfts-) Prozessen & Personal Nachweise zur Technischen Plattform Weitere Beispiele geeigneter Nachweisdokumente Wiederverwendung eines OCS Verfahrensablauf Vorbesprechung mit BSI Vorbereitung der Antragstellung Antragseingang BSI Vollständigkeitsprüfung der Antragsunterlagen Verfahrenseröffnung Prüfung der Nachweise Erteilung der Bescheinigung...21 Literaturverzeichnis...22 Stichwort- und Abkürzungsverzeichnis...23 Bundesamt für Sicherheit in der Informationstechnik 5

6 Inhaltsverzeichnis Abbildungsverzeichnis Abbildung 1: Verfahrensablauf Bescheinigung Bundesamt für Sicherheit in der Informationstechnik

7 1 Organisatorische & Rechtliche Rahmenbedingungen 1.1 Rechtsgrundlagen Organisatorische & Rechtliche Rahmenbedingungen 1 Das Verfahren und die Regeln der Europäischen Bürgerinitiative sind in der Verordnung (EU) Nr. 211/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 über die Bürgerinitiative [EBI-VO] festgelegt. Die Vorgaben für Online-Sammelsysteme sind in Artikel 6 enthalten. Zur Umsetzung von Artikel 6 Absatz 4 der EBI-VO wurde die Durchführungsverordnung (EU) Nr. 1179/2011 der Kommission vom 17. November 2011 zur Festlegung der technischen Spezifikationen für Online- Sammelsysteme gemäß der Verordnung (EU) Nr. 211/2011 des Europäischen Parlaments und des Rates über die Bürgerinitiative [EBI-DVO] verabschiedet. Diese enthält im Anhang die technischen Spezifikationen für Online- Sammelsysteme. Die gemäß EBI-VO national zu bestimmenden Zuständigkeiten, Verfahren und Sanktionen sind in Deutschland im Gesetz zur Durchführung der Verordnung (EU) Nr. 211/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 über die Bürgerinitiative vom 7. März 2012 Artikel 1 Gesetz zur Europäischen Bürgerinitiative [EBIG] festgelegt. Zuständige Behörde für die Erteilung von Bescheinigungen über die Übereinstimmung eines Online-Sammelsystems mit der EBI-VO ist gemäß EBIG 1 Absatz 2 das Bundesamt für Sicherheit in der Informationstechnik (BSI). 1.2 Rollen, Aufgaben & Pflichten Beteiligt am Verfahren der Erteilung von Bescheinigungen über die Übereinstimmung eines OCS mit der EBI-VO sind: Antragsteller/-in EBI-Organisatoren/-innen vertreten durch den/die Vertreter/-in des Bürgerausschusses der Bürgerinitiative die zuständige Behörde BSI Antragsteller/-in Gemäß EBI-VO Artikel 6 Absatz 2 müssen EBI-Organisatoren/-innen, bevor sie mit der Online- Sammlung von Unterstützungsbekundungen für eine Bürgerinitiative beginnen, für das von ihnen betriebene OCS eine Bescheinigung über dessen Übereinstimmung mit der EBI-VO von der zuständigen Behörde erhalten. Hierzu stellen sie zunächst durch technische und organisatorische Maßnahmen sicher, dass ihr OCS sämtliche Anforderungen der technischen Spezifikationen erfüllt Bundesamt für Sicherheit in der Informationstechnik 7

