This document is an excerpt from the EUR-Lex website
Document 02008R0482-20111107
Commission Regulation (EC) No 482/2008 of 30 May 2008 establishing a software safety assurance system to be implemented by air navigation service providers and amending Annex II to Regulation (EC) No 2096/2005 (Text with EEA relevance)
Consolidated text: Κανονισμός (ΕΚ) αριθ. 482/2008 της Επιτροπής της 30ής Μαΐου 2008 για τη θέσπιση συστήματος εγγύησης της ασφάλειας λογισμικού που πρέπει να εφαρμόζουν οι φορείς παροχής υπηρεσιών αεροναυτιλίας και για την τροποποίηση του παραρτήματος ΙΙ του κανονισμού (ΕΚ) αριθ. 2096/2005 (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Κανονισμός (ΕΚ) αριθ. 482/2008 της Επιτροπής της 30ής Μαΐου 2008 για τη θέσπιση συστήματος εγγύησης της ασφάλειας λογισμικού που πρέπει να εφαρμόζουν οι φορείς παροχής υπηρεσιών αεροναυτιλίας και για την τροποποίηση του παραρτήματος ΙΙ του κανονισμού (ΕΚ) αριθ. 2096/2005 (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
No longer in force
)
2008R0482 — EL — 07.11.2011 — 001.001
Το έγγραφο αυτό συνιστά βοήθημα τεκμηρίωσης και δεν δεσμεύει τα κοινοτικά όργανα
ΚΑΝΟΝΙΣΜΌΣ (ΕΚ) αριθ. 482/2008 ΤΗΣ ΕΠΙΤΡΟΠΉΣ της 30ής Μαΐου 2008 για τη θέσπιση συστήματος εγγύησης της ασφάλειας λογισμικού που πρέπει να εφαρμόζουν οι φορείς παροχής υπηρεσιών αεροναυτιλίας και για την τροποποίηση του παραρτήματος ΙΙ του κανονισμού (ΕΚ) αριθ. 2096/2005 (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ) (ΕΕ L 141, 31.5.2008, p.5) |
Τροποποιείται από:
|
|
Επίσημη Εφημερίδα |
||
No |
page |
date |
||
ΕΚΤΕΛΕΣΤΙΚΌΣ ΚΑΝΟΝΙΣΜΌΣ (ΕΕ) αριθ. 1035/2011 ΤΗΣ ΕΠΙΤΡΟΠΉΣ της 17ης Οκτωβρίου 2011 |
L 271 |
23 |
18.10.2011 |
ΚΑΝΟΝΙΣΜΌΣ (ΕΚ) αριθ. 482/2008 ΤΗΣ ΕΠΙΤΡΟΠΉΣ
της 30ής Μαΐου 2008
για τη θέσπιση συστήματος εγγύησης της ασφάλειας λογισμικού που πρέπει να εφαρμόζουν οι φορείς παροχής υπηρεσιών αεροναυτιλίας και για την τροποποίηση του παραρτήματος ΙΙ του κανονισμού (ΕΚ) αριθ. 2096/2005
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,
Έχοντας υπόψη:τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,
τον κανονισμό (ΕΚ) αριθ. 550/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 10ης Μαρτίου 2004, σχετικά με την παροχή υπηρεσιών αεροναυτιλίας στο πλαίσιο του ενιαίου ευρωπαϊκού ουρανού (κανονισμός για την παροχή υπηρεσιών) ( 1 ), και ιδίως το άρθρο 4,
Εκτιμώντας τα ακόλουθα:
(1) |
Σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 550/2004, η Επιτροπή καθορίζει και θεσπίζει τις σχετικές διατάξεις για ρυθμιστικές απαιτήσεις ασφάλειας (Eurocontrol Safety Regulatory Requirements – «ESARR»), λαμβάνοντας υπόψη την κείμενη κοινοτική νομοθεσία. Η ESARR 6, που φέρει τον τίτλο «λογισμικό σε συστήματα ATM», προβλέπει δέσμη ρυθμιστικών απαιτήσεων ασφάλειας για την εφαρμογή συστήματος εγγύησης της ασφάλειας λογισμικού. |
