|
23.7.2008 |
ET |
Euroopa Liidu Teataja |
L 194/3 |
KOMISJONI OTSUS,
17. juuni 2008,
millega määratakse väljatöötamisetapiks kindlaks VISi riikide liideste ning keskinfosüsteemi ja riikide liideste vahelise sideinfrastruktuuri füüsiline ülesehitus ning neile esitatavad nõuded
(teatavaks tehtud numbri K(2008) 2693 all)
(Ainult bulgaaria-, eesti-, hispaania-, hollandi-, itaalia-, kreeka-, leedu-, läti-, malta-, poola-, portugali-, prantsus-, rootsi-, rumeenia-, saksa-, slovaki-, sloveeni-, soome-, tšehhi- ja ungarikeelne tekst on autentsed)
(2008/602/EÜ)
EUROOPA ÜHENDUSTE KOMISJON,
võttes arvesse Euroopa Ühenduse asutamislepingut,
võttes arvesse nõukogu 8. juuni 2004. aasta otsust nr 2004/512/EÜ viisainfosüsteemi (VIS) kehtestamise kohta, (1) eriti selle artikli 4 punkti a,
ning arvestades järgmist:
|
(1) |
Otsusega 2004/512/EÜ kehtestati liikmesriikidevaheline viisaandmete vahetamise süsteem ja volitati komisjoni VISi välja töötama. |
|
(2) |
Komisjon ja liikmesriigid peaksid kehtestama asjakohase korra, eelkõige seoses iga liikmesriigi liidese elementidega. |
|
(3) |
Nõukogu 29. mai 2000. aasta otsuse 2000/365/EÜ (Suurbritannia ja Põhja-Iiri Ühendkuningriigi taotluse kohta osaleda teatavates Schengeni acquis’ sätetes) (2) kohaselt ei osalenud Ühendkuningriik otsuse 2004/512/EÜ vastuvõtmisel, mistõttu see ei ole tema suhtes siduv ega kohaldatav, sest selles arendatakse edasi Schengeni acquis’ sätteid. Seepärast ei adresseerita käesolevat komisjoni otsust Ühendkuningriigile. |
|
(4) |
Nõukogu 28. veebruari 2002. aasta otsuse 2002/192/EÜ (Iirimaa taotluse kohta osaleda teatavates Schengeni acquis’ sätetes) (3) kohaselt ei osalenud Iirimaa kõnealuse määruse vastuvõtmisel, mistõttu see ei ole tema suhtes siduv ega kohaldatav, sest selles arendatakse edasi Schengeni acquis’ sätteid. Seepärast ei adresseerita käesolevat komisjoni otsust Iirimaale. |
|
(5) |
Euroopa Liidu lepingule ja Euroopa Ühenduse asutamislepingule lisatud Taani seisukohta käsitleva protokolli artikli 5 kohaselt otsustas Taani 13. augustil 2004 võtta otsuse 2004/512/EÜ oma õigusesse üle. Seega on otsus 2004/512/EÜ rahvusvahelise õiguse alusel Taani suhtes siduv. Seega on Taani rahvusvahelise õiguse kohaselt kohustatud käesolevat otsust rakendama. |
|
(6) |
Islandi ja Norra puhul kujutab käesolev otsus endast nende Schengeni acquis’ sätete edasiarendamist vastavalt Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahelisele lepingule viimase kahe riigi osalemiseks Schengeni acquis’ rakendamises, kohaldamises ja edasiarendamises, (4) mis kuuluvad nõukogu otsuse 1999/437/EÜ (5) (Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu teatavate rakenduseeskirjade kohta nende kahe riigi ühinemiseks Schengeni acquis’ sätete rakendamise, kohaldamise ja edasiarendamisega) artikli 1 punktis B osutatud valdkonda. |
|
(7) |
Šveitsi puhul kujutab käesolev otsus endast nende Schengeni acquis’ sätete edasiarendamist vastavalt Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahel allakirjutatud lepingule viimase ühinemise kohta Schengeni acquis’ sätete rakendamise, kohaldamise ja edasiarendamisega, mis kuuluvad valdkonda, millele viidatakse otsuse 1999/437/EÜ artikli 1 punktis B ja mida tõlgendatakse koostoimes Euroopa Ühenduse nimel nimetatud lepingu sõlmimist käsitleva nõukogu otsuse 2008/146/EÜ (6) artikliga 3. |
|
(8) |
Liechtensteini puhul kujutab käesolev otsus endast nende Schengeni acquis’ sätete edasiarendamist vastavalt Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelisele protokollile Liechtensteini ühinemise kohta Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga, mis käsitleb Šveitsi Konföderatsiooni ühinemist Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega, mis on seotud valdkonnaga, millele viidatakse otsuse 1999/437/EÜ artikli 1 punktis B ja mida tõlgendatakse koostoimes nõukogu 28. veebruari 2008. aasta otsuse 2008/261/EÜ (mis käsitleb Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) Euroopa Ühenduse poolt allakirjutamist ja protokolli teatavate sätete ajutist kohaldamist) (7) artikliga 3. |
|
(9) |
Käesoleva otsusega ette nähtud meetmed on kooskõlas 6. detsembri 2001. aasta määruse (EÜ) nr 2424/2001 (teise põlvkonna Schengeni infosüsteemi (SIS II) väljatöötamise kohta) (8) artikli 5 lõike 1 alusel loodud komitee arvamusega, |
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Lisas sätestatakse VISi riikide liideste ning keskinfosüsteemi ja riikide liideste vahelise sideinfrastruktuuri füüsiline ülesehitus ning neile esitatavad nõuded arenguetapil.
