Artikel 19 VO (EU) 2019/816

(1) Unbeschadet der Zuständigkeiten der einzelnen Mitgliedstaaten ergreift eu-LISA die erforderlichen Maßnahmen, um unter Berücksichtigung der in Absatz 3 genannten Sicherheitsmaßnahmen die Sicherheit des ECRIS-TCN zu gewährleisten.

(2) Für den Betrieb des ECRIS-TCN ergreift eu-LISA die erforderlichen Maßnahmen, um die in Absatz 3 genannten Ziele zu erreichen, einschließlich der Verabschiedung eines Sicherheitsplans sowie eines Notfallplans zur Aufrechterhaltung und eines Notfallplans zur Wiederherstellung des Betriebs, und um zu gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

(3) Die Mitgliedstaaten gewährleisten die Datensicherheit vor und während der Übermittlung von Daten an die und während des Empfangs von Daten von der zentralen nationalen Zugangsstelle. Jeder Mitgliedstaat

a)

sorgt für den physischen Schutz der Daten, unter anderem durch Aufstellung von Notfallplänen für den Schutz der Infrastruktur;

b)

verwehrt Unbefugten den Zugang zu nationalen Einrichtungen, in denen der Mitgliedstaat Tätigkeiten im Zusammenhang mit dem ECRIS-TCN durchführt;

c)

verhindert, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

d)

verhindert die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung gespeicherter personenbezogener Daten;

e)

verhindert die unbefugte Verarbeitung von Daten im ECRIS-TCN und die unbefugte Änderung oder Löschung von Daten, die im ECRIS-TCN verarbeitet werden;

f)

stellt sicher, dass die zum Zugang zum ECRIS-TCN berechtigten Personen nur mittels einer persönlichen Benutzerkennung und vertraulicher Zugriffsverfahren und ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können;

g)

stellt sicher, dass alle zum Zugang zum ECRIS-TCN berechtigten Behörden Profile mit einer Beschreibung der Aufgaben und Befugnisse der Personen erstellen, die berechtigt sind, die Daten einzugeben, zu berichtigen, zu löschen, abzufragen und zu durchsuchen, und stellt diese Profile den nationalen Aufsichtsbehörden auf deren Anfrage unverzüglich zur Verfügung;

h)

stellt sicher, dass überprüft und festgestellt werden kann, welchen Einrichtungen, Stellen und Agenturen der Union personenbezogene Daten unter Verwendung von Einrichtungen zur Datenübertragung übermittelt werden dürfen;

i)

stellt sicher, dass überprüft und festgestellt werden kann, welche Daten wann, von wem und zu welchem Zweck im ECRIS-TCN verarbeitet wurden;

j)

verhindert das unbefugte Lesen, Kopieren, Ändern oder Löschen von personenbezogenen Daten während der Übermittlung personenbezogener Daten an das oder aus dem ECRIS-TCN oder während des Transports von Datenträgern, insbesondere durch geeignete Verschlüsselungstechniken;

k)

überwacht die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen und trifft die erforderlichen organisatorischen Maßnahmen zur Eigenkontrolle und zur Kontrolle, um die Einhaltung dieser Verordnung sicherzustellen.

(4) eu-LISA und die Mitgliedstaaten arbeiten zusammen, um für ein kohärentes Vorgehen im Bereich der Datensicherheit zu sorgen, das auf einem das ganze ECRIS-TCN umfassenden Verfahren zum Management von Sicherheitsrisiken beruht.