8 1 Organisatorische & Rechtliche Rahmenbedingungen und beantragen anschließend beim BSI die 'Erteilung einer Bescheinigung über die Übereinstimmung eines Online-Sammelsystems mit der Verordnung (EU) Nr. 211/2011'. Mit dem Antrag verpflichtet sich der/die Antragsteller/-in, dem BSI alle für die Erteilung der Bescheinigung benötigten Informationen (Nachweise) zum OCS zur Verfügung zu stellen einschließlich notwendiger Nachbesserungen, falls bei der Überprüfung sicherheitsrelevante Mängel festgestellt werden oder vom BSI Ergänzungen zu gelieferten Nachweisen gefordert werden. Das BSI kann bei Bedarf zusätzlich zur Prüfung der eingereichten Nachweise Vor-Ort Audits beim Antragsteller bzw. bei der Antragstellerin oder dem Hosting-Provider ansetzen und/oder nach Ankündigung praktische Tests mit dem OCS (z.b. Schwachstellen-/Penetrationstests) durchzuführen. Der/die Antragsteller/-in verpflichtet sich, dem BSI hierzu die benötigte(n) Unterstützung und Informationen bereitzustellen sowie alle erforderlichen Zugänge zu ermöglichen. Der/die Antragsteller/-in kann einen gestellten Antrag jederzeit zurückziehen. Der/die Antragsteller/-in steht für die Richtigkeit der gemachten Angaben ein. Bei fehlenden oder unzureichenden Nachweisen kann ein Bescheinigungsverfahren durch das BSI mit negativem Ergebnis beendet werden. Mit dem Antrag stimmt der/die Antragsteller/-in zu, dass die dem BSI bereitgestellten Unterlagen und die BSI-internen Verfahrensakten durch das BSI entsprechend der geltenden Bestimmungen archiviert werden. nach positivem Abschluss des Verfahrens das Ergebnis und die erteilte Bescheinigung durch das BSI veröffentlicht werden. personenbezogene Daten, die aus dem Antrag resultieren, durch das BSI zum Zwecke der Durchführung des beantragten Verfahrens erhoben, verarbeitet und genutzt werden. Mit dem Antrag versichert der/die Antragsteller/-in außerdem, dass er/sie für das im Antrag genannte OCS in Verbindung mit der im Antrag genannten Bürgerinitiative nicht bereits in einem anderen Mitgliedstaat einen Antrag auf Bescheinigung gestellt hat und/oder die Erteilung einer Bescheinigung nicht bereits von der zuständigen Behörde eines anderen Mitgliedstaats abgelehnt wurde. Bei positivem Abschluss des Verfahrens, ist der/die Antragsteller/-in verpflichtet, die Erfüllung der Anforderungen der EBI-DVO im bescheinigten Umfang über die gesamte Laufzeit der Bürgerinitiative sicherzustellen Zuständige Behörde Das BSI überprüft als zuständige Behörde in Deutschland auf Antrag die Konformität von Online- Sammelsystemen zur EBI-VO und bestätigt diese durch die Ausstellung entsprechender Bescheinigungen, wenn die mit dem System gesammelten Daten in Deutschland gespeichert werden. Im Rahmen des Bescheinigungsverfahrens überprüft das BSI die vom Antragsteller bzw. der Antragstellerin eingereichten Nachweise zunächst auf Vollständigkeit d.h. ob sämtliche 8 Bundesamt für Sicherheit in der Informationstechnik

9 Organisatorische & Rechtliche Rahmenbedingungen 1 Anforderungen der technischen Spezifikationen vom Antragsteller durch geeignete Nachweise belegt wurden und führt anschließend eine inhaltliche durch. Falls erforderlich ist das BSI berechtigt, vom Antragsteller vor Antragsannahme oder im Rahmen der durchgeführten Prüfung, zusätzliche Unterlagen oder Ergänzungen/Nachbesserungen an bereits eingereichten Nachweisen einzufordern. Bei positivem Abschluss des Bescheinigungsverfahrens erteilt das BSI die beantragte Bescheinigung. 1.3 Datenschutz Antragsteller/-innen bzw. EBI-Organisatoren/-innen sind für den Schutz der von Ihnen gesammelten, personenbezogenen Daten verantwortlich. Sie müssen hierzu die geltenden Rechtsvorschriften einhalten. Es wird empfohlen, dass Organisatoren/-innen sich diesbezüglich im Vorhinein bei den nationalen, für den Datenschutz zuständigen Behörden informieren. In Deutschland sind dies die in den jeweiligen Bundesländern zuständigen Datenschutz-Aufsichtsbehörden (für den nicht-öffentlichen Bereich). Eine Übersicht der Kontaktdaten aller Aufsichtsbehörden befindet sich auf der Internetseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) unter der Rubrik Anschriften und Links. Artikel 12 der EBI-VO beinhaltet darüber hinaus weitere spezifische Vorgaben zum Datenschutz: EBI-Organisatoren/-innen müssen sicherstellen, dass die für eine bestimmte Bürgerinitiative gesammelten personenbezogenen Daten für keinen anderen Zweck als die angegebene Unterstützung für diese Initiative verwendet werden. EBI-Organisatoren/-innen müssen alle gesammelten Unterstützungsbekundungen sowie etwaige Kopien spätestens einen Monat nach Einreichung der Initiative bei der Kommission bzw. 18 Monate nach dem Datum der Registrierung vernichten. EBI-Organisatoren/-innen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, zufälligem Verlust, unberechtigter Änderung, unberechtigter Weitergabe oder unberechtigtem Zugang und vor jeder anderen Form der unrechtmäßigen Verarbeitung zu schützen. Die zuständigen Behörden dürfen die personenbezogenen Daten ausschließlich zum Zweck der Überprüfung der Unterstützungsbekundungen nutzen und vernichten sämtliche Unterstützungsbekundungen spätestens einen Monat nach der Ausstellung der Bescheinigungen. Aus dem Antrag auf Erteilung einer Bescheinigung resultierende personenbezogene Daten werden durch das BSI zum Zwecke der Durchführung des beantragten Verfahrens erhoben, verarbeitet und genutzt. Bundesamt für Sicherheit in der Informationstechnik 9

