1.

Einleitung

Das System für den Informationsaustausch im Rahmen der Beweisaufnahme ist ein e-CODEX basiertes dezentrales IT-System für den Austausch von Schriftstücken und Nachrichten im Zusammenhang mit der Beweisaufnahme in verschiedenen Mitgliedstaaten im Einklang mit der Verordnung (EU) 2020/1783. Der dezentrale Charakter dieses IT-Systems würde den Datenaustausch ausschließlich zwischen einem Mitgliedstaat und einem anderen ermöglichen, ohne dass eines der Organe der Union an diesem Austausch beteiligt ist.

2.

Begriffsbestimmungen

2.1.

„Sicheres Hypertext-Übertragungsprotokoll” oder „HTTPS” steht für verschlüsselte Kommunikation und gesicherte Verbindungswege;

2.2.

„Portal” bezeichnet die mit dem dezentralen IT-System verbundene Referenzimplementierungslösung oder nationale Back-End-Lösung;

2.3.

„Nichtabstreitbarkeit der Herkunft” steht für die Maßnahmen, mit denen die Integrität und die Herkunft der Daten unter anderem durch digitale Zertifikate, Public-Key-Infrastruktur und digitale Signaturen nachgewiesen wird;

2.4.

„Nichtabstreitbarkeit des Erhalts” steht für die Maßnahmen, mit denen der Absender unter anderem durch digitale Zertifikate, Public-Key-Infrastruktur und digitale Signaturen den Nachweis erhält, dass der vorgesehene Empfänger die Daten erhalten hat;

2.5.

„SOAP” im Sinne der Standards des World Wide Web Consortium steht für ein Nachrichtenprotokoll für den Austausch strukturierter Informationen über Webdienste in Computernetzen.

2.6.

„Webdienst” steht für ein Software-System, das die Interoperabilität zwischen Geräten in einem Netzwerk unterstützt; ein Webdienst verfügt über eine Schnittstelle, die in einem maschinenlesbaren Format beschrieben ist.

2.7.

„Datenaustausch” steht für den Austausch von Nachrichten und Schriftstücken über das dezentrale IT-System.

3.

Methoden zur elektronischen Kommunikation

Für den Austausch von Nachrichten und Schriftstücken nutzt das System für den Informationsaustausch im Rahmen der Beweisaufnahme dienstbasierte Methoden der Kommunikation wie etwa Webdienste oder andere wiederverwendbare digitale Dienstinfrastrukturen. Insbesondere wird die e-CODEX-Infrastruktur verwendet, die aus zwei Hauptkomponenten, dem Konnektor und dem Gateway, besteht. Der Konnektor dient der Kommunikation mit der Referenzimplementierungslösung oder den nationalen Implementierungen. Er kann den Nachrichtenaustausch mit dem Gateway in beide Richtungen verarbeiten, Nachrichten verfolgen und den Eingang mithilfe von Standards wie ETSI-REM Evidences bestätigen, Signaturen von Geschäftsunterlagen validieren, ein Token mit dem Ergebnis der Validierung im PDF- und XML-Format erstellen und einen Container unter Verwendung von Standards wie ASIC-S erstellen, um Geschäftsinhalte einer Nachricht abzulegen und zu signieren. Das Gateway dient dem Austausch von Nachrichten und funktioniert unabhängig vom Inhalt der Nachricht. Es kann Nachrichten vom Konnektor empfangen und an ihn versenden, Header-Informationen validieren, den richtigen Verarbeitungsmodus ermitteln, Nachrichten signieren und verschlüsseln und Nachrichten an andere Gateways weiterleiten.

4.

Kommunikationsprotokolle

Das System für den Informationsaustausch im Rahmen der Beweisaufnahme nutzt sichere Internetprotokolle wie HTTPS für die Kommunikation über Portal- und dezentrale IT-Systemkomponenten und Standardkommunikationsprotokolle wie SOAP für die Übermittlung von strukturierten Daten und Metadaten. e-CODEX bietet insbesondere eine hohe Informationssicherheit durch eine dem Stand der Technik entsprechende Authentifizierung und ein mehrschichtiges kryptografisches Protokoll.

