Ministerialblatt (MBl. NRW.)
Ausgabe 2024 Nr. 23 vom 10.7.2024 Seite 687 bis 788

Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung - VSA)
Normkopf
Norm
Normfuß
 
zugehörige Anlagen :
Anlage 1
Anlage 2
Anlage 3
Anlage 4
Anlage 5
Anlage 7
Anlage 8
 

Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung - VSA)

12

Allgemeine Verwaltungsvorschrift
zum materiellen Geheimschutz
(Verschlusssachenanweisung - VSA)

Runderlass
des Ministeriums des Innern
603 - 72.00.01


Vom 18. Juni 2024

Nach § 37 Absatz 1 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen vom 23. Februar 2022 (GV. NRW. S. 233) wird zum materiellen und organisatorischen Schutz von Verschlusssachen die folgende Allgemeine Verwaltungsvorschrift erlassen.

Inhaltsübersicht

Abschnitt I:
Allgemeine Bestimmungen

§ 1 Anwendungsbereich

§ 2 Begriff der Verschlusssache und deren Geheimhaltungsgrade

§ 3 Allgemeine Grundsätze

§ 4 Verpflichtung, Ermächtigung und Zulassung

§ 5 Mitwirkung der Landesbehörde für Verfassungsschutz

§ 6 Mehrschichtige Sicherheit, Risikomanagement

Abschnitt II:
Geheimschutzorganisation

§ 7 Dienststellenleitung

§ 8 Geheimschutzbeauftragte

§ 9 Informationssicherheitsbeauftragte

§ 10 VS-Registrierende

§ 11 Qualifikation

Abschnitt III:
Geheimschutzdokumentation und technische Vorgaben

§ 12 Geheimschutzdokumentation

§ 13 Erstellung der Geheimschutzdokumentation

§ 14 Technische Leitlinien

Abschnitt IV:
Einstufung und Einstufungsfrist

§ 15 Herausgeber und Einstufung

§ 16 Einstufungsfrist

§ 17 Nachträgliche Verlängerung der Einstufungsfrist

§ 18 Änderung der Einstufung

§ 19 Aufhebung der Einstufung

Abschnitt V:
Handhabung von Verschlusssachen

§ 20 Herstellung, Bearbeitung und Kennzeichnung

§ 21 Verwaltung und Nachweis

§ 22 Vervielfältigung

§ 23 Aufbewahrung

§ 24 Grundsätze zur Weitergabe

§ 25 Weitergabe an nichtöffentliche Stellen

§ 26 Weitergabe an den Landtag, den Bundestag, die Parlamente anderer Länder sowie an Bundes- und Landesbehörden

§ 27 Empfang

§ 28 Mitnahme von Verschlusssachen außerhalb des Dienstgebäudes

§ 29 Erörterung

§ 30 Aussonderung

§ 31 Archivierung

§ 32 Vernichtung

§ 33 VS-Zwischenmaterial

Abschnitt VI:
Zusammenarbeit mit nichtdeutschen Stellen und nichtöffentliche Stellen mit Sitz im Ausland

§ 34 Weitergabe von deutschen Verschlusssachen an nichtdeutsche Stellen und nichtöffentliche Stellen mit Sitz im Ausland

§ 35 Empfang und Handhabung nichtdeutscher Verschlusssachen

§ 36 Sicherheitsakkreditierung

§ 37 Ergänzende Bestimmungen

Abschnitt VII:
Materielle und technische Maßnahmen

§ 38 Planung und Durchführung

§ 39 Räumliche Sicherheitsmaßnahmen

§ 40 Technische Sicherung

§ 41 Abhörschutzmaßnahmen

§ 42 Dienststellen mit besonderem Geheimschutzbedarf

§ 43 VS-Registraturen

§ 44 VS-Verwahrgelasse

§ 45 VS-IT-Räume und -Bereiche

§ 46 Zutritts- und Zugangsmittel

§ 47 Abnahmen und Wiederholungsprüfungen

§ 48 Lauschabwehrprüfungen

Abschnitt VIII:
Einsatz von Informationstechnik

§ 49 Allgemeine Grundsätze

§ 50 Freigabe des Betriebs von VS-IT

§ 51 Zulassung von IT-Sicherheitsprodukten und Komponenten

§ 52 IT-Sicherheitsfunktionen

§ 53 Schutz von VS-Übertragungseinrichtungen, -leitungen und -verteilern

§ 54 Handhabung von Datenträgern und IT-Produkten für unkryptierte Verschlusssachen

§ 55 Übertragung von Verschlusssachen über technische Kommunikationsverbindungen

§ 56 Vernichtung und Aussonderung von Datenträgern und registrierten IT-Produkten

§ 57 Abstrahlschutzmaßnahmen

§ 58 Zusammenschaltung von VS-IT

Abschnitt IX:
Kryptopersonal und Handhabung von Kryptomitteln

§ 59 Kryptomittel

§ 60 Zentralstelle für Kryptomittel

§ 61 Kryptoverwaltung

§ 62 Kryptopersonal

Abschnitt X:
Aufrechterhaltung des Geheimschutzes

§ 63 Kontrollen

§ 64 Behandlung von Geheimschutzvorkommnissen

§ 65 Verhalten in außergewöhnlichen Gefahrenlagen

Abschnitt XI:Abschließende Regelungen

§ 66 Schlussbestimmungen

§ 67 Inkrafttreten

Verzeichnis der Anlagen

Anlage 1:    Hinweise zur Geheimschutzorganisation

Anlage 2:    Hinweise zur Geheimschutzdokumentation

Anlage 3:    Hinweise zur Einstufung

Anlage 4:    Hinweise zur Handhabung von Verschlusssachen

Anlage 5:    Merkblatt zur Behandlung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD-Merkblatt)

Anlage 6:    Richtlinie über die Abgabe von VS-Material an das Landesarchiv Nordrhein-Westfalen (zur Zeit nicht besetzt)

Anlage 7:    Hinweise zur Handhabung von Verschlusssachen ausländischer Staaten sowie über- oder zwischenstaatlicher Organisationen

Anlage 8:    Muster

Abschnitt I:
Allgemeine Bestimmungen

§ 1
Anwendungsbereich

(1)   Diese Verschlusssachenanweisung richtet sich an Behörden, Gerichte und sonstige öffentliche Stellen des Landes Nordrhein-Westfalen und der diesen zugehörigen juristischen Personen des öffentlichen Rechts (Dienststellen), die mit Verschlusssachen arbeiten, sowie an dort tätige Personen, die Zugang zu Verschlusssachen haben oder eine Tätigkeit ausüben, bei der sie sich Zugang zu Verschlusssachen verschaffen können.

(2)   Die Gemeinden, Gemeindeverbände und die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts haben die Vorschriften dieser Verschlusssachenanweisung im Rahmen ihrer Aufgabenerfüllung im übertragenen Wirkungskreis zu beachten.

(3)   Diese Verschlusssachenanweisung gilt außerdem für die politischen Parteien nach Artikel 21 des Grundgesetzes sowie deren Stiftungen, soweit sie ihren Sitz in Nordrhein-Westfalen haben oder es sich um auf Nordrhein-Westfalen beschränkte Untergliederungen von Parteien handelt.

§ 2
Begriff der Verschlusssache und deren Geheimhaltungsgrade

(1)     Verschlusssachen sind im öffentlichen Interesse, insbesondere zum Schutz des Wohles des Bundes oder eines Landes, geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse, unabhängig von ihrer Darstellungsform, zum Beispiel Schriftstücke, Zeichnungen, Karten, Fotokopien, Lichtbildmaterial, elektronische Dateien und Datenträger, elektrische Signale, Geräte, technische Einrichtungen oder das gesprochene Wort. Verschlusssachen können auch Produkte und die dazugehörenden Dokumente sowie zugehörige Schlüsselmittel zur Entschlüsselung, Verschlüsselung und Übertragung von Informationen sein (Kryptomittel). Geheimhaltungsbedürftig im öffentlichen Interesse können auch Geschäfts-, Betriebs-, Erfindungs-, Steuer- oder sonstige private Geheimnisse oder Umstände des persönlichen Lebensbereichs sein.

(2)     Zwischenmaterial, das im Zusammenhang mit einer Verschlusssache anfällt, zum Beispiel Dateien, Vorentwürfe, Stenogramme, Tonträger, Folien oder Fehldrucke, gilt ebenfalls als Verschlusssache.

(3)   Verschlusssachen werden entsprechend ihrer Schutzbedürftigkeit nach § 6 Absatz 3 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen von einer Dienststelle oder auf deren Veranlassung in folgende Geheimhaltungsgrade eingestuft:

1.  STRENG GEHEIM, wenn die Kenntnisnahme durch Unbefugte den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden kann,

2.  GEHEIM, wenn die Kenntnisnahme durch Unbefugte die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen kann,

3.  VS-VERTRAULICH, wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein kann,

4.  VS-NUR FÜR DEN DIENSTGEBRAUCH, wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann.

(4)   Der Geheimhaltungsgrad einer Verschlusssache bleibt auch bestehen, wenn sie unrechtmäßig bekannt geworden ist.

§ 3
Allgemeine Grundsätze

(1)   Von einer Verschlusssache dürfen nur Personen Kenntnis erhalten, die auf Grund ihrer Aufgabenerfüllung von ihr Kenntnis haben müssen. Keine Person darf über eine Verschlusssache umfassender oder eher unterrichtet werden, als dies aus Gründen der Aufgabenerfüllung notwendig ist. Es gilt der Grundsatz „Kenntnis nur, wenn nötig“.

(2)   Jede Person, der eine Verschlusssache anvertraut oder zugänglich gemacht worden ist, trägt ohne Rücksicht darauf, wie die Verschlusssache zu ihrer Kenntnis oder in ihren Besitz gelangt ist, die persönliche Verantwortung für ihre vorschriftsmäßige Behandlung.

(3)   Können wegen der Beschaffenheit einer Verschlusssache Anweisungen für Verschlusssachen nicht angewendet werden, so ist sinngemäß zu verfahren. Dabei sind möglichst gleichwertige Sicherheitsmaßnahmen zu treffen.

§ 4
Verpflichtung, Ermächtigung und Zulassung

(1)   Bevor eine Person Zugang zu Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH erhält, ist sie auf Anlage 5 zu verpflichten. Dabei ist ihr gegen Empfangsbestätigung ein Exemplar der Anlage 5 zugänglich zu machen. Die Verpflichtung ist gemäß Muster 1 der Anlage 8 zu dokumentieren.

(2)   Eine Person, die Zugang zu Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher erhalten soll oder sich diesen aufgrund einer ihr zu übertragenden Tätigkeit verschaffen kann, ist zuvor einer Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz Nordrhein-Westfalen zu unterziehen. § 1 Absatz 5 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen bleibt unberührt. Nach erfolgter Sicherheitsüberprüfung ist sie durch die Geheimschutzbeauftragte oder den Geheimschutzbeauftragten zu ermächtigen beziehungsweise zur Wahrnehmung der entsprechenden Tätigkeit zuzulassen. Dabei ist sie über die besonderen Bestimmungen des Geheimschutzes zu belehren, in erforderlichem Umfang auf den Geheimschutz zu verpflichten und über Anbahnungs- und Anwerbemethoden ausländischer Nachrichtendienste sowie die Möglichkeit straf- und disziplinarrechtlicher Ahndung oder arbeitsrechtlicher Maßnahmen bei Verstößen gegen die Geheimhaltungsvorschriften zu unterrichten. Die Belehrung und Unterrichtung soll spätestens nach fünf Jahren erneut erfolgen.

(3)   Personen, die sich aufgrund einer ihnen übertragenen Tätigkeit Zugang zu Verschlusssachen verschaffen können, sind insbesondere Personen, die

1.  als Boten oder Kuriere Verschlusssachen befördern (VS-Bote beziehungsweise VS-Kurier),

2.  VS-Verwahrgelasse oder Sicherheitsbereiche bewachen,

3.  Einbruch- oder Überfallmeldeanlagen zum Schutz von Verschlusssachen installieren, warten oder Instand setzen,

4.  Schlüssel oder Zahlenkombinationen zu VS-Verwahrgelassen, VS-Schlüssel-behältern, Einbruch- oder Überfallmeldeanlagen zum Schutze von Verschlusssachen verwalten,

5.  als IT-Wartungspersonal oder Administratoren von Informationstechnik zur Handhabung von Verschlusssachen (VS-IT) eingesetzt oder

6.  in einem Sicherheitsbereich nach § 2 Absatz 1 Nummer 3 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen tätig sind.

(4)   Ermächtigten und zugelassenen Personen sind gegen Empfangsbestätigung die einschlägigen Strafvorschriften und die für ihre Tätigkeit erforderlichen Vorschriften zum Schutz von Verschlusssachen zugänglich zu machen und gegebenenfalls ein VS-Quittungsbuch auszuhändigen. Ermächtigungen, Zulassungen und ihre Befristung sind nach Muster 2 der Anlage 8 zu dokumentieren.

