|
23.7.2008 |
DE |
Amtsblatt der Europäischen Union |
L 194/3 |
ENTSCHEIDUNG DER KOMMISSION
vom 17. Juni 2008
über den physischen Aufbau und die Anforderungen für die nationalen Schnittstellen und die Infrastruktur für die Kommunikation zwischen dem zentralen VIS und den nationalen Schnittstellen in der Entwicklungsphase
(Bekannt gegeben unter Aktenzeichen K(2008) 2693)
(Nur der bulgarische, der deutsche, der estnische, der finnische, der französische, der griechische, der italienische, der lettische, der litauische, der maltesische, der niederländische, der polnische, der portugiesische, der rumänische, der schwedische, der der slowakische, der slowenische, der spanische, der tschechische und der ungarische Text sind verbindlich)
(2008/602/EG)
DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —
gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,
gestützt auf die Entscheidung 2004/512/EG des Rates vom 8. Juni 2004 zur Einrichtung des Visa-Informationssystems (VIS) (1), insbesondere auf Artikel 4 Buchstabe a,
in Erwägung nachstehender Gründe:
|
(1) |
Mit der Entscheidung 2004/512/EG wurde das VIS als System für den Austausch von Visa-Daten zwischen Mitgliedstaaten eingerichtet und die Kommission mit der Entwicklung des VIS beauftragt. |
|
(2) |
Die Kommission und die Mitgliedstaaten sollten geeignete Strukturen, insbesondere die Elemente der nationalen Schnittstellen in den Mitgliedstaaten, miteinander vereinbaren. |
|
(3) |
Gemäß dem Beschluss 2000/365/EG des Rates vom 29. Mai 2000 zum Antrag des Vereinigten Königreichs Großbritannien und Nordirland, einzelne Bestimmungen des Schengen-Besitzstands auf sie anzuwenden (2), hat sich das Vereinigte Königreich nicht an der Annahme der Entscheidung 2004/512/EG beteiligt und ist weder durch sie gebunden noch zu ihrer Anwendung verpflichtet, da sie den Schengen-Besitzstand weiterentwickelt. Die vorliegende Entscheidung der Kommission ist daher nicht an das Vereinigte Königreich gerichtet. |
|
(4) |
Gemäß dem Beschluss 2002/192/EG des Rates vom 28. Februar 2002 zum Antrag Irlands auf Anwendung einzelner Bestimmungen des Schengen-Besitzstands auf Irland (3) hat sich Irland nicht an der Annahme der Entscheidung 2004/512/EG beteiligt und ist weder durch sie gebunden noch zu ihrer Anwendung verpflichtet, da sie den Schengen-Besitzstand weiterentwickelt. Die vorliegende Entscheidung der Kommission ist daher nicht an Irland gerichtet. |
|
(5) |
Dänemark hat gemäß Artikel 5 des Protokolls über die Position Dänemarks im Anhang zum Vertrag über die Europäische Union und zum Vertrag zur Gründung der Europäischen Gemeinschaft am 13. August 2004 beschlossen, die Entscheidung 2004/512/EG in dänisches Recht umzusetzen. Die Entscheidung 2004/512/EG ist daher nach dem Völkerrecht für Dänemark bindend. Es ist daher auch zur Umsetzung der vorliegenden Entscheidung völkerrechtlich verpflichtet. |
|
(6) |
Für Island und Norwegen stellt diese Entscheidung eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung der beiden letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (4) dar, die zu dem in Artikel 1 Buchstabe B des Beschlusses 1999/437/EG des Rates vom 17. Mai 1999 zum Erlass bestimmter Durchführungsvorschriften zu dem Übereinkommen zwischen dem Rat der Europäischen Union und der Republik Island und dem Königreich Norwegen über die Assoziierung dieser beiden Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (5) genannten Bereich gehören. |
|
(7) |
Für die Schweiz stellt diese Entscheidung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands dar, die in Verbindung mit Artikel 3 des Beschlusses 2008/146/EG des Rates (6) über den Abschluss des Abkommens im Namen der Europäischen Gemeinschaft zu dem in Artikel 1 Buchstabe B des Beschlusses 1999/437/EG genannten Bereich gehören. |
|
(8) |
Für Liechtenstein stellt diese Entscheidung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zum Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands dar, die in Verbindung mit Artikel 3 des Beschlusses 2008/261/EG des Rates vom 28. Februar 2008 über die Unterzeichnung — im Namen der Europäischen Gemeinschaft — des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zum Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands und die vorläufige Anwendung einiger Bestimmungen dieses Protokolls (7) zu dem in Artikel 1 Buchstabe B des Beschlusses 1999/437/EG genannten Bereich gehören. |
|
(9) |
Die in dieser Entscheidung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ausschusses, der mit Artikel 5 Absatz 1 der Verordnung (EG) Nr. 2424/2001 des Rates vom 6. Dezember 2001 über die Entwicklung des Schengener Informationssystems der zweiten Generation (SIS II) (8) eingerichtet wurde — |
HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:
Artikel 1
Der physische Aufbau und die Anforderungen für die nationalen Schnittstellen und die Infrastruktur für die Kommunikation zwischen dem zentralen VIS und den nationalen Schnittstellen in der Entwicklungsphase entsprechen den Vorgaben im Anhang.