(2) |
Στον κανονισμό (ΕΚ) αριθ. 2096/2005 της Επιτροπής, της 20ής Δεκεμβρίου 2005, περί καθορισμού κοινών απαιτήσεων για την παροχή υπηρεσιών αεροναυτιλίας ( 2 ), αναφέρεται στην τελευταία πρόταση της αιτιολογικής σκέψης 12 ότι «Οι σχετικές διατάξεις της ESARR 1 για την επιτήρηση της ασφαλείας στην ATM και της ESARR 6 για το λογισμικό σε συστήματα ATM πρέπει να εντοπιστούν και να εγκριθούν με χωριστή κοινοτική πράξη». |
(3) |
Σύμφωνα με το παράρτημα ΙΙ του κανονισμού (ΕΚ) αριθ. 2096/2005, απαιτείται από τους φορείς παροχής υπηρεσιών εναέριας κυκλοφορίας να εφαρμόζουν σύστημα διαχείρισης της ασφάλειας, καθώς και εκτίμηση και μετριασμό της επικινδυνότητας όσον αφορά τις αλλαγές. Στο πλαίσιο του συστήματος διαχείρισης της ασφάλειας που εφαρμόζει, και ως μέρος της εκτίμησης και του μετριασμού της επικινδυνότητας όσον αφορά τις αλλαγές, ένας φορέας παροχής υπηρεσιών εναέριας κυκλοφορίας πρέπει να καθορίζει και να εφαρμόζει σύστημα εγγύησης της ασφάλειας λογισμικού για να αντιμετωπίζει ιδίως θέματα σχετιζόμενα με το λογισμικό. |
(4) |
Πρωταρχικός στόχος της ασφάλειας του λογισμικού που πρέπει να επιτευχθεί για τα λειτουργικά συστήματα που περιλαμβάνουν λογισμικό είναι να εξασφαλισθεί ότι οι κίνδυνοι που συνδέονται με τη χρήση του λογισμικού στα συστήματα του ευρωπαϊκού δικτύου διαχείρισης της εναέριας κυκλοφορίας («λογισμικό EATMN») μειώνονται σε ανεκτό επίπεδο. |
(5) |
Ο παρών κανονισμός δεν καλύπτει στρατιωτικές επιχειρήσεις και εκπαίδευση, όπως προβλέπεται στο άρθρο 1 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 549/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 10ης Μαρτίου 2004, για τη χάραξη του πλαισίου για τη δημιουργία του ενιαίου ευρωπαϊκού ουρανού («κανονισμός πλαίσιο») ( 3 ). |
(6) |
Ως εκ τούτου, το παράρτημα ΙΙ του κανονισμού (ΕΚ) αριθ. 2096/2005 πρέπει να τροποποιηθεί αναλόγως. |
(7) |
Τα μέτρα που προβλέπει ο παρών κανονισμός είναι σύμφωνα με τη γνώμη της επιτροπής ενιαίου ουρανού, |
ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Ο παρών κανονισμός θεσπίζει τις απαιτήσεις για τον καθορισμό και την εφαρμογή του συστήματος εγγύησης της ασφάλειας λογισμικού από τους φορείς παροχής υπηρεσιών εναέριας κυκλοφορίας (ATS), τους φορείς διαχείρισης της ροής της εναέριας κυκλοφορίας (ATFM) και διαχείρισης του εναερίου χώρου (ASM) για τη γενική εναέρια κυκλοφορία και τους φορείς παροχής υπηρεσιών συστημάτων επικοινωνίας, πλοήγησης και εποπτείας (CNS).
Προσδιορίζει και θεσπίζει τις υποχρεωτικές διατάξεις για τη ρυθμιστική απαίτηση ασφάλειας του Eurocontrol –ESARR 6– που φέρει τον τίτλο «Λογισμικό σε συστήματα ATM» και εκδόθηκε στις 6 Νοεμβρίου 2003.
2. Ο παρών κανονισμός εφαρμόζεται σε νέο λογισμικό και σε όλες τις αλλαγές στο λογισμικό των συστημάτων ATS, ASM, ATFM και CNS.