(5)   Ermächtigten Personen ist bei Bedarf eine Konferenzbescheinigung nach Muster 4 der Anlage 8 auszustellen.

(6)   Entfällt die dienstliche Notwendigkeit für eine Ermächtigung oder Zulassung ganz oder teilweise, ist diese aufzuheben oder auf den notwendigen Umfang einzuschränken. Ermächtigungen und Zulassungen sind aufzuheben, wenn ein Sicherheitsrisiko festgestellt wird. Ermächtigungen und Zulassungen erlöschen spätestens bei Ausscheiden der betroffenen Person aus der Dienststelle. Die VS-Registratur ist über Ermächtigungen und Zulassungen sowie deren Erweiterung, Einschränkung, Aufhebung oder Erlöschen zu unterrichten.

(7)   Personen, deren Ermächtigung oder Zulassung aufgehoben wird oder erlischt, sind verpflichtet, Verschlusssachen, die sich in ihrem Besitz befinden und gegebenenfalls das VS-Quittungsbuch unaufgefordert abzugeben und darüber eine Erklärung nach Muster 5 der Anlage 8 zu unterschreiben. Dies gilt im Falle der Einschränkung der Ermächtigung oder Zulassung entsprechend.

(8)   Bei Einschränkung, Aufhebung oder Erlöschen der Ermächtigung oder Zulassung ist die betroffene Person auf das Fortbestehen der Geheimschutzpflichten hinzuweisen.

§ 5
Mitwirkung der Landesbehörde für Verfassungsschutz

Das für Inneres zuständige Ministerium als Verfassungsschutzbehörde des Landes Nordrhein-Westfalen berät die in § 1 genannten Stellen bei der Umsetzung dieser Verschlusssachenanweisung. Dies umfasst auch Erläuterungen zur Anwendung der technischen Leitlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils gültigen Fassung. Zur Erfüllung dieser Aufgabe kann sie sich durch das Bundesamt für Sicherheit in der Informationstechnik, die Landesbeauftragte für die Sicherheit in der Informationstechnik beziehungsweise den Landesbeauftragten für Sicherheit in der Informationstechnik oder durch andere geeignete Stellen beraten lassen. Im Falle einer Beratung oder Unterstützung sind die hierfür entstehenden Kosten von der die Verfassungsschutzbehörde beauftragenden Dienststelle zu tragen. Die Verfassungsschutzbehörde informiert über Zulassungen für IT-Sicherheitsprodukte durch das Bundesamt für Sicherheit in der Informationstechnik, berät bei der Auswahl geeigneter informationstechnischer beziehungsweise technischer Komponenten zum Verschlusssachenschutz, wenn keine vom Bundesamt für Sicherheit in der Informationstechnik zugelassenen Sicherheitsprodukte verfügbar sind und unterrichtet unverzüglich alle Dienststellen über Erkenntnisse, die für den Schutz von dort befindlichen Verschlusssachen oder die Aufrechterhaltung des dortigen Geheimschutzes von Bedeutung sein können.

§ 6
Mehrschichtige Sicherheit, Risikomanagement

(1)     Bei der Handhabung von Verschlusssachen werden angemessene technische und organisatorische Maßnahmen getroffen, die in ihrem Zusammenwirken die Risiken eines Angriffs reduzieren und im Falle eines erfolgreichen Angriffs die negativen Folgen begrenzen sollen (Risikomanagement). Die Sicherheitsmaßnahmen berücksichtigen die Aspekte Prävention, Detektion und Reaktion.

(2)     Eine Sicherheitsmaßnahme ist angemessen, wenn der Aufwand zur Umsetzung der Maßnahme und das verbleibende Restrisiko in einem ausgewogenen Verhältnis stehen. Die Bewertung der Wirksamkeit und Angemessenheit erfolgt auf der Grundlage einer kontinuierlichen Risikoanalyse.

Abschnitt II:
Geheimschutzorganisation

§ 7
Dienststellenleitung

Die Dienststellenleitung ist innerhalb ihres Zuständigkeitsbereiches für die Umsetzung dieser Verschlusssachenanweisung verantwortlich und hat die Voraussetzungen zur Gewährleistung des materiellen Geheimschutzes zu schaffen. Sie kann ihre Aufgaben ganz oder teilweise auf Mitarbeiterinnen oder Mitarbeiter ihrer Dienststelle übertragen. Verpflichtungen und Ermächtigungen nach § 4 sind bei Dienststellenleitungen durch die in § 4 Absatz 1 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen vorgeschriebene Stelle durchzuführen.

§ 8
Geheimschutzbeauftragte

(1)   Dienststellen, die Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher handhaben, sollen Geheimschutzbeauftragte und zur Vertretung berechtigte Personen bestellen. Andernfalls nehmen die Dienststellenleitungen die Aufgaben der Geheimschutzbeauftragten wahr.

(2)   Dienststellen, die ausschließlich Verschlusssachen der Geheimhaltungsgrade VS-NUR FÜR DEN DIENSTGEBRAUCH handhaben, können Geheimschutzbeauftragte und zur Vertretung berechtigte Personen bestellen. Andernfalls nehmen die Dienststellenleitungen die Aufgaben der Geheimschutzbeauftragten wahr.

(3)   Geheimschutzbeauftragte sorgen für die Umsetzung dieser Verschlusssachenanweisung und beraten die Dienststellenleitungen in allen Fragen des Geheimschutzes. Geheimschutzbeauftragte haben ein unmittelbares Vortragsrecht bei den Dienststellenleitungen und sind bei allen geheimschutzrelevanten Maßnahmen zu beteiligen. Innerhalb der Dienststellen können besonders beauftragte Mitarbeiterinnen oder Mitarbeiter zur Unterstützung der Geheimschutzbeauftragten bestellt werden.

(4)   Geheimschutzbeauftragte oder besonders beauftragte Mitarbeiterinnen oder Mitarbeiter haben die mit der Handhabung von Verschlusssachen betrauten Personen durch geeignete Maßnahmen mit den Vorschriften dieser Verschlusssachenanweisung sowie anderen einschlägigen Vorschriften zum Schutz von Verschlusssachen vertraut zu machen.

(5)   Geheimschutzbeauftragte tragen durch angemessene Sicherheitsmaßnahmen und Kontrollen dafür Sorge, Risiken für den Schutz von Verschlusssachen zu reduzieren und Restrisiken zu identifizieren, die mit den getroffenen Maßnahmen nicht abgewehrt werden können.

(6)   Die Hinweise zur Geheimschutzorganisation der Anlage 1 sind ergänzend zu beachten.

§ 9
Informationssicherheitsbeauftragte

Informationssicherheitsbeauftragte beraten die Geheimschutzbeauftragten in allen Fragen des Einsatzes von Informationstechnik zur Handhabung von Verschlusssachen einschließlich zu deren Übertragung.

§ 10
VS-Registrierende

Dienststellen, die Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher handhaben, bestellen VS-Registrierende und zur Vertretung berechtigte Personen, welche für die ordnungsgemäße Verwaltung dieser Verschlusssachen nach den Vorgaben dieser Verschlusssachenanweisung Sorge tragen.

§ 11
Qualifikation

Die in den §§ 8 bis 10 genannten Personen müssen über die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde verfügen.

Abschnitt III:
Geheimschutzdokumentation und technische Vorgaben

§ 12
Geheimschutzdokumentation

(1)   Jede Dienststelle, die nicht nur gelegentlich mit Verschlusssachen arbeitet, führt eine Geheimschutzdokumentation, die einen Überblick über die wesentlichen Geheimschutzbelange ermöglicht.

Sie soll insbesondere enthalten:

1.  Verweise auf alle in diesem Zusammenhang zu beachtenden Vorschriften und technischen Vorgaben,

2.  eine Auflistung der Dienstposten, auf denen eine sicherheitsempfindliche Tätigkeit im Sinne des Sicherheitsüberprüfungsgesetzes ausgeübt wird,

3.  eine Auflistung der ermächtigten und zugelassenen Personen,

4.  die VS-Sicherungsdokumentation mit den sich aus Anlage 2 ergebenden Inhalten,

5.  die VS-IT-Dokumentation, mit den sich aus Anlage 2 ergebenden Inhalten,

6.  Nachweise über durchgeführte Abnahmen, Kontrollen und Überprüfungen und

7.  Berichte über Geheimschutzvorkommnisse.

(2)   Die Geheimschutzdokumentation ist bei allen geheimschutzrelevanten Änderungen zu aktualisieren, mindestens aber alle drei Jahre auf Aktualität, Vollständigkeit und Erforderlichkeit bestehender und noch zu treffender Geheimschutzmaßnahmen zu überprüfen.

(3)   Die Geheimschutzbeauftragten geben den Mitarbeiterinnen oder Mitarbeitern ihrer Dienststelle die für die Dienststelle getroffenen, für die Handhabung von Verschlusssachen relevanten Regelungen gemäß Absatz 1 Satz 2 Nummer 1 regelmäßig und anlassbezogen in geeigneter Weise bekannt.

§ 13
Erstellung der Geheimschutzdokumentation

(1)   Die Geheimschutzdokumentation wird von den Geheimschutzbeauftragten oder besonders beauftragten Mitarbeiterinnen oder Mitarbeitern erstellt und fortgeschrieben. Bei der Erstellung der VS-IT- Dokumentation, die Teil der Geheimschutzdokumentation ist, werden sie von den Informationssicherheitsbeauftragten unterstützt.

(2)   Die Verfügbarkeit der Geheimschutzdokumentation muss jederzeit gewährleistet sein.

(3)   Die Hinweise zur Geheimschutzdokumentation der Anlage 2 sind ergänzend zu beachten.

§ 14
Technische Leitlinien

(1)   Die Technischen Leitlinien des Bundesamtes für Sicherheit in der Informationstechnik konkretisieren die Vorgaben der Verschlusssachenanweisung durch Festlegung von Verfahren zur Prüfung von Produkten, von technischen und organisatorischen Anforderungen und Handlungsanweisungen auf dem Gebiet des materiellen Geheimschutzes und sind in ihrer jeweils geltenden Fassung einzuhalten.

(2)   Die Landesbehörde für Verfassungsschutz kann im Ausnahmefall Abweichungen von den Technischen Leitlinien des Bundesamtes für Sicherheit in der Informationstechnik zulassen.

Abschnitt IV:
Einstufung und Einstufungsfrist

§ 15
Herausgeber und Einstufung

(1)   Die Dienststelle, die eine Verschlusssache erstellt oder deren Erstellung veranlasst oder der Rechtsnachfolger dieser Dienststelle ist der Herausgeber der Verschlusssache. Der Herausgeber legt nach Maßgabe von § 6 Absatz 3 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen den Geheimhaltungsgrad der Verschlusssache fest. Von einer Einstufung als Verschlusssache ist nur Gebrauch zu machen, soweit dies notwendig ist.

(2)   Die Dienststelle kann Richtlinien zur Einstufung von Verschlusssachen für häufiger vorkommende Fälle festlegen.

(3)   Die Hinweise zur Einstufung der Anlage 3 sind ergänzend zu beachten.

§ 16
Einstufungsfrist

(1)   Die Regelfrist für eine Einstufung einer Verschlusssache des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH beträgt 30 Jahre. Der Herausgeber kann im Einzelfall eine kürzere Frist bestimmen. Die Bestimmung einer über die Regelfrist hinausgehenden Frist ist unzulässig.

(2)   Für Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher bestimmt der Herausgeber die Einstufungsfrist nach Maßgabe der sich aus der Begründung der Einstufung ergebenden Schutzbedürftigkeit. Die Einstufungsfrist soll 30 Jahre nicht überschreiten. Eine längere Frist kann mit Zustimmung der jeweils zuständigen obersten Landesbehörde für einzelne Verschlusssachen oder aber für mehrere in einem bestimmten Bereich entstehende Verschlusssachen bestimmt werden, wenn dies die besondere Schutzbedürftigkeit im konkreten Einzelfall erfordert. Wird eine längere Frist bestimmt, ist dies zu begründen und so auf der Verschlusssache oder der zugehörigen Dokumentation zu vermerken, dass dies jederzeit erkennbar ist.

(3)   Die Einstufungsfrist beginnt am Tag der erstmaligen Einstufung der Verschlusssache.

(4)   Die Dienststelle kann Richtlinien zur Bestimmung der Einstufungsfrist von Verschlusssachen für häufiger vorkommende Fälle festlegen.

§ 17
Nachträgliche Verlängerung der Einstufungsfrist

(1)   Die nach § 16 Absatz 1 festgelegte Einstufungsfrist von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH kann nicht verlängert werden.

(2)   Besteht die Schutzbedürftigkeit einer einzelnen Verschlusssache oder mehrerer in einem bestimmten Bereich entstandener Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher über die nach § 16 Absatz 2 festgelegte Einstufungsfrist hinaus fort, verlängert der Herausgeber die Einstufungsfrist. Die Verlängerung soll jeweils 30 Jahre nicht überschreiten. Eine Verlängerung der Frist über 30 Jahre hinaus bedarf der Zustimmung der zuständigen obersten Landesbehörde. Die Verlängerung ist zu begründen und so zu vermerken, dass diese und die verfügende Stelle jederzeit erkennbar sind.