10 1 Organisatorische & Rechtliche Rahmenbedingungen 1.4 Zuständigkeit des BSI Bescheinigungen über die Übereinstimmung eines OCS mit der EBI-VO werden gemäß EBI-VO Artikel 6 Absatz 1 von der zuständigen Behörde des Mitgliedstaats erteilt, in dem die mit dem OCS gesammelten Daten gespeichert werden. Bescheinigungen können beim BSI nur beantragt werden, wenn eine Speicherung der mit dem OCS gesammelten Daten in Deutschland erfolgt. 1.5 Antrag Die Erteilung von Bescheinigungen über die Übereinstimmung eines OCS mit der EBI-VO wird im BSI als Antragsverfahren durchgeführt. Für die Antragstellung ist ein standardisiertes Antragsformular zu verwenden, welches über die Internet-Seite heruntergeladen werden kann. Mit dem Antragsformular werden sämtliche Angaben, die für den Start des Verfahrens und seine Abwicklung benötigt werden, erfasst. Es werden folgende Daten abgefragt: Antragsteller/-in Name, Anschrift, Kontaktdaten des/der Vertreters/-in des Bürgerausschusses Name, Kontaktdaten des/der technischen Ansprechpartners/-in beim Antragsteller bzw.der Antragstellerin Angaben zum Online-Sammelsystem Internetadresse des OCS Wird die von der Europäischen Kommission bereitgestellte 'Software für die Online- Sammlung von Unterstützungsbekundungen' in unveränderter Form eingesetzt? Ja/Nein + ggf. Version Weitere Angaben zum OCS z.b.: Produktbezeichnung, Version, (insb. erforderlich, wenn nicht die Software der KOM verwendet wird) Die im Rahmen der Durchführung der Bürgerinitiative mit dem OCS gesammelten Daten und Unterstützungsbekundungen werden ausschließlich in Deutschland gespeichert? Ja/Nein Name, Anschrift, Kontaktdaten des Hosting-Partners des OCS (falls zutreffend) Name, Kontaktdaten des/der Ansprechpartners/-in beim Hosting-Partner (falls zutreffend) Die Übereinstimmung des OCS mit der EBI-VO wurde bereits im Rahmen einer anderen Bürgerinitiative bescheinigt. Ja/Nein Angaben zur Bürgerinitiative Bezeichnung der Bürgerinitiative Die Registrierung der Bürgerinitiative bei der KOM ist bereits abgeschlossen. Ja/Nein Dem Antrag sind Nachweise beizulegen, die für das OCS die Erfüllung sämtlicher Anforderungen der 'technischen Spezifikationen für Online-Sammelsysteme', wie sie im Anhang zur Durchführungsverordnung (EU) Nr. 1179/2011 der KOM festgelegt sind, belegen. 10 Bundesamt für Sicherheit in der Informationstechnik

11 Organisatorische & Rechtliche Rahmenbedingungen 1 Darüber hinaus sind, teils abhängig von den zuvor gemachten Angaben, weitere Anlagen einzureichen: Erklärung des/der Antragstellers/-in, dass er die Erfüllung der Anforderungen der EBI-DVO über die gesamte Laufzeit der Bürgerinitiative sicherstellen wird. Frühere Bescheinigung (falls vorhanden) mit Änderungsbeschreibung Ist die Registrierung der Bürgerinitiative noch nicht erfolgt d.h. die Bürgerinitiative ist noch nicht im Online-Register der KOM unter gelistet ist dem Antrag das ausgefüllte Formblatt 'Angaben zur geplanten Bürgerinitiative' beizulegen. Sämtliche Formblätter können ebenso wie das Antragsformular über die Internet-Seite heruntergeladen werden. Der/Die Antragsteller/-in kann vom BSI aufgefordert werden, weitere Unterlagen bereitzustellen. Der Antrag muss handschriftlich unterzeichnet werden. Der Antrag ist in schriftlicher Form an folgende Adresse zu senden: Bundesamt für Sicherheit in der Informationstechnik Referat S 24 Postfach Bonn Vorab kann der Antrag per an folgende Adresse gesendet werden: ebi@bsi.bund.de 1.6 Kosten Gemäß EBIG 1 Absatz 2 erhebt das BSI für die Prüfung der mit dem Antrag eingereichten Unterlagen und das Ausstellen der Bescheinigungen keine Gebühren oder Auslagen. 1.7 Gültigkeit erteilter Bescheinigungen Die für ein OCS erteilte Bescheinigung ist immer nur für die Sammlung von Unterstützungsbekundungen für eine konkrete Bürgerinitiative gültig. Soll ein OCS, dessen Übereinstimmung mit der EBI-VO bereits im Rahmen einer früheren Bürgerinitiative bescheinigt wurde, für eine andere Initiative wieder verwendet werden, muss eine erneute Bescheinigung bei der zuständigen Behörde beantragt werden. Bundesamt für Sicherheit in der Informationstechnik 11

