1.

Einleitung und Geltungsbereich

Dieser Anhang enthält die technischen Spezifikationen, Maßnahmen und Ziele des dezentralen IT-Systems gemäß der Verordnung (EU) 2023/2844 für die in Anhang I Nummern 3 und 4 aufgeführten Rechtsakte, die in Anhang II Nummern 1, 10 und 11 der genannten Verordnung aufgeführten Rechtsakte und das in Artikel 24 Absatz 3 der Verordnung (EU) 2023/2844 festgelegte Verfahren für die elektronische Zustellung von Schriftstücken über den europäischen elektronischen Zugangspunkt.

2.

Begriffsbestimmungen

2.1.

„Datenaustausch” bezeichnet den Austausch von Nachrichten und Schriftstücken über das dezentrale IT-System;

2.2.

„Hypertext Transfer Protocol Secure” (Sicheres Hypertext-Übertragungsprotokoll) oder „HTTPS” steht für verschlüsselte Kommunikation und gesicherte Verbindungswege;

2.3.

„Nichtabstreitbarkeit der Herkunft” steht für die Maßnahmen, mit denen die Integrität und die Herkunft der Daten unter anderem durch digitale Zertifikate, Public-Key-Infrastruktur, elektronische Signaturen und elektronische Siegel nachgewiesen wird;

2.4.

„Nichtabstreitbarkeit des Empfangs” steht für die Maßnahmen, mit denen der Ersteller unter anderem durch digitale Zertifikate, Public-Key-Infrastruktur, elektronische Signaturen und elektronische Siegel den Nachweis erhält, dass der vorgesehene Empfänger die Daten erhalten hat;

2.5.

„REST” (REpresentational State Transfer) ist ein Architekturstil für die Gestaltung vernetzter Anwendungen. Er basiert auf einem zustandslosen Client-Server-Kommunikationsmodell und verwendet Standardmethoden zur Durchführung von Operationen an Ressourcen, die in der Regel in strukturierten Formaten dargestellt werden;

2.6.

„SOAP” im Sinne der Standards des World Wide Web Consortium steht für eine Spezifikation eines Nachrichtenprotokolls für den Austausch strukturierter Informationen bei der Implementierung von Webdiensten in Computernetzwerken;

2.7.

„Webdienst” bezeichnet ein Softwaresystem, das die Interoperabilität zwischen Geräten in einem Netzwerk unterstützt; ein Webdienst verfügt über eine Schnittstelle, die in einem maschinenlesbaren Format beschrieben ist.

3.

Methoden zur elektronischen Kommunikation

Für den Austausch von Nachrichten und Schriftstücken nutzt das dezentrale IT-System dienstbasierte Methoden der Kommunikation wie etwa Webdienste oder andere wiederverwendbare Komponenten und Softwarelösungen. Insbesondere erfolgt die Kommunikation über die e-CODEX-Zugangspunkte, wie in Artikel 5 Absatz 2 der Verordnung (EU) 2022/850 festgelegt.

4.

Kommunikationsprotokolle

Das dezentrale IT-System verwendet sichere Internetprotokolle wie HTTPS für die Kommunikation innerhalb des dezentralen IT-Systems und normbasierte Kommunikationsprotokolle wie SOAP oder Methoden wie REST für die Übermittlung strukturierter Daten und Metadaten.

5.

Vorgaben für die Informationssicherheit und entsprechende technische Maßnahmen

5.1.

Die technischen Maßnahmen zur Einhaltung von IT-Mindestsicherheitsstandards für den Informationsaustausch über das dezentrale IT-System müssen Folgendes umfassen:

a)

Maßnahmen zur Sicherstellung der Vertraulichkeit von Informationen, einschließlich der Verwendung sicherer Kommunikationskanäle wie HTTPS;

b)

Maßnahmen zur Sicherstellung der Integrität der Daten im Ruhezustand und bei der Datenübermittlung;

c)

Maßnahmen zur Sicherstellung der Nichtabstreitbarkeit der Herkunft durch den Absender der Informationen innerhalb des dezentralen IT-Systems sowie der Nichtabstreitbarkeit des Erhalts der Informationen;

d)

Maßnahmen, die die Protokollierung von sicherheitsrelevanten Ereignissen im Einklang mit anerkannten internationalen Empfehlungen für IT-Sicherheitsstandards sicherstellen⁽¹⁾;

e)

Maßnahmen zur Sicherstellung der Authentifizierung und Autorisierung der Nutzer und Maßnahmen zur Überprüfung der Identität der mit dem dezentralen IT-System verbundenen Systeme;

5.2.