Artikel 2
Diese Entscheidung ist an das Königreich Belgien, die Republik Bulgarien, die Tschechische Republik, die Bundesrepublik Deutschland, die Republik Estland, die Hellenische Republik, das Königreich Spanien, die Französische Republik, die Italienische Republik, die Republik Zypern, die Republik Lettland, die Republik Litauen, das Großherzogtum Luxemburg, die Republik Ungarn, die Republik Malta, das Königreich der Niederlande, die Republik Österreich, die Republik Polen, die Portugiesische Republik, Rumänien, die Republik Slowenien, die Slowakische Republik, die Republik Finnland und das Königreich Schweden gerichtet.
Brüssel, den 17. Juni 2008
Für die Kommission
Jacques BARROT
Vizepräsident
(1) ABl. L 213 vom 15.6.2004, S. 5.
(2) ABl. L 131 vom 1.6.2000, S. 43.
(3) ABl. L 64 vom 7.3.2002, S. 20.
(4) ABl. L 176 vom 10.7.1999, S. 36.
(5) ABl. L 176 vom 10.7.1999, S. 31.
(6) ABl. L 53 vom 27.2.2008, S. 1.
(7) ABl. L 83 vom 26.3.2008, S. 3.
(8) ABl. L 328 vom 13.12.2001, S. 4. Verordnung geändert durch die Verordnung (EG) Nr. 1988/2006 (ABl. L 411 vom 30.12.2006, S. 1. Berichtigte Fassung im ABl. L 27 vom 2.2.2007, S. 3).
ANHANG
1. Einführung
In diesem Anhang sind die Netzanforderungen und der Aufbau der Kommunikationsinfrastruktur und ihrer Bestandteile beschrieben.
1.1. Akronyme und Abkürzungen
|
Akronyme und Abkürzungen |
Erläuterung |
|
BCU |
Backup Central Unit (Backup der Zentraleinheit) |
|
BLNI |
Backup Local National Interface (lokale nationale Backup-Schnittstelle) |
|
CNI |
Central National Interface (zentrale nationale Schnittstelle) |
|
CS |
Central System (zentrales System) |
|
CS-VIS |
Central Visa Information System (Zentrales Visa-Informationssystem) |
|
CU |
Central Unit (Zentraleinheit) |
|
DNS |
Domain Name Server (Domain-Name-Server) |
|
FTP |
File Transfer Protocol (Dateiübertragungsprotokoll) |
|
HTTP |
Hypertext Transfer Protocol (Hypertext-Übertragungsprotokoll) |
|
IP |
Internet Protocol (Internet-Protokoll) |
|
LAN |
Local Area Network (lokales Netz) |
|
LNI |
Local National Interface (lokale nationale Schnittstelle) |
|
NI-VIS |
National Interface (nationale Schnittstelle) |
|
NTP |
Network Time Protocol (Netzzeitprotokoll) |
|
SAN |
Storage Area Network (Speichernetz) |
|
SDH |
Synchronous Digital Hierarchy (synchrone digitale Hierarchie) |
|
SMTP |
Simple Mail Transfer Protocol (einfaches Mail-Übertragungsprotokoll) |
|
SNMP |
Simple Network Management Protocol (einfaches Netzverwaltungsprotokoll) |
|
sTESTA |
Secure Trans-European Services for Telematics between Administrations (gesicherte transeuropäische Telematikdienste für Behörden), eine Maßnahme des Programms IDABC (Interoperable delivery of pan-European eGovernment services to public administrations, business and citizens — Interoperable Erbringung europaweiter elektronischer Behördendienste (eGovernment-Dienste) für öffentliche Verwaltungen, Unternehmen und Bürger), Beschluss 2004/387/EG des Europäischen Parlaments und des Rates (1). |
|
TCP |
Transmission Control Protocol (Übertragungskontrollprotokoll) |
|
VIS |
Visa-Informationssystem |
|
VPN |
Virtual Private Network (virtuelles privates Netz) |
|
WAN |
Wide Area Network (Weitverkehrsnetz) |
2. Physischer Aufbau der nationalen Schnittstellen und der Infrastruktur für die Kommunikation zwischen dem zentralen VIS und den nationalen Schnittstellen
Gemäß Artikel 1 Absatz 2 der Entscheidung 2004/512/EG des Rates besteht die NI-VIS aus:
|
— |
einer lokalen nationalen Schnittstelle (nachstehend „LNI“ genannt) für jeden Mitgliedstaat, über die dieser physisch an das sichere Kommunikationsnetz angeschlossen ist und die die Verschlüsselungssysteme für den Datenverkehr des VIS enthält; die LNI befindet sich an Standorten in den Mitgliedstaaten; |
|
— |
einer optionalen lokalen nationalen Backup-Schnittstelle (nachstehend „BLNI“ genannt), die inhaltlich und funktionsmäßig der LNI entspricht. |
Die Konfiguration der LNI und der BLNI wird mit jedem und für jeden Mitgliedstaat vereinbart.