12 1 Organisatorische & Rechtliche Rahmenbedingungen 1.8 Veröffentlichung von Verfahrensergebnissen Veröffentlichung durch das BSI Mit der Antragstellung erklärt sich der/die Antragsteller/-in mit der Veröffentlichung des Verfahrensergebnisses und der erteilten Bescheinigung durch das BSI einverstanden. Eine Veröffentlichung erfolgt ausschließlich nach positivem Abschluss des Verfahrens. Informationen zu erteilten Bescheinigungen werden vom BSI auf der Internet-Seite veröffentlicht. Veröffentlichung durch den/die Antragsteller/-in EBI-Organisatoren/-innen sind gemäß EBI-VO Artikel 6 Absatz 2 dazu verpflichtet, eine Kopie der Bescheinigung auf der für das OCS verwendeten Internet-Seite zu veröffentlichen. 12 Bundesamt für Sicherheit in der Informationstechnik

13 2 Technische Rahmenbedingungen 2.1 Zustand des OCS bei Antragstellung Technische Rahmenbedingungen 2 Sobald das OCS vollständig eingerichtet ist und alle technischen Spezifikationen erfüllt sind, können EBI-Organisatoren/-innen bei der zuständigen Behörde die Bescheinigung dessen Übereinstimmung mit der EBI-VO beantragen. 2.2 Bestandteile des OCS Gemäß EBI-DVO umfasst ein OCS die technische Plattform (Hardware, Software, Hosting-Umgebung) Geschäftsprozesse Personal sowohl bei den EBI-Organisatoren/-innen als auch beim Hosting-Provider. Die erforderlichen Nachweise (siehe Kapitel 3.1) über die Übereinstimmung eines OCS mit der EBI-VO sind vom Antragsteller bzw. von der Antragstellerin für sämtliche Bestandteile des OCS zu erbringen. 2.3 Open Source Software der KOM Die KOM stellt eine Open Source Software (OSS) für die Sammlung von Unterstützungsbekundungen (Online Collection Software) zur Verfügung, die bereits die Anforderungen der technischen Spezifikationen auf funktioneller und Anwendungsebene erfüllt. Die OSS verfügt über alle Funktionen, die für die Online-Sammlung von Unterstützungsbekundungen, deren sichere Speicherung und Export erforderlich sind. Die OSS kann kostenfrei über die Internet-Seite bezogen werden. Wird die OSS der KOM in unveränderter Form verwendet, müssen Antragsteller/-innen die Erfüllung der Punkte 1, 2.3 bis 2.14 und 3.1 bis 3.3 der Technischen Spezifikationen nicht mehr durch Nachweise belegen. Die KOM stellt außerdem die Dokumentation einer Risikoanalyse der OSS bereit, sodass diese vom Antragsteller bzw. von der Antragstellerin ebenfalls nicht erneut durchgeführt werden muss. 1 1 Die bereitgestellte Risikoanalyse deckt ausschließlich die OSS der KOM ab. Darüber hinaus gehende organisatorische oder personelle Aspekte sowie Aspekte der Physischen- und Netzwerksicherheit des OCS müssen von den EBI-Organisatoren/-innen in einer eigenen Risikoanalyse betrachtet werden. Bundesamt für Sicherheit in der Informationstechnik 13

14 3 Das Bescheinigungsverfahren beim BSI 3 Das Bescheinigungsverfahren beim BSI 3.1 Erforderliche Nachweise zum OCS Um eine Bescheinigung vom BSI zu erhalten, ist vom Antragsteller bzw. von der Antragstellerin, für das von ihm/ihr betriebene OCS, die Erfüllung sämtlicher Anforderungen der technischen Spezifikationen für Online-Sammelsysteme, wie sie im Anhang zur Durchführungsverordnung (EU) Nr. 1179/2011 festgelegt sind, durch geeignete Nachweise zu belegen. Die EBI-DVO erfordert hier insbesondere einen Nachweis der EBI-Organisatoren/-innen, dass ihr OCS die Anforderungen der Norm ISO/IEC [27001] erfüllt. Die eingereichten Nachweise sind den einzelnen Anforderungen der technischen Spezifikationen, deren Erfüllung sie belegen sollen, eindeutig zuzuordnen. Die Nachweise müssen in deutscher oder englischer Sprache eingereicht werden Nachweise zu (Geschäfts-) Prozessen & Personal Unabhängig von der für ihr OCS gewählten technischen Lösung müssen EBI-Organisatoren/-innen nachweisen, dass ihre interne Organisation (Geschäftsprozesse & Personal) die Anforderungen der Norm ISO/IEC erfüllt. Hierzu sind immer mindestens folgende Nachweise vorzulegen: Business Impact Analysis Identifikation der relevanten Prozesse, Funktionen; Herausstellung der Geschäftsauswirkungen im Falle von Verstößen im Bereich der Informationssicherheit Organiser Security Scope Identifikation der für das OCS relevanten Organisationsteile beim EBI-Organisator bzw. der EBI-Organisatorin; Festlegung klarer Rollen und Verantwortlichkeiten sowie Benennung der zuständigen Personen Organiser Risk Analysis Identifikation und Bewertung der relevanten organisatorischen Risiken Organiser Risk Treatment Plan Definition von (Gegen-) Maßnahmen zur Behandlung der identifizierten Risiken Organiser Statement of Applicability Erklärung, welche die Entscheidungen und Methoden der EBI-Organisatoren/-innen zur Risikobehandlung sowie die Auswahl bzw. Nicht-Auswahl der Maßnahmen zusammenfasst und begründet; eindeutige Zuordnung der Maßnahmen zu Risiken, denen sie entgegenwirken sollen 2 Oder einer vergleichbaren/gleichwertigen Norm. 14 Bundesamt für Sicherheit in der Informationstechnik

