Artikel 6 VO (EU) 2014/463

(1) Die Kommission stellt für SFC2014 eine Strategie für die Informationstechnologiesicherheit (im Folgenden „SFC-Strategie für IT-Sicherheit” ) auf, die für sämtliches Personal gilt, das SFC2014 verwendet, und die mit den relevanten Unionsbestimmungen, insbesondere dem Beschluss K(2006) 3602⁽¹⁾ und dessen Durchführungsvorschriften, in Einklang steht. Die Kommission benennt eine Person oder mehrere Personen, die für die Festlegung der Sicherheitsstrategie, ihre Einhaltung und ihre ordnungsgemäße Anwendung in SFC2014 verantwortlich ist bzw. sind.

(2) Die Mitgliedstaaten und andere Europäische Institutionen als die Kommission, die Zugangsrechte zu SFC2014 erhalten haben, kommen den im SFC2014-Portal veröffentlichten Vorschriften und Anforderungen für IT-Sicherheit sowie den Maßnahmen nach, die die Kommission in SFC2014 implementiert, um eine sichere Datenübertragung zu gewährleisten; dies gilt insbesondere für die Verwendung der in Artikel 5 Absatz 1 der vorliegenden Verordnung genannten technischen Schnittstelle.

(3) Die Mitgliedstaaten und die Kommission setzen die für den Schutz der Daten, die sie mittels SFC2014 speichern und übertragen, festgelegten Sicherheitsmaßnahmen um und gewährleisten deren Wirksamkeit.

(4) Die Mitgliedstaaten legen nationale, regionale oder lokale Strategien für IT-Sicherheit fest, die den Zugang zu SFC2014 und die automatische Eingabe von Daten in SFC2014 regeln und die die Einhaltung eines Mindestmaßes an Sicherheitsanforderungen gewährleisten. In diesen nationalen, regionalen oder lokalen Strategien für IT-Sicherheit kann auf andere Sicherheitsdokumente verwiesen werden. Jeder Mitgliedstaat stellt sicher, dass jene Strategien für IT-Sicherheit für alle Behörden gelten, die SFC2014 verwenden.

(5) Diese nationalen, regionalen oder lokalen Strategien für IT-Sicherheit decken Folgendes ab:

a)

im Falle der direkten Nutzung von SFC2014 die für die IT-Sicherheit relevanten Aspekte der Tätigkeiten, die die für die Verwaltung der Zugangsrechte zuständigen Personen gemäß Artikel 3 Absatz 3 der vorliegenden Verordnung ausführen;

b)

in dem Fall, dass nationale, regionale oder lokale IT-Systeme über eine technische Schnittstelle gemäß Artikel 5 Absatz 1 der vorliegenden Verordnung an SFC2014 angebunden werden, die für diese Systeme geltenden Sicherheitsmaßnahmen, mit denen die Einhaltung der Sicherheitsanforderungen für SFC2014 durch diese Systeme sichergestellt wird.

Für die Zwecke von Unterabsatz 1 Buchstabe b sind gegebenenfalls folgende Aspekte zu regeln:

a)

physische Sicherheit;

b)

Kontrolle von Datenträgern und des Zugangs dazu;

c)

Kontrolle der Speicherung;

d)

Zugangs- und Kennwortkontrolle;

e)

Monitoring;

f)

Anbindung an SFC2014;

g)

Kommunikationsinfrastruktur;

h)

Management von Humanressourcen vor der Einstellung, während des Arbeitsverhältnisses und nach Beendigung des Arbeitsverhältnisses;

i)

Störungsmanagement.

(6) Diese nationalen, regionalen oder lokalen Strategien für IT-Sicherheit basieren auf einer Risikobewertung, und die in den Strategien beschriebenen Maßnahmen stehen im Verhältnis zu den identifizierten Risiken.

(7) Die Dokumente zur Spezifizierung der nationalen, regionalen oder lokalen Strategien für IT-Sicherheit werden der Kommission auf Anfrage zur Verfügung gestellt.

(8) Die Mitgliedstaaten benennen auf nationaler Ebene eine Person oder mehrere Personen, die für die Einhaltung und die Anwendung der nationalen, regionalen oder lokalen Strategien für IT-Sicherheit verantwortlich ist bzw. sind. Diese Person dient bzw. diese Personen dienen als Ansprechpartner für die gemäß Artikel 6 Absatz 1 der vorliegenden Verordnung von der Kommission benannte Person bzw. benannten Personen.

(9) Sowohl die SFC-Strategie für IT-Sicherheit als auch die relevanten nationalen, regionalen und lokalen Strategien für IT-Sicherheit werden im Falle technologischer Änderungen, der Feststellung neuer Bedrohungen oder sonstiger relevanter Entwicklungen aktualisiert. In jedem Fall werden die Strategien jährlich überprüft, um ihre fortlaufende Wirksamkeit sicherzustellen.