Die LNI und die BLNI werden ausschließlich nach Maßgabe der für das VIS geltenden Rechtsvorschriften der Gemeinschaft verwendet.
Zur Infrastruktur für die Kommunikation zwischen dem CS-VIS und der NI-VIS gehören folgende Elemente:
|
— |
das Netz für gesicherte transeuropäische Telematikdienste für Behörden (nachstehend „sTESTA“ genannt), ein verschlüsseltes virtuelles privates Netz (vis.stesta.eu) ausschließlich für den Austausch von VIS-Daten und für die Kommunikation zwischen Mitgliedstaaten gemäß den für das VIS geltenden Rechtsvorschriften der Gemeinschaft sowie zwischen Mitgliedstaaten und der für das Betriebsmanagement des CS-VIS verantwortlichen Einrichtung. |
3. Netzdienste
Die Begriffe Technologie und Protokolle in den Kapiteln 3, 5 und 7 schließen auch gleichwertige Technologien bzw. Protokolle ein, die ebenfalls verwendet werden können. Bei der Einrichtung des Netzes wird dem technischen Stand in den Mitgliedstaaten Rechnung getragen.
3.1. Netzaufbau
Bei der VIS-Architektur werden zentrale Dienste genutzt, auf die von den Mitgliedstaaten aus zugegriffen werden kann. Aus Gründen der Systemstabilität sind gemäß der Entscheidung 2006/752/EG der Kommission vom 3. November 2006 zur Bestimmung der Standorte für das Visa-Informationssystem während der Entwicklungsphase (2) diese zentralen Dienste an zwei Standorten, nämlich im französischen Straßburg (das Haupt-CS-VIS und die Zentraleinheit CU) und im österreichischen St. Johann im Pongau (das Backup-CS-VIS und das Backup der Zentraleinheit BCU) angesiedelt.
Der Zugang zum Hauptsystem und zum Backup der Zentraleinheit ist über Netzzugangspunkte — eine LNI und eine BLNI —, die die nationalen Systeme mit dem CS-VIS verbinden, von den einzelnen Mitgliedstaaten aus möglich.
Die Verbindung zwischen dem Hauptsystem und dem Backup des CS-VIS ist auch für neue Architekturen und Technologien geeignet und ermöglicht eine laufende Synchronisierung von CU und BCU.
3.2. Bandbreite
Für die LNI und die optionale BLNI kann je nach Mitgliedstaat eine andere Bandbreite nötig sein.
Die Kommunikationsinfrastruktur bietet Verbindungsbandbreiten, die an die erwartete Auslastung der Kommunikationsverbindungen angepasst sind. Das Netz bietet eine ausreichende garantierte Übertragungsrate für das Herunter- und Hochladen für jede Verbindung und ist auf die gesamte Bandbreite der Netzzugangspunkte ausgelegt.
3.3. Vorgesehene Protokolle
Die Kommunikationsinfrastruktur ist auf die CS-VIS-Netzprotokolle ausgelegt, insbesondere auf HTTP, FTP, NTP, SMTP, SNMP, DNS, Tunnel-Protokolle, SAN-Replikationsprotokolle und die proprietären Verbindungsprotokolle für die Verbindung von zwei Java-Datenbanken von BEA WebLogic über IP.
3.4. Technische Spezifikationen
3.4.1. IP-Adressierung
Der Kommunikationsinfrastruktur sind verschiedene eindeutige IP-Adressen zugewiesen, die nur innerhalb dieses Netzes verwendet werden dürfen. Einige dieser IP-Adressen werden dem zentralen CS-VIS vorbehalten und dürfen auch nur hierfür verwendet werden.
3.4.2. Unterstützung für IPv6
Die lokalen Netze werden vorwiegend IPv4 benutzen, einzelne IPv6. Die Netzzugangspunkte werden deshalb als IPv4/IPv6-Gateway verwendet werden können. Eine Koordinierung mit Mitgliedstaaten, die zu IPv6 übergehen wollen, muss erfolgen, damit dies reibungslos vonstatten gehen kann.