(3)   Über die Verlängerungen der Einstufungsfristen von Verschlusssachen muss der Herausgeber alle Empfänger rechtzeitig vor Fristablauf schriftlich oder elektronisch unter Beachtung der Authentifizierung und der notwendigen Schutzvorkehrungen benachrichtigen. Die Benachrichtigungen sind nachzuweisen. Die Empfänger von Verschlusssachen, deren Einstufungsfrist abgelaufen ist, haben vor Offenlegung zu prüfen, ob die Einstufungsfrist verlängert wurde.

§ 18
Änderung der Einstufung

(1)   Ändert sich die Schutzbedürftigkeit einer Verschlusssache, setzt der Herausgeber den Geheimhaltungsgrad dieser Verschlusssache entsprechend herauf oder herab. Über die Änderung hat der Herausgeber alle Empfänger der Verschlusssache oder deren Rechtsnachfolger unverzüglich schriftlich oder elektronisch unter Beachtung der Authentifizierung und der notwendigen Schutzvorkehrungen zu benachrichtigen.

(2)   Eine nachträgliche Einstufung von nicht eingestuften Informationen sowie eine Heraufstufung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH ist grundsätzlich unzulässig, es sei denn die Geheimschutzbeauftragte oder der Geheimschutzbeauftragte stimmt dem im konkreten Einzelfall ausnahmsweise zu.

(3)   Die Änderung des Geheimhaltungsgrades lässt die Einstufungsfrist nach § 16 unberührt.

(4)   Die Änderung des Geheimhaltungsgrades einer Verschlusssache ist so zu vermerken, dass die Änderung bei der Handhabung der Verschlusssache jederzeit erkennbar ist. Sind Verschlusssachen des Geheimhaltungsgrades VS-VERTRAULICH oder höher betroffen, ist die Änderung im VS-Bestandsverzeichnis des Herausgebers und der Empfänger nachzuweisen.

§ 19
Aufhebung der Einstufung

(1)   Die Einstufung als Verschlusssache endet mit Ablauf des Jahres, in welches das Ende der letztmalig bestimmten Einstufungsfrist fällt. Verschlusssachen sind nach Ablauf der Einstufungsfrist offenes Schriftgut.

(2)   Entfällt die Geheimhaltungsbedürftigkeit einer Verschlusssache vor Ablauf der Einstufungsfrist, hebt der Herausgeber die Einstufung auf. Die Aufhebung der Einstufung ist so zu vermerken, dass diese und die verfügende Stelle jederzeit erkennbar sind. Im Falle von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher benachrichtigt der Herausgeber alle Empfänger der Verschlusssache oder deren Rechtsnachfolger schriftlich oder elektronisch unter Beachtung der Authentifizierung und der notwendigen Schutzvorkehrungen. Die Aufhebung der Einstufung ist in diesem Falle zusätzlich im VS-Bestandsverzeichnis des Herausgebers und der Empfänger nachzuweisen.

(3)   Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher, die vor dem 16. Juni 2001 entstanden sind und auf denen keine erkennbare Einstufungsfrist vermerkt wurde, gelten spätestens nach Ablauf von 60 Jahren nach ihrer Herstellung als offenes Schriftgut. Für entsprechende Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH gilt die Einstufung nach Ablauf von 30 Jahren nach der Entstehung als aufgehoben.

(4)   Einstufungen von Verschlusssachen ausländischer und zwischenstaatlicher Stellen können nur von den herausgebenden Stellen selbst nach den jeweils geltenden Vorschriften aufgehoben werden, sofern nicht zwischenstaatliche Vereinbarungen ein abweichendes Verfahren regeln.

Abschnitt V:
Handhabung von Verschlusssachen

§ 20
Herstellung, Bearbeitung und Kennzeichnung

(1)   Die Herstellung und Bearbeitung von Verschlusssachen sind grundsätzlich nur an den hierfür bestimmten Stellen mit den dort vorgesehenen Mitteln zulässig. Nur Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH dürfen auch an anderen Orten zum Beispiel in der Privatwohnung oder auf Dienstreisen hergestellt oder bearbeitet werden, wenn die oder der Geheimschutzbeauftragte dies gestattet und die Bearbeiterin beziehungsweise der Bearbeiter nachweislich schriftlich über die zu beachtenden Schutzmaßnahmen gemäß Anlage 5 belehrt wurde.

(2)   Eine Verschlusssache ist so zu kennzeichnen, dass während der gesamten Dauer ihrer Einstufung jederzeit erkennbar sind:

1.  der Geheimhaltungsgrad,

2.  der Herausgeber,

3.  das Datum der Herstellung der Verschlusssache,

4.  das bei der Herstellung festgelegte Ende der Einstufungsfrist mit dem Zusatz „Die Einstufung endet mit Ablauf des Jahres…“, dies gilt nicht, soweit bei Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH die Regelfrist von 30 Jahren nach § 16 Absatz 1 Satz 1 nicht unterschritten wird,

5. bei jeder Ausfertigung einer Verschlusssache der Geheimhaltungsgrade VS-VERTRAULICH oder höher die fortlaufende Nummer und der Empfänger sowie

6.  die Seiten- und Gesamtseitenzahl.

(3)   Der Geheimhaltungsgrad ist gut sichtbar ungekürzt in Großbuchstaben und so auf der Verschlusssache anzubringen, dass er sich deutlich von der übrigen Beschriftung abhebt. Lässt diese Verschlusssachenanweisung die Verwendung von Abkürzungen der Geheimhaltungsgrade explizit zu oder macht die Beschaffenheit der Verschlusssache dies im Einzelfall erforderlich, sind folgende Abkürzungen zu verwenden:

1.  VS-NUR FÜR DEN DIENSTGEBRAUCH: VS-NfD,

2.  VS-VERTRAULICH: VS-Vertr.,

3.  GEHEIM: Geh. sowie

4.  STRENG GEHEIM: Str. Geh.

       Bei Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher ist zusätzlich ein geeignetes individuelles Merkmal wie zum Beispiel Geschäftszeichen und Tagebuchnummer aufzubringen, anhand dessen sich in Verbindung mit dem VS-Bestandsverzeichnis die Handhabung der Verschlusssache jederzeit lückenlos ermitteln lässt.

(4)   Der Herausgeber kann zum Schutz und zur Handhabung der Verschlusssache ergänzend Warn- und Sperrvermerke nach Anlage 4 verwenden.

(5)   Der Betreff einer Verschlusssache ist so zu formulieren, dass er für sich genommen nicht geheimhaltungsbedürftig ist.

(6)   Besteht eine Verschlusssache aus mehreren, unterschiedlich eingestuften Teilen, zum Beispiel aus Anlagen oder Komponenten, sind alle Teile mit ihrem jeweiligen Geheimhaltungsgrad und die Verschlusssache in ihrer Gesamtheit nach dem höchsten Geheimhaltungsgrad zu kennzeichnen. Anfang und Ende der einzelnen Teile müssen erkennbar sein.

(7)   Lässt die Beschaffenheit einer Verschlusssache eine solche Kennzeichnung nicht zu, ist sinngemäß zu verfahren oder die Kennzeichnung auf der zugehörigen Dokumentation zu vermerken.

(8)   Werden der Geheimhaltungsgrad einer Verschlusssache geändert oder die Einstufung aufgehoben, so ist die Kennzeichnung als Verschlusssache durch den Herausgeber und bei erfolgter Übermittlung durch alle Empfänger zu ändern oder zu streichen. Die Änderung oder Streichung ist mit Namenszeichen und Datum der handelnden Person zu versehen. Bei mobilen Datenträgern und gebundenem Schriftgut erfolgt die Änderung oder die Streichung auf dem Objekt, dem Einband oder dem Titelblatt.

(9)   Die Absätze 1 bis 8 gelten für elektronische Verschlusssachen entsprechend. Näheres zur zusätzlichen Kennzeichnung von elektronischen Verschlusssachen, zum Beispiel anhand von Metadaten, regelt eine Technische Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik.

(10) Datenträger, auf denen Verschlusssachen unverschlüsselt gespeichert sind, sind mit dem Geheimhaltungsgrad der höchsten Einstufung der darauf gespeicherten Verschlusssachen zu kennzeichnen. Datenträger, auf denen ausschließlich Verschlusssachen gespeichert sind, die mit einem vom Bundesamt für Sicherheit in der Informationstechnik zugelassenen Produkt verschlüsselt wurden, müssen nicht gekennzeichnet werden.

(11) Die verbindliche Gestaltung der Kennzeichnung von Verschlusssachen, VS- Schriftgutbehältern und Behältern von VS-Datenträgern ist der Anlage 4 sowie den Mustern 13 bis 15 der Anlage 8 zu entnehmen. Von der Kennzeichnung sind VS-Transportbehälter ausgenommen.

(12) Zur Kennzeichnung von Verschlusssachen ausländischer Staaten und über- oder zwischenstaatlicher Organisationen sind die Regelungen nach Anlage 7 zu beachten.

§ 21
Verwaltung und Nachweisführung

(1)   Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH dürfen, soweit sie nicht Bestandteil höher eingestufter Verschlusssachen sind, in offenen Registraturen verwaltet werden.

(2)   Verschlusssachen der Geheimhaltungsgrade VS VERTRAULICH oder höher sind in VS-Registraturen mittels geeigneter Verfahren so zu verwalten, dass ihre Existenz, ihre Einstufung einschließlich der Einstufungsfrist, ihr Verbleib, die erfolgten Kenntnisnahmen, ihre Vervielfältigung und deren Verbleib sowie ihre Vernichtung nachvollziehbar sind (Nachweisführung).

(3)   Die Nachweisführung kann in Papierform oder elektronisch erfolgen. Die gewählte Form muss ausreichend Schutz vor unbemerkter Veränderung, Verlust und Verfälschung bieten. Die Nachweisführung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher erfolgt anhand von VS-Bestandsverzeichnissen, VS-Quittungsbüchern, VS-Begleitzetteln, VS-Empfangsscheinen, VS-Übergabeprotokollen und VS-Vernichtungsprotokollen. Verbindliche Muster für diese Nachweise sind der Anlage 8 zu entnehmen. Zur elektronischen Nachweisführung von Verschlusssachen kann auch ein VS-Registratursystem verwendet werden. VS-Registratursysteme unterliegen als VS-IT sinngemäß den Bestimmungen des Abschnitts VIII.

(4)   VS-Datenträger, ihr Verbleib und ihre Vernichtung sind in einem gesonderten VS-Bestandsverzeichnis nachzuweisen. Für die eindeutige Identifizierbarkeit genügt die Angabe eines Ordnungskriteriums, zum Beispiel einer laufenden Nummer.

(5)   VS-Bestandsverzeichnisse sind gemäß dem höchsten Geheimhaltungsgrad der in ihnen nachgewiesenen Verschlusssachen einzustufen. Der Zugriff auf das VS-Bestandsverzeichnis ist nur den Geheimschutzbeauftragten, den besonders beauftragten Mitarbeitenden und den VS-Registrierenden gestattet.

(6)   Bei Wechsel einer oder eines VS-Registrierenden ist der Bestand zu überprüfen und ein Bestandsbericht in Form eines Übergabeprotokolls nach Muster 20 der Anlage 8 zu fertigen.

(7)   VS-Nachweise sind mindestens fünf Jahre aufzubewahren. Nach Ablauf der Frist sind VS-Nachweise zu vernichten. Für VS-Quittungsbücher beginnt die Frist mit der letzten Eintragung, für VS-Empfangsscheine, VS-Begleitzettel, VS-Übergabeprotokolle und VS-Vernichtungsprotokolle mit ihrer Ausstellung. Für VS-Bestandsverzeichnisse beginnt die Frist, wenn alle in ihnen nachgewiesenen Verschlusssachen auf den Geheimhaltungsgrad VS-NUR FÜR DEN DIENSTGEBRAUCH herabgestuft, offengelegt, abgegeben oder vernichtet worden sind. Wenn in einem VS-Bestandsverzeichnis nur noch wenige Verschlusssachen nachgewiesen werden, können die Einträge unter Beibehaltung ihrer Tagebuchnummer in ein anderes VS-Bestandsverzeichnis übertragen werden und sind fortan nur dort nachzuweisen. In diesem Fall beginnt die Aufbewahrungsfrist für das abgeschlossene VS-Bestandsverzeichnis mit der Übertragung der Einträge.

(8)   Näheres zur Verwaltung und Nachweisführung von Verschlusssachen ist der Anlage 4 zu entnehmen.

(9)   Für Verschlusssachen ausländischer Staaten und über- oder zwischenstaatlicher Organisationen sind die Regelungen nach Anlage 7 zu beachten.