15 Das Bescheinigungsverfahren beim BSI Nachweise zur Technischen Plattform In welchem Umfang Nachweise zur technischen Plattform einzureichen sind, ist abhängig von der von den EBI-Organisatoren/-innen gewählten technischen Lösung/Implementierung. Hier ist insbesondere ausschlaggebend, ob die EBI-Organisatoren/-innen für ihr OCS die OSS der KOM nutzen und ob die Hosting-Umgebung bzw. der Hosting-Provider über eine Zertifizierung nach der Norm ISO/IEC verfügt. Tabelle 1 zeigt die vier möglichen Konfigurationen. Hosting Environment ISO 27k certification No ISO 27k certification Other EU-Commission OSS Online Collection Software Tabelle 1: Konfigurationsmöglichkeiten der technischen Plattform Konfiguration 1 Das OCS basiert auf der OSS der KOM und wird in einer ISO zertifizierten Hosting-Umgebung betrieben Durch die Verwendung der OSS der KOM werden in dieser Konfiguration sowohl die funktionalenals auch die Sicherheitsanforderungen der EBI-DVO als erfüllt betrachtet (siehe Kapitel 2.3). Es sind mindestens folgende Nachweise zur Hosting-Umgebung vorzulegen: Hosting Vertrag (Hosting Contract) ISO Zertifikat der Hosting-Umgebung bzw. des Hosting-Providers; das Zertifikat muss mindestens die Anforderungen der EBI-DVO an die Physische- und Netzwerksicherheit des OCS abdecken Bundesamt für Sicherheit in der Informationstechnik 15

16 3 Das Bescheinigungsverfahren beim BSI Konfiguration 2 Das OCS nutzt eine andere Online Collection Software als die OSS der KOM und wird in einer ISO zertifizierten Hosting-Umgebung betrieben Zusätzlich zu den Nachweisen zur Hosting Umgebung Hosting Vertrag (Hosting Contract) ISO Zertifikat der Hosting-Umgebung bzw. des Hosting-Providers; das Zertifikat muss mindestens die Anforderungen der EBI-DVO an die Physische- und Netzwerksicherheit des OCS abdecken müssen EBI-Organisatoren/-innen bei dieser Konfiguration nachweisen, dass die eingesetzte Online Collection Software die funktionalen- und Sicherheitsanforderungen der EBI-DVO erfüllt. Hierzu sind mindestens folgende Nachweise vorzulegen: Funktionsanalyse (Software functional analysis) die belegt, dass die eingesetzte Online Collection Software die Anforderungen 3 der EBI-DVO erfüllt Risikoanalyse (Software Risk Analysis) Vollständige Risikoanalyse der Online Collection Software 4 Konfiguration 3 Das OCS basiert auf der OSS der KOM und wird in einer nicht ISO zertifizierten Hosting-Umgebung betrieben Durch die Verwendung der OSS der KOM werden in dieser Konfiguration sowohl die funktionalenals auch die Sicherheitsanforderungen der EBI-DVO als erfüllt betrachtet. Um die Konformität der Hosting-Umgebung zu den Anforderungen der EBI-DVO zu belegen, sind mindestens folgende Nachweise vorzulegen: Hosting Vertrag (Hosting Contract) Hosting Security Scope Identifikation der für das OCS relevanten Organisationsteile der Hosting-Umgebung bzw. des Hosting-Providers; Festlegung klarer Rollen und Verantwortlichkeiten sowie Benennung der zuständigen Personen Hosting Risk Analysis Identifikation und Bewertung der relevanten Risiken hinsichtlich der Hosting-Umgebung Hosting Risk Treatment Plan Definition von (Gegen-) Maßnahmen zur Behandlung der für die Hosting-Umgebung identifizierten Risiken Hosting Statement of Applicability Erklärung, welche die Entscheidungen und Methoden zur Risikobehandlung hinsichtlich der Hosting-Umgebung sowie die Auswahl bzw. Nicht- Auswahl der Maßnahmen zusammenfasst und begründet; eindeutige Zuordnung der Maßnahmen zu Risiken, denen sie entgegenwirken sollen 3 Dies betrifft mindestens die Punkte 1, 2.3 bis 2.14 und 3.1 bis 3.3 der Technischen Spezifikationen. 4 Nach dem Vorbild der von der KOM bereitgestellten Risikoanalyse für die OSS, gemäß ISO/IEC 27005, BSI-Standard oder einer vergleichbaren Risikobewertungsmethode. 16 Bundesamt für Sicherheit in der Informationstechnik

