DECYZJA KOMISJI
z dnia 17 czerwca 2008 r.
ustanawiająca architekturę fizyczną i wymogi dotyczące interfejsów krajowych oraz infrastruktury łączności między Centralnym Wizowym Systemem Informacyjnym (VIS) i interfejsami krajowymi w fazie rozwoju
(notyfikowana jako dokument nr C(2008) 2693)
(jedynie teksty w językach bułgarskim, czeskim, estońskim, fińskim, francuskim, greckim, hiszpańskim, litewskim, łotewskim, maltańskim, niderlandzkim, niemieckim, polskim, portugalskim, rumuńskim, słowackim, słoweńskim, szwedzkim, węgierskim i włoskim są autentyczne)
(2008/602/WE)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską,
uwzględniając decyzję Rady 2004/512/WE z dnia 8 czerwca 2004 r. w sprawie ustanowienia Wizowego Systemu Informacyjnego (VIS) (1), w szczególności jej art. 4 lit. a),
a także mając na uwadze, co następuje:
(1) Decyzją 2004/512/WE ustanowiono VIS jako system służący wymianie danych wizowych między państwami członkowskimi oraz upoważniono Komisję do rozwinięcia VIS.
(2) Należy dokonać odpowiednich ustaleń dotyczących w szczególności cech interfejsu krajowego zlokalizowanego w państwach członkowskich, które obowiązywałyby Komisję i państwa członkowskie.
(3) Zgodnie z decyzją Rady 2000/365/WE z dnia 29 maja 2000 r. dotyczącą wniosku Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej o zastosowanie wobec niego niektórych przepisów dorobku Schengen (2) Zjednoczone Królestwo nie uczestniczyło w przyjęciu decyzji 2004/512/WE i nie jest nią związane ani nie podlega jej stosowaniu, ponieważ stanowi ona rozwinięcie dorobku Schengen. Niniejsza decyzja Komisji nie jest zatem skierowana do Zjednoczonego Królestwa.
(4) Zgodnie z decyzją Rady 2002/192/WE z dnia 28 lutego 2002 r. dotyczącą wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen (3), Irlandia nie uczestniczyła w przyjęciu decyzji 2004/512/WE i nie jest nią związana ani nie podlega jej stosowaniu, ponieważ decyzja ta stanowi rozwinięcie przepisów dorobku Schengen. Niniejsza decyzja Komisji nie jest zatem skierowana do Irlandii.
(5) Zgodnie z art. 5 protokołu w sprawie stanowiska Danii stanowiącego załącznik do Traktatu o Unii Europejskiej oraz do Traktatu ustanawiającego Wspólnotę Europejską, dnia 13 sierpnia 2004 r. Dania postanowiła wdrożyć decyzję 2004/512/WE do prawa duńskiego. Decyzja 2004/512/WE jest zatem wiążąca dla Danii w świetle prawa międzynarodowego. W związku z powyższym w świetle prawa międzynarodowego Dania ma obowiązek wdrożenia niniejszej decyzji.
(6) W odniesieniu do Islandii i Norwegii niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu umowy zawartej przez Radę Unii Europejskiej oraz Republikę Islandii i Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (4), które mieszczą się w obszarze określonym w art. 1 pkt B decyzji Rady 1999/437/WE z dnia 17 maja 1999 r. w sprawie niektórych warunków stosowania umowy zawartej przez Radę Unii Europejskiej oraz Republikę Islandii i Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (5).
(7) W odniesieniu do Szwajcarii niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu umowy podpisanej przez Unię Europejską, Wspólnotę Europejską i Konfederację Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen, które mieszczą się w obszarze określonym w art. 1 pkt B decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/146/WE w sprawie zawarcia tej umowy w imieniu Wspólnoty Europejskiej (6).
(8) W odniesieniu do Liechtensteinu niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu podpisanego między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen, które wchodzą w zakres określony w art. 1 pkt B decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/261/WE z dnia 28 lutego 2008 r. w sprawie podpisania w imieniu Wspólnoty Europejskiej i tymczasowego stosowania niektórych postanowień Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu o przystąpieniu Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (7).
(9) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 5 ust. 1 rozporządzenia Rady (WE) nr 2424/2001 z dnia 6 grudnia 2001 r. w sprawie rozwoju Systemu Informacyjnego Schengen drugiej generacji (SIS II) (8),
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Architekturę fizyczną i wymogi dotyczące interfejsów krajowych oraz infrastruktury łączności między Centralnym VIS i interfejsami krajowymi w fazie rozwoju określa się w załączniku.
