5.5.2010

DE

Amtsblatt der Europäischen Union

L 112/25

---

BESCHLUSS DER KOMMISSION

vom 4. Mai 2010

über den Sicherheitsplan für den Betrieb des Visa-Informationssystems

(2010/260/EU)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (VIS-Verordnung) (1), insbesondere Artikel 32,

in Erwägung nachstehender Gründe:

(1)	Artikel 32 Absatz 3 der Verordnung (EG) Nr. 767/2008 sieht vor, dass die Verwaltungsbehörde die erforderlichen Maßnahmen ergreift, um die in Artikel 32 Absatz 2 genannten Ziele hinsichtlich des Betriebs des VIS zu erreichen, einschließlich der Verabschiedung eines Sicherheitsplans.

(2)	Artikel 26 Absatz 4 der Verordnung (EG) Nr. 767/2008 sieht vor, dass während einer Übergangszeit die Kommission für das Betriebsmanagement des VIS zuständig ist, bis die Verwaltungsbehörde ihre Aufgaben wahrnimmt.

(3)	Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (2) regelt die Verarbeitung personenbezogener Daten durch die Kommission, wenn diese ihren Aufgaben beim Betriebsmanagement des VIS nachkommt.

(4)

Während der Übergangszeit, bis die Verwaltungsbehörde ihre Aufgaben wahrnimmt, hat die Kommission im Falle einer Übertragung ihrer Zuständigkeit laut Artikel 26 Absatz 7 der Verordnung (EG) Nr. 767/2008 zu gewährleisten, dass sich dies nicht nachteilig auf die nach dem Gemeinschaftsrecht geltenden Kontrollmechanismen — sei es des Gerichtshofs, des Rechnungshofs oder des Europäischen Datenschutzbeauftragten — auswirkt.

(5)	Die Verwaltungsbehörde sollte, sobald sie ihre Aufgaben wahrnimmt, einen eigenen Sicherheitsplan für das VIS aufstellen.

(6)

In der Entscheidung Nr. 2008/602/EG der Kommission vom 17. Juni 2008 über den physischen Aufbau und die Anforderungen für die nationalen Schnittstellen und die Infrastruktur für die Kommunikation zwischen dem zentralen VIS und den nationalen Schnittstellen in der Entwicklungsphase (3) werden die für das VIS-Netz erforderlichen Sicherheitsdienstleistungen beschrieben.

(7)

Artikel 27 der Verordnung (EG) Nr. 767/2008 sieht vor, dass sich das für die technische Überwachung und das Management zuständige Haupt-CS-VIS in Straßburg (Frankreich) befindet, und dass sich ein Backup-CS-VIS, das alle Funktionalitäten des Haupt-CS-VIS bei einem Ausfall des Systems übernehmen kann, in Sankt Johann im Pongau (Österreich) befindet.

(8)	Um im Falle von Sicherheitsvorfällen eine wirksame und rasche Reaktion und Meldung zu ermöglichen, sollte festgelegt werden, welche Aufgaben die Sicherheitsbeauftragten wahrzunehmen haben.

(9)	Es sollte ein Sicherheitsplan eingeführt werden, der sämtliche technischen und organisatorischen Einzelheiten nach Maßgabe dieses Beschlusses regelt.

(10)	Es sollten Maßnahmen festgelegt werden, die einen ausreichenden Schutz des VIS-Betriebs sicherstellen —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand

Dieser Beschluss regelt die Sicherheitsorganisation und -maßnahmen (Sicherheitsplan) im Sinne von Artikel 32 Absatz 3 der Verordnung (EG) Nr. 767/2008.

KAPITEL II

ORGANISATION, ZUSTÄNDIGKEITEN UND VORFALLMANAGEMENT

Artikel 2

Aufgaben der Kommission

(1)   Die Kommission führt sämtliche Maßnahmen für die Sicherheit des zentralen VIS und der in diesem Beschluss genannten Kommunikationsinfrastruktur durch und überwacht ihre Wirksamkeit.