§ 22
Vervielfältigung

(1)   Vervielfältigung ist die absichtliche Herstellung von weiteren Exemplaren einer Ausfertigung einer Verschlusssache, unabhängig von der Darstellungsform. Dies gilt insbesondere für fotomechanische Kopien, Scans, Abdrucke einer elektronisch dargestellten Verschlusssache, elektronische Kopien von Dateien, den elektronischen Versand, Auszug und Nachbau.

(2)   Jede Vervielfältigung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher ist mit einer fortlaufenden Nummer und dem jeweiligen Empfänger so zu kennzeichnen, dass sie als weiteres Exemplar einer Verschlusssache (Kopie) eindeutig erkennbar ist und der Original-Verschlusssache zugeordnet werden kann. Sie ist als weiteres Exemplar unverzüglich nach § 21 zu registrieren.

(3)   In Dienststellen, in denen Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher hergestellt oder vervielfältigt werden, sollen hierfür bestimmte Stellen mit hierzu ermächtigtem Personal festgelegt werden. Soweit dies nicht geschieht, sind Vervielfältigungen dieser Verschlusssachen durch die Mitarbeitenden der VS-Registratur zu fertigen. Die Arbeiten sind in Gegenwart einer weiteren entsprechend ermächtigten Person durchzuführen (Vieraugenprinzip).

(4)   Die Vervielfältigung von Verschlusssachen des Geheimhaltungsgrades STRENG GEHEIM bedarf zusätzlich der schriftlichen Zustimmung des Herausgebers. Die Zustimmung ist im VS Bestandverzeichnis zu vermerken.

(5)   Werden in VS-IT Kopien von den dort registrierten Verschlusssachen als Backup-Daten zur Sicherung der Verfügbarkeit benötigt, sind diese in einem gesonderten Bestandsverzeichnis in der Art nachzuweisen, dass jederzeit feststellbar ist, welche Verschlusssachen als Kopie darin gespeichert sind.

§ 23
Aufbewahrung

(1)   Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH können, soweit sie nicht Bestandteil höher eingestufter Verschlusssachen sind in einer offenen Registratur dauerhaft aufbewahrt werden. Die dauerhafte Aufbewahrung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher erfolgt in VS-Registraturen. Die Aufbewahrung außerhalb der VS-Registratur ist nur für den Zeitraum zulässig, für den ein fortgesetzter Zugriff der Bearbeiterin oder des Bearbeiters auf die Verschlusssache notwendig ist. VS-Registrierende erkundigen sich in angemessenen Zeitabständen, ob diese Voraussetzung weiterbesteht.

(2)   Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher sind bei Nichtgebrauch in einem VS-Verwahrgelass gemäß § 44 einzuschließen. Dies gilt für Verschlusssachen des Geheimhaltungsgrades STRENG GEHEIM bereits bei kurzer Abwesenheit der die Verschlusssache bearbeitenden oder verwaltenden Personen. VS-VERTRAULICH oder GEHEIM eingestufte Verschlusssachen können bei einer kurzen Abwesenheit der die Verschlusssache bearbeitenden oder verwaltenden Personen während der Arbeitszeit im VS-Arbeitsbereich (VS-IT-Räume und andere Räume, in denen Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher gehandhabt werden) verbleiben, sofern die Zimmertür mit einem Sicherheitsschloss verschlossen ist. Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH sind bei Nichtgebrauch in verschlossenen Behältern oder abgeschlossenen Räumen aufzubewahren.

(3)   Ist eine Aufbewahrung von Verschlusssachen des Geheimhaltungsgrades VS-VERTRAULICH oder höher nach den Absätzen 1 und 2 nicht möglich, so sind die Verschlusssachen bei einer anderen Dienststelle unterzubringen, die die erforderlichen Voraussetzungen erfüllt. Bei Verschlusssachen bis zum Geheimhaltungsgrad VS-Vertraulich ist die Aufbewahrung in einem Bankschließfach zulässig, wenn sichergestellt ist, dass nur befugte Personen dazu Zugriff erhalten.

(4)   Nichtdeutsche Verschlusssachen der Nordatlantischen Vertragsorganisation (NATO), des Geheimhaltungsgrades COSMIC TOP SECRET oder mit dem Warnvermerk ATOMAL oder höher sind der Zentralregistratur bei der Nationalen Sicherheitsbehörde für den Geheimschutz beim Bundesministerium der Verteidigung zur Aufbewahrung zuzuleiten.

(5)   Nichtdeutsche Verschlusssachen der Europäischen Union des Geheimhaltungsgrades TRES SECRET UE/EU TOP SECRET sind der Zentralregistratur beim Auswärtigen Amt zur Aufbewahrung zuzuleiten.

§ 24
Grundsätze zur Weitergabe

(1)   Weitergabe ist insbesondere

1.  die Weitergabe von Hand zu Hand,

2.  die Beförderung durch Boten,

3.  der Versand durch Kuriere,

4.  der Versand durch private Zustelldienste,

5.  die mündliche Mitteilung,

6.  die Übertragung über technische Kommunikationsverbindungen oder

7.  die Bereitstellung in einem Kommunikationsnetzwerk.

(2)   Jeder hat sich vor der Weitergabe von Verschlusssachen zu vergewissern, dass der vorgesehene Empfänger zur Annahme oder Kenntnisnahme berechtigt ist.

(3)   Die Weitergabe von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher soll über die VS-Registratur erfolgen. Verschlusssachen des Geheimhaltungsgrades STRENG GEHEIM dürfen nur mit Zustimmung des Herausgebers weitergegeben werden. Die Weitergabe und die gegebenenfalls erforderliche Zustimmung sind nachzuweisen.

(4)   Zwischen zwei getrennt liegenden Gebäuden, die nicht zu einer geschlossenen Gebäudegruppe gehören, sollen Verschlusssachen grundsätzlich mittels technischer Kommunikationsverbindungen nach § 55 übertragen werden. Ist dies nicht möglich, sollen sie durch Kuriere versandt werden. Ist auch dies nicht möglich, können Verschlusssachen bis zum Geheimhaltungsgrad GEHEIM durch private Zustelldienste versandt werden.

(5)   Die Geheimschutzbeauftragten können besondere Regelungen zur Weitergabe von Verschlusssachen innerhalb einer Gemeinschaft von Geheimnisträgern festlegen.

(6)   Die Hinweise der Anlagen 4 und 5 zur Weitergabe und zum Versand von Verschlusssachen sind zu beachten.

(7)   Die Weitergabe von nichtdeutschen Verschlusssachen der NATO, des Geheimhaltungsgrades COSMIC TOP SECRET oder mit dem Warnvermerk ATOMAL oder höher erfolgt über die Zentralregistratur bei der Nationalen Sicherheitsbehörde für den Geheimschutz beim Bundesministerium der Verteidigung als zentrale Ausgangsstelle.

(6)   Nichtdeutsche Verschlusssachen der Europäischen Union des Geheimhaltungsgrades TRES SECRET UEEU TOP SECRET werden über die Zentralregistratur beim Auswärtigen Amt als zentrale Ausgangsstelle weitergegeben.

§ 25
Weitergabe an nichtöffentliche Stellen

(1)   Die Weitergabe von Verschlusssachen an nichtöffentliche Stellen ist nur zulässig, wenn sie im staatlichen Interesse erforderlich ist. Das ist insbesondere bei der Durchführung eines staatlichen Auftrages oder zur Analyse oder Abwehr von Gefahren für die Sicherheit von Kritischen Infrastrukturen, von sonstigen Unternehmen im staatlichen Interesse oder einer Stelle des Bundes oder Landes anzunehmen.

(2)   Vor der Weitergabe von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher ist ein Nachweis über die durchgeführte Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz Nordrhein-Westfalen der empfangsberechtigten Personen der nichtöffentlichen Stellen einzuholen. Die §§ 3 und 4 gelten entsprechend.

(3)   Der Nachweis kann durch eine gültige Bescheinigung des Sicherheitsbevollmächtigten nach § 29 Absatz 2 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen erbracht werden, wenn ein im Vorfeld der Weitergabe grundsätzlich bei dem für die Wirtschaft zuständigen Ministerium anzufordernder im Verfahren der geheimschutzbetreuten Wirtschaft vorgesehener Sicherheitsbescheid über die beteiligten nichtöffentlichen Stellen vorliegt.

(4)   Bei der Weitergabe von Verschlusssachen an nichtöffentliche Stellen muss mindestens ein Schutzniveau entsprechend dieser Verschlusssachenanweisung gewährleistet sein.

§ 26
Weitergabe an den Landtag, den Bundestag, die Parlamente
anderer Länder sowie an Bundes- und Landesbehörden

(1)   Die Weitergabe von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher an den Landtag, den Bundestag, die Parlamente anderer Länder sowie an sonstige Bundes- oder Landesbehörden erfolgt über die zuständige oberste Landesbehörde grundsätzlich an die VS-Registratur der empfangenden Stelle.

(2)   Die Weitergabe von Verschlusssachen an den Bund oder an ein anderes Land ist nur zulässig, sofern dort Regelungen zum Schutz von Verschlusssachen entsprechend dieser Verschlusssachenanweisung gelten oder sich die jeweilige Bundes- oder Landesbehörde zum Schutz von Verschlusssachen entsprechend dieser Verschlusssachenanweisung verpflichtet. Das gilt auch für den Zugriff auf VS-IT sowie für die Teilnahme an einem VS-IT-System des Landes Nordrhein-Westfalen.

§ 27
Empfang

(1)   Beim Empfang von Verschlusssachen des Geheimhaltungsgrades VS-VERTRAULICH oder höher sind

1.  die Sendungen umgehend der VS-Registratur zuzuleiten und nach § 21 zu verwalten beziehungsweise nachzuweisen; sofern mehrere Verschlusssachen übermittelt werden oder auf Datenträger eingehen, sind diese einzeln nachzuweisen,

2.  die Integrität, Authentizität und Vollständigkeit der Sendungen zu prüfen und

3.  der Empfang mit dem Ergebnis der Prüfung gegenüber der VS-Verwaltung des Absenders unverzüglich zu bestätigen.

(2)   Zeigen sich Hinweise auf unbefugte Kenntnisnahme, Unvollständigkeit oder Veränderung, so sind die Geheimschutzbeauftragten und die absendenden Stellen unverzüglich zu benachrichtigen.

(3)   Auf den VS-Empfangsscheinen nicht elektronisch eingehender Sendungen vermerkt die empfangende Stelle das Datum des Empfangstages und sendet die Empfangsscheine mit Unterschrift und Dienststempelabdruck versehen unverzüglich an die absendende Stelle zurück.

(4)   Bei elektronischer Übermittlung von Verschlusssachen genügt eine elektronische Empfangsbestätigung.

§ 28
Mitnahme von Verschlusssachen außerhalb des Dienstgebäudes

(1)   Verschlusssachen dürfen außerhalb des Dienstgebäudes oder einer Liegenschaft nur auf Dienstreisen und zu Dienstbesprechungen mitgenommen werden, soweit dies dienstlich notwendig ist und sie angemessen gegen unbefugte Kenntnisnahme und unbefugten Zugriff gesichert werden. Die Mitnahme von VS-VERTRAULICH oder höher eingestuften Verschlusssachen aus anderem Anlass zum Beispiel zur Bearbeitung in der Privatwohnung) ist unzulässig. In besonderen Fällen können die Geheimschutzbeauftragten Ausnahmen zulassen. Die Mitnahme von VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuften Verschlusssachen richtet sich nach Nummer 7 der Anlage 5.

(2)   Innerhalb des Bundesgebiets ist auf die persönliche Mitnahme von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher grundsätzlich zu verzichten. Diese Verschlusssachen sind nach Möglichkeit im Voraus mittels technischer Kommunikationsverbindungen nach dieser Verschlusssachenanweisung an eine Dienststelle am Zielort, die selbst Verschlusssachen verwaltet und aufbewahrt, zu übertragen.

(3)   Die Mitnahme von Verschlusssachen des Geheimhaltungsgrades STRENG GEHEIM bedarf der vorherigen Zustimmung durch die Geheimschutzbeauftragten. Dies gilt ebenso bei der Mitnahme von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH und GEHEIM in das Ausland.

(4)   Ist eine elektronische Übermittlung nicht möglich, sind Verschlusssachen des Geheimhaltungsgrades VS-VERTRAULICH in einem äußerlich neutralen und verschlossenen VS-Transportbehälter zu transportieren. An verdeckter Stelle ist die Anschrift der Dienststelle anzubringen. Die Mitnahme von Verschlusssachen der Geheimhaltungsgrade GEHEIM oder höher ist grundsätzlich nur in einem Dienstwagen gestattet. Ist dies nicht möglich, sind Verschlusssachen des Geheimhaltungsgrades GEHEIM oder höher durch mindestens zwei ausreichend ermächtigte oder zugelassene Personen zu befördern.

(5)   Verschlusssachen in elektronischer Form sind auf hierfür zugelassener VS-IT oder mit einem zugelassenen Verfahren verschlüsselt auf einem Datenträger zu transportieren. Auf Datenträgern verschlüsselt gespeicherte Verschlusssachen und die Schlüssel für die Kryptierung sind möglichst getrennt zu befördern.