Wird im Rahmen des dezentralen IT-Systems TLS eingesetzt, so ist die letzte stabile Version des Protokolls oder, falls dies nicht möglich ist, eine Version ohne bekannte Sicherheitslücken zu verwenden. Es sind nur Schlüssellängen zulässig, die für ein angemessenes Maß an kryptografischer Sicherheit sorgen, und es dürfen keine als unsicher oder veraltet bekannten Cipher Suites verwendet werden;

5.3.

Soweit möglich, werden digitale PKI-Zertifikate, die für die Zwecke des dezentralen IT-Systems verwendet werden, von Zertifizierungsstellen ausgestellt, die gemäß der Verordnung (EU) Nr. 910/2014 als qualifizierte Vertrauensdiensteanbieter anerkannt sind. Es werden Maßnahmen ergriffen, um sicherzustellen, dass solche Zertifikate ausschließlich für ihre vorgesehenen Zwecke, auf dem erforderlichen Vertrauensniveau und im Einklang mit den geltenden Anforderungen der Verordnung (EU) Nr. 910/2014 verwendet werden.

5.4.

Die Komponenten des dezentralen IT-Systems werden nach dem Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen entwickelt, und es werden geeignete administrative, organisatorische und technische Maßnahmen ergriffen, um ein hohes Maß an Cybersicherheit zu gewährleisten.

5.5.

Die Kommission konzipiert, entwickelt und pflegt die Referenzimplementierungssoftware im Einklang mit den in der Verordnung (EU) 2018/1725 festgelegten Datenschutzanforderungen und -grundsätzen. Die von der Kommission bereitgestellte Referenzimplementierungssoftware ermöglicht es den Mitgliedstaaten, ihren Verpflichtungen gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates⁽²⁾ bzw. der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates⁽³⁾ nachzukommen;

5.6.

Mitgliedstaaten, die ein anderes nationales IT-System als die Referenzimplementierungssoftware verwenden, ergreifen die erforderlichen Maßnahmen, um sicherzustellen, dass es den Anforderungen der Verordnung (EU) 2016/679 bzw. der Richtlinie (EU) 2016/680 entspricht;

5.7.

Eurojust und die Europäische Staatsanwaltschaft ergreifen bezüglich ihrer Beteiligung am dezentralen IT-System die erforderlichen Maßnahmen, um sicherzustellen, dass ihre jeweiligen IT-Systeme den Anforderungen der Verordnung (EU) 2018/1725 und ihrer Gründungsrechtsakte entsprechen;

5.8.

Die Mitgliedstaaten, Eurojust und die Europäische Staatsanwaltschaft richten für die IT-Systeme, die Teil des dezentralen IT-Systems sind und in ihre Zuständigkeit fallen, gemäß ihren diesbezüglichen Regelwerken robuste Mechanismen für die Entdeckung von Bedrohungen und die Reaktion auf Vorfälle ein, um die rechtzeitige Erkennung und Eindämmung sowie die Wiederherstellung des Betriebs bei Sicherheitsvorfällen sicherzustellen.

6.

Mindestverfügbarkeitsvorgaben

6.1.

Die Mitgliedstaaten stellen die Verfügbarkeit der unter ihrer Verantwortung stehenden Komponenten des dezentralen IT-Systems an 24 Stunden pro Tag und an 7 Tagen pro Woche sicher, mit einer angestrebten technischen Verfügbarkeitsrate von mindestens 98 % pro Jahr, ausgenommen geplante Wartungsarbeiten;

6.2.

Die Kommission stellt die Verfügbarkeit der Datenbank der zuständigen Gerichte (Behörden) (CDB) an 24 Stunden pro Tag und an 7 Tagen pro Woche sicher, mit einer angestrebten technischen Verfügbarkeitsrate von mehr als 99 % pro Jahr, ausgenommen geplante Wartungsarbeiten;

6.3.

Wartungsarbeiten sind nach Möglichkeit außerhalb der Arbeitstage oder an Arbeitstagen zwischen 20.00 Uhr und 7.00 Uhr MEZ zu planen;

6.4.

Die Mitgliedstaaten unterrichten die Kommission und die anderen Mitgliedstaaten über Wartungstätigkeiten wie folgt:

a)

5 Arbeitstage im Voraus bei Wartungsarbeiten, die eine Nichtverfügbarkeit von bis zu 4 Stunden zur Folge haben können,

b)

10 Arbeitstage im Voraus bei Wartungsarbeiten, die eine Nichtverfügbarkeit von 4 bis 12 Stunden zur Folge haben können,

c)

30 Arbeitstage im Voraus bei Wartungsarbeiten, die eine Nichtverfügbarkeit von über 12 Stunden zur Folge haben können.

6.5.