Δεν εφαρμόζεται στο λογισμικό αερόφερτων συστατικών στοιχείων και στον διαστημικό εξοπλισμό.
Άρθρο 2
Ορισμοί
Για το σκοπό του παρόντος κανονισμού ισχύουν οι ορισμοί του άρθρου 2 του κανονισμού (ΕΚ) αριθ. 549/2004.
Ισχύουν επίσης οι ακόλουθοι ορισμοί:
1. ως «λογισμικό», νοούνται προγράμματα και αντίστοιχα δεδομένα διάρθρωσης, καθώς και μη αναπτυξιακό λογισμικό, όχι όμως ηλεκτρονικά είδη, όπως η εφαρμογή ειδικών ολοκληρωμένων κυκλωμάτων, οι προγραμματιζόμενες συστοιχίες πυλών ή οι στερεάς κατάστασης διατάξεις ελέγχου·
2. ως «δεδομένο διάρθρωσης», νοούνται τα δεδομένα που διαμορφώνει ένα γενικό σύστημα λογισμικού σε μια ιδιαίτερη περίπτωση χρήσης του·
3. ως «προϋφιστάμενο λογισμικό», νοείται το λογισμικό που δεν έχει αναπτυχθεί ειδικά για τη συγκεκριμένη σύμβαση·
4. ως «εγγύηση της ασφάλειας», νοούνται όλες οι προγραμματισμένες και συστηματικές ενέργειες που είναι απαραίτητες για τη δημιουργία επαρκούς εμπιστοσύνης ότι σε ένα προϊόν, μια υπηρεσία, μια οργάνωση ή ένα λειτουργικό σύστημα επιτυγχάνεται αποδεκτή ή ανεκτή ασφάλεια·
5. ως «οργάνωση», νοείται είτε ένας πάροχος υπηρεσιών ATS, είτε ένας πάροχος υπηρεσιών CNS είτε ένας φορέας παροχής υπηρεσιών ATFM ή ASΜ·
6. ως «λειτουργικό σύστημα», νοείται ένας συνδυασμός συστημάτων, διαδικασιών και ανθρώπινων πόρων, οργανωμένων κατά τρόπο ώστε να εκτελούν μια λειτουργία στο πλαίσιο της ΑΤΜ·
7. ως «επικινδυνότητα», νοείται ο συνδυασμός της συνολικής πιθανότητας ή συχνότητας μιας επιβλαβούς επίπτωσης προκαλούμενης από κίνδυνο και η σοβαρότητά της·
8. ως «κίνδυνος», νοείται οποιαδήποτε κατάσταση, περιστατικό ή περίσταση που θα μπορούσε να προκαλέσει ατύχημα·
9. ως «νέο λογισμικό», νοείται λογισμικό που έχει παραγγελθεί ή για το οποίο έχουν υπογραφεί δεσμευτικές συμβάσεις μετά από την έναρξη ισχύος του παρόντος κανονισμού·
10. ως «στόχος ασφάλειας», νοείται ποιοτική ή ποσοτική δήλωση που ορίζει τη μέγιστη συχνότητα ή πιθανότητα εμφάνισης κινδύνου·
11. ως «απαίτηση ασφάλειας», νοούνται τα μέσα μετριασμού της επικινδυνότητας που καθορίζονται από τη στρατηγική μετριασμού της επικινδυνότητας, με την οποία επιτυγχάνεται συγκεκριμένος στόχος ασφάλειας, συμπεριλαμβανομένων των οργανωτικών, επιχειρησιακών, διαδικαστικών, λειτουργικών απαιτήσεων, καθώς και των απαιτήσεων επιδόσεων και διαλειτουργικότητας ή των χαρακτηριστικών περιβάλλοντος·
12. ως «μεταζεύξη ή σύνδεση εν θερμώ», νοείται η προσέγγιση αντικατάστασης των στοιχείων ή του λογισμικού του ευρωπαϊκoύ συστήματος διαχείρισης της εναέριας κυκλοφορίας (EATMN) κατά τη λειτουργία του συστήματος·
13. ως «απαίτηση ασφάλειας λογισμικού», νοείται περιγραφή αυτού που αναμένεται να παραγάγει το λογισμικό, δεδομένων των εισροών και των περιορισμών, οπότε εξασφαλίζεται ότι το λογισμικό EATMN λειτουργεί με ασφάλεια και σύμφωνα με τις επιχειρησιακές ανάγκες·
