31.5.2008   

DE

Amtsblatt der Europäischen Union

L 141/5

(1)

Gemäß der Verordnung (EG) Nr. 550/2004 bestimmt und billigt die Kommission die relevanten Bestimmungen der Eurocontrol-Anforderungen im Bereich der Sicherheitsregelung (Eurocontrol Safety Regulatory Requirements, ESARR) und berücksichtigt dabei die bestehenden Gemeinschaftsvorschriften. Die ESARR 6 „Software in Flugverkehrsmanagementsystemen“ enthalten ein Paket von Sicherheitsanforderungen für die Einführung eines Systems zur Gewährleistung der Software-Sicherheit.

(2)

Im letzten Satz von Erwägungsgrund 12 der Verordnung (EG) Nr. 2096/2005 der Kommission vom 20. Dezember 2005 zur Festlegung gemeinsamer Anforderungen bezüglich der Erbringung von Flugsicherungsdiensten (2) heißt es, dass „die einschlägigen Bestimmungen der ESARR 1 zur Sicherheitsaufsicht im Flugverkehrsmanagement und der ESARR 6 zur Software in Flugverkehrsmanagementsystemen benannt und durch getrennte Rechtsakte der Gemeinschaft angenommen werden [sollten].“

(3)

Gemäß Anhang II der Verordnung (EG) Nr. 2096/2005 müssen Erbringer von Flugverkehrsdiensten ein Sicherheitsmanagementsystem einrichten sowie eine Risikobewertung und -minderung im Hinblick auf Änderungen vornehmen. Im Rahmen ihres Sicherheitsmanagements und als Teil ihrer Risikobewertung und -minderung im Hinblick auf Änderungen sollten die Erbringer von Flugverkehrsdiensten ein System zur Gewährleistung der Software-Sicherheit definieren und einrichten, das der gezielten Behandlung von Software-Aspekten dient.

(4)

Im Bereich der Software-Sicherheit funktionaler Systeme soll vorrangig das Ziel erreicht werden, die mit der Verwendung der in den europäischen Flugverkehrsmanagementnetzsystemen enthaltenen Software („EATMN-Software“) verbundenen Risiken auf ein tolerierbares Niveau zu senken.

(5)

Diese Verordnung sollte nicht für den militärischen Einsatz- und Ausbildungsbetrieb im Sinne von Artikel 1 Absatz 2 der Verordnung (EG) Nr. 549/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Festlegung des Rahmens für die Schaffung eines einheitlichen europäischen Luftraums (Rahmenverordnung) (3) gelten.

(6)

Anhang II der Verordnung (EG) Nr. 2096/2005 sollte dementsprechend geändert werden.

(7)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ausschusses für den einheitlichen Luftraum —

1.

„Software“ sind Computerprogramme und dazugehörige Konfigurationsdaten, einschließlich Standardsoftware, jedoch mit Ausnahme elektronischer Bausteine wie anwendungsspezifische integrierte Schaltungen, speicherprogrammierbare Steuerungen und festen Logikkontrolleinheiten;

2.

„Konfigurationsdaten“ sind Daten, durch die ein generisches Softwaresystem für einen bestimmten Verwendungszweck konfiguriert wird;

3.

„Standardsoftware“ ist Software, die nicht speziell für einen Vertrag entwickelt wurde;

4.

„Gewährleistung der Sicherheit“ sind alle geplanten und systematischen Aktionen, die notwendig sind, um ein angemessenes Vertrauen zu erzeugen, dass ein Produkt, ein Dienst, eine Organisation oder ein funktionales System einem akzeptablen oder tolerierbaren Niveau an Sicherheit genügt;

5.

„Organisation“ ist eine Flugsicherungsorganisation oder eine Stelle, die CNS-, ATFM- oder ASM-Aufgaben erfüllt;

6.

„funktionales System“ ist eine Kombination von Systemen, Verfahren und Personal mit dem Ziel, eine Funktion im Bereich des Flugverkehrsmanagements zu erfüllen;

7.

„Risiko“ ist die Kombination der Gesamtwahrscheinlichkeit oder Häufigkeit des Vorkommens einer schädlichen Auswirkung, die von einer Gefahr verursacht wird, und der Schwere dieser Auswirkung;

8.

„Gefahr“ ist jede Bedingung, jeder Vorfall oder Umstand, die oder der einen Unfall verursachen könnte;

9.

„neue Software“ ist eine Software, die bestellt wurde oder für die nach dem Inkrafttreten dieser Verordnung entsprechende verbindliche Verträge geschlossen wurden;

10.

„Sicherheitsziel“ ist eine qualitative oder quantitative Aussage, die die maximale Häufigkeit oder Wahrscheinlichkeit eines erwarteten Gefahreneintritts angibt;

11.

„Sicherheitsanforderung“ ist eine aus der Risikominderungsstrategie abgeleitete Maßnahme zur Risikominderung, die ein bestimmtes Sicherheitsziel erreicht und organisatorische, operative, prozedurale, funktionale, Leistungs- und Interoperabilitätsanforderungen sowie Umweltcharakteristika beinhaltet;

12.

„Umschaltung oder Hot Swap“ ist eine Technik, bei der Komponenten oder Software von Flugverkehrsmanagementnetz(EATMN)-systemen während des Betriebs ausgetauscht werden;

13.

„Software-Sicherheitsanforderung“ ist eine Beschreibung der von der Software aufgrund bestimmter Eingaben und Bedingungen zu erbringenden Leistungen, durch die gewährleistet wird, dass die EATMN-Software sicher und entsprechend den Betriebsanforderungen funktioniert;

14.

„EATMN-Software“ ist die in den europäischen EATMN-Systemen gemäß Artikel 1 verwendete Software;

15.