Verfügen die Mitgliedstaaten über feste Zeitfenster für die regelmäßige Wartung, so unterrichten sie die Kommission und die anderen Mitgliedstaaten über die Uhrzeit und die Tage, an denen solche festen regelmäßigen Wartungsfenster geplant sind. Unbeschadet der in Nummer 6.4 festgelegten Verpflichtungen können die Mitgliedstaaten, wenn Komponenten des dezentralen IT-Systems, für die sie zuständig sind, während eines solchen festen regelmäßigen Wartungsfensters nicht verfügbar sind, davon absehen, die Kommission bei jeder Gelegenheit zu unterrichten;

6.6.

Im Falle eines unerwarteten technischen Ausfalls von Komponenten des dezentralen IT-Systems, für die die Mitgliedstaaten zuständig sind, unterrichten die Mitgliedstaaten die Kommission und die anderen Mitgliedstaaten unverzüglich darüber und teilen ihnen, sofern bekannt, den voraussichtlichen Zeitraum bis zur Wiederherstellung mit;

6.7.

Im Falle eines unerwarteten technischen Ausfalls der Datenbank der zuständigen Gerichte (Behörden) (CDB) unterrichtet die Kommission die Mitgliedstaaten unverzüglich über die Nichtverfügbarkeit und, sofern bekannt, über den voraussichtlichen Zeitraum bis zur Wiederherstellung;

6.8.

Die Mitgliedstaaten stellen sicher, dass die Daten, einschließlich personenbezogener Daten, die in den Komponenten des dezentralen IT-Systems unter ihrer Verantwortung verarbeitet werden, verfügbar sind. Es werden geeignete technische und organisatorische Maßnahmen getroffen, um Datenverluste zu verhindern und im Falle eines Vorfalls die rechtzeitige Wiederherstellung des Datenzugriffs zu sicherzustellen. Zu diesen Maßnahmen können gegebenenfalls eine Strategie für Datensicherung und -wiederherstellung, regelmäßige Tests der Integrität der Datensicherung und der Wiederherstellungsverfahren sowie Mechanismen zur redundanten Datenspeicherung gehören.

7.

Datenbank der zuständigen Gerichte (Behörden) (CDB) ⁽⁴⁾

7.1.

Gemäß Artikel 3 Absatz 1 der Verordnung (EU) 2023/2844 ermöglicht das dezentrale IT-System die elektronische Kommunikation zwischen den zuständigen Behörden verschiedener Mitgliedstaaten im Sinne von Artikel 2 Absatz 1 dieser Verordnung sowie zwischen einer nationalen zuständigen Behörde und einer Einrichtung oder Agentur der Union. Gemäß Artikel 3 Absatz 6 dieser Verordnung kann ein Mitgliedstaat auch beschließen, das dezentrale IT-System für die Kommunikation zwischen seinen nationalen Behörden zu nutzen. Darüber hinaus ermöglicht das dezentrale IT-System gemäß Artikel 4 der Verordnung (EU) 2023/2844 die direkte elektronische Kommunikation zwischen natürlichen oder juristischen Personen oder deren Vertretern und den zuständigen Behörden im Rahmen der Verordnungen (EG) Nr. 1896/2006 und (EG) Nr. 861/2007.

Unter Berücksichtigung der Verpflichtungen der Mitgliedstaaten, die Liste ihrer zuständigen Behörden gemäß den einschlägigen Bestimmungen der in Artikel 1 dieser Verordnung genannten Rechtsakte zu übermitteln und zu aktualisieren, und gemäß Artikel 17 Absatz 1 Buchstabe e der Verordnung (EU) 2023/2844 ist es daher unerlässlich, für die Zwecke des dezentralen IT-Systems eine verbindliche Datenbank mit Informationen über diese Behörden einzurichten;

7.2.