Artykuł 2
Niniejsza decyzja skierowana jest do Królestwa Belgii, Republiki Bułgarii, Republiki Czeskiej, Republiki Federalnej Niemiec, Republiki Estońskiej, Republiki Greckiej, Królestwa Hiszpanii, Republiki Francuskiej, Republiki Włoskiej, Republiki Cypryjskiej, Republiki Łotewskiej, Republiki Litewskiej, Wielkiego Księstwa Luksemburga, Republiki Węgierskiej, Republiki Malty, Królestwa Niderlandów, Republiki Austrii, Rzeczypospolitej Polskiej, Republiki Portugalskiej, Rumunii, Republiki Słowenii, Republiki Słowackiej, Republiki Finlandii oraz Królestwa Szwecji.
Sporządzono w Brukseli, dnia 17 czerwca 2008 r.
W imieniu Komisji |
Jacques BARROT |
Wiceprzewodniczący |
|
(1) Dz.U. L 213 z 15.6.2004, s. 5.
(2) Dz.U. L 131 z 1.6.2000, s. 43.
(3) Dz.U. L 64 z 7.3.2002, s. 20.
(4) Dz.U. L 176 z 10.7.1999, s. 36.
(5) Dz.U. L 176 z 10.7.1999, s. 31.
(6) Dz.U. L 53 z 27.2.2008, s. 1.
(7) Dz.U. L 83 z 26.3.2008, s. 3.
(8) Dz.U. L 328 z 13.12.2001, s. 4. Rozporządzenie zmienione rozporządzeniem (WE) nr 1988/2006 (Dz.U. L 411 z 30.12.2006, s. 1).
ZAŁĄCZNIK
1. Wprowadzenie
W niniejszym dokumencie opisano wymogi sieciowe oraz projekt infrastruktury łączności i jej części składowych.
1.1. Akronimy i skróty
Akronimy i skróty | Wyjaśnienie |
BCU | Zapasowa jednostka centralna (Backup Central Unit) |
BLNI | Zapasowy lokalny interfejs krajowy (Backup Local National Interface) |
CNI | Centralny interfejs krajowy (Central National Interface) |
CS | System centralny (Central System) |
CS-VIS | Centralny wizowy system informacyjny (Central Visa Information System) |
CU | Jednostka centralna (Central Unit) |
DNS | Serwer nazw domen (Domain Name Server) |
FTP | Protokół przesyłania plików (File Transfer Protocol) |
HTTP | Protokół przesyłania hipertekstu (Hypertext Transfer Protocol) |
IP | Protokół IP (Internet Protocol) |
LAN | Lokalna wewnętrzna sieć komputerowa (Local Area Network) |
LNI | Lokalny interfejs krajowy (Local National Interface) |
NI-VIS | Interfejs krajowy (National Interface) |
NTP | Protokół synchronizacji czasu (Network Time Protocol) |
SAN | Sieć pamięci masowej (Storage Area Network) |
SDH | Synchroniczna hierarchia cyfrowa (Synchronous Digital Hierarchy) |
SMTP | Protokół SMTP (Simple Mail Transfer Protocol) |
SNMP | Protokół SNMP (Simple Network Management Protocol) |
sTESTA | Bezpieczne ogólnoeuropejskie usługi telematyczne między administracjami, stanowiące środek przewidziany w ramach programu IDABC (interoperatywne świadczenie ogólnoeuropejskich usług typu eGovernment dla administracji publicznej, przedsiębiorstw i obywateli; decyzja 2004/387/WE Parlamentu Europejskiego i Rady (*)) |
TCP | Protokół kontroli transmisji (Transmission Control Protocol) |
VIS | Wizowy system informacyjny (Visa Information System) |
VPN | Wirtualna sieć prywatna (Virtual Private Network) |
WAN | Rozległa sieć komputerowa (Wide Area Network) |
(*) Dz.U. L 181 z 18.5.2004, s. 25. |
2. Architektura fizyczna interfejsów krajowych oraz infrastruktury łączności między Centralnym Wizowym Systemem Informacyjnym (VIS) i interfejsami krajowymi
Na interfejs krajowy NI-VIS zgodnie z definicją zawartą w art. 1 ust. 2 decyzji Rady 2004/512/WE składają się:
- jeden lokalny interfejs krajowy (zwany dalej „LNI") na każde państwo członkowskie; interfejs ten łączy fizycznie państwo członkowskie z bezpieczną siecią łączności i zawiera urządzenia szyfrujące na użytek VIS. LNI jest umieszczony w obiektach zlokalizowanych na terenie państwa członkowskiego,
- opcjonalnie także zapasowy lokalny interfejs krajowy (zwany dalej „BLNI"), który składa się z takich samych elementów i pełni taką samą funkcję, co LNI.
