1.

Aufgaben der Kommission

1.1.

Die Sicherstellung des Betriebs eines elektronischen Datenaustauschsystems (im Folgenden „SFC2021” ) für den gesamten offiziellen Informationsaustausch zwischen den Mitgliedstaaten und der Kommission. SFC2021 enthält mindestens die Informationen, die in den Mustern gemäß der vorliegenden Verordnung festgelegt sind.

1.2.

Die Sicherstellung der folgenden Merkmale von SFC2021:

a)

interaktive Formulare oder vorab vom System ausgefüllte Formulare, die sich auf die bereits im System erfassten Daten stützen;

b)

automatische Berechnungen, wenn dies den Eingabeaufwand der Benutzer verringert;

c)

eingebettete automatische Kontrollen, um die interne Kohärenz der übermittelten Daten sowie ihre Übereinstimmung mit den geltenden Regeln zu prüfen;

d)

vom System generierte Warnmeldungen, die die SFC2021-Benutzer darüber informieren, dass bestimmte Vorgänge ausgeführt bzw. nicht ausgeführt werden können;

e)

Online-Verfolgung der Verarbeitung von in das System eingegebenen Informationen;

f)

Verfügbarkeit historischer Daten zu sämtlichen Informationen, die für ein Programm eingegeben wurden;

g)

Verfügbarkeit einer obligatorischen elektronischen Signatur im Sinne der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates, die in Gerichtsverfahren als Beweismittel zulässig ist.

1.3.

Die Gewährleistung einer Strategie für die Informationstechnologiesicherheit für SFC2021, die für sämtliches Personal gilt, das das System verwendet, und die mit den relevanten Unionsbestimmungen, insbesondere dem Beschluss (EU, Euratom) 2017/46 der Kommission⁽¹⁾ und dessen Durchführungsvorschriften, im Einklang steht.

1.4.

Die Benennung einer oder mehrerer Personen, die für die Festlegung der Sicherheitsstrategie, ihre Einhaltung und ihre ordnungsgemäße Anwendung in SFC2021 verantwortlich sind.

2.

Aufgaben der Mitgliedstaaten

2.1.

Die Sicherstellung, dass die gemäß Artikel 71 Absatz 1 angegebenen Programmbehörden der Mitgliedstaaten und die Stellen, die zur Ausführung bestimmter Aufgaben unter der Verantwortung der Verwaltungsbehörde oder der Prüfbehörde gemäß Artikel 71 Absätze 2 und 3 dieser Verordnung ausgewählt wurden, die zu übermittelnden Informationen, für die sie zuständig sind, und etwaige Aktualisierungen in SFC2021 eingeben.

2.2.

Die Sicherstellung der Überprüfung der übermittelten Informationen durch eine andere Person als der Person, die die Daten zur Übermittlung eingegeben hat.

2.3.

Die Umsetzung der Trennung der oben genannten Aufgaben durch die automatisch an SFC2021 angebundenen IT-Systeme der Mitgliedstaaten für Verwaltung und Kontrolle.

2.4.

Die Benennung einer oder mehrerer Personen, die für die Verwaltung der Zugangsrechte verantwortlich sind und die die folgenden Aufgaben ausführen:

a)

Feststellung der Identität der Benutzer, die einen Zugang beantragen, und Prüfung, ob sie tatsächlich von der betreffenden Organisation beschäftigt werden;

b)

Aufklärung der Benutzer über ihre Pflichten zur Gewährleistung der Sicherheit des Systems;

c)

Überprüfung des Anrechts von Benutzern auf die angeforderte Berechtigungsebene im Hinblick auf ihre Aufgaben und ihre hierarchische Stellung;

d)

Anforderung des Entzugs von Zugriffsrechten, wenn kein Bedarf oder Grund für diese Rechte mehr vorliegt;

e)

unverzügliche Meldung verdächtiger Ereignisse, die die Sicherheit des Systems beeinträchtigen könnten;

f)

Sicherstellung der fortlaufenden Richtigkeit der Identifizierungsdaten der Benutzer durch Meldung von Änderungen;

g)

Ergreifen der erforderlichen Vorsichtsmaßnahmen zum Datenschutz und zur Wahrung des Geschäftsgeheimnisses gemäß den Vorschriften der Union und des betreffenden Mitgliedstaats;

h)

Unterrichtung der Kommission über sämtliche Änderungen, die Auswirkungen haben auf die Fähigkeit der Behörden der Mitgliedstaaten oder der SFC2021-Benutzer, ihre Aufgaben gemäß Nummer 2.1 zu erfüllen, bzw. auf ihre persönliche Fähigkeit, die unter den Buchstaben a bis g genannten Aufgaben zu erfüllen.

2.5.

Die Bereitstellung von Maßnahmen zur Gewährleistung des Schutzes der Privatsphäre und personenbezogener Daten (im Falle natürlicher Personen) bzw. zur Wahrung des Geschäftsgeheimnisses (im Falle juristischer Personen) gemäß der Richtlinie 2002/58/EG, der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725.

2.6.

