Artikel 75 VO (EU) 2018/2066

(1) Entscheidet sich ein Mitgliedstaat für die Verwendung von automatisierten Systemen für den elektronischen Datenaustausch, die auf den Dateiformatspezifikationen gemäß Artikel 74 Absatz 2 Buchstabe a basieren, so müssen diese Systeme auf kosteneffiziente Weise durch Implementierung von technologischen Maßnahmen entsprechend dem aktuellen Stand der Technik Folgendes gewährleisten:

a)

die Integrität der Daten, sodass elektronische Mitteilungen während der Übermittlung nicht geändert werden können;

b)

die Vertraulichkeit der Daten durch Verwendung von Sicherheitstechniken, einschließlich Verschlüsselungstechniken, sodass die Daten nur der Partei zugänglich sind, für die sie bestimmt sind, und keine Daten von unbefugten Parteien abgefangen werden können;

c)

die Authentizität der Daten, sodass die Identität sowohl des Absenders als auch des Empfängers der Daten bekannt und überprüft ist;

d)

die Nichtabstreitbarkeit der Daten durch Verwendung von Methoden wie z. B. Unterzeichnungstechniken oder die unabhängige Prüfung von Systemsicherungen, sodass eine an einem Mitteilungsvorgang beteiligte Partei nicht abstreiten kann, eine Mitteilung empfangen zu haben, und die andere Partei nicht abstreiten kann, eine Mitteilung abgesendet zu haben.

(2) Auf den Dateiformatspezifikationen gemäß Artikel 74 Absatz 2 Buchstabe a basierende automatisierte Systeme, die von den Mitgliedstaaten für die Kommunikation zwischen zuständiger Behörde, Anlagenbetreiber, Luftfahrzeugbetreiber sowie Prüfstelle und nationaler Akkreditierungsstelle im Sinne der Durchführungsverordnung (EU) 2018/2067 verwendet werden, müssen durch Implementierung von technologischen Maßnahmen entsprechend dem aktuellen Stand der Technik die folgenden nicht funktionsbezogenen Anforderungen erfüllen:

a)

Zugriffskontrolle, sodass nur befugte Parteien auf das System Zugriff haben und keine Daten von unbefugten Parteien gelesen, geschrieben oder aktualisiert werden können, durch Implementierung von technologischen Maßnahmen, mit denen Folgendes erreicht werden soll:

i)

Beschränkung des physischen Zugangs zu der Hardware, auf der die automatisierten Systeme betrieben werden, durch physische Barrieren;

ii)

Beschränkung des logischen Zugangs zu den automatisierten Systemen durch Einsatz von Technologien für die Identifizierung, Authentifizierung und Autorisierung;

b)

Verfügbarkeit, sodass der Zugriff auf die Daten auch nach längerer Zeit und nach der Einführung einer etwaigen neuen Software gewährleistet ist;

c)

Prüfpfad, sodass sichergestellt ist, dass Datenänderungen stets nachträglich ermittelt und analysiert werden können.