Besluit 2008/602 - Fysieke architectuur van en de vereisten voor de nationale interfaces en de communicatie-infrastructuur tussen het centrale VIS en de nationale interfaces gedurende de ontwikkelingsfase
23.7.2008 |
NL |
Publicatieblad van de Europese Unie |
L 194/3 |
BESCHIKKING VAN DE COMMISSIE
van 17 juni 2008
tot vaststelling van de fysieke architectuur van en de vereisten voor de nationale interfaces en de communicatie-infrastructuur tussen het centrale VIS en de nationale interfaces gedurende de ontwikkelingsfase
(Kennisgeving geschied onder nummer C(2008) 2693)
(Slechts de teksten in de Bulgaarse, de Duitse, de Estse, de Finse, de Franse, de Griekse, de Hongaarse, de Italiaanse, de Letse, de Litouwse, de Maltese, de Nederlandse, de Poolse, de Portugese, de Roemeense, de Sloveense, de Slowaakse, de Spaanse, de Tsjechische en de Zweedse taal zijn authentiek)
(2008/602/EG)
DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,
Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,
Gelet op Beschikking 2004/512/EG van de Raad van 8 juni 2004 betreffende het opzetten van het Visuminformatiesysteem (VIS) (1), en met name op artikel 4, onder a),
Overwegende hetgeen volgt:
(1) |
Bij Beschikking 2004/512/EG is het VIS opgezet voor de uitwisseling van visumgegevens tussen de lidstaten en heeft de Commissie een mandaat gekregen voor de ontwikkeling van het VIS. |
(2) |
Er moeten passende regelingen voor de Commissie en de lidstaten worden vastgesteld inzake met name de onderdelen van de nationale interface in elke lidstaat. |
(3) |
Overeenkomstig Besluit 2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis (2) heeft het Verenigd Koninkrijk niet deelgenomen aan de vaststelling van Beschikking 2004/512/EG en is deze niet bindend voor, noch van toepassing op het Verenigd Koninkrijk, aangezien zij een ontwikkeling vormt van de bepalingen van het Schengenacquis. Deze beschikking van de Commissie is derhalve niet tot het Verenigd Koninkrijk gericht. |
(4) |
Overeenkomstig Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (3) heeft Ierland niet deelgenomen aan de vaststelling van Beschikking 2004/512/EG en is deze niet bindend voor, noch van toepassing op Ierland, aangezien zij een ontwikkeling vormt van de bepalingen van het Schengenacquis. Deze beschikking van de Commissie is derhalve niet tot Ierland gericht. |
(5) |
Overeenkomstig artikel 5 van het aan het Verdrag betreffende de Europese Unie en het Verdrag tot oprichting van de Europese Gemeenschap gehechte Protocol betreffende de positie van Denemarken heeft Denemarken op 13 augustus 2004 beslist Beschikking 2004/512/EG in Deens recht om te zetten. Beschikking 2004/512/EG is dus volgens internationaal recht bindend voor Denemarken. Denemarken is daarom krachtens internationaal recht verplicht deze beschikking uit te voeren. |
(6) |
Wat IJsland en Noorwegen betreft, vormt deze beschikking een ontwikkeling van bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (4), die betrekking hebben op het gebied bedoeld in artikel 1, onder B, van Besluit 1999/437/EG van de Raad (5) inzake bepaalde toepassingsbepalingen van die overeenkomst. |
(7) |
Wat Zwitserland betreft, vormt deze beschikking een ontwikkeling van bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, die vallen onder het gebied bedoeld in artikel 1, onder B, van Besluit 1999/437/EG, gelezen in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (6) betreffende de sluiting van die overeenkomst namens de Europese Gemeenschap. |
(8) |
Wat Liechtenstein betreft, vormt deze beschikking een ontwikkeling van bepalingen van het Schengenacquis, in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, die vallen onder het gebied bedoeld in artikel 1, onder B, van Besluit 1999/437/EG, gelezen in samenhang met artikel 3 van Besluit 2008/261/EG van de Raad van 28 februari 2008 betreffende de ondertekening namens de Europese Gemeenschap en de voorlopige toepassing van enkele bepalingen van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (7). |
(9) |
De maatregelen waarin deze beschikking voorziet, zijn in overeenstemming met het advies van het comité dat is ingesteld krachtens artikel 5, lid 1, van Verordening (EG) nr. 2424/2001 van de Raad van 6 december 2001 betreffende de ontwikkeling van een Schengeninformatiesysteem van de tweede generatie (SIS II) (8), |
HEEFT DE VOLGENDE BESCHIKKING VASTGESTELD:
Artikel 1
Voor de ontwikkelingsfase zijn de fysieke architectuur van en de vereisten voor de nationale interfaces en de communicatie-infrastructuur tussen het centrale VIS en de nationale interfaces als uiteengezet in de bijlage.