(2)   Die Kommission benennt einen ihrer Beamten als Beauftragten für die Systemsicherheit. Seine Ernennung erfolgt durch den Generaldirektor der Generaldirektion „Justiz, Freiheit und Sicherheit“ der Kommission. Der Beauftragte für die Systemsicherheit nimmt insbesondere folgende Aufgaben wahr:

a)	Ausarbeitung, Aktualisierung und Überprüfung des in Artikel 7 dieses Beschlusses beschriebenen Sicherheitsplans,

b)	Überwachung der Wirksamkeit der Sicherheitsverfahren für das zentrale VIS und die Kommunikationsinfrastruktur,

c)	Mitwirkung bei der Berichterstattung über die Sicherheit des Systems gemäß Artikel 50 Absätze 3 und 4 der Verordnung (EG) Nr. 767/2008,

d)	Koordinierung und Unterstützung der vom Europäischen Datenschutzbeauftragten vorgenommenen Kontrollen und Prüfungen gemäß Artikel 42 der Verordnung (EG) Nr. 767/2008,

e)	Überwachung im Hinblick auf eine ordnungsgemäße und vollständige Umsetzung dieses Beschlusses und des Sicherheitsplans durch etwaige, in gleich welcher Form an Verwaltung und Betrieb des VIS beteiligte Auftragnehmer einschließlich Unterauftragnehmer,

f)	Pflege einer Liste der nationalen Anlaufstellen für die VIS-Sicherheit und Verteilung der Liste an die örtlichen Sicherheitsbeauftragten für das zentrale VIS und für die Kommunikationsinfrastruktur.

Artikel 3

Örtlicher Sicherheitsbeauftragter für das zentrale VIS

(1)   Unbeschadet der Bestimmungen von Artikel 8 benennt die Kommission einen ihrer Beamten als örtlichen Sicherheitsbeauftragten für das zentrale VIS. Interessenkonflikte zwischen den Pflichten des örtlichen Sicherheitsbeauftragten und sonstigen dienstlichen Pflichten sind zu vermeiden. Die Ernennung des örtlichen Sicherheitsbeauftragten für das zentrale VIS erfolgt durch den Generaldirektor der Generaldirektion „Justiz, Freiheit und Sicherheit“ der Kommission.

(2)   Der örtliche Sicherheitsbeauftragte für das zentrale VIS stellt sicher, dass die in diesem Beschluss genannten Sicherheitsmaßnahmen für das zentrale VIS durchgeführt und die Sicherheitsverfahren eingehalten werden. In Bezug auf das Backup-CS-VIS stellt der örtliche Sicherheitsbeauftragte für das zentrale VIS sicher, dass mit Ausnahme der in Artikel 10 genannten Maßnahmen die in diesem Beschluss genannten Sicherheitsmaßnahmen durchgeführt und die einschlägigen Sicherheitsverfahren eingehalten werden.

(3)   Der örtliche Sicherheitsbeauftragte für das zentrale VIS kann ihm übertragene Aufgaben Untergebenen zuweisen. Interessenkonflikte zwischen diesen Aufgaben und sonstigen dienstlichen Pflichten sind zu vermeiden. Der örtliche Sicherheitsbeauftragte bzw. sein diensthabender Untergebener muss jederzeit über eine einheitliche Telefonnummer und Adresse erreichbar sein.

