Artikel 3 VO (EG) 2008/482

(1) Müssen Organisationen nach geltendem Gemeinschaftsrecht oder nationalem Recht ein Risikobewertungs- und -minderungsverfahren einrichten, so definieren und implementieren sie ein System zur Gewährleistung der Software-Sicherheit, das der gezielten Behandlung von Aspekten der EATMN-Software dient, einschließlich online durchgeführter Software-Änderungen, beispielsweise durch Umschaltung oder Hot Swap.

(2) Die Organisation sorgt dafür, dass sich mit ihrem System zur Gewährleistung der Software-Sicherheit anhand von Nachweisen und Argumenten mindestens Folgendes belegen lässt:

a)

Die Software-Sicherheitsanforderungen stellen die von der Software zu erfüllenden Bedingungen, um den im Rahmen der Risikobewertung und -minderung beschriebenen Sicherheitszielen und -anforderungen zu entsprechen, korrekt dar.

b)

Die Rückverfolgbarkeit sämtlicher Software-Sicherheitsanforderungen ist gewährleistet.

c)

Die Einführung der Systems beinhaltet keine Funktion, die die Sicherheit beeinträchtigt.

d)

Die EATMN-Software erfüllt die an sie gestellten Anforderungen mit einem Grad an Zuverlässigkeit, der der Kritikalität der Software entspricht.

e)

Es bestehen Garantien, die die Erfüllung der allgemeinen in Buchstaben a bis d aufgeführten Sicherheitsanforderungen bestätigen und die Argumente für den Nachweis der geforderten Garantien lassen sich jederzeit durch Folgendes belegen:

i)

eine bekannte ausführbare Version der Software,

ii)

eine bekannte Menge an Konfigurationsdaten und

iii)

eine bekannte Palette an Software-Produkten und -Beschreibungen, einschließlich Spezifikationen, die bei der Herstellung der betreffenden Version verwendet wurden.

(3) Die Organisation stellt der nationalen Aufsichtsbehörde die notwendigen Garantien zur Verfügung, die die Erfüllung der Anforderungen gemäß Absatz 2 belegen.