Artikel 4 VO (EG) 2004/460

Im Sinne dieser Verordnung bezeichnet der Ausdruck

a)

„Netz” Übertragungssysteme und gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen, die eine Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen; hierzu gehören Satellitennetze, feste (leitungs- oder paketvermittelt, einschließlich Internet) und mobile terrestrische Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen;

b)

„Informationssystem” Computer und elektronische Kommunikationsnetze sowie elektronische Daten, die durch bzw. über diese Medien zu deren Betrieb, Verwendung, Schutz und Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;

c)

„Netz- und Informationssicherheit” die Fähigkeit eines Netzes oder Informationssystems, bei einem bestimmten Vertrauensniveau Störungen und rechtswidrige oder böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten und entsprechender Dienste beeinträchtigen, die über dieses Netz oder Informationssystem angeboten werden bzw. zugänglich sind;

d)

„Verfügbarkeit” die Zugänglichkeit der Daten und die Einsatzfähigkeit der Dienste;

e)

„Authentifizierung” die Bestätigung der behaupteten Identität von Körperschaften oder Nutzern;

f)

„Datenintegrität” die Bestätigung der Vollständigkeit und unveränderten Form der Daten, die übermittelt, empfangen oder gespeichert werden;

g)

„Vertraulichkeit der Daten” den Schutz des Kommunikationsverkehrs oder von gespeicherten Daten, so dass sie von unbefugten Personen nicht abgefangen und gelesen werden können;

h)

„Risiko” die Wahrscheinlichkeit, dass eine Schwachstelle des Systems die Authentifizierung oder Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit der verarbeiteten oder übertragenen Daten beeinflusst, und die Schwere dieser Folgen infolge der absichtlichen oder unabsichtlichen Nutzung einer solchen Schwachstelle;

i)

„Risikobewertung” einen wissenschaftlich und technisch untermauerten Vorgang mit den folgenden vier Stufen: Ermittlung von Bedrohungen, Beschreibung der Bedrohungen, Expositionsabschätzung und Risikobeschreibung;

j)

„Risikomanagement” den von der Risikobewertung getrennten Vorgang des Abwägens strategischer Alternativen in Abstimmung mit den Beteiligten unter Berücksichtigung der Risikobewertung und weiterer begründeter Faktoren und gegebenenfalls der Wahl geeigneter Vorbeugungs- und Kontrollmöglichkeiten;

k)

„Kultur der Netz- und Informationssicherheit” denselben Begriffsinhalt wie in den OECD-Leitlinien zur Sicherheit von Informationssystemen und -netzen vom 25. Juli 2002 und in der Entschließung des Rates vom 18. Februar 2003 zu einem europäischen Ansatz für eine Sicherheitskultur im Bereich der Netz- und Informationssicherheit⁽¹⁾.