1.

Zuständigkeiten der Kommission

1.1.

Gewährleistung des Betriebs eines elektronischen Systems für den offiziellen und sicheren Informationsaustausch zwischen dem Mitgliedstaat und der Kommission, nachstehend „SFC2021” genannt. SFC2021 enthält mindestens die Informationen, die in den gemäß der Verordnung (EU) 2021/2115 erstellten Mustern angegeben sind.

1.2.

Sicherstellung der folgenden Merkmale von SFC2021:

a)

interaktive Formulare oder vorab vom System ausgefüllte Formulare, die sich auf die bereits im System erfassten Daten stützen;

b)

automatische Berechnungen, wenn dies den Eingabeaufwand der Benutzer verringert;

c)

eingebettete automatische Kontrollen, um die interne Kohärenz der übermittelten Daten sowie ihre Übereinstimmung mit den geltenden Vorschriften zu prüfen;

d)

vom System generierte Warnmeldungen, die die SFC2021-Benutzer darüber informieren, dass bestimmte Vorgänge ausgeführt bzw. nicht ausgeführt werden können;

e)

Online-Verfolgung der Verarbeitung von in das System eingegebenen Informationen;

f)

Verfügbarkeit historischer Daten zu sämtlichen Informationen, die für ein Programm eingegeben wurden;

g)

Verfügbarkeit einer obligatorischen elektronischen Signatur im Sinne der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates⁽¹⁾, die in Gerichtsverfahren als Beweismittel zulässig ist.

1.3.

Gewährleistung einer Strategie für die Informationstechnologiesicherheit für SFC2021, die für sämtliches Personal gilt, das das System verwendet, und die mit den relevanten Unionsbestimmungen, insbesondere dem Beschluss (EU, Euratom) 2017/46 der Kommission⁽²⁾ im Einklang steht.

1.4.

Benennung einer oder mehrerer Personen, die für die Festlegung der Sicherheitsstrategie, ihre Einhaltung und ihre ordnungsgemäße Anwendung in SFC2021 verantwortlich ist/sind.

2.

Zuständigkeiten der Mitgliedstaaten

2.1.

Sicherstellung, dass die gemäß Titel VI der Verordnung (EU) 2021/2115 festgelegten Programmbehörden der Mitgliedstaaten und die Einrichtungen, die zur Ausführung bestimmter Aufgaben im Zuständigkeitsbereich der Verwaltungsbehörde ausgewählt wurden, die zu übermittelnden Informationen, für die sie zuständig sind, und etwaige Aktualisierungen in SFC2021 eingeben.

2.2.

Überprüfung der übermittelten Informationen durch eine andere Person als die Person, die die Daten zur Übermittlung eingegeben hat.

2.3.

Vorkehrungen für die Trennung zwischen den Aufgaben gemäß den Punkten 2.1 und 2.2 durch die automatisch an SFC2021 angebundenen Informationssysteme der Mitgliedstaaten für Verwaltung und Kontrolle.

2.4.

Benennung einer oder mehrerer Personen, die für die Verwaltung der Zugangsrechte verantwortlich ist/sind und die die folgenden Aufgaben ausführt/ausführen:

a)

Feststellung der Identität der Benutzer, die einen Zugang beantragen, und Prüfung, ob sie tatsächlich von der betreffenden Organisation beschäftigt werden;

b)

Aufklärung der Benutzer über ihre Pflichten zur Gewährleistung der Sicherheit des Systems;

c)

Überprüfung des Anrechts von Benutzern auf die angeforderte Berechtigungsebene im Hinblick auf ihre Aufgaben und ihre hierarchische Stellung;

d)

Anforderung des Entzugs von Zugriffsrechten, wenn kein Bedarf oder Grund für diese Rechte mehr vorliegt;

e)

unverzügliche Meldung verdächtiger Ereignisse, die die Sicherheit des Systems beeinträchtigen könnten;

f)

Sicherstellung der fortlaufenden Richtigkeit der Identifizierungsdaten der Benutzer durch Meldung von Änderungen;

g)

Ergreifen der erforderlichen Vorsichtsmaßnahmen zum Datenschutz und zur Wahrung des Geschäftsgeheimnisses gemäß den Vorschriften der Union und des betreffenden Mitgliedstaats;

h)

Unterrichtung der Kommission über sämtliche Änderungen, die Auswirkungen haben auf die Fähigkeit der Behörden oder der SFC2021-Benutzer des Mitgliedstaats, ihre Aufgaben gemäß Punkt 2.1 zu erfüllen, bzw. auf ihre persönliche Fähigkeit, die unter den Buchstaben a bis g genannten Aufgaben zu erfüllen.

2.5.

Vorkehrungen für die Wahrung des Schutzes der Privatsphäre und personenbezogener Daten natürlicher Personen sowie des Geschäftsgeheimnisses juristischer Einheiten gemäß der Richtlinie 2002/58/EG⁽³⁾ und den Verordnungen (EU) 2016/679⁽⁴⁾ und (EU) 2018/1725⁽⁵⁾ des Europäischen Parlaments und des Rates.