(4)   Der örtliche Sicherheitsbeauftragte für das zentrale VIS nimmt innerhalb der in Absatz 1 genannten Grenzen die Aufgaben wahr, die sich aus den am Standort des Haupt- bzw. Backup-CS-VIS zu ergreifenden Sicherheitsmaßnahmen ergeben; dabei handelt es sich insbesondere um

a)	Aufgaben im Zusammenhang mit der Wahrung der örtlichen Betriebssicherheit (u.a. Prüfung der Firewall, regelmäßige Sicherheitsprüfung, Audits und Berichterstattung),

b)	die Überwachung der Wirksamkeit des Notfallplans und die Ansetzung regelmäßiger Übungen,

c)	die Dokumentierung etwaiger Vorfälle mit möglichen Auswirkungen auf die Sicherheit des zentralen VIS oder der Kommunikationsinfrastruktur und ihre Meldung an den Beauftragten für die Systemsicherheit,

d)	die Benachrichtigung des Beauftragten für die Systemsicherheit, falls der Sicherheitsplan geändert werden muss,

e)	die Überwachung der Umsetzung dieses Beschlusses und des Sicherheitsplans durch etwaige, in gleich welcher Form an Verwaltung und Betrieb des zentralen VIS beteiligte Auftragnehmer einschließlich Unterauftragnehmer,

f)	die Sicherstellung, dass das Personal über seine Pflichten aufgeklärt wird, und die Überwachung der Umsetzung des Sicherheitsplans,

g)	die Überwachung der IT-Sicherheitsentwicklungen und die Sicherstellung einer entsprechenden Personalschulung,

h)	die Zusammenstellung von Hintergrundinformationen und die Ausarbeitung von Vorgehensmöglichkeiten für die Entwicklung, die Aktualisierung und die Überprüfung des in Artikel 7 beschriebenen Sicherheitsplans.

Artikel 4

Örtlicher Sicherheitsbeauftragter für die Kommunikationsinfrastruktur

(1)   Unbeschadet der Bestimmungen von Artikel 8 benennt die Kommission einen ihrer Beamten als örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur. Interessenkonflikte zwischen den Pflichten des örtlichen Sicherheitsbeauftragten und sonstigen dienstlichen Pflichten sind zu vermeiden. Die Ernennung des örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur erfolgt durch den Generaldirektor der Generaldirektion „Justiz, Freiheit und Sicherheit“ der Kommission.

(2)   Der örtliche Sicherheitsbeauftragte für die Kommunikationsinfrastruktur überwacht den Betrieb der Kommunikationsinfrastruktur und stellt sicher, dass die Sicherheitsmaßnahmen durchgeführt und die Sicherheitsverfahren eingehalten werden.

(3)   Der örtliche Sicherheitsbeauftragte für die Kommunikationsinfrastruktur kann ihm übertragene Aufgaben Untergebenen zuweisen. Interessenkonflikte zwischen diesen Aufgaben und sonstigen dienstlichen Pflichten sind zu vermeiden. Der örtliche Sicherheitsbeauftragte bzw. sein diensthabender Untergebener muss jederzeit über eine einheitliche Telefonnummer und Adresse erreichbar sein.

(4)   Der örtliche Sicherheitsbeauftragte für die Kommunikationsinfrastruktur nimmt die Aufgaben wahr, die sich aus den in Bezug auf die Kommunikationsinfrastruktur zu ergreifenden Sicherheitsmaßnahmen ergeben; dabei handelt es sich insbesondere um

a)	sämtliche im Zusammenhang mit der Betriebssicherheit der Kommunikationsinfrastruktur stehende Aufgaben (u.a. Prüfung der Firewall, regelmäßige Sicherheitsprüfung, Audits und Berichterstattung),

b)	die Überwachung der Wirksamkeit des Notfallplans und die Ansetzung regelmäßiger Übungen,

c)	die Dokumentierung etwaiger Vorfälle mit möglichen Auswirkungen auf die Sicherheit der Kommunikationsinfrastruktur, des zentralen VIS oder der nationalen Systeme und ihre Meldung an den Beauftragten für die Systemsicherheit,

d)	die Benachrichtigung des Beauftragten für die Systemsicherheit, falls der Sicherheitsplan geändert werden muss,

e)	die Überwachung der Umsetzung dieses Beschlusses und des Sicherheitsplans durch etwaige, in gleich welcher Form an Verwaltung und Betrieb der Kommunikationsinfrastruktur beteiligte Auftragnehmer einschließlich Unterauftragnehmer,

f)	die Sicherstellung, dass das Personal über seine Pflichten aufgeklärt wird, und die Überwachung der Umsetzung des Sicherheitsplans,

g)	die Überwachung der IT-Sicherheitsentwicklungen und die Sicherstellung einer entsprechenden Personalschulung,

h)	die Zusammenstellung von Hintergrundinformationen und die Ausarbeitung von Vorgehensmöglichkeiten für die Entwicklung, die Aktualisierung und die Überprüfung des in Artikel 7 beschriebenen Sicherheitsplans.