17 Das Bescheinigungsverfahren beim BSI 3 Konfiguration 4 Das OCS basiert auf einer anderen Online Collection Software als dem OSS der KOM und wird in einer nicht ISO zertifizierten Hosting-Umgebung betrieben Um die Konformität der eingesetzten Online Collection Software zu den Anforderungen der EBI-DVO zu belegen, sind mindestens folgende Nachweise vorzulegen: Funktionsanalyse (Software Functional Analysis) die belegt, dass die eingesetzte Online Collection Software die Anforderungen 5 der EBI-DVO erfüllt Software Risikoanalyse (Software Risk Analysis) Vollständige Risikoanalyse der Online Collection Software 6 Um die Konformität der Hosting-Umgebung zu den Anforderungen der EBI-DVO zu belegen, sind mindestens folgende Nachweise vorzulegen: Hosting Vertrag (Hosting Contract) Hosting Security Scope Identifikation der für das OCS relevanten Organisationsteile der Hosting-Umgebung bzw. des Hosting-Providers; Festlegung klarer Rollen und Verantwortlichkeiten sowie Benennung der zuständigen Personen Hosting Risk Analysis Identifikation und Bewertung der relevanten Risiken hinsichtlich der Hosting-Umgebung Hosting Risk Treatment Plan Definition von (Gegen-) Maßnahmen zur Behandlung der für die Hosting-Umgebung identifizierten Risiken Hosting Statement of Applicability Erklärung, welche die Entscheidungen und Methoden zur Risikobehandlung hinsichtlich der Hosting-Umgebung sowie die Auswahl bzw. Nicht- Auswahl der Maßnahmen zusammenfasst und begründet; eindeutige Zuordnung der Maßnahmen zu Risiken, denen sie entgegenwirken sollen Weitere Beispiele geeigneter Nachweisdokumente Neben den in Kapitel und explizit geforderten Nachweisen können zusätzlich weitere unterstützende Unterlagen eingereicht werden. Geeignet sind hier beispielsweise: Dokumentation zu bereits erhaltenen Zertifizierungen z.b. ISO/IEC 27001, IT-Grundschutz, o.ä. Dokumentation durchgeführter Risikoanalysen z.b. gemäß ISO/IEC [27005], BSI-Standard [BSI 100-3] oder einer vergleichbaren Risikobewertungsmethode Dokumentation weiterer umgesetzter Sicherheitsmaßnahmen z.b. gemäß ISO/IEC [27002] oder dem 'Standard of Good Practice' [SoGP] des Information Security Forum (ISF) Sicherheitskonzepte oder -policies Dokumentation/Prüfberichte zu durchgeführten Schwachstellenanalysen, Penetrationstests oder Web-Scans Dokumentation/Prüfberichte zu durchgeführten Funktionstests, insb. der Online Collection Software oder ggf. weiterer Komponenten des OCS 5 Dies betrifft mindestens die Punkte 1, 2.3 bis 2.14 und 3.1 bis 3.3 der Technischen Spezifikationen. 6 Nach dem Vorbild der von der KOM bereitgestellten Risikoanalyse für die OSS, gemäß ISO/IEC 27005, BSI-Standard oder einer vergleichbaren Risikobewertungsmethode. Bundesamt für Sicherheit in der Informationstechnik 17