Artikkel 2
Käesolev otsus on adresseeritud Belgia Kuningriigile, Bulgaaria Vabariigile, Tšehhi Vabariigile, Saksamaa Liitvabariigile, Eesti Vabariigile, Kreeka Vabariigile, Hispaania Kuningriigile, Prantsuse Vabariigile, Itaalia Vabariigile, Küprose Vabariigile, Läti Vabariigile, Leedu Vabariigile, Luksemburgi Suurhertsogiriigile, Ungari Vabariigile, Malta Vabariigile, Madalmaade Kuningriigile, Austria Vabariigile, Poola Vabariigile, Portugali Vabariigile, Rumeeniale, Sloveenia Vabariigile, Slovakkia Vabariigile, Soome Vabariigile ja Rootsi Kuningriigile.
Brüssel, 17. juuni 2008
Komisjoni nimel
asepresident
Jacques BARROT
(1) ELT L 213, 15.6.2004, lk 5.
(2) EÜT L 131, 1.6.2000, lk 43.
(3) EÜT L 64, 7.3.2002, lk 20.
(4) EÜT L 176, 10.7.1999, lk 36.
(5) EÜT L 176, 10.7.1999, lk 31.
(6) ELT L 53, 27.2.2008, lk 1.
(7) ELT L 83, 26.3.2008, lk 3.
(8) EÜT L 328, 13.12.2001, lk 4. Määrust on muudetud määrusega (EÜ) nr 1988/2006 (ELT L 411, 30.12.2006, lk 1, parandatud ELT L 27, 2.2.2007, lk 3).
LISA
1. Sissejuhatus
Käesolevas dokumendis kirjeldatakse nõudeid võrgule ning sideinfrastruktuuri ja selle koostisosasid.
1.1. Akronüümid ja lühendid
|
Akronüümid ja lühendid |
Selgitus |
|
BCU |
Varukesküksus |
|
BLNI |
Riigi kohaliku liidese varuliides |
|
CNI |
Riigi keskliides |
|
CS |
Keskinfosüsteem |
|
CS-VIS |
Keskviisainfosüsteem |
|
CU |
Kesküksus |
|
DNS |
Nimeserver |
|
FTP |
Faili edastusprotokoll |
|
HTTP |
Hüperteksti edastusprotokoll |
|
IP |
Internetiprotokoll |
|
LAN |
Kohtvõrk |
|
LNI |
Riigi kohalik liides |
|
NI-VIS |
Riigi liides |
|
NTP |
Võrguaja protokoll |
|
SAN |
Salvestivõrk |
|
SDH |
Sünkroon-andmehierarhia |
|
SMTP |
Lihtne meiliedastusprotokoll |
|
SNMP |
Lihtne võrguhalduse protokoll |
|
sTESTA |
Turvaline üleeuroopaline valitsusasutuste telemaatiliste teenuste süsteem, meede IDABC programmis (programm üleeuroopaliste e-valitsuse teenuste koostalitusvõimelise osutamise kohta riikide haldusasutustele, ettevõtetele ja kodanikele. Euroopa Parlamendi ja nõukogu otsus 2004/387/EÜ (1)) |
|
TCP |
Edastusohje protokoll |
|
VIS |
Viisainfosüsteem |
|
VPN |
Virtuaalne privaatvõrk |
|
WAN |
Laivõrk |
2. Riikide liideste ning keskinfosüsteemi ja riikide liideste vahelise sideinfrasturktuuri füüsiline ülesehitus
Riigi liides, mis on määratletud nõukogu otsuse 2004/512/EÜ artikli 1 lõikes 2, koosneb järgmisest:
|
— |
igas liikmesriigis on üks kohalik liides (edaspidi „LNI”), mis füüsiliselt ühendab liikmesriigi turvalisse sidevõrku ja mis sisaldab VISi krüpteerimise seadmeid. LNI asub liikmesriikide asutustes; |
|
— |
riigi kohaliku liidese vabatahtlik varuliides (edaspidi „BLNI”), millel on LNIga täpselt samasugune sisu ja ülesanne. |
LNI ja BLNI konkreetne konfiguratsioon täpsustatakse ja lepitakse kokku iga liikmesriigiga eraldi.
