Artikel 4 VO (EG) 2008/482

Die Organisation sorgt dafür, dass das System zur Gewährleistung der Software-Sicherheit mindestens folgende Kriterien erfüllt:

1.

Das System ist dokumentiert, insbesondere im Rahmen der Gesamtdokumentation zur Risikobewertung und -minderung.

2.

Jeder operationellen EATMN-Software wird nach Maßgabe der Anforderungen in Anhang I eine Sicherheitsanforderungsstufe zugewiesen.

3.

Das System umfasst Garantien für Folgendes:

a)

Validierung der Software-Sicherheitsanforderungen gemäß den Anforderungen in Anhang II Teil A,

b)

Software-Verifizierung gemäß den Anforderungen in Anhang II Teil B,

c)

Software-Konfigurationsmanagement gemäß den Anforderungen in Anhang II Teil C,

d)

Rückverfolgbarkeit der Software-Sicherheitsanforderungen gemäß den Anforderungen in Anhang II Teil D.

4.

In dem System wird das mit den Garantien verknüpfte Anspruchsniveau festgelegt. Die Ansprüche werden für jede Software-Sicherheitsanforderungsstufe bestimmt und steigen mit zunehmender Software-Kritikalität. Zu diesem Zweck

a)

müssen die mit den Software-Sicherheitsanforderungsstufen verbundenen Garantien nach folgenden Kriterien gestaffelt sein:

i)

unabhängig zu erbringen,

ii)

zu erbringen,

iii)

nicht vorgeschrieben;

b)

müssen die mit den einzelnen Software-Sicherheitsanforderungsstufen verbundenen Garantien hinreichende Gewähr bieten, dass die EATMN-Software mit einem akzeptablen Maß an Sicherheit betrieben werden kann.

5.

Zur Bestätigung, dass das System zur Gewährleistung der Software-Sicherheit und die zugewiesenen Sicherheitsanforderungsstufen angemessen sind, wird auf frühere Erfahrungen mit EATMN-Software zurückgegriffen. Zu diesem Zweck werden die Auswirkungen von Software-Störungen oder -Ausfällen, die aufgrund der einschlägigen Bestimmungen zur Meldung und Bewertung von Sicherheitsvorfällen gemeldet werden, im Verhältnis zu den für das betreffende System ermittelten Auswirkungen bewertet, deren Schwere anhand des Klassifikationssystems in Anhang II Nummer 3.2.4 der Durchführungsverordnung (EU) Nr. 1035/2011 der Kommission⁽¹⁾ eingestuft wird.