Artikel 2
Deze beschikking is gericht tot het Koninkrijk België, de Republiek Bulgarije, de Tsjechische Republiek, de Bondsrepubliek Duitsland, de Republiek Estland, de Helleense Republiek, het Koninkrijk Spanje, de Franse Republiek, de Italiaanse Republiek, de Republiek Cyprus, de Republiek Letland, de Republiek Litouwen, het Groothertogdom Luxemburg, de Republiek Hongarije, de Republiek Malta, het Koninkrijk der Nederlanden, de Republiek Oostenrijk, de Republiek Polen, de Portugese Republiek, Roemenië, de Republiek Slovenië, de Slowaakse Republiek, de Republiek Finland en het Koninkrijk Zweden.
Gedaan te Brussel, 17 juni 2008.
Voor de Commissie
Jacques BARROT
Vicevoorzitter
-
PB L 328 van 13.12.2001, blz. 4. Verordening gewijzigd bij Verordening (EG) nr. 1988/2006 (PB L 411 van 30.12.2006, blz. 1; gerectificeerd in PB L 27 van 2.2.2007, blz. 3.).
BIJLAGE
-
1.Inleiding
In dit document worden de netwerkvereisten en de opzet van de communicatie-infrastructuur en de verschillende componenten daarvan beschreven.
1.1. Acroniemen en afkortingen
Acroniemen en afkortingen |
Betekenis |
BCU |
Vervangende centrale eenheid |
BLNI |
Vervangende lokale nationale interface |
CNI |
Centrale nationale interface |
CS |
Centraal systeem |
CS-VIS |
Centraal Visuminformatiesysteem |
CU |
Centrale eenheid |
DNS |
Domeinnaamserver |
FTP |
File Transfer Protocol |
HTTP |
Hypertext Transfer Protocol |
IP |
Internetprotocol |
LAN |
Lokaal netwerk (Local area network) |
LNI |
Lokale nationale interface |
NI-VIS |
Nationale interface |
NTP |
Network Time Protocol |
SAN |
Storage Area Network |
SDH |
Synchronous Digital Hierarchy |
SMTP |
Simple Mail Transfer Protocol |
SNMP |
Simple Network Management Protocol |
sTESTA |
Secure trans-European Services for Telematics between Administrations — beveiligde trans-Europese diensten voor telematica tussen overheidsdiensten. Dit is een onderdeel van het IDABC-programma (interoperabele levering van pan-Europese e-overheidsdiensten aan overheidsdiensten, ondernemingen en burgers). Besluit 2004/387/EG van het Europees Parlement en de Raad (1). |
TCP |
Transmission Control Protocol |
VIS |
Visuminformatiesysteem |
VPN |
Virtual Private Network |
WAN |
Wide Area Network |
-
2.Fysieke architectuur van de nationale interfaces en de communicatie-infrastructuur tussen het centrale vis en de nationale interfaces
De NI-VIS, zoals gedefinieerd in artikel 1, lid 2, van Beschikking 2004/512/EG van de Raad, bestaat uit:
— |
één lokale nationale interface (hierna „LNI” genoemd) in iedere lidstaat, die de fysieke verbinding vormt tussen de lidstaat en het beveiligde communicatienetwerk en waarin de versleutelingsapparatuur voor het VIS is opgenomen. De LNI bevindt zich in gebouwen van de lidstaat. |
— |
een optionele vervangende lokale nationale interface (hierna „BLNI” genoemd) met dezelfde inhoud en functie als de LNI. |
De specifieke configuratie van de LNI en de BLNI wordt samen met elke lidstaat gespecificeerd en vastgesteld.