Konkretna konfiguracja LNI i BLNI zostanie określona i uzgodniona z każdym państwem członkowskim osobno.
LNI i BLNI mają służyć wyłącznie do celów określonych w prawodawstwie wspólnotowym mającym zastosowaniem do VIS.
Infrastruktura łączności między CS-VIS i NI-VIS składa się z:
- sieci na potrzeby bezpiecznych ogólnoeuropejskich usług telematycznych między administracjami (zwanej dalej „sTESTA"), zapewniającej zaszyfrowaną prywatną sieć wirtualną (vis.stesta.eu) przeznaczoną dla danych VIS i umożliwiającą łączność między państwami członkowskimi zgodnie z prawodawstwem wspólnotowym dotyczącym VIS oraz między państwami członkowskimi i organem odpowiedzialnym za zarządzanie operacyjne CS-VIS.
3. Usługi sieciowe
W rozdziałach 3, 5 i 7, jeżeli mowa jest o technologiach i protokołach, należy rozumieć, że dopuszczalne jest stosowanie równorzędnych technologii i protokołów. Przy wdrażaniu sieci uwzględnia się stopień przygotowania państw członkowskich.
3.1. Układ sieci
W przypadku architektury VIS korzysta się ze scentralizowanych usług, do których można uzyskać dostęp z różnych państw członkowskich. Aby zwiększyć niezawodność systemu, te scentralizowane usługi są zlokalizowane w dwóch różnych miejscach - w Strasburgu we Francji, gdzie mieści się główny CS-VIS, jednostka centralna (CU), oraz w St Johann im Pongau w Austrii, gdzie znajduje się zapasowy CS-VIS, zapasowa jednostka centralna (BCU), zgodnie z decyzją Komisji 2006/752/WE z dnia 3 listopada 2006 r. ustanawiającą lokalizację Wizowego Systemu Informacyjnego (VIS) w fazie jego rozwoju (1).
Dostęp do głównej jednostki centralnej i zapasowej jednostki centralnej jest możliwy z różnych państw członkowskich poprzez punkty dostępu do sieci - LNI i BLNI, które łączą moduły krajowe z CS-VIS.
Połączenie między głównym CS-VIS i zapasowym CS-VIS jest przygotowane także na wszelkie nowe architektury i technologie w przyszłości i umożliwia bieżącą synchronizację między CU i BCU.
3.2. Szerokość pasma
Szerokość pasma konieczna dla LNI i opcjonalnego BLNI może być inna dla każdego państwa członkowskiego.
Infrastruktura łączności zapewnia szerokości pasma dla połączeń dostosowane do przewidywanego obciążenia sieci. Sieć zapewnia wystarczającą minimalną gwarantowaną prędkość wysyłania i pobierania danych dla każdego połączenia, a jej przepustowość jest tak dobrana, aby możliwe było obsłużenie całkowitej szerokości pasma punktów dostępu do sieci.
3.3. Obsługiwane protokoły
Infrastruktura łączności zapewnia współpracę z protokołami sieciowymi wykorzystywanymi przez CS-VIS, w szczególności z HTTP, FTP, NTP, SMTP, SNMP, DNS, protokołami tunelowania, protokołami replikacji SAN oraz zastrzeżonymi protokołami połączeń „Java-to-Java" typu BEA WebLogic poprzez IP.
3.4. Specyfikacja techniczna
3.4.1. Adresowanie IP
Infrastruktura łączności obejmuje szereg zastrzeżonych adresów IP, z których można korzystać wyłącznie w obrębie tej sieci. CS-VIS będzie korzystał z wydzielonego zakresu adresów IP, wyodrębnionych spośród wyżej wspomnianego zbioru zastrzeżonych adresów IP; zakres ten nie będzie wykorzystywany nigdzie indziej.
3.4.2. Obsługa IPv6
Sieci lokalne większości stron będą wykorzystywać IPv4, jednak niektóre mogą korzystać z IPv6. Dlatego punkty dostępu do sieci umożliwiają pełnienie roli bramy IPv4/IPv6. Niezbędna będzie koordynacja z państwami członkowskimi przechodzącymi na IPv6, tak, aby przebiegało to sprawnie.