Artikel 5

Sicherheitsvorfälle

(1)   Jedwedes Ereignis, das sich auf die Sicherheit des VIS-Betriebs auswirkt bzw. auswirken kann, das VIS beschädigen oder dessen Ausfall nach sich ziehen kann, ist als Sicherheitsvorfall anzusehen; dies gilt insbesondere, wenn möglicherweise ein Datenzugriff erfolgt ist oder (möglicherweise) die Verfügbarkeit, die Integrität und die Vertraulichkeit von Daten nicht mehr gewährleistet gewesen ist.

(2)   Im Sicherheitsplan sind Verfahren zur Wiederherstellung der Sicherheit nach einem Vorfall vorzusehen. Sicherheitsvorfällen ist durch eine rasche, wirksame und geeignete Reaktion nach Maßgabe des Sicherheitsplans zu begegnen.

(3)   Informationen über Sicherheitsvorfälle, die sich auf den Betrieb des VIS in einem Mitgliedstaat oder auf die Verfügbarkeit, die Integrität und die Vertraulichkeit der von einem Mitgliedstaat eingegebenen Daten auswirken bzw. auswirken können, sind an den betreffenden Mitgliedstaat zu übermitteln. Sicherheitsvorfälle sind dem Datenschutzbeauftragten der Kommission zu melden.

Artikel 6

Vorfallmanagement

(1)   Alle an der Entwicklung, an der Verwaltung und am Betrieb des VIS beteiligten Mitarbeiter und Auftragnehmer haben etwaige von ihnen beobachtete oder vermutete Sicherheitsmängel beim Betrieb des VIS zu beachten und je nach Fall dem Beauftragten für die Systemsicherheit, dem örtlichen Sicherheitsbeauftragten für das zentrale VIS bzw. dem örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur zu melden.

(2)   Bei Aufdeckung eines Vorfalls, der sich auf die Sicherheit des VIS-Betriebs auswirkt oder auswirken könnte, informiert der örtliche Sicherheitsbeauftragte für das zentrale VIS oder der örtliche Sicherheitsbeauftragte für die Kommunikationsinfrastruktur so rasch wie möglich den Beauftragten für die Systemsicherheit sowie gegebenenfalls die nationale Anlaufstelle für die VIS-Sicherheit (falls eine solche Stelle in dem betreffenden Mitgliedstaat existiert) in schriftlicher Form bzw. — in dringenden Fällen — über sonstige Kommunikationskanäle. Der betreffende Bericht hat eine Beschreibung des Sicherheitsvorfalls, der Gefahrenstufe, der möglichen Folgen und der bereits ergriffenen oder zu ergreifenden Gefahrenminderungsmaßnahmen zu umfassen.

(3)   Etwaige Beweise für den Sicherheitsvorfall sind je nach Fall unverzüglich vom örtlichen Sicherheitsbeauftragten für das zentrale VIS bzw. vom örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur sicherzustellen. So weit es die geltenden Datenschutzbestimmungen zulassen, sind diese Beweise dem Beauftragten für die Systemsicherheit auf Antrag vorzulegen.

(4)   Es sind geeignete Rückmeldungsverfahren vorzusehen, die sicherstellen, dass nach Behandlung und Abschluss eines Vorfalls ein Feedback über die betreffenden Ergebnisse erfolgt.