LNId ja BLNId kasutatakse ainult eesmärkidel, mis on kindlaks määratud VISi suhtes kohaldatavate ühenduse õigusaktidega.
CS-VISi ja NI-VISi vaheline sideinfrastruktuur koosneb järgmistest osadest:
|
— |
turvaline üleeuroopaline valitsusasutuste telemaatiliste teenuste süsteem (edaspidi „s-TESTA”), mis pakub krüpteeritud virtuaalset privaatvõrku (vis.stesta.eu) VISi andmetele, VISi käsitlevate ühenduse õigusaktide alusel toimuvale liikmesriikide vahelisele andmeliiklusele ning liikmesriikide ja CS-VISi operatiivjuhtimise eest vastutava ametiasutuse vahelisele andmeliiklusele. |
3. Võrguteenused
Tehnoloogiate ja protokollide nimetamist peatükkides 3, 5 ja 7 tuleb käsitada selliselt, et neid tehnoloogiaid ja protokolle võib kasutada. Võrgu kasutusele võtmisel arvestatakse liikmesriikide valmisolekut.
3.1. Võrgu paigutus
VIS II ülesehituses kasutatakse tsentraliseeritud teenuseid, millele on juurdepääs igast liikmesriigist. Vastavalt komisjoni 3. novembri 2006. aasta otsusele 2006/752/EÜ, millega määratakse kindlaks viisainfosüsteemi asukohad väljatöötamisetapil, (2) asuvad tsentraliseeritud teenused kahes kohas, et tagada süsteemi töökindlus. CS-VISi põhikesküksus asub Prantsusmaal Strasbourgis ja CS-VISi varukesküksus asub Austrias St Johann im Pongaus.
Liikmesriikidele tagavad juurdepääsu põhikesküksusele ja varukesküksusele võrgu juurdepääsupunktid (LNI ja BLNI), mille abil ühendatakse riikide süsteemid CS-VISiga.
CS-VISi põhikesküksuse ja varukesküksuse vahelise ühenduse loomiseks võidakse kasutada tulevikus väljatöötatavaid ülesehituse põhimõtteid ja tehnoloogiaid, millega tagatakse pidev kesküksuse ja varukesküksuse vaheline sünkroniseerimine.
3.2. Ribalaius
Liikmesriikide LNI ja BLNI (kui see riigis luuakse) võivad toimimiseks vajada erinevat ribalaiust.
Sideinfrastruktuuri ribalaiusest peab piisama oodatava andmemahu edastamiseks. Võrk peab tagama kõigis ühendustes minimaalse üles- ja allalaadimise kiiruse ja vastama võrgu juurdepääsupunktide summaarsele ribalaiusele.
3.3. Toetavad protokollid
Sideinfrastruktuur peab võimaldama kasutada CS-VISi võrguprotokolle, eeskätt HTTPd, FTPd, NTPd, SMTPd, SNMPd, DNSi, tunneldusprotokolle, salvestivõrgus olevate andmete tiražeerimise protokolle ja Javat Javaga ühendavaid protokolle, mis on kaitstud BEA WebLogic’u omandiõigusega.
3.4. Tehniline kirjeldus
3.4.1. Internetiaadress
Sideinfrastruktuuri jaoks reserveeritakse hulk Internetiaadresse, mida tohib kasutada ainult selles võrgus. CS-VIS kasutab teatud hulka reserveeritud Internetiaadresse, mida mujal ei kasutata.