14. ως «λογισμικό EATMN», νοείται το λογισμικό που χρησιμοποιείται στα ευρωπαϊκά συστήματα διαχείρισης της εναέριας κυκλοφορίας (EATMN), όπως αναφέρεται στο άρθρο 1·
15. ως «εγκυρότητα απαιτήσεων», νοείται επιβεβαίωση, κατόπιν εξέτασης και παροχής αντικειμενικών στοιχείων, του ότι πληρούνται οι συγκεκριμένες απαιτήσεις για μια ιδιαίτερη χρήση·
16. ως «ανεξάρτητη εκτέλεση», νοείται η εκτέλεση των δραστηριοτήτων της διαδικασίας επαλήθευσης του λογισμικού από πρόσωπο(-α) άλλο(-α) από τον υπεύθυνο ανάπτυξης του ελεγχόμενου στοιχείου·
17. ως «δυσλειτουργία λογισμικού», νοείται η ανικανότητα ενός προγράμματος να εκτελέσει ορθά μια απαιτούμενη λειτουργία·
18. ως «αστοχία λογισμικού», νοείται η ανικανότητα ενός προγράμματος να εκτελέσει μια απαιτούμενη λειτουργία·
19. ως «εμπορικά ετοιμοπαράδοτο προϊόν (COTS)», νοείται εμπορικά διαθέσιμη εφαρμογή που πωλείται από προμηθευτές μέσω δημοσιευμένων καταλόγων και δεν προορίζεται για προσαρμογή ή για βελτίωση·
20. ως «στοιχεία λογισμικού», νοείται δομική μονάδα που μπορεί να εγκατασταθεί ή να συνδεθεί με άλλες επαναχρησιμοποιήσιμες μονάδες του λογισμικού για να συνδυασθεί και να δημιουργηθεί μια προσαρμοσμένη εφαρμογή λογισμικού·
21. ως «ανεξάρτητα στοιχεία λογισμικού», νοούνται τα στοιχεία λογισμικού που δεν καθίστανται ανενεργά από την ίδια αστοχία που προκαλεί τον κίνδυνο·
22. ως «επιδόσεις απόκρισης του λογισμικού», νοείται ο χρόνος που επιτρέπει στο λογισμικό να αποκριθεί σε δεδομένη εισροή ή σε περιοδικά περιστατικά, ή/και οι επιδόσεις του λογισμικού στο χειρισμό συναλλαγών ή μηνυμάτων ανά μονάδα χρόνου·
23. ως «χωρητικότητα λογισμικού», νοείται η δυνατότητα του λογισμικού να χειρίζεται συγκεκριμένο όγκο ροής δεδομένων·
24. ως «ακρίβεια», νοείται η απαιτούμενη ακρίβεια των υπολογιζόμενων αποτελεσμάτων·
25. ως «χρήση των πόρων λογισμικού», νοείται το πλήθος των πόρων στο σύστημα του υπολογιστή που μπορεί να χρησιμοποιηθεί από το λογισμικό εφαρμογής·
26. ως «ανθεκτικότητα λογισμικού», νοείται η συμπεριφορά του λογισμικού σε περίπτωση απροσδόκητων εισροών, αστοχιών του υλισμικού και διακοπών στην παροχή ισχύος, είτε στο ίδιο το σύστημα του υπολογιστή είτε σε συνδεδεμένες συσκευές·
27. ως «ανοχή υπερφόρτωσης», νοείται η συμπεριφορά του συστήματος, και ειδικότερα η ανοχή του, σε εισροές που εμφανίζονται σε μεγαλύτερο ποσοστό από το αναμενόμενο κατά τη διάρκεια της κανονικής λειτουργίας του συστήματος·
28. ως «ορθή και πλήρης επαλήθευση του λογισμικού EATMN», νοούνται όλες οι απαιτήσεις ασφάλειας του λογισμικού οι οποίες διατυπώνουν τα απαιτούμενα από το συστατικό στοιχείο λογισμικού με βάση τη διαδικασία εκτίμησης και το μετριασμό της επικινδυνότητας, και η εφαρμογή των απαιτήσεων αυτών πραγματοποιείται αποδεδειγμένα στον απαιτούμενο βαθμό εγγύησης του λογισμικού·