KAPITEL III

SICHERHEITSMASSNAHMEN

Artikel 7

Sicherheitsplan

(1)   Der Generaldirektor der Generaldirektion „Justiz, Freiheit und Sicherheit“ erlässt einen verbindlichen Sicherheitsplan nach Maßgabe dieses Beschlusses und aktualisiert und überprüft diesen regelmäßig. Der Sicherheitsplan hat detaillierte Verfahren und Maßnahmen zum Schutz vor der Verfügbarkeit, der Integrität und der Vertraulichkeit des VIS abträglichen Bedrohungen vorzusehen und eine Notfallplanung einzuschließen, damit eine ausreichende Sicherheit im Sinne dieses Beschlusses sichergestellt ist. Der Sicherheitsplan hat im Einklang mit diesem Beschluss zu stehen.

(2)   Der Sicherheitsplan hat sich auf eine Risikobewertung zu gründen. Die im Sicherheitsplan vorgesehenen Maßnahmen müssen den ermittelten Risiken angemessen sein.

(3)   Die Risikobewertung und der Sicherheitsplan sind zu aktualisieren, wenn technologische Änderungen, neue Bedrohungen oder sonstige Umstände dies erforderlich machen. Unabhängig davon ist der Sicherheitsplan alljährlich zu überprüfen, um sicherzustellen, dass er nach wie vor in geeigneter Weise der jüngsten Risikobewertung, der neuesten technologischen Entwicklung und den aktuellen Bedrohungen und sonstigen maßgeblichen Umständen Rechnung trägt.

(4)   Der Sicherheitsplan wird vom Beauftragten für die Systemsicherheit in Absprache mit dem örtlichen Sicherheitsbeauftragten für das VIS und dem örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur ausgearbeitet.

Artikel 8

Umsetzung der Sicherheitsmaßnahmen

(1)   Die Umsetzung der in diesem Beschluss und im Sicherheitsplan vorgesehenen Aufgaben und Anforderungen einschließlich der Benennung eines örtlichen Sicherheitsbeauftragten kann per Auftrag oder Delegation privaten oder öffentlichen Einrichtungen anvertraut werden.

(2)   In diesem Fall stellt die Kommission im Wege einer rechtsverbindlichen Vereinbarung sicher, dass die Anforderungen dieses Beschlusses und des Sicherheitsplans in vollem Umfang erfüllt werden. Falls die Aufgabe der Benennung eines örtlichen Sicherheitsbeauftragten im Rahmen eines Auftrags oder einer Delegation umgesetzt wird, stellt die Kommission im Wege einer rechtsverbindlichen Vereinbarung sicher, dass sie bezüglich der als örtlicher Sicherheitsbeauftragter zu benennenden Person zu Rate gezogen wird.

Artikel 9

Kontrolle des Zugangs zu Datenverarbeitungseinrichtungen

(1)   Zum Schutz von Bereichen, in denen sich Datenverarbeitungseinrichtungen befinden, sind Sicherheitszonen mit geeigneten Sperren und Zugangskontrollen einzurichten.

(2)   Innerhalb der Sicherheitszonen sind Sicherheitsbereiche zum Schutz der physischen Bestandteile (Sachanlagen) einschließlich Hardware, Datenträger, Konsolen und der Pläne und sonstigen Dokumente über das VIS sowie der Büroräume und sonstigen Arbeitsplätze des mit dem Betrieb des VIS befassten Personals festzulegen. Diese Bereiche sind durch geeignete Zugangskontrollen zu schützen, so dass nur befugtem Personal Zugang gewährt wird. Sämtliche in Sicherheitsbereichen durchgeführten Arbeiten unterliegen den ausführlichen Sicherheitsbestimmungen, die im Sicherheitsplan festgelegt wurden.