2.6.

Umsetzung nationaler, regionaler oder lokaler Strategien für IT-Sicherheit in Bezug auf den Zugang zu SFC2021, basierend auf einer Risikobewertung, die für alle Behörden, die SFC2021 verwenden, gilt, und Berücksichtigung folgender Aspekte:

a)

im Falle der direkten Nutzung Berücksichtigung der für die IT-Sicherheit relevanten Aspekte der Tätigkeiten, die die für die Verwaltung der Zugangsrechte zuständigen Personen gemäß Punkt 2.4 ausführen;

b)

im Falle, dass nationale, regionale oder lokale IT-Systeme über eine technische Schnittstelle als Teil der Informationssysteme der Mitgliedstaaten für Verwaltung und Kontrolle gemäß Punkt 2.3 an SFC2021 angebunden werden, Berücksichtigung der für diese Systeme geltenden Sicherheitsmaßnahmen, mit denen die Einhaltung der Sicherheitsanforderungen für SFC2021 durch diese Systeme sichergestellt wird und die Folgendes umfassen:

i)

physische Sicherheit;

ii)

Kontrolle von Datenträgern und des Zugangs dazu;

iii)

Speicherkontrolle;

iv)

Zugangs- und Kennwortkontrolle;

v)

Überwachung;

vi)

Anbindung an SFC2021;

vii)

Kommunikationsinfrastruktur;

viii)

Management von Humanressourcen vor der Einstellung, während des Arbeitsverhältnisses und nach Beendigung des Arbeitsverhältnisses;

ix)

Management von Sicherheitsvorfällen.

2.7.

Bereitstellung des Dokuments/der Dokumente mit den in Punkt 2.6 genannten Maßnahmen auf Anfrage der Kommission.

2.8.

Benennung einer oder mehrerer Personen, die für die Verwaltung und Gewährleistung der Anwendung nationaler, regionaler oder lokaler Strategien für IT-Sicherheit verantwortlich ist/sind und als Ansprechstelle für die durch die Kommission gemäß Punkt 1.4 benannte(n) Person(en) dient/dienen.

3.

Gemeinsame Zuständigkeiten der Kommission und der Mitgliedstaaten

3.1.

Bereitstellung des Zugangs entweder direkt über eine interaktive Benutzeroberfläche (d. h. eine Web-Anwendung) oder über eine technische Schnittstelle, die mit vordefinierten Protokollen (d. h. Web-Diensten) arbeitet und die die automatische Synchronisierung und Übertragung von Daten zwischen den Informationssystemen der Mitgliedstaaten und SFC2021 ermöglicht.

3.2.

Bereitstellung des Datums der elektronischen Übermittlung der Informationen vom Mitgliedstaat an die Kommission bzw. in umgekehrter Richtung, das als Datum der Einreichung des betreffenden Dokuments gilt.

3.3.

Sicherstellung, dass amtliche Daten über SFC2021 (außer im Falle höherer Gewalt) ausgetauscht werden, dass Informationen, die in die integrierten elektronischen Formulare von SFC2021 eingegeben werden ( „strukturierte Daten” ), nicht durch nichtstrukturierte Daten ersetzt werden und dass im Falle von Unstimmigkeiten die strukturierten Daten Vorrang gegenüber nichtstrukturierten Daten haben.

Im Falle höherer Gewalt, bei einer Störung von SFC2021 oder bei Ausfall der Verbindung mit SFC2021 kann der Mitgliedstaat die Unterlagen nach vorheriger Genehmigung durch die Kommission und nach den von der Kommission festgelegten Bedingungen in anderer Form übermitteln. Sobald der Grund für die höhere Gewalt wegfällt, gibt die betroffene Partei unverzüglich die bereits in Papierform übermittelten Informationen in SFC2021 ein.

3.4.

Gewährleistung der Einhaltung der im SFC2021-Portal veröffentlichten Vorschriften und Anforderungen für IT-Sicherheit sowie der Maßnahmen, die die Kommission in SFC2021 implementiert, um eine sichere Datenübertragung zu gewährleisten; dies gilt insbesondere für die Verwendung der technischen Schnittstelle als Teil der Informationssysteme der Mitgliedstaaten für Verwaltung und Kontrolle gemäß Punkt 2.3.

3.5.

Umsetzung der Sicherheitsmaßnahmen, die zum Schutz der mittels SFC2021 gespeicherten und übertragenen Daten festgelegt wurden, und Gewährleistung ihrer Wirksamkeit.

3.6.

Jährliche Aktualisierung und Überprüfung der SFC2021-Strategie für IT-Sicherheit und der relevanten nationalen, regionalen und lokalen Strategien für IT-Sicherheit im Falle technologischer Änderungen, der Feststellung neuer Bedrohungen oder sonstiger relevanter Entwicklungen.