3.4.2. IPv6 tugi
Enamikus kohtvõrkudes on kasutusel Ipv4, kuid mõnel pool võib kasutusel olla ka Ipv6. Seetõttu toimivad võrgule juurdepääsu punktid IPv4/IPv6 lüüsina. Liikmesriigid peavad kooskõlastama oma tegevust Ipv6 kasutusele võtmisel, et üleminek oleks sujuv.
3.4.3. Püsiva andmevoo määr
Kui CU ja BCU ühenduse koormus on väiksem kui 90 %, peab asjaomane liikmesriik olema võimeline pidevalt toetama kogu oma kindlaksmääratud ribalaiust.
3.4.4. Muud nõuded
CS-VIS toetamiseks peab sideinfrastruktuur vastama vähemalt järgmistele minimaalsetele tehnilistele nõuetele:
|
|
andmete ülekande viivitus peab olema 95 % andmepakettide puhul (sealhulgas tipptundidel) 150 ms või väiksem ning 100 % andmepakettide puhul väiksem kui 200 ms; |
|
|
andmepakettide kaotamise tõenäosus tohib olla 95 % andmepakettide puhul (sealhulgas tipptundidel) 10–4 või väiksem ning 100 % andmepakkide puhul väiksem kui 10–3. |
|
|
Eespool nimetatud näitajad kehtivad iga juurdepääsupunkti puhul eraldi. |
|
|
CU ja BCU vahelise ühenduse viiteaeg peab olema 60 ms või väiksem. |
3.5. Vastupidavus
Sideinfrastruktuuri, eeskätt selle järgmiste koostisosade kättesaadavus peab olema väga hea:
|
— |
tuumvõrk; |
|
— |
marsruutimisseadmed; |
|
— |
võrgupunktid; |
|
— |
kliendiliini ühendused (sealhulgas füüsiliselt dubleeritud kaablid); |
|
— |
turvaseadmed (krüpteerimisseadmed, tulemüürid jt); |
|
— |
kõik üldteenused (DNS jt); |
|
— |
LNI ja BLNI (kui see on olemas). |
Selleks et terve VIS oleks võimalikult suurel määral kättesaadav, tuleb rakendustasandil kasutada ja vajaduse korral koordineerida võrguseadmete tõrkesiirde mehhanismi.
4. Seire
Seire lihtsustamiseks peab olema võimalik ühendada sideinfrastruktuuri seirevahendid CS-VISi operatiivjuhtimise eest vastutava üksuse seireseadmetega.
5. Üldteenused
Sideinfrastruktuur peab võimaldama järgmiste vabatahtlike üldteenuste kasutamist: DNS, e-posti edasisaatmine ja NTP.
6. Käideldavus
Sideinfrastruktuuri kohtvõrkude ühenduspunktid peavad olema käideldavad 99,99 % ulatuses mis tahes 28-päevase ajavahemiku jooksul.
7. Turvateenused
7.1. Võrgu krüpteerimine
Kõik sideinfrastruktuuris edastatavad VISiga seotud andmed peavad olema krüpteeritud.
Kõrgetasemelise turvalisuse tagamiseks peab sideinfrastruktuur võimaldama hallata võrgu krüpteerimisel kasutatavaid sertifikaate/krüpteerimisvõtmeid. Krüpteerimisseadmeid peab olema võimalik hallata ja jälgida üle võrgu.
Vastavalt tehnoloogia tasemele kasutatakse sümmeetrilisi krüpteerimisalgoritme (128-bitine 3DES või parem) ja asümmeetrilisi krüpteerimisalgoritme (1 024-bitine RSA või parem).
7.2. Muud turvaelemendid
Lisaks VIS II võrgule juurdepääsu punktidele (LNI ja BLNI) peab sideinfrastruktuur kaitsma ka vabatahtlikke üldteenuseid. Juhul kui need teenused võetakse kasutusele, tuleb nende puhul kasutada samasuguseid turbemeetmeid kui CS-VISi puhul. Lisaks tuleb pidevalt kontrollida üldteenuste seadmete ja nende kaitsemeetmete turvalisust.
Turvalisuse tagamiseks peab sideinfrastruktuur võimaldama viivitamatult teatada turvaintsidentidest. Turvaintsidentidest tuleb korrapäraselt aru anda, nt igakuiste ja ühekordsete aruannetena.
8. Kasutajatugi ja tugistruktuur
Luua tuleb kasutajatugi ja tugistruktuur, mis peab olema koostöövõimeline CS-VISiga.
9. Koostalitlusvõime teiste süsteemidega
Sideinfrastruktuur peab tagama, et võrgust ei leki andmeid teistesse süsteemidesse ega võrkudesse.