(6)   An empfangende Stellen außerhalb des Bundesgebiets sind Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher nach Möglichkeit durch den Kurierdienst des Auswärtigen Amtes an die zuständige Auslandsvertretung voraus zuzusenden und nach Erledigung des Dienstgeschäftes auf demselben Weg zurückzusenden. Ist dies nicht möglich, so versiegelt das Auswärtige Amt beziehungsweise die zuständige Auslandsvertretung die verpackten Verschlusssachen und stellt eine Bescheinigung aus, nach der ihre Inhaberin oder Inhaber zur Mitnahme des versiegelten Stückes als „Kuriergepäck“ berechtigt ist. Ebenfalls zulässig ist die elektronische Übertragung mittels einer nach dieser Verschlusssachenanweisung zugelassenen technischen Kommunikationsverbindung. Die persönliche Mitnahme von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder GEHEIM ist ohne Mitwirkung des Auswärtigen Amtes nur gestattet, wenn sich diese in elektronischer Form auf hierfür zugelassener VS-IT oder mit einem zugelassenen Verfahren verschlüsselt auf einem Datenträger befinden. Die persönliche Mitnahme von STRENG GEHEIM eingestuften Verschlusssachen im grenzüberschreitenden Verkehr ist unzulässig.

(7)   Bei Mitnahme von Verschlusssachen sind diese ständig in persönlichem Gewahrsam zu halten oder nach § 23 aufzubewahren. Die Aufbewahrung in Hotelzimmern bei persönlicher Abwesenheit, Hotelsafes, Gepäckschließfächern oder in unbesetzten Fahrzeugen ist unzulässig.

§ 29
Erörterung

(1)   Die Erörterung von Verschlusssachen in der Öffentlichkeit ist zu unterlassen.

(2)   Sollen Verschlusssachen in Dienstbesprechungen erörtert werden, so ist darauf bei der Einladung unter Angabe des Geheimhaltungsgrades hinzuweisen.

(3)   Die entsendenden Dienststellen gewährleisten, dass nur ausreichend ermächtigte Teilnehmende entsandt werden und stellen bei beabsichtigter Erörterung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher eine Konferenzbescheinigung über die bestehende Ermächtigung nach Muster der Anlage 8 aus, soweit die einladende Stelle dies aus besonderen Gründen für erforderlich hält.

(4)   Vor Beginn der Dienstbesprechung hat die Veranstaltungsleitung auf die Geheimhaltungsbedürftigkeit der Erörterungen hinzuweisen und sich zu vergewissern, dass alle teilnehmenden Personen ausreichend ermächtigt sind.

(5)   Aufzeichnungen bedürfen der Zustimmung der Veranstaltungsleitung und sind als Verschlusssachen zu behandeln. Über das Mitführen von Bild- und Tonaufzeichnungsgeräten, mobilen Telekommunikationsgeräten und sonstiger Informationstechnik soll die Veranstaltungsleitung vor deren Beginn entscheiden.

(6)   Zur Erörterung von Verschlusssachen der Geheimhaltungsgrade STRENG GEHEIM oder GEHEIM, sollen abhörsichere oder abhörgeschützte Räume benutzt werden. Vor Konferenzen auf hoher Ebene oder solchen von besonderer Bedeutung ist die Verfassungsschutzbehörde gegebenenfalls unter Beteiligung des Bundesamtes für Sicherheit in der Informationstechnik oder anderer geeigneter Stellen rechtzeitig bei der Planung und Umsetzung der notwendigen Abhörschutzmaßnahmen beratend hinzuzuziehen.

§ 30
Aussonderung

Verschlusssachen der Geheimhaltungsgrade VS-Vertraulich oder höher, welche zur Aufgabenerfüllung nicht mehr benötigt werden, sind aus dem Bestand der Dienststelle zur Archivierung oder Vernichtung nach den §§ 31 und 32 auszusondern.

§ 31
Archivierung

Die Dienststellen bieten, soweit gesetzlich nichts anderes bestimmt ist, ihre nicht mehr benötigten Verschlusssachen dem Landesarchiv zur Archivierung an. Das Verfahren der Übergabe ist zuvor mit dem Landesarchiv abzusprechen. Dabei ist sicherzustellen, dass die erforderlichen Maßnahmen zum Schutz der zu übergebenden Verschlusssache dem jeweiligen Geheimhaltungsgrad entsprechend bei der Weitergabe und Aufbewahrung ergriffen werden. Näheres ergibt sich aus der Anlage 6 „Richtlinie über die Abgabe von VS-Material an das Landesarchiv NRW“. Im Übrigen gelten die Bestimmungen des Archivgesetzes Nordrhein-Westfalen vom 16. März 2010 (GV. NRW. S 188) in der jeweils geltenden Fassung.

§ 32
Vernichtung

(1)   Verschlusssachen, die das Landesarchiv nicht übernimmt, sind so zu vernichten, dass der Inhalt weder erkennbar ist, noch erkennbar gemacht werden kann.

(2)   Für die Vernichtung dürfen nur Produkte eingesetzt, Verfahren angewandt oder Dienstleister beauftragt werden, die die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik erfüllen.

(3)   Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH dürfen von den Bearbeitenden an den dafür vorgesehenen Orten selbst vernichtet werden.

(4)   Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher dürfen nur auf Weisung einer zeichnungsbefugten VS-Bearbeiterin beziehungsweise eines zeichnungsbefugten VS- Bearbeiters durch befugte Mitarbeiterinnen und Mitarbeiter der VS-Registratur vernichtet werden. Diese Mitarbeiterinnen und Mitarbeiter der VS-Registratur prüfen die Verschlusssachen vor der Vernichtung auf ihre Vollständigkeit. Die Vernichtung wird mittels Vernichtungsprotokoll und Vermerk der Vernichtungsprotokollnummer im VS-Bestandsverzeichnis nachgewiesen. Dabei ist unter Angabe der Ausfertigungsnummer und Seitenzahl zu vermerken, an welchem Tag welche Verschlusssachen oder welche Teile davon vernichtet wurden und wer die Weisung zur Vernichtung erteilt hat. Das Vernichtungsprotokoll ist von der oder dem ausführenden VS-Registrierenden und von einer Zeugin beziehungsweise einen Zeugen zu unterschreiben.

(5)   Ist die Vernichtung von Verschlusssachen technisch nur für eine Zusammenstellung von Verschlusssachen möglich zum Beispiel im Falle von Verschlusssachen, die auf einem Datenträger gespeichert sind, ist die Vernichtung grundsätzlich so lange auszusetzen, bis alle Verschlusssachen der Zusammenstellung vernichtet werden können. Ist die vorherige Vernichtung einzelner Dokumente unabdingbar, können die noch benötigten Dateien vor Vernichtung der Zusammenstellung nach den Bestimmungen dieser Verschlusssachenanweisung vervielfältigt werden.

(6)   Bei der Vernichtung von Datenträgern, Kryptomitteln und sonstigen registrierten IT-Produkten sind die Vorschriften in Abschnitt VIII ergänzend zu beachten.

§ 33
VS-Zwischenmaterial

(1)   Für die Behandlung von VS-Zwischenmaterial sind Abweichungen bei der Kennzeichnung und beim Nachweis sowie bei der Vernichtung zugelassen.

(2)   VS-Zwischenmaterial, das nicht an Dritte weitergegeben und das unverzüglich vernichtet wird, braucht weder als Verschlusssache gekennzeichnet noch nachgewiesen zu werden.

(3)   VS-Zwischenmaterial, das nicht unverzüglich vernichtet wird, ist mit dem entsprechenden Geheimhaltungsgrad und dem Zusatz „VS-Zwischenmaterial“ zu kennzeichnen. Bei Weitergabe von VS-Zwischenmaterial zu Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher an Dritte ist ein Nachweis erforderlich; dies gilt nicht bei Weitergabe an die VS-Registratur.

(4)   Für die Vernichtung von VS-Zwischenmaterial gilt § 32 mit Ausnahme des Absatzes 4 Satz 2 bis 5 entsprechend.

Abschnitt VI:
Zusammenarbeit mit nichtdeutschen Stellen und
nichtöffentlichen Stellen mit Sitz im Ausland

§ 34
Weitergabe von deutschen Verschlusssachen an nichtdeutsche Stellen und
nichtöffentliche Stellen mit Sitz im Ausland

(1)     Für die Weitergabe von deutschen Verschlusssachen an nichtdeutsche Stellen und nichtöffentliche Stellen mit Sitz im Ausland gelten die Regelungen des § 34 der Allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz vom 13. März 2023 (GMBl. S. 542) in der jeweils geltenden Fassung, im Folgenden VSA-Bund, mit der Maßgabe, dass das für Inneres zuständige Ministerium als Verfassungsschutzbehörde des Landes Nordrhein-Westfalen an die Stelle des für Inneres zuständige Bundesministerium tritt.

(2)     Verschlusssachen sind vor der Weitergabe so zu kennzeichnen, dass die empfangende Stelle diese entsprechend zu handhaben versteht.

§ 35
Empfang und Handhabung nichtdeutscher Verschlusssachen

(1)   Nichtdeutsche Verschlusssachen, zu deren Schutz deutsche Dienststellen verpflichtet sind, sind nach dem deutschen Geheimhaltungsgrad, der dem Geheimhaltungsgrad der empfangenen Verschlusssache entspricht, und den getroffenen Vereinbarungen oder der Zusicherung nach Absatz 2 zu behandeln. Über- oder zwischenstaatliche Regelungen bleiben unberührt.

(2)   Soweit kein Regierungs- oder Ressortgeheimschutzabkommen oder ein entsprechendes internationales Abkommen vorliegt, dürfen deutsche Stellen mit Zustimmung der Verfassungsschutzbehörde zum Empfang nichtdeutscher Verschlusssachen Zusicherungen entsprechend § 34 Absatz 4 VSA-Bund gegenüber nichtdeutschen Stellen abgeben. Diese sind mindestens so lange aufzubewahren wie die Verschlusssachen, auf die sie sich beziehen.

(3)   Alle Rechte des nichtdeutschen Herausgebers bleiben unberührt.

§ 36
Sicherheitsakkreditierung

IT-Systeme zur Handhabung von Verschlusssachen über- oder zwischenstaatlicher Organisationen müssen einem Sicherheitsakkreditierungsverfahren gemäß § 36 VSA-Bund unterzogen werden. Das für Inneres zuständige Bundesministerium als Nationale Sicherheitsbehörde für den Geheimschutz ist im Sinne der nationalen Zuständigkeit Sicherheitsakkreditierungsstelle (SAA) für IT- Systeme zur Handhabung von Verschlusssachen über - oder zwischenstaatlicher Organisationen.

§ 37
Ergänzende Bestimmungen

Ergänzend zu den Bestimmungen dieses Abschnittes sind zur Handhabung von Verschlusssachen ausländischer Staaten sowie über- oder zwischenstaatlicher Organisationen § 37 VSA- Bund sowie die Hinweise der Anlage 7 zu beachten.

Abschnitt VII:
Materielle und technische Maßnahmen

§ 38
Planung und Durchführung

(1)   Bei der Planung und Durchführung von Baumaßnahmen, die der Absicherung von Verschlusssachen dienen, sind rechtzeitig die notwendigen Geheimschutzvorkehrungen zu treffen. Die Richtlinien für Sicherheitsmaßnahmen bei der Durchführung von Bauaufgaben (RiSBau) sind in ihrer jeweils geltenden Fassung anzuwenden.

(2)   Bei der Planung von VS-Aktensicherungsräumen, Räumen in denen Verschlusssachen der Geheimhaltungsgrade VS-Vertraulich oder höher gehandhabt werden, VS-IT-Räumen und -Bereichen, Sicherheitsbereichen, Alarmanlagen zum Schutz von Verschlusssachen, Telekommunikationsanlagen und abhörsicheren oder abhörgeschützten Räumen ist die Verfassungsschutzbehörde gegebenenfalls unter Hinzuziehung des Bundesamtes für Sicherheit in der Informationstechnik beratend hinzuzuziehen.

§ 39
Räumliche Sicherheitsmaßnahmen

(1)   VS-Arbeitsbereiche sind so zu schützen, dass Unbefugte am Zutritt gehindert werden. Unberechtigte Zutrittsversuche sollen automatisiert aufgezeichnet werden.

(2)   Mit der Handhabung von Verschlusssachen befasste Organisationseinheiten und Personen sind nach Möglichkeit räumlich zusammenzufassen.

(3)   Sofern Umfang und Bedeutung der dort anfallenden Verschlusssachen es erfordern, sind in einer Behörde oder sonstigen öffentlichen Stelle des Landes oder in einem Teil von ihr von der jeweils zuständigen obersten Landesbehörde oder obersten Aufsichtsbehörde im Einvernehmen mit der Verfassungsschutzbehörde Sicherheitsbereiche einzurichten. Diese sind durch personelle, organisatorische und technische Maßnahmen gegen den Zutritt durch Unbefugte zu schützen. Zutritt zu diesen Bereichen darf nur an Stellen möglich sein, an denen eine zuverlässige Prüfung der Zutrittsberechtigung stattfindet. Als Sicherheitsbereiche kommen sowohl einzelne oder mehrere Räume als auch Gebäude oder Gebäudegruppen in Betracht.

