Artikel 10 VO (EU) 2018/1861

(1) Jeder Mitgliedstaat trifft für sein N.SIS die erforderlichen Maßnahmen, einschließlich der Annahme eines Sicherheitsplans sowie von Notfallplänen zur Aufrechterhaltung und Wiederherstellung des Betriebs, um

a)

die Daten physisch zu schützen, unter anderem durch Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

Unbefugten den Zugang zu Datenverarbeitungsanlagen, in denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle);

c)

zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden (Datenträgerkontrolle);

d)

die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);

e)

zu verhindern, dass automatisierte Datenverarbeitungssysteme mithilfe von Datenübertragungseinrichtungen von Unbefugten genutzt werden (Benutzerkontrolle);

f)

die unbefugte Verarbeitung von Daten im SIS und die unbefugte Änderung oder Löschung von Daten, die im SIS verarbeitet werden, zu verhindern (Kontrolle der Dateneingabe);

g)

sicherzustellen, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten nur mittels einer persönlichen und eindeutigen Nutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

h)

sicherzustellen, dass alle Behörden mit Zugriffsrecht auf das SIS oder mit Zugangsberechtigung zu den Datenverarbeitungsanlagen Profile mit einer Beschreibung der Aufgaben und Zuständigkeiten der Personen erstellen, die zum Zugriff auf die Daten sowie zu ihrer Eingabe, Aktualisierung, Löschung und Abfrage berechtigt sind, und diese Profile den Aufsichtsbehörden nach Artikel 55 Absatz 1 auf deren Anfrage unverzüglich zur Verfügung stellen (Personalprofile);

i)

sicherzustellen, dass überprüft und festgestellt werden kann, welchen Stellen personenbezogene Daten mithilfe von Datenübertragungseinrichtungen übermittelt werden können (Übermittlungskontrolle);

j)

sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten wann, von wem und zu welchem Zweck in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

k)

das unbefugte Lesen, Kopieren, Ändern oder Löschen von personenbezogenen Daten während der Übermittlung von personenbezogenen Daten oder während des Transports von Datenträgern zu verhindern, insbesondere durch geeignete Verschlüsselungstechniken (Transportkontrolle);

l)

die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die erforderlichen organisatorischen Maßnahmen bezüglich der internen Überwachung zu treffen, um die Einhaltung dieser Verordnung sicherzustellen (Eigenkontrolle);

m)

sicherzustellen, dass die eingesetzten Systeme im Störungsfall für den Normalbetrieb wiederhergestellt werden können (Wiederherstellung), und

n)

sicherzustellen, dass das SIS ordnungsgemäß funktioniert, dass Fehler gemeldet werden (Zuverlässigkeit) und dass im SIS gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beeinträchtigt werden können (Integrität).

(2) Die Mitgliedstaaten treffen für die Verarbeitung und den Austausch von Zusatzinformationen einschließlich der Sicherung der Räumlichkeiten der SIRENE-Büros Sicherheitsmaßnahmen, die den in Absatz 1 genannten gleichwertig sind.

(3) Die Mitgliedstaaten treffen für die Verarbeitung von SIS-Daten durch die in Artikel 34 genannten Behörden Sicherheitsmaßnahmen, die den in Absatz 1 des vorliegenden Artikels genannten gleichwertig sind.

(4) Die in den Absätzen 1, 2 und 3 beschriebenen Maßnahmen können Teil eines allgemeinen Sicherheitskonzepts und -plans auf nationaler Ebene sein, der mehrere IT-Systeme umfasst. In diesen Fällen müssen die Anforderung gemäß diesem Artikel und ihre Anwendbarkeit auf das SIS in diesem Plan deutlich erkennbar sein und durch ihn gewährleistet werden.