Artikel 43 VO (EU) 2017/2226

(1) Der verantwortliche Mitgliedstaat gewährleistet die Datensicherheit vor und während der Übermittlung an die einheitliche nationale Schnittstelle. Jeder Mitgliedstaat gewährleistet die Sicherheit der Daten, die er aus dem EES erhält.

(2) Jeder Mitgliedstaat trifft in Bezug auf seine nationale Grenzinfrastruktur die erforderlichen Maßnahmen, die einen Sicherheitsplan sowie einen Notfallplan zur Aufrechterhaltung und Wiederherstellung des Betriebs einschließen, um

a)

die Daten physisch zu schützen, unter anderem durch Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

Unbefugten den Zugang zu Datenverarbeitungsanlagen und nationalen Einrichtungen, in denen der Mitgliedstaat Tätigkeiten im Einklang mit den Zwecken des EES durchführt, zu verwehren;

c)

zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

d)

die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung gespeicherter personenbezogener Daten zu verhindern;

e)

zu verhindern, dass automatisierte Datenverarbeitungssysteme mithilfe von Datenübertragungseinrichtungen von Unbefugten genutzt werden;

f)

die unbefugte Verarbeitung von Daten im EES und jegliche unbefugte Änderung oder Löschung von Daten, die im EES verarbeitet werden, zu verhindern;

g)

sicherzustellen, dass die zum Zugang zum EES berechtigten Personen nur mittels einer persönlichen und eindeutigen Benutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können;

h)

sicherzustellen, dass alle zum Zugang zum EES berechtigten Behörden Profile mit einer Beschreibung der Aufgaben und Befugnisse der Personen erstellen, die berechtigt sind, die Daten einzugeben, zu ändern, zu löschen und abzufragen und in den Daten zu suchen, und diese Profile den Aufsichtsbehörden zur Verfügung zu stellen;

i)

sicherzustellen, dass überprüft und festgestellt werden kann, welchen Stellen personenbezogene Daten durch Datenübertragungseinrichtungen übermittelt werden können;

j)

sicherzustellen, dass überprüft und festgestellt werden kann, welche Daten im EES verarbeitet wurden, sowie wann, von wem und zu welchem Zweck diese Verarbeitung vorgenommen wurde;

k)

das unbefugte Lesen, Kopieren, Ändern oder Löschen von personenbezogenen Daten während der Übermittlung personenbezogener Daten an das oder aus dem EES oder während des Transports von Datenträgern zu verhindern, insbesondere durch geeignete Verschlüsselungstechniken;

l)

sicherzustellen, dass eingesetzte Systeme im Störungsfall für den Normalbetrieb wiederhergestellt werden können;

m)

die Zuverlässigkeit sicherzustellen, indem dafür Sorge getragen wird, dass alle Funktionsstörungen beim EES ordnungsgemäß gemeldet werden;

n)

die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die erforderlichen organisatorischen Maßnahmen bezüglich der internen Überwachung zu treffen, um die Einhaltung dieser Verordnung sicherzustellen.

(3) Im Hinblick auf den Betrieb des EES ergreift eu-LISA die erforderlichen Maßnahmen, um die in Absatz 2 genannten Ziele zu erreichen, einschließlich der Verabschiedung eines Sicherheitsplans sowie eines Notfallplans zur Aufrechterhaltung und Wiederherstellung des Betriebs. eu-LISA stellt ferner die Zuverlässigkeit sicher, indem gewährleistet wird, dass die erforderlichen technischen Maßnahmen ergriffen werden, damit die personenbezogenen Daten im Fall einer Datenbeschädigung infolge einer Fehlfunktion des EES wiederhergestellt werden können.

(4) eu-LISA und die Mitgliedstaaten arbeiten zusammen, um für ein harmonisiertes Vorgehen im Bereich der Datensicherheit zu sorgen, das auf einem das ganze EES umfassenden Verfahren zum Management von Sicherheitsrisiken beruht.