„Anforderungsvalidierung“ ist die durch Prüfung und objektive Nachweise erbrachte Bestätigung, dass die mit einem bestimmten Verwendungszweck verknüpften Anforderungen erfüllt sind;

16.

„unabhängig erbracht“ bedeutet im Rahmen der Software-Verifizierung, dass die Verifizierung von einer anderen Person als dem Entwickler des Gegenstands der Verifizierung durchgeführt wird;

17.

„Software-Störung“ ist das Unvermögen eines Programms, eine geforderte Funktion korrekt auszuführen;

18.

„Software-Ausfall“ ist das Unvermögen eines Programms, eine geforderte Funktion auszuführen;

19.

„COTS-Anwendungen“ (Commercial Off-The-Shelf) sind kommerziell verfügbare Anwendungen, die über öffentliche Kataloge vertrieben werden und nicht zur kundenspezifischen Anpassung oder Aufrüstung konzipiert sind;

20.

„Software-Komponenten“ sind Bausteine, die installiert oder zum Aufbau kundenspezifischer Anwendungen mit anderen, wieder verwendbaren Software-Bausteinen zusammengefügt werden können;

21.

„unabhängige Software-Komponenten“ sind Software-Komponenten, die durch die Störung, durch die die Gefahr verursacht wird, nicht außer Betrieb gesetzt werden;

22.

„Software-Reaktionszeit“ ist die Zeit, in der die Software auf bestimmte Eingaben oder regelmäßige Ereignisse reagieren muss, und/oder die Leistungsfähigkeit der Software, gemessen in verarbeiteten Transaktionen oder Meldungen je Zeiteinheit;

23.

„Software-Kapazität“ ist die Fähigkeit der Software, einen bestimmten Datenfluss zu verarbeiten;

24.

„Genauigkeit“ ist die geforderte Exaktheit der berechneten Ergebnisse;

25.

„Ressourcennutzung“ ist die Menge an Ressourcen innerhalb des Computersystems, die von der Anwendungssoftware genutzt werden kann;

26.

„Software-Stabilität“ ist das Verhalten der Software bei unvorhergesehenen Eingaben, Hardware-Fehlern und Unterbrechungen der Stromversorgung, entweder im Computersystem selbst oder in angeschlossenen Geräten;

27.

„Überlasttoleranz“ ist das Verhalten des Systems und insbesondere seine Toleranz gegenüber Eingaberaten, die die bei normalem Systembetrieb zu erwartende Datenmenge übersteigen;

28.

„korrekte und vollständige Verifizierung der EATMN-Software“ bedeutet, dass alle Software-Sicherheitsanforderungen die an die Software-Komponente im Rahmen der Risikobewertung und -minderung gestellten Ansprüche korrekt darstellen und dass die Erfüllung dieser Sicherheitsanforderungen nach Maßgabe der geforderten Software-Sicherheitsanforderungsstufe nachgewiesen wird;

29.

„Lebenszyklusdaten“ sind die während des Software-Lebenszyklus produzierten Daten, die der Planung, Steuerung, Erklärung, Definition, Aufzeichnung oder dem Nachweis von Vorgängen dienen; diese Daten ermöglichen die Freigabe der Software-Lebenszyklusprozesse, des Systems oder der Ausrüstung sowie anschließender Software-Änderungen;

30.

„Software-Lebenszyklus“ ist

31.

„Systemsicherheitsanforderung“ ist eine für ein funktionales System geltende Sicherheitsanforderung.

a)

Die Software-Sicherheitsanforderungen stellen die von der Software zu erfüllenden Bedingungen, um den im Rahmen der Risikobewertung und -minderung beschriebenen Sicherheitszielen und -anforderungen zu entsprechen, korrekt dar.

b)

Die Rückverfolgbarkeit sämtlicher Software-Sicherheitsanforderungen ist gewährleistet.

c)

Die Einführung der Systems beinhaltet keine Funktion, die die Sicherheit beeinträchtigt.

d)

Die EATMN-Software erfüllt die an sie gestellten Anforderungen mit einem Grad an Zuverlässigkeit, der der Kritikalität der Software entspricht.

e)

Es bestehen Garantien, die die Erfüllung der allgemeinen in Buchstaben a bis d aufgeführten Sicherheitsanforderungen bestätigen und die Argumente für den Nachweis der geforderten Garantien lassen sich jederzeit durch Folgendes belegen:

1.

Das System ist dokumentiert, insbesondere im Rahmen der Gesamtdokumentation zur Risikobewertung und -minderung.

2.

Jeder operationellen EATMN-Software wird nach Maßgabe der Anforderungen in Anhang I eine Sicherheitsanforderungsstufe zugewiesen.

3.

Das System umfasst Garantien für Folgendes:

4.

In dem System wird das mit den Garantien verknüpfte Anspruchsniveau festgelegt. Die Ansprüche werden für jede Software-Sicherheitsanforderungsstufe bestimmt und steigen mit zunehmender Software-Kritikalität. Zu diesem Zweck

5.

Zur Bestätigung, dass das System zur Gewährleistung der Software-Sicherheit und die zugewiesenen Sicherheitsanforderungsstufen angemessen sind, wird auf frühere Erfahrungen mit EATMN-Software zurückgegriffen. Zu diesem Zweck werden die Auswirkungen von Software-Störungen oder -Ausfällen, die aufgrund der einschlägigen Bestimmungen zur Meldung und Bewertung von Sicherheitsvorfällen gemeldet werden, im Verhältnis zu den für das betreffende System ermittelten Auswirkungen bewertet, deren Schwere anhand des Klassifikationssystems in Anhang II Nummer 3.2.4 der Verordnung (EG) Nr. 2096/2005 eingestuft wird.