29. ως «δεδομένα του κύκλου ζωής του λογισμικού», νοούνται τα δεδομένα που παράγονται κατά τη διάρκεια του κύκλου ζωής του λογισμικού για τον προγραμματισμό, την καθοδήγηση, την εξήγηση, τον καθορισμό, την καταγραφή ή την τεκμηρίωση των δραστηριοτήτων· τα δεδομένα αυτά επιτρέπουν τις επεξεργασίες του κύκλου ζωής του λογισμικού, την έγκριση συστημάτων ή εξοπλισμού και την εκ των υστέρων τροποποίηση του προϊόντος του λογισμικού·
30. ως «κύκλος ζωής του λογισμικού» νοείται:
α) η διατεταγμένη συλλογή επεξεργασιών ώστε να είναι επαρκής, καθορισμένη από οργάνωση και κατάλληλη να παραγάγει ένα προϊόν λογισμικού·
β) η χρονική περίοδος από την απόφαση να παραχθεί ή να τροποποιηθεί ένα προϊόν λογισμικού έως την απόσυρση του προϊόντος από τη λειτουργία·
31. ως «απαίτηση ασφάλειας συστήματος», νοείται παράγωγη απαίτηση ασφάλειας για λειτουργικό σύστημα.
Άρθρο 3
Γενικές απαιτήσεις ασφαλείας
1. Όποτε μια οργάνωση απαιτείται να εφαρμόσει διαδικασία εκτίμησης και μετριασμού της επικινδυνότητας σύμφωνα με το ισχύον κοινοτικό ή εθνικό δίκαιο, καθορίζει και εφαρμόζει σύστημα εγγύησης της ασφάλειας λογισμικού για να χειρισθεί πτυχές ειδικά του λογισμικού EATMN, συμπεριλαμβανομένων όλων των επιγραμμικών επιχειρησιακών αλλαγών του λογισμικού, και ιδίως τη μεταζεύξη ή τη σύνδεση εν θερμώ.
2. Η οργάνωση εξασφαλίζει, τουλάχιστον, ότι το σύστημα εγγύησης της ασφάλειας λογισμικού που χρησιμοποιεί αποδεικνύει με τεκμήρια και επιχειρήματα, τα ακόλουθα:
α) οι απαιτήσεις ασφάλειας του λογισμικού διατυπώνουν ορθά τα απαιτούμενα προκειμένου το λογισμικό να πληροί τους στόχους και τις απαιτήσεις ασφάλειας, όπως αυτές προσδιορίζονται από τη διαδικασία εκτίμησης και μετριασμού της επικινδυνότητας·
β) η ιχνηλασιμότητα λαμβάνεται υπόψη για όλες τις απαιτήσεις ασφάλειας του λογισμικού·
γ) η εφαρμογή του λογισμικού δεν περιέχει καμία λειτουργία που επηρεάζει δυσμενώς την ασφάλεια·
δ) το λογισμικό EATMN πληροί τις απαιτήσεις του σε βαθμό εμπιστοσύνης σύμφωνο με την κρισιμότητα του λογισμικού·
ε) παρέχονται εγγυήσεις που επιβεβαιώνουν ότι τηρούνται οι γενικές απαιτήσεις ασφάλειας που παρατίθενται στα στοιχεία α) έως δ), ενώ η απαραίτητη εγγύηση προκύπτει πάντα από:
i) γνωστή εκτελέσιμη έκδοση του λογισμικού,
ii) γνωστή σειρά δεδομένων διάρθρωσης, και
iii) γνωστό σύνολο προϊόντων και περιγραφών του λογισμικού, καθώς και προδιαγραφών, οι οποίες χρησιμοποιήθηκαν στην παραγωγή της έκδοσης αυτής.
3. Η οργάνωση θέτει στη διάθεση της εθνικής εποπτικής αρχής τις απαραίτητες εγγυήσεις που αποδεικνύουν ότι πληρούνται οι απαιτήσεις της παραγράφου 2.