(3)   Für die physische Sicherheit von Büro- und sonstigen Räumen sowie Einrichtungen sind geeignete Sicherheitsvorkehrungen vorzusehen und zu treffen. Zugangspunkte wie Liefer- und Ladezonen und sonstige Punkte, an denen Unbefugte die betreffenden Gebäude oder Bereiche betreten könnten, sind zu kontrollieren und nach Möglichkeit von Datenverarbeitungseinrichtungen zu isolieren, um jedweden unerlaubten Zugriff zu vermeiden.

(4)   Für die Sicherheitszone ist ein dem bestehenden Risiko angemessener physischer Schutz vor Beschädigung durch eine Naturkatastrophe oder eine vom Menschen verursachte Katastrophe zu konzipieren und anzuwenden.

(5)   Ausrüstung ist vor physischen Bedrohungen, Umweltbedrohungen und unerlaubtem Zugriff zu schützen.

(6)   Falls der Kommission die betreffenden Informationen vorliegen, fügt sie der in Artikel 2 Absatz 2 Buchstabe f genannten Liste eine Anlaufstelle für die Überwachung der Umsetzung dieses Artikels am Standort des Backup-CS-VIS hinzu.

Artikel 10

Kontrolle von Datenträgern und anderen wichtigen Komponenten

(1)   Wechseldatenträger, die Daten enthalten, sind vor Zugriff durch Unbefugte, vor Missbrauch und vor Zerstörung zu schützen, und ihre Lesbarkeit ist während der gesamten Lebensdauer der Daten sicherzustellen.

(2)   Nicht mehr benötigte Datenträger sind nach Maßgabe der im Sicherheitsplan festzulegenden ausführlichen Verfahrensbestimmungen sicher zu entsorgen.

(3)   Durch Bestandsaufnahmen ist sicherzustellen, dass Informationen über den Speicherort, die geltende Vorhaltezeit und die Zugriffsermächtigungen verfügbar sind.

(4)   Es sind alle wichtigen Komponenten des zentralen VIS und der Kommunikationsinfrastruktur zu ermitteln, damit sie ihrer Bedeutung entsprechend geschützt werden können. Ferner ist ein aktuelles Verzeichnis der einschlägigen IT-Ausrüstung zu führen.

(5)   Es muss eine auf dem neuesten Stand befindliche Dokumentation des zentralen VIS und der Kommunikationsinfrastruktur verfügbar sein. Die Dokumentation ist vor Zugriff durch Unbefugte zu schützen.

Artikel 11

Speicherkontrolle

(1)   Es sind geeignete Maßnahmen zu treffen, die eine ordnungsgemäße Datenspeicherung sicherstellen und unerlaubten Zugriff auf die Daten verhindern.

(2)   Sämtliche Ausrüstungsgegenstände, die Speichermedien enthalten, sind vor ihrer Entsorgung zu prüfen, um sicherzustellen, dass sensible Daten gelöscht oder vollständig überschrieben wurden, oder sicher zu vernichten.

Artikel 12

Passwortkontrolle

(1)   Passwörter sind sicher aufzubewahren und vertraulich zu behandeln. Bei Verdacht, dass ein Passwort offengelegt worden ist, ist das Passwort unverzüglich zu ändern oder das betreffende Benutzerkonto zu deaktivieren. Es sind persönliche, eindeutige Benutzerkennungen zu verwenden.

(2)   Im Sicherheitsplan sind geeignete An- und Abmeldeverfahren vorzusehen, um jedweden Zugriff durch Unbefugte zu verhindern.

Artikel 13

Zugangskontrolle

(1)   Im Sicherheitsplan ist ein förmliches An- und Abmeldeverfahren einzuführen, über das Mitarbeitern am zentralen VIS zu den Zwecken des Betriebsmanagements der Zugang zu VIS-Hard- und Software erteilt bzw. entzogen werden kann. Die Zuteilung und Verwendung entsprechender Anmeldeinformationen (Passwort oder dergleichen) ist über ein im Sicherheitsplan festzulegendes förmliches Verfahren zu kontrollieren.