3.4.3. Utrzymane przepustowości
Tak długo, jak połączenie CU lub BCU ma obciążenie mniejsze niż 90 %, dane państwo członkowskie musi być w stanie utrzymywać stale 100 % przypisanej mu szerokości pasma.
3.4.4. Inne wymogi
Aby obsługiwać CS-VIS, infrastruktura łączności musi spełniać przynajmniej minimalne wymogi techniczne.
Opóźnienie przejścia (ang. transit delay) jest (włączając godziny największego ruchu) niższe niż lub równe 150 ms w 95 % pakietów oraz niższe niż 200 ms w 100 % pakietów.
Prawdopodobieństwo utraty pakietów jest (włączając godziny największego ruchu) niższe niż, lub równe, 10~4 w 95 % pakietów oraz niższe niż 10~3 w 100 % pakietów.
Wyżej wymienione wymogi mają zastosowanie do wszystkich poszczególnych punktów dostępu. Połączenie między CU i BCU ma opóźnienie RTD (ang. Round Trip Delay) niższe niż lub równe 60 ms.
3.5. Niezawodność systemu
Infrastruktura łączności zapewnia wysoką dostępność, w szczególności w odniesieniu do następujących elementów:
- sieć szkieletowa,
- urządzenia trasujące,
- punkty dostępu do Internetu typu POP (ang. Points of Presence),
- podłączenia pętli lokalnej (ang. Local loop connections) (w tym fizycznie redundantne okablowanie),
- urządzenia zabezpieczające (urządzenia szyfrujące, zapory itp.),
- wszystkie usługi podstawowe (DNS itp.),
- LNI i opcjonalny BLNI.
Ustanawia się mechanizmy przejmowania funkcji na wypadek awarii oraz w razie konieczności koordynuje je z poziomem aplikacji w celu zapewnienia maksymalnej dostępności całego VIS.
4. Monitorowanie
Aby ułatwić monitorowanie, możliwe jest zintegrowanie monitorujących narzędzi infrastruktury łączności z monitorującymi instrumentami organu odpowiedzialnego za zarządzanie operacyjne CS-VIS.
5. Usługi podstawowe
Infrastruktura łączności oferuje następujące opcjonalne usługi podstawowe: DNS, przekazywanie poczty i NTP.
6. Dostępność
Połączenia do LAN infrastruktury łączności są dostępne w 99,99 % przez okres 28 dni.
7. Usługi z zakresu bezpieczeństwa
7.1. Szyfrowanie sieci
Informacje powiązane z VIS przekazuje się za pośrednictwem infrastruktury łączności wyłącznie po ich zaszyfrowaniu.
Aby utrzymać wysoki poziom bezpieczeństwa, infrastruktura łączności umożliwia posługiwanie się certyfikatami/-kluczami wybranego sposobu szyfrowania sieci. Możliwe jest zarządzanie urządzeniami szyfrującymi na odległość i ich monitorowanie na odległość.
Symetryczne algorytmy szyfrujące (3DES 128 bitów lub lepsze) i asymetryczne algorytmy szyfrujące (RSA moduł 1 024-bitowy lub lepsze) stosuje się zgodnie z najnowszym stanem techniki.
7.2. Inne zabezpieczenia
Infrastruktura łączności chroni nie tylko punkty dostępu do sieci VIS (LNI i BLNI), ale także opcjonalne usługi podstawowe. W przypadku udostępniania takich usług powinny one spełniać wymogi w zakresie ochrony porównywalne z wymogami dla CS-VIS. Ponadto urządzenia przeznaczone do usług podstawowych i ich zabezpieczenia powinny być pod stałym nadzorem zabezpieczającym.
Aby zachować wysoki poziom bezpieczeństwa, infrastruktura łączności umożliwia bezzwłoczne zgłaszanie wszelkich przypadków naruszenia zabezpieczeń. Sprawozdania dotyczące wszelkich przypadków naruszenia bezpieczeństwa sporządzane są regularnie, np. raz w miesiącu, oraz w momencie ich stwierdzenia.
8. Dział pomocy technicznej i struktura wsparcia
Ustanawia się dział pomocy technicznej i strukturę wsparcia, zdolne do współpracy z CS-VIS.
9. Współdziałanie z innymi systemami
Infrastruktura łączności gwarantuje, że w sieci nie nastąpi przeciek danych do innych systemów lub innych sieci.
|
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00