Άρθρο 4
Απαιτήσεις για το σύστημα εγγύησης της ασφάλειας λογισμικού
Η οργάνωση εξασφαλίζει, τουλάχιστον, ότι το σύστημα εγγύησης της ασφάλειας λογισμικού:
1. είναι τεκμηριωμένο, ειδικά με βάση τη γενικότερη τεκμηρίωση της εκτίμησης και μετριασμού της επικινδυνότητας·
2. απονέμει βαθμούς εγγύησης του λογισμικού σε όλο το επιχειρησιακό λογισμικό EATMN σύμφωνα με τις απαιτήσεις που καθορίζονται στο παράρτημα Ι·
3. προσφέρει εγγυήσεις για:
α) την ισχύ των απαιτήσεων ασφάλειας λογισμικού σύμφωνα με τις απαιτήσεις που καθορίζονται στο παράρτημα ΙΙ μέρος Α·
β) την επαλήθευση του λογισμικού σύμφωνα με τις απαιτήσεις που καθορίζονται στο παράρτημα ΙΙ μέρος Β·
γ) τη διαχείριση της διάρθρωσης του λογισμικού σύμφωνα με τις απαιτήσεις που καθορίζονται στο παράρτημα ΙΙ μέρος Γ·
δ) την ιχνηλασιμότητα των απαιτήσεων ασφάλειας του λογισμικού σύμφωνα με τις απαιτήσεις που καθορίζονται στο παράρτημα ΙΙ μέρος Δ·
4. περιλαμβάνει ιεράρχηση των εγγυήσεων· η ιεράρχηση πρέπει να ορίζεται για κάθε βαθμό εγγύησης λογισμικού και να αυξάνεται ανάλογα με την αύξηση της κρισιμότητας του λογισμικού· προς το σκοπό αυτό:
α) οι απαιτήσεις των εγγυήσεων ανά βαθμό εγγύησης λογισμικού πρέπει να ιεραρχούνται βάσει των ακόλουθων κριτηρίων:
i) την επίτευξη με ανεξαρτησία,
ii) την επίτευξη,
iii) δεν απαιτείται·
β) οι εγγυήσεις που αντιστοιχούν σε κάθε βαθμό επίτευξης του λογισμικού πρέπει να παρέχουν επαρκή εμπιστοσύνη ότι το λογισμικό EATMN μπορεί να χρησιμοποιηθεί υπό αποδεκτές συνθήκες ασφάλειας·
5. χρησιμοποιείται ανάδραση από την εμπειρία του λογισμικού EATMN για να επιβεβαιωθεί ότι το σύστημα εγγύησης της ασφάλειας λογισμικού και η απόδοση των βαθμών εγγύησης είναι τα κατάλληλα· προς το σκοπό αυτό, τα αποτελέσματα δυσλειτουργίας ή αστοχίας του λογισμικού, τα οποία αναφέρονται σύμφωνα με τις σχετικές απαιτήσεις για την υποβολή έκθεσης και την αξιολόγηση των περιστατικών ασφάλειας, αξιολογούνται σε σύγκριση με τα αποτελέσματα που έχουν προσδιορισθεί για το σχετικό σύστημα σύμφωνα με το μηχανισμό ταξινόμησης της σοβαρότητας που καθορίζεται στο σημείο 3.2.4 του παραρτήματος ΙΙ του ►M1 εκτελεστικό κανονισμό (ΕΕ) αριθ. 1035/2011 της Επιτροπής ( 4 ) ◄ .