De LNI en de BLNI worden uitsluitend gebruikt voor doeleinden die zijn vastgesteld bij de communautaire wetgeving inzake het VIS.
De communicatie-infrastructuur tussen CS-VIS en NI-VIS bestaat uit:
— |
een netwerk voor beveiligde trans-Europese diensten voor telematica tussen overheidsdiensten (sTESTA), dat een versleuteld virtual private network biedt dat specifiek bestemd is voor VIS-gegevens en voor de communicatie tussen de lidstaten (overeenkomstig de communautaire wetgeving inzake het VIS) en tussen de lidstaten en de instantie die belast is met het operationele beheer van het CS-VIS. |
-
3.Netwerkdiensten
Wanneer in de punten 3, 5 en 7 technologieën of protocollen worden genoemd, mogen ook gelijkwaardige technologieën of protocollen worden gebruikt. Bij het implementeren van het netwerk moet rekening worden gehouden met de mate van gereedheid van de lidstaten.
3.1. Opzet van het netwerk
De VIS-architectuur maakt gebruik van gecentraliseerde diensten die vanuit de verschillende lidstaten toegankelijk zijn. Omwille van de betrouwbaarheid worden deze gecentraliseerde diensten in tweevoud uitgevoerd en op twee verschillende locaties ondergebracht: het CS-VIS en de centrale eenheid (CU) in Straatsburg (Frankrijk) en het vervangende CS-VIS en de vervangende centrale eenheid (BCU) in St. Johann im Pongau (Oostenrijk), zulks overeenkomstig Beschikking 2006/752/EG van de Commissie van 3 november 2006 tot vaststelling van de locaties voor het Visuminformatiesysteem gedurende de ontwikkelingsfase (2).
De centrale eenheid en de vervangende centrale eenheid dienen vanuit de verschillende lidstaten bereikbaar te zijn via netwerktoegangspunten — een LNI en een BLNI — die de verbinding vormen tussen het nationale systeem en het CS-VIS.
De verbinding tussen het CS-VIS en het vervangende CS-VIS dient open te staan voor eventuele toekomstige nieuwe architecturen en technologieën en continue synchronisatie tussen de CU en de BCU mogelijk te maken.
3.2. Bandbreedte
De voor de LNI en de BLNI benodigde bandbreedte kan van lidstaat tot lidstaat verschillen.
De communicatie-infrastructuur dient voor de verbinding een bandbreedte te bieden die toereikend is voor het te verwachten belastingsniveau. Het netwerk moet voor elke verbinding een toereikende minimale gegarandeerde upload- en downloadsnelheid bieden en de totale bandbreedte van alle toegangspunten tot het netwerk ondersteunen.
3.3. Ondersteunde protocollen
De communicatie-infrastructuur moet de door het CS-VIS gebruikte netwerkprotocollen ondersteunen, met name HTTP, FTP, NTP, SMTP, SNMP, DNS, tunnelprotocollen, SAN-replicatieprotocollen en de merkgebonden Java-to-Java-verbindingsprotocollen van BEA WebLogic over IP.
3.4. Technische specificaties
3.4.1. IP-adressering
De communicatie-infrastructuur moet beschikken over een reeks gereserveerde IP-adressen die uitsluitend binnen dat netwerk worden gebruikt. Binnen de reeks gereserveerde IP-adressen gebruikt het CS-VIS een vast aantal IP-adressen die nergens anders worden gebruikt.
3.4.2. Ondersteuning voor IPv6
De lokale netwerken van de meeste vestigingen gebruiken IPv4, maar er kan ook gebruik worden gemaakt van IPv6. De toegangspunten tot het netwerk moeten daarom ook als gateway tussen IPv4 en IPv6 kunnen dienen. Om voor een soepele overgang te zorgen moet daarom worden gezorgd voor coördinatie met lidstaten die overschakelen op het gebruik van IPv6.
3.4.3. Sustained Flow Rate
Zolang de verbinding met de CU of de BCU voor minder dan 90 % wordt belast, moet een gegeven lidstaat continu 100 % van de voor die lidstaat gespecificeerde bandbreedte kunnen aanhouden.
