Die Beispiele zeigen, wie wichtig das Thema IT-Sicherheit inzwischen ist. Die Europäische Union ( EU ) macht mit einer Richtlinie konkrete Vorgaben dafür. Die gelten auch für die Landesverwaltung und nachgeordnete Behörden, etwa das Landesamt für Besoldung. Die EU-Vorgaben sehen zum Beispiel eine Multifaktor-Authentifizierung vor und einen Notfallplan für den Fall eines Cyberangriffs.

Kein Überblick, wie die IT -Sicherheit wirklich aufgestellt ist

Ein Großteil der EU -Vorgaben sei längst für die NRW -Ministerien verpflichtend, so das zuständige Ministerium von Ina Scharrenbach ( CDU ). Dafür sorgten schon lange verschiedene interne Regelungen. Soll heißen: Es bestehe kein akuter Handlungsdruck.

Seit 1998 richtet sich die Landesregierung unter anderem nach dem sogenannten BSI-Grundschutz. Dahinter steckt ein Sicherheitsstandard, das seitdem mehrfach angehoben wurde.

Experten bewerten ihn als gut. Doch es gibt einen Haken: Ob sich alle daran halten, erscheint völlig offen. „Die Ressorts sind in eigener Zuständigkeit für die Umsetzung verantwortlich “, so ein Sprecher des Ministeriums.

Nach EU -Richtlinie „ NIS 2 “ reicht das aber nicht. Sie fordert eine „ Zentralstelle mit Aufsichts- und Durchgriffsrechten “, so das Ministerium. Doch eine solche Stelle gibt es in der Landesregierung bis heute nicht.

Experte: Fehlende Kontrolle ist riskant

Dabei wäre die systematische und unabhängige Überprüfung der IT-Sicherheit essenziell. Der TÜV Rheinland, der solche Tests anbietet, schreibt auf WDR-Anfrage: „ Die eigene fortlaufende Überprüfung und Anpassung von IT-sicherheitstechnischen Maßnahmen ist maßgeblich dafür, dass diese Maßnahmen funktionieren und wirksam sind “, so Jens Langguth , IT -Sicherheits-Experte beim TÜV Rheinland. Mit anderen Worten: Jede Regel ist nur so gut wie deren Kontrolle.

Die rechtliche Grundlage für eine solche Zentralstelle in NRW müsste es längst geben. Dafür hatte das Land nach den EU -Regeln bis Mitte Oktober Zeit. Doch bislang ist keine entsprechende Regel in Kraft.