(2)   Der Zugang zur VIS-Hard- und Software am zentralen VIS

i)	ist auf befugte Personen zu beschränken,

ii)	ist auf die Fälle zu begrenzen, in denen ein legitimer Zweck nach Artikel 42 und Artikel 50 Absatz 2 der Verordnung (EG) Nr. 767/2008 verfolgt wird,

iii)	darf, was seine Dauer und seinen Umfang anbelangt, nicht über das für die Zwecke des Zugangs erforderliche Maß hinausgehen und

iv)	darf nur nach Maßgabe eines im Sicherheitsplan festzulegenden Zugangskontrollverfahrens erfolgen.

(3)   Am zentralen VIS dürfen ausschließlich die vom örtlichen Sicherheitsbeauftragten zugelassenen Konsolen und Softwareanwendungen verwendet werden. Die Verwendung von Systemprogrammen, mit denen System- und Softwareeinstellungen überschrieben werden könnten, ist einzuschränken und zu kontrollieren. Es sind Verfahren zur Kontrolle der Softwareinstallation vorzusehen.

Artikel 14

Kommunikationskontrolle

Die Kommunikationsinfrastruktur ist zu überwachen, um die Verfügbarkeit, die Integrität und die Vertraulichkeit des Informationsaustausches zu gewährleisten. Zum Schutz der über die Kommunikationsinfrastruktur übertragenen Daten sind kryptografische Mittel einzusetzen.

Artikel 15

Kontrolle der Dateneingabe

Die Benutzerkonten der zum Zugriff auf VIS-Software vom zentralen VIS berechtigten Personen ist vom örtlichen Sicherheitsbeauftragten für das zentrale VIS zu überwachen. Die Nutzung dieser Konten ist einschließlich Dauer und Benutzerkennung zu erfassen.

Artikel 16

Transportkontrolle

(1)   Im Sicherheitsplan sind geeignete Maßnahmen festzulegen, durch die vermieden wird, dass personenbezogene Daten bei der Übertragung zum oder vom VIS oder während des Transports von Datenträgern von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können. Ferner ist im Sicherheitsplan festzulegen, welche Versand- bzw. Transportarten zulässig und welche Haftungsbestimmungen beim Transport und bei der Ankunft von Datenträgern am Zielort zu beachten sind. Die Datenträger dürfen keine anderen als die zu übermittelnden Daten enthalten.

(2)   Von Dritten erbrachte Dienstleistungen, die den Zugriff auf Daten, die Verarbeitung und Übermittlung von Daten oder die Verwaltung von Datenverarbeitungseinrichtungen einschließen oder durch die zusätzliche Erzeugnisse oder Dienstleistungen für Datenverarbeitungseinrichtungen bereitgestellt werden, müssen ausreichende integrierte Sicherheitskontrollen beinhalten.

Artikel 17

Sicherheit der Kommunikationsinfrastruktur

(1)   Die Kommunikationsinfrastruktur ist in geeigneter Weise zu verwalten und zu kontrollieren, um sie vor Bedrohungen zu schützen und um ihre Sicherheit sowie die des zentralen VIS einschließlich der darüber ausgetauschten Daten sicherzustellen.

(2)   Die für sämtliche Netzdienste geltenden Anforderungen in Bezug auf Sicherheitsmerkmale, Dienstgüte und Verwaltung sind in der Netzdienstevereinbarung mit dem Dienstanbieter festzulegen.

(3)   Neben den VIS-Zugangspunkten sind auch etwaige zusätzliche von der Kommunikationsinfrastruktur genutzte Dienste zu schützen. Die betreffenden Maßnahmen sind im Sicherheitsplan festzulegen.

Artikel 18

Überwachung

(1)   Die Protokolldateien, in denen die in Artikel 34 Absatz 1 der Verordnung (EG) Nr. 767/2008 genannten Informationen über jedweden Zugriff auf das zentrale VIS und sämtliche darin erfolgenden Datenverarbeitungvorgänge aufgezeichnet werden, sind sicher aufzubewahren und müssen während der in Artikel 34 Absatz 2 der Verordnung (EG) Nr. 767/2008 genannten Frist vom Standort des Haupt-CS-VIS und des Backup-CS-VIS aus zugänglich sein.