18 3 Das Bescheinigungsverfahren beim BSI Dokumentation der Sicherheitsleistungen des Hosting-Providers, z.b. in Form von Auszügen des Service Level Agreements (SLA) Unterlagen zu ISO/IEC , IT-Grundschutz- oder anderen vergleichbaren IT- Sicherheits-Zertifizierungen des Hosting-Providers Dokumentation/Beschreibung, wie einzelne Anforderungen der Technischen Spezifikationen umgesetzt wurden Erklärungen des Antragstellers bzgl. der Erfüllung einzelner Anforderungen der Technischen Spezifikationen 3.2 Wiederverwendung eines OCS Soll ein OCS, für das bereits eine Bescheinigung erteilt wurde, zur Durchführung einer anderen Bürgerinitiative wiederverwendet werden, ist es nicht erforderlich, sämtliche Nachweise bei der Antragstellung erneut einzureichen. In diesem Fall ist es ausreichend, beim BSI eine Kopie der letzten für das OCS erteilten Bescheinigung vorzulegen. Wurden seitdem Änderungen an dem OCS vorgenommen, sind diese detailliert zu beschreiben und die Übereinstimmung der geänderten Teile mit der EBI-VO mit entsprechend aktualisierten Nachweisen zu belegen. Wurden keine Änderungen am OCS vorgenommen, ist dies vom Antragsteller bzw. von der Antragstellerin durch Abgabe einer Erklärung zu versichern. Weitere Nachweise müssen nur nach Aufforderung durch das BSI eingereicht werden. Die Wiederverwendung eines OCS kommt z.b. zur Anwendung, wenn verschiedene Organisatoren/-innen dasselbe von einem spezialisierten Hosting-Provider betriebene OCS für ihre Bürgerinitiativen nutzen. 18 Bundesamt für Sicherheit in der Informationstechnik

19 Das Bescheinigungsverfahren beim BSI Verfahrensablauf Der schematische Ablauf des Verfahrens zur Erteilung von Bescheinigungen über die Übereinstimmung von Online-Sammelsystemen mit der EBI-VO ist in Abbildung 1 dargestellt. Vorbesprechung mit BSI (optional) Vorbereitung der Antragstellung Antragseingang BSI Vollständigkeitsprüfung der Antragsunterlagen fehlende Unterlagen anfordern ok? Nein Nein Eingangsbestätigung Verfahrenseröffnung Verfahrenseröffnung (Beginn Monatsfrist) Prüfung der Nachweise zusätzliche Unterlagen anfordern ok? Nein Nein Bescheinigung Ablehnung Abbildung 1: Verfahrensablauf Bescheinigung Bundesamt für Sicherheit in der Informationstechnik 19

20 3 Das Bescheinigungsverfahren beim BSI Vorbesprechung mit BSI Vor der Antragstellung kann eine gemeinsame Vorbesprechung im BSI durchgeführt werden. Im Rahmen dieses Gesprächs wird der genaue Ablauf des Bescheinigungsverfahrens vorgestellt, es wird erläutert, welche Nachweise für die Erteilung einer Bescheinigung vorzulegen sind und bei Bedarf werden weitere offene Fragen geklärt. Insbesondere wenn ein OCS, für welches bereits in Verbindung mit einer früheren Bürgerinitiative eine Bescheinigung erteilt wurde, wiederverwendet werden soll, kann im Rahmen der Vorbesprechung mit dem BSI abgestimmt werden, inwieweit die erneute Vorlage von Nachweisen erforderlich ist und welche Nachweise in aktualisierter Form vorzulegen sind Vorbereitung der Antragstellung Vor der Antragstellung beim BSI sind vom Antragsteller bzw. von der Antragstellerin umfangreiche Vorarbeiten zu leisten. Der/die Antragsteller/-in hat sicherzustellen, dass das OCS vollständig eingerichtet ist das OCS über angemessene Sicherheits- und technische Merkmale gemäß EBI-VO verfügt, d.h. sämtliche Anforderungen der technischen Spezifikationen erfüllt sind die Erfüllung sämtlicher Anforderungen der technischen Spezifikationen durch geeignete Nachweise belegt ist Antragseingang BSI Der Antragseingang wird vom BSI formal bestätigt. Mit der Eingangsbestätigung werden dem Antragsteller die Kontaktdaten des zuständigen Ansprechpartners im BSI mitgeteilt. Der Erhalt der Eingangsbestätigung bedeutet jedoch nicht, dass der Antrag vom BSI offiziell angenommen und ein Bescheinigungsverfahren eröffnet wurde Vollständigkeitsprüfung der Antragsunterlagen Nach Antragseingang werden die eingereichten Unterlagen unverzüglich auf Vollständigkeit geprüft, d.h. es wird sichergestellt, dass alle Antragsdaten vollständig vorliegen die aufgrund der im Antrag gemachten Angaben ggf. erforderlichen Anlagen vollständig vorliegen sämtliche gemäß Antrag erforderlichen Erklärungen und Formblätter vorliegen alle Anforderungen der technischen Spezifikationen durch Nachweise abgedeckt sind Anhand des Antragsformulars werden die Zulässigkeit des Antrags und die Zuständigkeit des BSI sichergestellt. Es erfolgt noch keine inhaltliche Prüfung der eingereichten Nachweise. Die offizielle Eröffnung eines Bescheinigungsverfahrens durch das BSI erfolgt, sobald sämtliche Antragsunterlagen vollständig vorliegen. Unvollständige oder fehlende Unterlagen werden vom BSI 20 Bundesamt für Sicherheit in der Informationstechnik