(4)   Personen, die in einem Sicherheitsbereich tätig sind, sind beim Betreten des Sicherheitsbereiches anhand des Dienstausweises oder auf andere geeignete Weise zu identifizieren. Besucher und Fremdpersonal sind nach Identitätsfeststellung während des Aufenthalts im Sicherheitsbereich zu beaufsichtigen. Bei Besuchern und Fremdpersonal, kann bei Vorliegen einer Konferenzbescheinigung nach Muster der Anlage 8 oder eines anderen Nachweises über die erfolgreich durchgeführte Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz Nordrhein-Westfalen die Beaufsichtigung entfallen.

(5)   Das Kontrollpersonal ist über alle Arten von Ausweisen und Bescheinigungen, die zum Betreten des Sicherheitsbereichs berechtigen, zu unterrichten. Die Aufgaben des Kontrollpersonals sind in einer Dienstanweisung festzulegen.

(6)   In VS-Arbeitsbereichen und in Sicherheitsbereichen ist der Betrieb von privaten Bild- und Tonaufzeichnungsgeräten, privater Informationstechnik und mobilen Telekommunikations-Endgeräten wie zum Beispiel Mobiltelefon, Smartwatch und Tablet am Arbeitsplatz grundsätzlich untersagt. Die Geheimschutzbeauftragten können spezielle Regelungen festlegen, um den Betrieb zu erlauben oder das Mitbringen zu untersagen.

§ 40
Technische Sicherung

(1)   Technische Mittel zur Sicherung von Verschlusssachen müssen die vom Bundesamt für Sicherheit in der Informationstechnik festgelegten Anforderungen erfüllen. Dies gilt insbesondere für:

1.  VS-Verwahrgelasse,

2.  VS-Schlüsselbehälter,

3.  Einbruch- und Überfallmeldeanlagen,

4.  Zutrittskontrollanlagen,

5.  VS-Transportbehälter,

6.  VS-Verpackungen,

7.  VS-Sicherheitstüren und -schlösser und

8.  technische Mittel zur Vernichtung von Verschlusssachen.

(2)   Das Bundesamt für Sicherheit in der Informationstechnik gibt eine auf Eignungsfeststellungen basierende aktuelle Liste der geeigneten technischen Mittel als Technische Leitlinie heraus.

(3)   Stehen keine technischen Mittel mit Eignungsfeststellung zur Verfügung, kann die Verfassungsschutzbehörde im Einzelfall auch den Einsatz anderer technischer Mittel gestatten, soweit diese einen vergleichbaren Schutz bieten.

§ 41
Abhörschutzmaßnahmen

(1)   Dienststellen haben Vorkehrungen zu treffen, damit ihre Telekommunikations- und Informationstechnik nicht dazu missbraucht werden kann, Raum- und Telefongespräche abzuhören.

(2)   Dienststellen richten Räume, in denen häufig oder regelmäßig Gespräche mit Inhalten, die den Geheimhaltungsgraden VS-VERTRAULICH oder höher unterliegen, geführt werden, abhörgeschützt oder abhörsicher wie folgt ein:

1.  VS-VERTRAULICH Abhörgeschützter Raum,

2.  GEHEIM Abhörgeschützter Raum und

3.  STRENG GEHEIM Abhörsicherer Raum.

(3)   Verfügt die Dienststelle über einen Sicherheitsbereich, sollen Räume nach Absatz 2 grundsätzlich innerhalb dieses Sicherheitsbereichs eingerichtet werden. Sie sind gegen den unbemerkten Zutritt Unbefugter zu schützen und mindestens mit einer akustischen Dämpfung auszustatten, die ein Mithören von außen hinreichend ausschließt. Zudem sind sie so einzurichten, dass Versteckmöglichkeiten für Abhöreinrichtungen nach Möglichkeit beschränkt sind und Manipulationsprüfungen wirksam und in angemessener Zeit durchgeführt werden können. Art und Umfang des Schutzes legen die Geheimschutzbeauftragten unter Berücksichtigung der Lage und des bestehenden Umgebungsschutzes fest.

(4)   Abhörsichere Besprechungsräume sind so zu gestalten, dass auch eine unbefugte Übertragung von Gesprächen mittels technischer Hilfsmittel, wie zum Beispiel Abhörgeräten, nach außen verhindert wird. Näheres regelt eine Technische Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik.

(5)   Geräte, die geeignet sind Bild- und/oder Tonaufnahmen zu erstellen, zu speichern oder zu übertragen, zum Beispiel Mobiltelefone, Smartphones, Smartwatch, Tablets, Notebooks, Kameras, Diktiergeräte, dürfen in abhörgeschützten oder abhörsicheren Räumen nicht mitgeführt werden, wenn diese für Gespräche mit Inhalten, die den Geheimhaltungsgrad VS-VERTRAULICH oder höher unterliegen genutzt werden. Ausnahmen bedürfen im Einzelfall der Zustimmung der Geheimschutzbeauftragten.

§ 42
Dienststellen mit besonderem Geheimschutzbedarf

Dienststellen die in besonderem Maße Ziel von Angriffen auf Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität von Verschlusssachen sind (Dienststellen mit besonderem Geheimschutzbedarf), treffen in Abstimmung mit der Verfassungsschutzbehörde erforderliche weitere Sicherheitsvorkehrungen. Insbesondere sind regelmäßige Beratungen und Prüfungen durch die Verfassungsschutzbehörde vorzusehen. Für die die Durchführung haben die Dienststellen die erforderliche Unterstützung zu gewähren.

§ 43
VS-Registraturen

(1)   VS-Registraturen werden in Sicherheitsbereichen, sofern diese vorhanden sind, gemäß § 39 Absatz 3 eingerichtet.

(2)   Außerhalb der Arbeitszeit sind sie zu bewachen oder durch eine Alarmanlage technisch zu überwachen. In beiden Fällen ist sicherzustellen, dass Unbefugte am Zutritt gehindert werden und ein Eindringen Unbefugter erkannt und hilfeleistenden Stellen unverzüglich gemeldet werden kann.

(3)   Der Zutritt zu VS-Registraturen wird grundsätzlich nur den von den Geheimschutzbeauftragten festgelegten Mitarbeiterinnen oder Mitarbeitern gewährt. Alle anderen Personen sind, soweit ihnen ebenfalls Zutritt gewährt werden muss, von Mitarbeiterinnen oder Mitarbeitern der VS-Verwaltung zu begleiten.

§ 44
VS-Verwahrgelasse

(1)   VS-Verwahrgelasse sind besonders gesicherte Räume, Schränke oder sonstige Behältnisse zur Aufbewahrung von Verschlusssachen.

(2)   Jede VS-Registratur verfügt über mindestens ein VS-Verwahrgelass.

(3)   § 43 Absatz 2 gilt entsprechend. Bei Verschlusssachen der Geheimhaltungsgrade GEHEIM oder VS-VERTRAULICH kann eine Bewachung beziehungsweise technische Überwachung des VS-Verwahrgelasses unterbleiben, wenn das Gebäude oder der Gebäudeteil, in dem sich das Verwahrgelass befindet, bewacht oder technisch überwacht ist. Näheres über Art und Umfang der Bewachung und technischen Überwachung legen die Geheimschutzbeauftragten unter Berücksichtigung des Schutzziels für die jeweiligen VS-Verwahrgelasse und Gebäude fest.

(4)   Ein VS-Verwahrgelass kann von mehreren Personen genutzt werden, soweit dem Grundsatz „Kenntnis nur, wenn nötig“ durch geeignete technische Maßnahmen Rechnung getragen wird. Diese legen die Geheimschutzbeauftragten in Abhängigkeit von den dort aufbewahrten Verschlusssachen und den zum Zugang berechtigten Personen fest. Die technischen Maßnahmen sind in der Geheimschutzdokumentation zu beschreiben.

(5)   Unberechtigte Zugangs-, Zutritts- beziehungsweise Zugriffsversuche sind, soweit technisch möglich, zu protokollieren.

§ 45
VS-IT-Räume und -Bereiche

(1)   Räume und Bereiche, in denen VS-IT zur Handhabung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher eingesetzt wird, sind, sofern vorhanden, in bestehende Sicherheitsbereiche einzugliedern oder als eigenständige Sicherheitsbereiche nach § 39 Absatz 3 einzurichten.

(2)   Sicherungsmaßnahmen für Räume und Bereiche, in denen VS-IT ausschließlich zur Handhabung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH eingesetzt wird, sind von den Geheimschutzbeauftragten festzulegen.

§ 46
Zutritts- und Zugangsmittel

(1)   Zutritts- und Zugangsmittel zu VS-Arbeitsbereichen, Sicherheitsbereichen, VS-Verwahrgelassen sowie zu abhörgeschützten und abhörsicheren Räumen, sind so zu schützen, dass Unbefugte keinen Zugriff auf Verschlusssachen erhalten. Dasselbe gilt für Zutritts- und Zugangsmittel zu VS-IT, mit der Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher gehandhabt werden oder zu anderen Systemen zur technischen Überwachung von Verschlusssachen.

(2)   Gegenständliche Zutritts- und Zugangsmittel zum Beispiel Schlüssel sind grundsätzlich während der Dienstzeit in persönlichem Gewahrsam zu halten und vor Verlassen des Dienstgebäudes in einem VS-Verwahrgelass oder VS-Schlüsselbehälter zu verschließen. Zutritts- und Zugangsmittel unterschiedlicher Nutzerinnen und Nutzer sind möglichst voneinander getrennt zu verschließen.

(3)   VS-Schlüsselbehälter sind möglichst zu beaufsichtigen. Die Schlüssel zu den VS-Schlüsselbehältern beziehungsweise zu den Schließfächern verbleiben im persönlichen Gewahrsam der Nutzerinnen und Nutzer.

(4)   Wissensbasierte Zutritts- und Zugangsmittel, zum Beispiel Zahlenkombinationen oder Passwörter, dürfen nur den Berechtigten bekannt sein. Sie sind zu ändern:

1.  vor der erstmaligen Nutzung,

2.  bei einem Wechsel der Berechtigten,

3.  nach deren Nutzung in Abwesenheit des Berechtigten,

4.  bei einem Verdacht, dass sie bekannt geworden sind und

5.  anlassunabhängig mindestens alle zwölf Monate.

(5)   Zutritts- und Zugangsmittel nach Absatz 1 sind zentral zu verwalten und deren Aus- oder Vergabe zu dokumentieren.

(6)   Für Notfälle sollen gegenständliche und wissensbasierte Reservezutritts- und -zugangsmittel vorgehalten werden. Diese sind in beschrifteten und versiegelten Umschlägen voneinander und von den Originalzutritts- und -zugangsmitteln getrennt in VS-Verwahrgelassen aufzubewahren.

§ 47
Abnahmen und Wiederholungsprüfungen

(1)   Dienststellen stellen die ordnungsgemäße Funktion und Ausführung der eingesetzten technischen Mittel zur Sicherung von Verschlusssachen und von abhörgeschützten beziehungsweise abhörsicheren Räumen sowie die Einhaltung der Anforderungen der jeweiligen Technischen Leitlinien jederzeit sicher.

(2)   Vor der ersten Inbetriebnahme von VS-Verwahrgelassen, VS-Registraturen, VS-IT Räumen, abhörgeschützten und abhörsicheren Räumen und anderen vergleichbaren Anlagen führt die Verfassungsschutzbehörde eine Abnahmeprüfung durch und fertigt ein Prüfprotokoll an. Die Verfassungsschutzbehörde ist rechtzeitig über eine anstehende Abnahmeprüfung zu unterrichten.

(3)   Nach wesentlichen Änderungen oder wenn eine Beeinträchtigung der Wirksamkeit zum Beispiel durch Abnutzung oder Verschleiß zu erwarten ist, ist eine erneute Abnahme erforderlich.

(4)   Abnahmen und Prüfprotokolle sind in der Geheimschutzdokumentation nachzuweisen.

§ 48
Lauschabwehrprüfungen

(1)   Abhörgeschützte und abhörsichere Räume sind auf Veranlassung der Geheimschutzbeauftragten vor der erstmaligen Nutzung für Verschlusssachen und danach stichprobenweise sowie anlassbezogen auf Manipulationen zu untersuchen, die die Sicherheit der Verschlusssachen gefährden können (Lauschabwehrprüfung).

(2)   Lauschabwehrprüfungen werden im Auftrag der Dienststelle unter Hinzuziehung der Verfassungsschutzbehörde durch geeignete Dritte durchgeführt. Die Verfassungsschutzbehörde kann das Bundesamt für Sicherheit in der Informationstechnik oder andere geeignete Stellen beratend hinzuzuziehen. Anfallende Kosten sind durch die beauftragende Dienststelle zu tragen.