Die Festlegung der nationalen, regionalen oder lokalen Strategien für IT-Sicherheit in Bezug auf den Zugang zu SFC2021, basierend auf einer Risikobewertung, die für alle Behörden, die SFC2021 verwenden, gilt, und die Berücksichtigung folgender Aspekte:

a)

im Falle der direkten Nutzung die Berücksichtigung der für die IT-Sicherheit relevanten Aspekte der Tätigkeiten, die die für die Verwaltung der Zugangsrechte zuständigen Personen gemäß Abschnitt II Nummer 2.4 der vorliegenden Verordnung ausführen;

b)

in dem Fall, dass nationale, regionale oder lokale IT-Systeme über eine technische Schnittstelle gemäß Nummer 2.3 an SFC2021 angebunden werden, die Berücksichtigung der für diese Systeme geltenden Sicherheitsmaßnahmen, mit denen die Einhaltung der Sicherheitsanforderungen für SFC2021 durch diese Systeme sichergestellt wird, und die Folgendes umfassen:

i)

physische Sicherheit;

ii)

Kontrolle von Datenträgern und des Zugangs dazu;

iii)

Kontrolle der Speicherung;

iv)

Zugangs- und Kennwortkontrolle;

v)

Überwachung;

vi)

Anbindung an SFC2021;

vii)

Kommunikationsinfrastruktur;

viii)

Management von Humanressourcen vor der Einstellung, während des Arbeitsverhältnisses und nach Beendigung des Arbeitsverhältnisses;

ix)

Management von Sicherheitsvorfällen.

2.7.

Die Bereitstellung des in Nummer 2.6 erwähnten Dokuments auf Anfrage der Kommission.

2.8.

Die Benennung einer oder mehrerer Personen, die für die Verwaltung und Gewährleistung der Anwendung nationaler, regionaler oder lokaler Strategien für IT-Sicherheit verantwortlich sind. Sie dienen als Ansprechpartner für die durch die Kommission gemäß Nummer 1.4 benannten Personen.

3.

Gemeinsame Aufgaben der Kommission und der Mitgliedstaaten

3.1.

Die Bereitstellung des Zugangs entweder direkt über eine interaktive Benutzeroberfläche (d. h. eine Web-Anwendung) oder über eine technische Schnittstelle, die mit vordefinierten Protokollen (d. h. Web-Diensten) arbeitet und die die automatische Synchronisierung und Übertragung von Daten zwischen den Informationssystemen der Mitgliedstaaten und SFC2021 ermöglicht.

3.2.

Die Bereitstellung des Datums der elektronischen Übermittlung der Informationen vom Mitgliedstaat an die Kommission bzw. in umgekehrter Richtung. Dieses gilt als Datum der Einreichung des betreffenden Dokuments.

3.3.

Die Sicherstellung, dass amtliche Daten ausschließlich über SFC2021, außer im Falle höherer Gewalt, ausgetauscht werden, und dass Informationen, die in die integrierten elektronischen Formulare von SFC2021 eingegeben werden (im Folgenden „strukturierte Daten” ), nicht durch nichtstrukturierte Daten ersetzt werden, und im Falle von Unstimmigkeiten die strukturierten Daten Vorrang haben.

Im Falle höherer Gewalt, einer Funktionsstörung von SFC2021 oder einer gestörten Verbindung zu SFC2021, die vor Ablauf einer vorgeschriebenen Frist für die Einreichung von Informationen oder innerhalb des Zeitraums vom 18. bis zum 26. Dezember länger als einen Arbeitstag andauert oder die in anderen Zeiten länger als fünf Arbeitstage andauert, kann der Informationsaustausch zwischen dem betreffenden Mitgliedstaat und der Kommission auf Papier erfolgen, wobei die Muster der vorliegenden Verordnung zu verwenden sind. In diesem Fall gilt als Datum der Einreichung des Dokuments das Datum des Poststempels. Sobald der Grund für die höhere Gewalt wegfällt, gibt die betroffene Partei unverzüglich die bereits in Papierform angegebenen Informationen in SFC2021 ein.

3.4.

Die Einhaltung der im SFC2021-Portal veröffentlichten Vorschriften und Anforderungen für IT-Sicherheit sowie der Maßnahmen, die die Kommission in SFC2021 implementiert, um eine sichere Datenübertragung zu gewährleisten; dies gilt insbesondere für die Verwendung der in Nummer 2.3 der vorliegenden Verordnung genannten technischen Schnittstelle.

3.5.

Die Umsetzung der Sicherheitsmaßnahmen, die zum Schutz der Daten, die mittels SFC2021 gespeichert und übertragen werden, festgelegt wurden, und die Gewährleistung ihrer Wirksamkeit.

3.6.

Die jährliche Aktualisierung und Überprüfung der SFC2021-Strategie für IT-Sicherheit und der relevanten nationalen, regionalen und lokalen Strategien für IT-Sicherheit im Falle technologischer Änderungen, der Feststellung neuer Bedrohungen oder sonstiger relevanter Entwicklungen.