(2)   Die Verfahrensvorschriften für die Überwachung der Datenverarbeitungseinrichtungen und die Erfassung etwaiger dabei auftretender Fehler sind im Sicherheitsplan festzulegen, und die Überwachungsergebnisse sind regelmäßig zu prüfen. Erforderlichenfalls sind geeignete Maßnahmen zu treffen.

(3)   Die Protokollierungseinrichtungen und die Protokolldateien sind vor Manipulation und unbefugtem Zugriff zu schützen, damit die für die Vorhaltefrist geltenden Anforderungen in Bezug auf die Datensammlung und -vorhaltung eingehalten werden.

Artikel 19

Kryptografische Maßnahmen

Falls es zum Schutz von Informationen erforderlich ist, ist auf kryptografische Maßnahmen zurückzugreifen. Der Einsatz derartiger Maßnahmen einschließlich der dabei verfolgten Zwecke und geltenden Bedingungen bedarf der vorherigen Genehmigung durch den Beauftragten für die Systemsicherheit.

KAPITEL IV

PERSONALSICHERHEIT

Artikel 20

Personalprofile

(1)   Im Sicherheitsplan sind die Aufgaben und die Zuständigkeiten der zum Zugang zum VIS und zur Kommunikationsinfrastruktur berechtigten Personen festzulegen.

(2)   Die Sicherheitsaufgaben und -befugnisse der mit dem Betriebsmanagement befassten Kommissionsbediensteten, Auftragnehmer und sonstigen Mitarbeiter sind zu definieren, zu dokumentieren und den betreffenden Personen mitzuteilen. Bei Kommissionspersonal sind diese Aufgaben und Befugnisse in der Tätigkeitsbeschreibung und in den Zielen festzuhalten, bei Auftragnehmern in den betreffenden Verträgen bzw. Dienstgütevereinbarungen.

(3)   Mit Personen, die keinen Vorschriften für den öffentlichen Dienst in der Europäischen Union oder einem Mitgliedstaat unterliegen, sind Vertraulichkeits- bzw. Geheimhaltungsvereinbarungen zu schließen. Mitarbeiter, die mit VIS-Daten umgehen sollen, müssen sicherheitsüberprüft oder nach Maßgabe der ausführlichen, im Sicherheitsplan festzulegenden Verfahrensvorschriften zertifiziert sein.

Artikel 21

Information des Personals

(1)   Sämtliche Mitarbeiter und gegebenenfalls Auftragnehmer sind ihren Aufgaben entsprechend zu schulen (Sicherheitsbewusstsein, rechtliche Anforderungen, politische Strategien und Verfahren).

(2)   Ferner ist im Sicherheitsplan festzulegen, welchen Pflichten Mitarbeiter und Auftragnehmer beim Ablauf ihres Beschäftigungs- bzw. Vertragsverhältnisses in Bezug auf einen etwaigen Arbeitsplatzwechsel oder die Beendigung des Arbeitsverhältnisses unterliegen und welche Verfahrensvorschriften für die Hardwarerückgabe und den Entzug von Zugangsrechten gelten.

KAPITEL V

SCHLUSSBESTIMMUNG

Artikel 22

Anwendbarkeit

(1)   Dieser Beschluss wird an dem von der Kommission gemäß Artikel 48 Absatz 1 der Verordnung (EG) Nr. 767/2008 festgelegten Zeitpunkt wirksam.

(2)   Dieser Beschluss gilt, bis die Verwaltungsbehörde ihre Aufgaben aufnimmt.

---

(1)  ABl. L 218 vom 13.8.2008, S. 60.

(2)  ABl. L 8 vom 12.1.2001, S. 1.

(3)  ABl. L 194 vom 23.7.2008, S. 3.

---