3.4.3. Konstanter Datendurchsatz
Solange der Datendurchsatz der CU- bzw. der BCU-Verbindung unter 90 % liegt, wird der jeweilige Mitgliedstaat kontinuierlich 100 % seiner Bandbreite aufrechterhalten können.
3.4.4. Sonstige Spezifikationen
Für die Kommunikationsinfrastruktur des CS-VIS gelten folgende technischen Mindestspezifikationen:
|
|
Die Übertragungsverzögerung beträgt (auch bei hoher Netzauslastung) höchstens 150 ms bei 95 % der Pakete und unter 200 ms bei 100 % der Pakete. |
|
|
Die Wahrscheinlichkeit des Paketverlusts beträgt (auch bei hoher Netzauslastung) höchstens 10-4 bei 95 % der Pakete und unter 10-3 bei 100 % der Pakete. |
|
|
Die oben angegebenen Spezifikationen gelten für jeden einzelnen Zugangspunkt. |
|
|
Bei der Verbindung zwischen der CU und der BCU beträgt die Umlaufverzögerung höchstens 60 ms. |
3.5. Systemstabilität
Die Kommunikationsinfrastruktur bietet eine hohe Verfügbarkeit, insbesondere in Bezug auf folgende Bestandteile:
|
— |
Backbone-Netz, |
|
— |
Router, |
|
— |
Präsenzpunkte, |
|
— |
Local-Loop-Verbindungen (einschließlich redundanter Verkabelung), |
|
— |
Sicherheitsvorrichtungen (Verschlüsselungssysteme, Firewalls usw.), |
|
— |
alle Basisdienste (DNS usw.), |
|
— |
LNI und optionale BLNI. |
Failover-Mechanismen werden eingerichtet und bei Bedarf mit der Anwendungsebene koordiniert, um eine optimale Verfügbarkeit des gesamten VIS sicherstellen zu können.
4. Überwachung
Damit die Überwachung erleichtert wird, ist die Möglichkeit der Integration der Überwachungsinstrumente der Kommunikationsinfrastruktur und der Überwachungsvorrichtungen des Betriebsmanagements des CS-VIS vorgesehen.
5. Basisdienste
Die Kommunikationsinfrastruktur wird folgende optionale Basisdienste anbieten können: DNS, Mail-Relay und NTP.
6. Ständige Verfügbarkeit
Die Anschlüsse zum LAN der Kommunikationsinfrastruktur werden zu 99,99 % binnen eines beliebigen 28-Tages-Zeitraums verfügbar sein.
7. Sicherheitsdienstleistungen
7.1. Netzverschlüsselung
Informationen des VIS werden über die Kommunikationsinfrastruktur nicht unverschlüsselt übertragen.
Damit ständig ein hohes Maß an Sicherheit gewährleistet ist, ist in der Kommunikationsinfrastruktur die Verwaltung der Zertifikate/Schlüssel der gewählten Netzverschlüsselung vorgesehen. Die Fernverwaltung und Fernüberwachung der Verschlüsselungsboxen ist möglich.
Symmetrische Verschlüsselungsalgorithmen (3DES 128 bit oder besser) und asymmetrische Verschlüsselungsalgorithmen (RSA 1 024-Bit-Modul oder besser) werden nach dem neuesten Stand der Technik verwendet.
7.2. Sonstige Sicherheitsmerkmale
Die Kommunikationsinfrastruktur ist so ausgelegt, dass nicht nur die VIS-Netzzugangspunkte (LNI und BLNI), sondern auch die optionalen Basisdienste geschützt sind. Werden solche Dienste zur Verfügung gestellt, so sollten vergleichbare Schutzanforderungen wie für das CS-VIS erfüllt sein. Außerdem sollten die Geräte für die Basisdienste und die diesbezüglichen Schutzmaßnahmen einer ständigen Sicherheitsüberwachung unterzogen werden.
Damit kontinuierlich ein hohes Maß an Sicherheit gewährleistet ist, ist die Kommunikationsinfrastruktur so aufgebaut, dass alle Sicherheitsvorfälle unverzüglich gemeldet werden können. Alle Sicherheitsvorfälle sind regelmäßig (zum Beispiel monatlich) und ad hoc zu melden.
8. Helpdesk und Unterstützungsstruktur
Ein Helpdesk und eine Unterstützungsstruktur werden aufgebaut, die auf das CS-VIS zugreifen können.
9. Interaktion mit anderen Systemen
Die Kommunikationsinfrastruktur ist so konzipiert, dass keine Daten in andere Systeme oder Netze entweichen können.