Άρθρο 5
Απαιτήσεις για αλλαγές σε λογισμικό και ειδικό λογισμικό
1. Για οποιεσδήποτε αλλαγές στο λογισμικό ή συγκεκριμένους τύπους λογισμικού όπως τα COTS, τα μη αναπτυξιακά λογισμικά ή τα προηγουμένως χρησιμοποιηθέντα λογισμικά, για τα οποία δεν είναι δυνατόν να εφαρμοστούν ορισμένες από τις απαιτήσεις του άρθρου 3 παράγραφος 2 στοιχεία δ) ή ε) και του άρθρου 4 παράγραφοι 2, 3, 4 ή 5, η οργάνωση εξασφαλίζει ότι το σύστημα εγγύησης της ασφάλειας λογισμικού προσφέρει, με άλλα μέσα που έχουν επιλεγεί και συμφωνηθεί από την εθνική εποπτική αρχή, τον ίδιο βαθμό εμπιστοσύνης με τον σχετικό καθορισμένο βαθμό εγγύησης του λογισμικού. Τα μέσα αυτά παρέχουν ικανοποιητική εμπιστοσύνη ότι το λογισμικό πληροί τους στόχους και τις απαιτήσεις ασφάλειας, όπως αυτές προσδιορίζονται με τη διαδικασία εκτίμησης και μετριασμού της επικινδυνότητας.
2. Στην αξιολόγηση των μέσων που αναφέρονται στην παράγραφο 1, η εθνική εποπτική αρχή μπορεί να χρησιμοποιήσει αναγνωρισμένη οργάνωση ή κοινοποιημένο οργανισμό.
▼M1 —————
Άρθρο 7
Έναρξη ισχύος
Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Εφαρμόζεται από την 1η Ιανουαρίου 2009 για το νέο λογισμικό των συστημάτων EATMN που αναφέρονται στο άρθρο 1 παράγραφος 2 πρώτο εδάφιο.
Εφαρμόζεται από την 1η Ιουλίου 2010 για οποιεσδήποτε αλλαγές στο λογισμικό των συστημάτων EATMN που αναφέρονται στο άρθρο 1 παράγραφος 2 πρώτο εδάφιο, τα οποία είναι σε λειτουργία την ημερομηνία εκείνη.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
ΠΑΡΑΡΤΗΜΑ I
Απαιτήσεις για το βαθμό εγγύησης της ασφάλειας λογισμικού που αναφέρεται στο άρθρο 4 παράγραφος 2
1. Ο βαθμός εγγύησης του λογισμικού συσχετίζει τη σοβαρότητα των εγγυήσεων του λογισμικού με την κρισιμότητα του λογισμικού EATMN κάνοντας χρήση του μηχανισμού ταξινόμησης της σοβαρότητας που προβλέπει ο ►M1 εκτελεστικό κανονισμό (ΕΕ) αριθ. 1035/2011 ◄ της Επιτροπής, της 20ής Δεκεμβρίου 2005, στο παράρτημα ΙΙ τμήμα 4 σημείο 3.2.4, σε συνδυασμό με την πιθανότητα να εμφανιστεί συγκεκριμένη δυσμενής επίπτωση. Καθορίζονται τουλάχιστον τέσσερις βαθμοί εγγύησης του λογισμικού, από τους οποίους ο βαθμός 1 χαρακτηρίζει το κρισιμότερο επίπεδο.
2. Οι κατανεμημένοι βαθμοί εγγύησης του λογισμικού αντιστοιχούν στη δυσμενέστερη επίπτωση που ενδέχεται να προκληθεί από δυσλειτουργίες ή αστοχίες του λογισμικού, όπως αναφέρεται στο παράρτημα ΙΙ τμήμα 4 παράγραφος 3.2.4 του ►M1 εκτελεστικό κανονισμό (ΕΕ) αριθ. 1035/2011 ◄ . Εν προκειμένω, συνεκτιμώνται ιδίως οι κίνδυνοι που συνδέονται με δυσλειτουργίες ή αστοχίες του λογισμικού και με τη δομική ή και διαδικαστική άμυνα που έχει προσδιορισθεί.
3. Στα συστατικά στοιχεία του λογισμικού EATMN, των οποίων δεν μπορεί να αποδειχθεί η μεταξύ τους ανεξαρτησία, απονέμεται ο βαθμός εγγύησης λογισμικού του πλέον κρίσιμου από τα εξαρτώμενα συστατικά στοιχεία.