5.

Sicherheitsstandards

Die technischen Maßnahmen, mit denen im Hinblick auf die Bereitstellung und Verbreitung von Informationen über das System für den Informationsaustausch im Rahmen der Beweisaufnahme die Einhaltung von IT-Mindestsicherheitsstandards gewährleistet werden soll, müssen Folgendes umfassen:

a)

Maßnahmen, die die Vertraulichkeit der Informationen gewährleisten, z. B. durch Nutzung sicherer Kanäle (HTTPS);

b)

Maßnahmen, die die Integrität der Daten während des Austauschs gewährleisten;

c)

Maßnahmen, die die Nichtabstreitbarkeit der Herkunft durch den Absender der Informationen innerhalb des Systems für den Informationsaustausch im Rahmen der Beweisaufnahme sowie die Nichtabstreitbarkeit des Erhalts der Informationen gewährleisten;

d)

Maßnahmen, die die Protokollierung von sicherheitsrelevanten Ereignissen im Einklang mit anerkannten internationalen Empfehlungen für IT-Sicherheitsstandards gewährleisten;

e)

Maßnahmen, die die Authentifizierung und Autorisierung registrierter Nutzer gewährleisten, und Maßnahmen zur Überprüfung der Identität der mit dem System für den Informationsaustausch im Rahmen der Beweisaufnahme verbundenen Systeme.

f)

Das System für den Informationsaustausch im Rahmen der Beweisaufnahme wird gemäß den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen entwickelt.

6.

Verfügbarkeit der Dienste

6.1.

Die Dienste werden 24 Stunden am Tag und 7 Tage die Woche erbracht, wobei die technische Verfügbarkeitsquote des Systems ohne planmäßige Wartungen bei mindestens 98 % liegen muss.

6.2.

Die Mitgliedstaaten setzen die Kommission im Voraus von Wartungsarbeiten in Kenntnis. Dabei gelten folgende Fristen:

a)

5 Arbeitstage vor Wartungsarbeiten, die eine Nichtverfügbarkeit von bis zu 4 Stunden zur Folge haben können;

b)

10 Arbeitstage vor Wartungsarbeiten, die eine Nichtverfügbarkeit von bis zu 12 Stunden zur Folge haben können;

c)

30 Arbeitstage vor Wartungsarbeiten, die eine Nichtverfügbarkeit von bis zu 6 Tagen pro Jahr zur Folge haben können.

6.3.

Soweit möglich, werden Wartungsarbeiten an den Arbeitstagen zwischen 20 Uhr und 7 Uhr MEZ geplant.

6.4

Sofern Mitgliedstaaten feste wöchentliche Wartungszeiten festgelegt haben, unterrichten sie die Kommission darüber, an welchem Wochentag und zu welchen Uhrzeiten solche festen wöchentlichen Wartungszeiten geplant sind. Unbeschadet der unter 6.2 genannten Verpflichtungen können Mitgliedstaaten, wenn ihre Systeme während solcher fester Wartungszeiten nicht verfügbar sind, davon absehen, die Kommission jedes Mal in Kenntnis zu setzen.

6.5

Im Falle eines unerwarteten technischen Versagens ihrer Systeme unterrichten die Mitgliedstaaten die Kommission unverzüglich über die Nichtverfügbarkeit des Systems und, soweit bekannt, über den geplanten Zeitpunkt der Wiederaufnahme des Dienstes.

6.6

Im Falle eines unerwarteten Ausfalls der Datenbank der zuständigen Behörden unterrichtet die Kommission die Mitgliedstaaten unverzüglich über die Nichtverfügbarkeit und, soweit bekannt, über den geplanten Zeitpunkt der Wiederaufnahme des Dienstes.