Artikel 7 VO (EU) 2014/802

(1) Die Kommission stellt für SFC2014 eine Strategie für die Informationstechnologiesicherheit (im Folgenden „SFC-Strategie für IT-Sicherheit” ) auf, die für sämtliches Personal gilt, das SFC2014 verwendet, und die mit den relevanten Unionsbestimmungen, insbesondere dem Beschluss K(2006) 3602⁽¹⁾ und dessen Durchführungsvorschriften, in Einklang steht. Die Kommission benennt eine Person oder mehrere Personen, die für die Festlegung der Sicherheitsstrategie, ihre Einhaltung und ihre ordnungsgemäße Anwendung in SFC2014 verantwortlich ist beziehungsweise sind.

(2) Die Mitgliedstaaten und andere Europäische Institutionen als die Kommission, die Zugangsrechte zu SFC2014 erhalten haben, kommen den im SFC2014-Portal veröffentlichten Vorschriften und Anforderungen für IT-Sicherheit sowie den Maßnahmen nach, die die Kommission in SFC2014 implementiert, um eine sichere Datenübertragung zu gewährleisten; dies gilt insbesondere für die Verwendung der in Artikel 6 Absatz 1 der vorliegenden Verordnung genannten technischen Schnittstelle.

(3) Die Mitgliedstaaten und die Kommission setzen die für den Schutz der Daten, die sie mittels SFC2014 speichern und übertragen, festgelegten Sicherheitsmaßnahmen um und gewährleisten deren Wirksamkeit.

(4) Die Mitgliedstaaten legen nationale, regionale oder lokale Strategien für IT-Sicherheit fest, die den Zugang zu SFC2014 und die automatische Eingabe von Daten in SFC2014 regeln und die Einhaltung eines Mindestmaßes an Sicherheitsanforderungen gewährleisten. In diesen nationalen, regionalen oder lokalen Strategien für IT-Sicherheit kann auf andere Sicherheitsdokumente verwiesen werden. Jeder Mitgliedstaat stellt sicher, dass jene Strategien für IT-Sicherheit für alle Behörden gelten, die SFC2014 verwenden.

(5) Diese nationalen, regionalen oder lokalen Strategien für IT-Sicherheit decken Folgendes ab:

a)

im Falle der direkten Nutzung von SFC2014 die für die IT-Sicherheit relevanten Aspekte der Tätigkeiten, die die für die Verwaltung der Zugangsrechte zuständigen Personen gemäß Artikel 4 Absatz 3 der vorliegenden Verordnung ausführen;

b)

die IT-Sicherheitsmaßnahmen für die über eine technische Schnittstelle gemäß Artikel 6 Absatz 1 der vorliegenden Verordnung an SFC2014 angebundenen nationalen, regionalen und lokalen IT-Systeme.

Für die Zwecke von Unterabsatz 1 Buchstabe b sind gegebenenfalls folgende Aspekte der IT-Sicherheit zu regeln:

a)

physische Sicherheit;

b)

Kontrolle von Datenträgern und des Zugangs dazu;

c)

Kontrolle der Speicherung;

d)

Zugangs- und Kennwortkontrolle;

e)

Überwachung;

f)

Anbindung an SFC2014;

g)

Kommunikationsinfrastruktur;

h)

Humanressourcen und

i)

Störungsmanagement.

(6) Die nationalen, regionalen oder lokalen Strategien für IT-Sicherheit basieren auf einer Risikobewertung, und die in den Strategien beschriebenen Maßnahmen stehen im Verhältnis zu den identifizierten Risiken.

(7) Die Dokumente zur Spezifizierung der nationalen, regionalen oder lokalen Strategien für IT-Sicherheit werden der Kommission auf Anfrage zur Verfügung gestellt.

(8) Die Mitgliedstaaten benennen auf nationaler oder regionaler Ebene eine Person oder mehrere Personen, die für die Einhaltung und die Anwendung der nationalen, regionalen oder lokalen Strategien für IT-Sicherheit verantwortlich ist beziehungsweise sind. Diese Person dient beziehungsweise diese Personen dienen als Ansprechpartner für die gemäß Absatz 1 von der Kommission benannte Person beziehungsweise benannten Personen.

(9) Sowohl die SFC-Strategie für IT-Sicherheit als auch die einschlägigen nationalen, regionalen oder lokalen Strategien für IT-Sicherheit werden im Falle technologischer Änderungen, der Feststellung neuer Bedrohungen oder sonstiger relevanter Entwicklungen aktualisiert. In jedem Fall werden die Strategien jährlich überprüft, um ihre fortlaufende Wirksamkeit sicherzustellen.