ΠΑΡΑΡΤΗΜΑ II
Μέρος Α: Απαιτήσεις για την εγγύηση της ισχύος των απαιτήσεων ασφάλειας του λογισμικού που αναφέρεται στο άρθρο 4 παράγραφος 3 στοιχείο α)
1. Οι απαιτήσεις ασφάλειας λογισμικού προδιαγράφουν τη λειτουργική συμπεριφορά, σε ονομαστικό και υποβαθμισμένο τρόπο, του λογισμικού EATMN, τις επιδόσεις απόκρισης, τη χωρητικότητα, την ακρίβεια, τη χρήση των πόρων λογισμικού στο υλισμικό στόχου, την ανθεκτικότητα σε μη κανονικές συνθήκες λειτουργίας και την ανοχή υπερφόρτωσης ανάλογα με την περίπτωση.
2. Οι απαιτήσεις ασφάλειας του λογισμικού είναι πλήρεις και ορθές, και είναι επίσης σύμφωνες με τις απαιτήσεις ασφάλειας του συστήματος.
Μέρος Β: Απαιτήσεις για την εγγύηση επαλήθευσης του λογισμικού που αναφέρεται στο άρθρο 4 παράγραφος 3 στοιχείο β)
1. Η λειτουργική συμπεριφορά του λογισμικού EATMN, οι επιδόσεις απόκρισης, η χωρητικότητα, η ακρίβεια, η χρήση των πόρων του λογισμικού στο υλισμικό στόχου, η ανθεκτικότητα σε μη κανονικές συνθήκες λειτουργίας και η ανοχή υπερφόρτωσης είναι σύμφωνες με τις απαιτήσεις του λογισμικού.
2. Το λογισμικό EATMN ελέγχεται κατάλληλα με ανάλυση ή/και δοκιμή ή/και ισοδύναμα μέσα, όπως συμφωνείται με την εθνική εποπτική αρχή.
3. Η επαλήθευση του λογισμικού EATMN είναι ορθή και πλήρης.
Μέρος Γ: Απαιτήσεις για την εγγύηση της διαχείρισης της διάρθρωσης του λογισμικού που αναφέρεται στο άρθρο 4 παράγραφος 3 στοιχείο γ)
1. Προβλέπονται ταυτοποίηση της διάρθρωσης, ιχνηλασιμότητα και καταγραφή της κατάστασης ώστε να είναι δυνατόν να αποδειχθεί ότι τα δεδομένα του κύκλου ζωής του λογισμικού είναι υπό τον έλεγχο διάρθρωσης καθ’ όλο τον κύκλο ζωής του λογισμικού EATMN.
2. Προβλέπονται αναφορά προβλημάτων, ανίχνευση και διορθωτικά μέτρα ώστε να είναι δυνατόν να αποδειχθεί ότι έχουν μετριασθεί προβλήματα ασφάλειας που αφορούν το λογισμικό.
3. Προβλέπονται διαδικασίες ανάκτησης και ελεύθερης διάθεσης, έτσι ώστε τα δεδομένα κύκλου ζωής του λογισμικού είναι δυνατόν να αναπαραχθούν και να διανέμονται καθ’ όλο τον κύκλο ζωής λογισμικού του EATMN.
Μέρος Δ: Απαιτήσεις για την εγγύηση ιχνηλασιμότητας των απαιτήσεων ασφάλειας του λογισμικού που αναφέρεται στο άρθρο 4 παράγραφος 3 στοιχείο δ)
1. Η ιχνηλασιμότητα κάθε απαίτησης εγγύησης λογισμικού ανάγεται στον ίδιο βαθμό, τον οποίο οφείλει να πληροί.
2. Η ιχνηλασιμότητα κάθε απαίτησης εγγύησης λογισμικού, σε κάθε βαθμό σχεδιασμού, τον οποίο οφείλει να πληροί, ανάγεται σε απαίτηση εγγύησης του συστήματος.
( 1 ) ΕΕ L 96 της 31.3.2004, σ. 10.
( 2 ) ΕΕ L 335 της 21.12.2005, σ. 13. Κανονισμός όπως τροποποιήθηκε με τον κανονισμό (ΕΚ) αριθ. 1315/2007 (ΕΕ L 291 της 9.11.2007, σ. 16)
( 3 ) ΕΕ L 96 της 31.3.2004, σ. 1.
( 4 ) ΕΕ L 271 της 18.10.2011, σ. 23.