(3)   Die Geheimschutzbeauftragten legen die Häufigkeit der Stichproben in Abstimmung mit der Verfassungsschutzbehörde fest. In Dienststellen nach § 42 soll die Prüfung ausgewählter Räume mindestens alle vier Jahre durchgeführt werden.

(4)   Andere Räume sind bei Vorliegen eines Manipulationsverdachts oder aus Anlass von Konferenzen von besonderer Bedeutung zu prüfen.

(5)   Die Dienststellen unterstützen die Verfassungsschutzbehörde und gegebenenfalls das Bundesamt für Sicherheit in der Informationstechnik bei der Durchführung der Überprüfungen.

Abschnitt VIII:
Einsatz von Informationstechnik

§ 49
Allgemeine Grundsätze

(1)   Wird VS-IT zur Handhabung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher eingesetzt, ist vor dem ersten Einsatz eine Risikoanalyse nach den Standards des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung durchzuführen.

(2)   Die Sicherheit von VS-IT ist während des gesamten Lebenszyklus ab dem Zeitpunkt, zu dem feststeht, dass sie zur VS-Verarbeitung eingesetzt werden soll, bis zur Aussonderung kontinuierlich zu gewährleisten.

§ 50
Freigabe des Betriebs von VS-IT

(1)   VS-IT ist vor dem ersten Einsatz durch die Dienststellenleitung freizugeben. Die Freigabe kann mit Auflagen erteilt werden.

(2)   Voraussetzung für die Freigabe ist die Einhaltung der Standards zur Informationssicherheit des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung. Dies ist bei Bedarf jederzeit nachzuweisen.

(3)   Für eine Freigabe ist zudem erforderlich, dass die Anforderungen des Geheimschutzes erfüllt sind; das sind regelmäßig:

1.  die Erfüllung des Grundsatzes „Kenntnis nur, wenn nötig“ nach § 3 Absatz 1 und die Berechtigung des Empfängers zur Kenntnisnahme gemäß § 24 Absatz 2,

2.  die Beachtung der Grundsätze zu Einstufung und Kennzeichnung von Verschlusssachen nach § 15 Absatz 1, § 17 Absatz 1, § 18 Absatz 2, § 19 und §20 Absatz 2,

3.  die Verwaltung und der Nachweis der Verschlusssachen nach § 21,

4.  die Einhaltung der Regeln zur (zeitweiligen) Aufbewahrung von Verschlusssachen (§ 23),

5.  die Gewährleistung der Sicherheit von VS-IT über deren gesamten Lebenszyklus nach § 49 Absatz 2,

6.  die Aussonderung und Vernichtung von Verschlusssachen nach §§ 30 bis 32, 56,

7.  die Beachtung der Vorgaben zur Übertragung von Verschlusssachen über technische Kommunikationsverbindungen nach § 55,

8.  die Beachtung der einschlägigen Bestimmungen über- oder zwischenstaatlicher Organisationen sowie bilateraler Geheimschutzabkommen nach §§ 34 und 35 und

9.  die Sicherheitsakkreditierung nach § 36.

       Die Anforderungen werden in dem vom Bundesamt für Sicherheit in der Informationstechnik herausgegebenen Geheimschutzbaustein des IT-Grundschutzes konkretisiert. Geheimschutzbeauftragte können im Einzelfall weitere Geheimschutzanforderungen vorsehen, insbesondere, wenn dies aufgrund nationaler und internationaler Bestimmungen mit Auswirkungen auf die Handhabung und Verarbeitung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH und höher erforderlich ist. Vor der Freigabe veranlassen die Geheimschutzbeauftragten bei den Informationssicherheitsbeauftragten eine Überprüfung der wirksamen Umsetzung der Geheimschutzanforderungen, beispielsweise durch einrichtungsexterne Prüfer. Das Ergebnis der Überprüfung ist in der Geheimschutzdokumentation festzuhalten.

(4)   Die Dienststellenleitung erteilt vor Inbetriebnahme die Freigabe, sofern die in den Absätzen 2 und 3 genannten Voraussetzungen vorliegen. Bei Freigaben von VS-IT-Systemen für die Handhabung von Verschlusssachen der Geheimhaltungsgrade VS-NUR FÜR DEN DIENSTGEBRAUCH wird dies bei Vorliegen einer ISO 27001-Zertifizierung auf Basis des IT-Grundschutzes inklusive der im Geheimschutzbaustein aufgeführten Anforderungen vermutet. Die Freigabe von VS-IT zur Handhabung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher bedarf der Zustimmung der Verfassungsschutzbehörde. Die Verfassungsschutzbehörde erstellt hierzu ein Freigabevotum.

(5)   Sind an einem VS-IT-System mehrere Dienststellen beteiligt, handelt es sich um einen VS-IT-Verbund. In diesem Fall obliegt die Gesamtfreigabe der für den Betrieb verantwortlichen Dienststelle (Betreiber). Die Gesamtfreigabe erfolgt auf Grundlage der in Absatz 4 genannten Voraussetzungen. Der Betreiber ist für die Koordinierung der Erfüllung der in Absatz 4 genannten Voraussetzungen zuständig. Das Freigabevotum und die Freigabe sind in der Geheimschutzdokumentation des Betreibers festzuhalten.

(6)   Wird ein VS-IT-System im Auftrag des Landes privatrechtlich betrieben, so bestimmt die jeweils zuständige oberste Landesbehörde, welche Dienststelle als Betreiber für die Umsetzung der sich aus der VSA ergebenden Anforderungen Sorge trägt.

(7)   Die Geheimschutzbeauftragten veranlassen eine Wiederholung der Überprüfung nach Absatz 3 in regelmäßigen Abständen sowie anlassbezogen. Ergibt die Überprüfung, dass eine Freigabe nicht erneut erteilt werden könnte, haben die Geheimschutzbeauftragten auf die unverzügliche Herstellung eines vorschriftenkonformen Zustandes hinzuwirken. Die Freigabe ist zu widerrufen, wenn auch mit Maßnahmen des Risikomanagements ein vorschriftenkonformer Zustand nicht hergestellt werden kann. Die Ergebnisse der Folgeüberprüfungen sowie ein Widerruf der Freigabe sind in der Geheimschutzdokumentation festzuhalten.

(8)   Geheimschutzrelevante Änderungen bei freigegebener VS-IT bedürfen der vorherigen Zustimmung der Geheimschutzbeauftragten. In diesen Fällen sind die Änderungen in der Geheimschutzdokumentation zu vermerken und eine Wiederholungsüberprüfung gemäß Absatz 7 Satz 1 zu veranlassen.

(9)   Der Verfassungsschutzbehörde ist jede erfolgte Freigabe sowie ihr Widerruf mitzuteilen. Die Verfassungsschutzbehörde führt eine Liste über die in den Dienststellen freigegebene VS-IT sowie der freigegebenen VS-IT-Verbünde und erteilt allen Dienststellen auf berechtigtes Verlangen darüber Auskunft.

(10) Näheres regelt eine Technische Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik.

§ 51
Zulassung von IT-Sicherheitsprodukten und Komponenten

(1)     IT-Sicherheitsprodukte und -komponenten, die innerhalb von VS-IT IT-Sicherheitsfunktionen gemäß § 52 zum Schutz elektronischer Verschlusssachen übernehmen (IT-Sicherheitsprodukte), sind vor ihrem Einsatz vom Bundesamt für Sicherheit in der Informationstechnik auf der Grundlage des Zulassungskonzeptes zuzulassen.

(2)   Die Zulassung wird durch einen Zulassungsnachweis des Bundesamtes für Sicherheit in der Informationstechnik bestätigt. Dieser enthält auch Bestimmungen für den Einsatz und den Betrieb.

(3)   Sofern für bestimmte VS-IT keine vom Bundesamt für Sicherheit in der Informationstechnik zugelassenen IT-Sicherheitsprodukte oder -komponenten

1.  zur Verfügung stehen,

2.  eine Bereitstellung nicht oder nicht zeitgerecht veranlasst werden kann oder

3.  keine Einsatzerlaubnis für andere IT-Sicherheitsprodukte oder -komponenten vorliegt,

kann ein anderes dazu geeignetes IT-Sicherheitsprodukt oder eine andere geeignete Sicherheitskomponente eingesetzt werden, soweit die IT-Sicherheit und die darüberhinausgehenden Anforderungen des Geheimschutzes gewährleistet sind.

§ 52
IT-Sicherheitsfunktionen

(1)   IT-Sicherheitsfunktionen innerhalb von VS-IT, die Gegenstand einer Zulassungsaussage nach § 51 sein können, sind Funktionen, die sich grundsätzlich den folgenden Kategorien zuordnen lassen:

1.    zur Zugangs- und Zugriffskontrolle,

2.    zur Identifikation und Authentisierung,

3.    zur kryptographischen Unterstützung,

4.    für das Sicherheitsmanagement,

5.    zur Informationsflusskontrolle,

6.    zum internen Schutz der Benutzerdaten,

7.    zum Selbstschutz der Sicherheitsfunktionen und ihrer Daten,

8.    zur Netzwerktrennung,

9.    zum Schutz der Unversehrtheit,

10.  zur Verfügbarkeitsüberwachung oder

11.  zur Sicherheitsprotokollierung und Nachweisführung.

       Einzelheiten dazu und zum Zulassungskonzept werden in den Technischen Leitlinien des Bundesamtes für Sicherheit in der Informationstechnik geregelt.

(2)   Das Bundesamt für Sicherheit in der Informationstechnik gibt einen auf diesen IT-Sicherheitsfunktionen und den sich hieraus ableitenden Produktklassen und -typen basierenden Katalog sowie eine aktuelle Liste zugelassener IT-Sicherheitsprodukte und -Komponenten heraus. Der Katalog der Produktklassen und -typen definiert insbesondere,

1.    ob eine Zulassung für einen Produkttyp erforderlich ist und

2.    welche Sicherheitsfunktionen in einem Zulassungsverfahren für einzelne Produkttypen gelten.

§ 53
Schutz von VS-Übertragungseinrichtungen, -leitungen und -verteilern

(1)   VS-Übertragungseinrichtungen, -leitungen und -verteiler, die Verschlusssachen unkryptiert führen, sind gegen unbefugten Zugriff zu schützen.

(2)   Werden VS-Übertragungseinrichtungen, -leitungen und -verteiler ausschließlich zur Weiterleitung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH innerhalb von Räumen und Bereichen, die gegen unkontrollierten Zutritt geschützt sind, verwendet, sind zusätzliche Schutzmaßnahmen entbehrlich. Gleiches gilt für den Einsatz von VS-Übertragungseinrichtungen, -leitungen und -verteiler, die zur Handhabung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher eingestufte Verschlusssachen innerhalb von VS-IT-Räumen und -Bereichen eingesetzt werden. In allen anderen Fällen sind durch die Geheimschutzbeauftragten festzulegende zusätzliche Schutzmaßnahmen zu treffen. Näheres regelt eine Technische Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik.

§ 54
Handhabung von Datenträgern und IT-Produkten für unkryptierte
Verschlusssachen

Datenträger und mobile IT und sonstige IT-Produkte, die keine Zulassung nach § 51 Absatz 1 benötigen, sind, soweit auf ihnen elektronische Verschlusssachen unkryptiert gespeichert werden, so zu schützen, wie es die Einstufung der darauf gespeicherten Information erfordert.

§ 55
Übertragung von Verschlusssachen über technische
Kommunikationsverbindungen

(1)   Verschlusssachen sind bei der Weitergabe über technische Kommunikationsverbindungen (elektronische Übertragung) grundsätzlich durch IT-Sicherheitsprodukte nach Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik zu verschlüsseln. § 57 bleibt unberührt.

(2)   Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGE-BRAUCH können unter Verwendung von VS-IT, die gemäß den Vorgaben des § 50 dazu freigegeben worden ist, unverschlüsselt elektronisch übertragen werden. Vor der Weitergabe haben sich die Nutzenden zu vergewissern, dass die Empfängerinnen und Empfänger die Verschlusssachen ausschließlich über das dafür freigegebene Netz erhalten und die Bedingungen des § 24 Absatz 2 und 3 erfüllt sind. Dasselbe gilt für die Weitergabe von Verschlusssachen über- und zwischenstaatlicher Organisationen sowie anderer Staaten mit vergleichbarem Geheimhaltungsgrad, soweit nichthöherrangige Rechtsvorschriften entgegenstehen.

(3)   Abweichend von Absatz 2 dürfen Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH ausnahmsweise auch ohne Verschlüsselung gemäß Absatz 1 elektronisch übertragen werden, ohne dass hierzu freigegebene VS-IT verwendet wird, wenn dafür freigegebene VS-IT nicht verfügbar ist und die Verschlüsselung nach Absatz 1 einen unvertretbaren Zeitverlust bedeuten würde. In diesem Fall sind technische Kommunikationsverbindungen auszuwählen, bei denen das Risiko des Mithörens durch Unbefugte weitestgehend reduziert wird.