3.4.4. Andere specificaties
Om CS-VIS te kunnen ondersteunen, moet de communicatie-infrastructuur ten minste aan een aantal minimale technische specificaties voldoen:
De doorvoertijd mag (ook in de piekuren) voor 95 % van de pakketten niet meer dan 150 ms bedragen en moet voor 100 % van de pakketten minder dan 200 ms bedragen. |
De kans dat pakketverlies optreedt, mag (ook in de piekuren) voor 95 % van de pakketten niet meer dan 10-4 bedragen en moet voor 100 % van de pakketten minder dan 10-3 bedragen. |
Bovengenoemde specificaties gelden voor elk toegangspunt afzonderlijk. |
Voor de verbinding tussen de CU en de BCU mag de transmissievertraging heen en terug niet meer dan 60 ms bedragen. |
3.5. Herstellingsvermogen
De communicatie-infrastructuur dient een hoge graad van beschikbaarheid te bieden. Dit geldt met name voor de volgende onderdelen:
— |
backbonenetwerk, |
— |
routingapparatuur, |
— |
aanwezigheidspunten (points of presence), |
— |
lokale aansluitverbindingen (met inbegrip van fysiek redundante bekabeling), |
— |
beveiligingsapparatuur (versleuteling, firewalls enz.), |
— |
alle generieke diensten (DNS enz.), |
— |
LNI en optionele BLNI. |
Er moeten failover-mechanismen worden ingezet en waar nodig moet coördinatie plaatsvinden met het applicatieniveau om een maximale beschikbaarheid van het gehele VIS te garanderen.
-
4.Monitoring
Om de monitoring te vergemakkelijken, moeten de monitoringinstrumenten van de communicatie-infrastructuur kunnen worden geïntegreerd met de monitoringfaciliteiten voor het operationele beheer van het CS-VIS.
-
5.Generieke diensten
De communicatie-infrastructuur moet de volgende optionele generieke diensten bieden: DNS, verzending van e-mail en NTP.
-
6.Beschikbaarheid
De verbindingspunten tot het LAN van de communicatie-infrastructuur moeten een beschikbaarheidsgraad van 99,99 % kunnen bieden over een periode van 28 dagen.
-
7.Beveiligingsdiensten
7.1. Netwerkversleuteling
VIS-informatie mag in geen geval onversleuteld over de communicatie-infrastructuur worden getransporteerd.
Om een hoog beveiligingsniveau te kunnen handhaven, moet de communicatie-infrastructuur de mogelijkheid bieden tot beheer van de certificaten/sleutels die voor de netwerkversleuteling worden gebruikt. Beheer en monitoring van de versleutelingsapparatuur moeten op afstand mogelijk zijn.
Er moet gebruik worden gemaakt van symmetrische versleutelingsalgoritmen (3DES 128 bits of beter) en asymmetrische versleutelingsalgoritmen (RSA met 1 024 bits modulus of beter), overeenkomstig de nieuwste stand van de techniek.
7.2. Andere beveiligingskenmerken
De communicatie-infrastructuur moet niet alleen de toegangpunten tot het VIS (LNI en BLNI) beveiligen, maar ook de optionele generieke diensten. Indien deze diensten beschikbaar worden gesteld, moeten daarvoor gelijkwaardige beschermingsmaatregelen gelden als voor CS-VIS. Bovendien moeten de apparatuur voor de generieke diensten en de beschermingsmaatregelen onder voortdurende beveiligingssurveillance staan.
Om een hoog beveiligingsniveau te kunnen handhaven, moet de communicatie-infrastructuur mogelijk maken dat alle beveiligingsincidenten onmiddellijk worden gemeld. Van alle beveiligingsincidenten moet regelmatig een overzicht worden gegeven, bijvoorbeeld door maandelijkse rapportage en op ad-hocbasis.
-
8.Helpdesk en ondersteuningsstructuur
Er wordt gezorgd voor een helpdesk en een ondersteuningsstructuur die in staat zijn met CS-VIS contact te onderhouden.
-
9.Interactie met andere systemen
De communicatie-infrastructuur moet waarborgen dat vanuit het netwerk geen gegevens kunnen lekken naar andere systemen of netwerken.
Deze samenvatting is overgenomen van EUR-Lex.