21 Das Bescheinigungsverfahren beim BSI 3 nachgefordert. Stellt der/die Antragsteller/-in diese nicht innerhalb einer gesetzten Frist bereit, kann der Antrag abgelehnt werden. Ein Bescheinigungsantrag wird außerdem abgelehnt, wenn dieser nicht zulässig oder das BSI nicht zuständig ist Verfahrenseröffnung Wurde die Zulässigkeit und Vollständigkeit des Antrags festgestellt, wird der/die Antragsteller/in vom BSI über die Eröffnung des Bescheinigungsverfahrens informiert. Mit der Verfahrenseröffnung (Datum) beginnt die gemäß EBI-VO Artikel 6 Absatz 3 vorgeschriebene Monatsfrist zur Ausstellung der Bescheinigung durch die zuständige Behörde Prüfung der Nachweise Innerhalb der Monatsfrist führt das BSI eine inhaltliche Prüfung der vom Antragsteller bzw. von der Antragstellerin eingereichten Nachweise zum OCS durch. Es wird sichergestellt, dass die eingereichten Nachweise die Erfüllung aller Anforderungen der technischen Spezifikationen in angemessener Weise belegen. Reichen die Nachweise hierfür nicht aus, können vom BSI sofern dies innerhalb der verbleibenden Zeit ( Monatsfrist) möglich ist zusätzliche oder überarbeitete Unterlagen angefordert werden. Werden gravierende Mängel festgestellt, kann eine Bescheinigung umgehend abgelehnt werden. Das BSI behält sich vor, bei Bedarf zusätzlich zu der rein dokumentenbasierten Prüfung Vor- Ort Audits / Site-Visits beim Antragsteller bzw. bei der Antragstellerin oder dem Hosting-Provider und/oder Schwachstellen-/Penetrationstests mit dem OCS durchzuführen Erteilung der Bescheinigung Wurde die Erfüllung aller Anforderungen in angemessener Weise nachgewiesen, erteilt das BSI die beantragte Bescheinigung. Ist dies nicht der Fall, wird die Erteilung abgelehnt. Bundesamt für Sicherheit in der Informationstechnik 21

22 Literaturverzeichnis Literaturverzeichnis DIN EN ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements" ISO/IEC 27002:2005 "Information Technology - Security Techniques - Code of Practice for Information Security Management" ISO/IEC 27005:2011 "Information Technology - Security Techniques - Information Security risk Management" BSI BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz EBI-DVO Durchführungsverordnung (EU) Nr. 1179/2011 der Kommission vom 17. November 2011 zur Festlegung der technischen Spezifikationen für Online- Sammelsysteme gemäß der Verordnung (EU) Nr. 211/2011 des Europäischen Parlaments und des Rates über die Bürgerinitiative EBI-VO EBIG SoGP Verordnung (EU) Nr. 211/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 über die Bürgerinitiative Gesetz zur Durchführung der Verordnung (EU) Nr. 211/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 über die Bürgerinitiative vom 7. März 2012, Artikel 1 - Gesetz zur Europäischen Bürgerinitiative (EBIG) Information Security Forum - The 2011 Standard of Good Practice for Information Security; Juni Bundesamt für Sicherheit in der Informationstechnik

23 Stichwort- und Abkürzungsverzeichnis Stichwort- und Abkürzungsverzeichnis BSI (Bundesamt für Sicherheit in der Informationstechnik)..3, 7, 8, 9, 10, 11, 12, 14, 16, 17, 18, 20, 21 (Electronic Mail)...2, 3, 11 EBI (Europäische Bürgerinitiative)...3, 7, 8, 10, 11, 12, 13, 18, 19, 20, 21 EBI-DVO (Durchführungsverordnung EU Nr. 1179/2011 der Kommission vom 17. November 2011 zur Festlegung der technischen Spezifikationen für Online-Sammelsysteme)...8, 11 EBI-VO (Verordnung EU Nr. 211/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 über die Bürgerinitiative)...7, 8, 10, 11, 12, 13, 18, 19, 20, 21 EBIG (Gesetz zur Europäischen Bürgerinitiative)...7, 11 EU (Europäische Union)...1, 3, 7, 8, 10, 14 IEC (International Engineering Consortium)...17, 18 ISF (Information Security Forum)...17 ISO (International Organization for Standardization)...17, 18 IT-Grundschutz...17, 18 KOM (Europäische Kommission)...3, 10, 11, 13 OCS (Online-Sammelsystem, Online Collection System)...3, 7, 8, 10, 11, 12, 13, 14, 18, 20, 21 OSS (Open Source Software)...13 Penetrationstest...17 Risikoanalyse...13, 17 Schwachstelle...17 Sicherheitskonzept...17 SLA (Service Level Agreement)...18 SoGP (Standard of Good Practice)...17 Bundesamt für Sicherheit in der Informationstechnik 23