(4)   Die elektronische Übertragung von Verschlusssachen des Geheimhaltungsgrades VS-VERTRAULICH über eine für die Übertragung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH freigegebene technische Kommunikationsverbindung ist ausnahmsweise zulässig, wenn eine verschlüsselte elektronische Übertragung nach Absatz 1 einen unvertretbaren Zeitverlust bedeuten würde.

(5)   Wenn eine Verzögerung zu einem Schaden führen würde, der den mit einer Preisgabe der Verschlusssache verbundenen Schaden deutlich überwiegen würde, dürfen Verschlusssachen aller Geheimhaltungsgrade abweichend von den Absätzen 1 bis 3 unverschlüsselt ohne Verwendung hierzu freigegebener VS-IT elektronisch übertragen werden. In jedem Einzelfall ist die Einwilligung der Dienststellenleitung einzuholen und zu dokumentieren.

(6)   In den Ausnahmefällen nach den Absätzen 3 bis 5 sind folgende Vorsichtsmaßnahmen, die den Mitarbeitern zur Kenntnis zu geben sind, zu beachten, damit das Risiko eines Informationsabflusses weitgehend reduziert wird:

1.  die Identität des Kommunikationspartners soll vor Beginn der Kommunikation festgestellt werden,

2.  die Kommunikation ist so zu führen, dass der Sachverhalt Dritten nicht verständlich wird und ein unmittelbarer Rückschluss auf den VS-Charakter nicht möglich ist,

3.  die übermittelten Verschlusssachen dürfen keine Kennzeichnungen oder Hinweise aufweisen, die sie von einer nicht eingestuften Information unterscheiden; die Kennzeichnungspflicht nach § 20 ist in diesem Fall aufgehoben und

4.  die Kommunikationspartner sind auf anderem Wege zum Beispiel über andere technische Kommunikationsverbindungen, durch Post oder Kurier unverzüglich über die Einstufung der Verschlusssachen zu unterrichten, es sei denn dies ist im Einzelfall nicht möglich oder zweckmäßig.

§ 56
Vernichtung und Aussonderung von Datenträgern und registrierten

IT-Produkten

(1)   Bevor Datenträger und mobile IT und andere IT-Produkte im Sinne von § 54 ihre gesicherte Einsatzumgebung dauerhaft verlassen, ist sicherzustellen, dass alle gespeicherten Verschlusssachen gelöscht werden. Die Löschung muss mittels vom Bundesamt für Sicherheit in der Informationstechnik nach § 51 dafür zugelassener beziehungsweise zur Freigabe empfohlener IT-Sicherheitsprodukte erfolgen.

(2)   Ist eine sichere Löschung elektronisch nicht möglich zum Beispiel wegen eines Defekts, sind die Speichermedien physisch so zu vernichten, dass eine Rekonstruktion der enthaltenen Informationen nicht möglich ist.

(3)   Die Löschung der Verschlusssachen beziehungsweise die Vernichtung der Speichermedien ist in der Geheimschutzdokumentation zu dokumentieren.

(4)   Näheres regelt eine Technische Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik.

§ 57
Abstrahlschutzmaßnahmen

Bei VS-IT, die zur Handhabung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher eingestufte eingesetzt wird, sind Abstrahlschutzmaßnahmen zum Beispiel nach dem Zonenmodell zu treffen und zu dokumentieren. Einzelheiten sind einer Technischen Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik zu entnehmen.

§ 58
Zusammenschaltung von VS-IT

(1)   Vor der Zusammenschaltung von VS-IT mit anderer VS-IT ist zu prüfen, ob und inwieweit Informationen zwischen diesen Systemen unter Berücksichtigung

1.  des jeweiligen Schutzniveaus und

2.  des Prinzips „Kenntnis nur, wenn nötig“

       ausgetauscht werden dürfen. In Abhängigkeit vom Ergebnis der Prüfung sind IT-Sicherheitsfunktionen nach § 52 zum Schutz der Systemübergänge zu implementieren.

(2)   Die direkte oder kaskadierte Zusammenschaltung von bis zum Geheimhaltungsgrad STRENG GEHEIM freigegebener VS-IT mit offener oder ungeschützter IT ist nicht zulässig.

Abschnitt IX:
Kryptopersonal und Handhabung von Kryptomitteln

§ 59
Kryptomittel

(1)   Nationale Kryptomittel im Sinne dieser Vorschrift sind Produkte, Geräte und die dazugehörigen Dokumente sowie zugehörige Schlüsselmittel zur Entschlüsselung, Verschlüsselung und Übertragung von Informationen, die vom Bundesamt für Sicherheit in der Informationstechnik als solche festgelegt werden. Internationale Kryptomittel werden nach den einschlägigen über- oder zwischenstaatlichen Vorschriften sowie den jeweiligen nationalen Vorschriften anderer Staaten bestimmt.

(2)   Eingestufte Kryptomittel erhalten einen der Warnvermerke „KRYPTO“ für „KRYPTOSICHERHEIT“ oder „CRYPTO“ für „CRYPTOSECURITY“. Nicht eingestufte Kryptogeräte sowie zugehörige kryptographische Komponenten und andere zugehörige Bauteile, die sicherheitsempfindliche Funktionen ausführen, erhalten den Warnvermerk „CCI“ („Controlled COMSEC Item“).

(3)   Alle Kryptomittel unterliegen einer Nachweisführung. Die Nachweisführung erfolgt entsprechend der Nachweisführung für Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher. Dazu sind eigene Bestandsverzeichnisse anzulegen.

§ 60
Zentralstelle für Kryptomittel

Die Verfassungsschutzbehörde Nordrhein-Westfalen nimmt die Aufgaben der zentralen Nachweisführung, Verwaltung und Verteilung von Kryptomitteln als Zentralstelle für Kryptomittel für das Land Nordrhein-Westfalen wahr.

§ 61
Kryptoverwaltung

(1)   Dienststellen, die Kryptomittel handhaben, bestellen mindestens eine Kryptoverwaltende beziehungsweise einen Kryptoverwaltenden und eine zur Vertretung berechtigte Person (Kryptoverwaltung). Große Kryptoverwaltungen, die mehrere Kryptoverwaltende benötigen, bestimmen eine leitende Kryptoverwaltende beziehungsweise einen leitenden Kryptoverwaltenden. Kryptoverwaltende und die zur Vertretung berechtigten Personen müssen die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde erwerben.

(2)   Die Anschrift der Dienststelle sowie die Namen der beziehungsweise des (leitenden) Kryptoverwaltenden und der zur Vertretung berechtigten Person sowie diesbezügliche Änderungen sind zur Geheimschutzdokumentation zu nehmen.

(3)   Haben sich während der Abwesenheit der beziehungsweise des Kryptoverwaltenden Veränderungen im Kryptobestand ergeben, so führt diese beziehungsweise dieser unmittelbar nach Rückkehr eine Bestandsprüfung durch. Gleiches gilt beim Wechsel des Kryptoverwaltenden. Zusätzlich ist ein Bestandsbericht (Übergabeprotokoll) zu fertigen.

(4)   Weitere Aufgaben der Kryptoverwaltung sind der Anlage 1 zu entnehmen. Näheres zur Handhabung von Kryptomitteln regelt eine Technische Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik.

§ 62
Kryptopersonal

Personen, die Zugang zu Kryptomitteln erhalten (Kryptopersonal), sind vom Geheimschutzbeauftragten nach Muster 26 und 27 der Anlage 8 zu belehren und zu berechtigen (Kryptoberechtigung). Die Belehrung und die Berechtigung sind zu dokumentieren.

Abschnitt X:
Aufrechterhaltung des Geheimschutzes

§ 63
Kontrollen

(1)   Die Geheimschutzbeauftragten sollen in ihrer Dienststelle in angemessenen Zeitabständen kontrollieren, ob die Einstufung, die Befristung und die Handhabung der Verschlusssachen den Vorschriften der Verschlusssachenanweisung entsprechen. Die Kontrollen können auch durch besonders beauftragte Mitarbeiterinnen oder Mitarbeiter durchgeführt werden. Soweit die Bearbeitung von Verschlusssachen mit IT betroffen ist, werden die Geheimschutzbeauftragten hierbei von den Informationssicherheitsbeauftragten unterstützt.

(2)   Alle Bediensteten haben die Geheimschutzbeauftragten bei der Durchführung von Kontrollen zu unterstützen und hierfür auf Verlangen Zugang zu allen Verschlusssachen sowie den mit der Handhabung im Zusammenhang stehenden aufgezeichneten Protokoll- und Zugriffsdaten uneingeschränkt zu gewähren. Hierzu gehören auch sonstige Einsichtnahmen, welche den Abfluss von Verschlusssachen erkennen lassen.

(3)   Die Verfassungsschutzbehörde kann gemäß § 6 Absatz 6 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen in angemessenen Abständen bei den Dienststellen kontrollieren, ob die dortigen Regelungen, Maßnahmen und Verfahren der Verschlusssachenanweisung entsprechen.

(4)   Die Durchführung der Kontrollen und deren Ergebnisse sind in angemessener Weise zu dokumentieren.

§ 64
Behandlung von Geheimschutzvorkommnissen

(1)   Wird bekannt oder besteht der Verdacht, dass Geheimschutzvorschriften verletzt wurden oder Sicherheitsvorkehrungen den Geheimschutz nicht gewährleisten, sind die betroffenen Geheimschutzbeauftragten unverzüglich zu unterrichten. Die Geheimschutzbeauftragten stellen in diesen Fällen den Sachverhalt fest und treffen die erforderlichen Maßnahmen.

(2)   Werden Dienststellen geheimschutzbezogene Vorkommnisse mit Bezug zu Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher von wesentlicher Bedeutung bekannt, die die Besorgnis der Bekanntgabe an Dritte begründen, ist die Verfassungsschutzbehörde unverzüglich über den Sachverhalt zu unterrichten. Dies gilt insbesondere, wenn ein nachrichtendienstlicher Hintergrund oder eine Verratstätigkeit anderer Art nicht ausgeschlossen ist. Die Verfassungsschutzbehörde informiert unverzüglich den Herausgeber sowie das Bundesamt für Verfassungsschutz über den Sachverhalt. Gleiches gilt für geheimschutzbezogene Vorkommnisse mit Bezug zu nichtdeutschen Verschlusssachen, unabhängig von deren Geheimhaltungsgrad.

(3)   Dienststellen, denen geheimschutzbezogene Vorkommnisse bekannt werden, die für die technische Sicherung von Verschlusssachen oder für die Sicherheit der Informations- und Kommunikationstechnik des Bundes oder des Landes von Bedeutung sind, unterrichten unverzüglich die Verfassungsschutzbehörde, die sofern im Einzelfall erforderlich, ihrerseits unverzüglich das Bundesamt für Verfassungsschutz über den Sachverhalt informiert. Bei einer akuten Bedrohung der Sicherheit der Informations- und Kommunikationstechnik setzt die Verfassungsschutzbehörde zudem unverzüglich das zuständige Computer Emergency Response Team über den Sachverhalt in Kenntnis.

§ 65
Verhalten in außergewöhnlichen Gefahrenlagen

Sofern im Katastrophen-, Alarm- oder Verteidigungsfall oder in vergleichbaren außergewöhnlichen Gefahrenlagen eine Aufbewahrung nach § 23 nicht möglich ist, so dass sich Unbefugte Zugang zu Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher verschaffen könnten, sind die Verschlusssachen möglichst unverzüglich zu vernichten. Die Dienststellen treffen in ihren Geheimschutzdokumentationen Handlungsanweisungen für die Vernichtung in diesen Fällen.

Abschnitt XI:
Abschließende Regelungen

§ 66
Schlussbestimmungen

(1)   Die Verfassungsschutzbehörde kann in besonderen Ausnahmefällen Abweichungen von dieser Verschlusssachenanweisung unter der Voraussetzung, dass der mit der Verschlusssachenanweisung beabsichtigte Schutz durch andere Sicherheitsvorkehrungen erreicht wird, gestatten

(2)   Jede Dienststelle kann über die Verschlusssachenanweisung hinaus verschärfte Sicherheitsvorkehrungen treffen, soweit sie die notwendige einheitliche Behandlung der Verschlusssachen im gesamten VS-Verkehr nicht stören. Die Verfassungsschutzbehörde kann im Zweifel hierüber beraten.

§ 67 Inkrafttreten

Dieser Runderlass tritt am X. Monat 2024 in Kraft. Gleichzeitig tritt der Runderlass „VS-Anweisung“ vom 9. April 2001 (MBl. NRW S. 666), der durch Runderlass vom 13. Juni 2004 (MBl. NRW. S. 610) geändert worden ist, außer Kraft. Gleichzeitig werden aufgehoben:

1.  VS-Sicherungsrichtlinien vom 1. April 2003 (n. v.),

2.  VS-Kontrollrichtlinien vom 1. April 2003 (n. v.) sowie

3.  VS-Fernmelderichtlinien vom 1. März 1988 - VI B 3/1-44207-2/87 VS-NfD (n. v.).

- MBl. NRW. 2024 S. 688