Die amtliche Datenbank der zuständigen Behörden enthält folgende Informationen in strukturierter Form:

a)

für die Zwecke des Artikels 4 Absatz 2 Buchstabe a und gegebenenfalls Artikel 3 Absatz 6 der Verordnung (EU) 2023/2844 Angaben zu den zuständigen Behörden gemäß der Verordnung (EG) Nr. 1896/2006, insbesondere Artikel 29 Absatz 1, sowie zu den Behörden, die gemäß Artikel 17 Absatz 1 Buchstabe e der Verordnung (EU) 2023/2844 zusätzlich zu melden sind;

b)

für die Zwecke des Artikels 4 Absatz 2 Buchstabe a und gegebenenfalls Artikel 3 Absatz 6 der Verordnung (EU) 2023/2844 Angaben zu den zuständigen Behörden gemäß der Verordnung (EG) Nr. 861/2007, insbesondere Artikel 25 Absatz 1, sowie zu den Behörden, die gemäß Artikel 17 Absatz 1 Buchstabe e der Verordnung (EU) 2023/2844 zusätzlich zu melden sind;

c)

für die Zwecke des Artikels 3 Absatz 1 und gegebenenfalls Artikel 3 Absatz 6 der Verordnung (EU) 2023/2844 Angaben zu den nach dem Rahmenbeschluss 2002/584/JI zu meldenden Behörden, insbesondere nach den Artikeln 6 Absatz 3, Artikel 7 Absatz 2 und Artikel 25 Absatz 2, sowie zu den Behörden, die gemäß Artikel 17 Absatz 1 Buchstabe e der Verordnung (EU) 2023/2844 zusätzlich zu melden sind;

d)

für die Zwecke des Artikels 3 Absatz 1 und gegebenenfalls Artikel 3 Absatz 6 der Verordnung (EU) 2023/2844 Angaben zu den nach der Richtlinie 2014/41/EU zu meldenden Behörden, insbesondere nach Artikel 33 Absatz 1 Buchstaben a und c, sowie zu den Behörden, die gemäß Artikel 17 Absatz 1 Buchstabe e der Verordnung (EU) 2023/2844 zusätzlich zu melden sind;

e)

für die Zwecke des Artikels 3 Absatz 1 und gegebenenfalls Artikel 3 Absatz 6 der Verordnung (EU) 2023/2844 Angaben zu den nach der Verordnung (EU) 2018/1805 zu meldenden Behörden, insbesondere nach Artikel 24 Absätze 1 und 2, sowie zu den Behörden, die gemäß Artikel 17 Absatz 1 Buchstabe e der Verordnung (EU) 2023/2844 zusätzlich zu melden sind;

f)

für die Zwecke des Artikels 4 Absatz 4 und des Artikels 24 Absatz 3 der Verordnung (EU) 2023/2844 Angaben zu den zuständigen Behörden, die gemäß Artikel 17 Absatz 1 Buchstabe e der Verordnung (EU) 2023/2844 für die Zwecke von Artikel 19a der Verordnung (EU) 2020/1784 zusätzlich zu melden sind;

g)

Die unter den Buchstaben c bis e genannten Behörden umfassen:

i)

die nationalen Mitglieder von Eurojust, auch in Bezug auf Fälle, in denen sie gemäß Artikel 8 Absätze 3 und 4 der Verordnung (EU) 2018/1727 des Europäischen Parlaments und des Rates⁽⁵⁾ im Einklang mit dem nationalen Recht ein Rechtshilfeersuchen oder ein Ersuchen um gegenseitige Anerkennung stellen oder ausführen oder Ermittlungsmaßnahmen gemäß der Richtlinie 2014/41/EU anordnen, beantragen oder ausführen können;

ii)

im Hinblick auf den Rahmenbeschluss 2002/584/JI die Delegierten Europäischen Staatsanwälte im Sinne von Artikel 33 Absatz 2 der Verordnung (EU) 2017/1939 des Rates⁽⁶⁾;

iii)

die Delegierten Europäischen Staatsanwälte und die Europäischen Staatsanwälte, sofern sie von den Mitgliedstaaten gemäß Artikel 105 Absatz 3 der Verordnung (EU) 2017/1939 als zuständige ausstellende oder vollstreckende Behörden oder als beide benannt wurden.

h)

gegebenenfalls die erforderlichen Informationen, um die Kommunikation mit der Zentrale der Europäischen Staatsanwaltschaft über das dezentrale IT-System zu ermöglichen;

i)

gegebenenfalls Informationen, die zur Bestimmung der geografischen Zuständigkeitsbereiche der Behörden erforderlich sind, oder andere relevante Kriterien, die für die Feststellung ihrer Zuständigkeit erforderlich sind;

j)

Informationen, die für die ordnungsgemäße technische Weiterleitung von Nachrichten innerhalb des dezentralen IT-Systems erforderlich sind.

7.3.

Die Kommission ist für die Entwicklung, die Pflege, den Betrieb und den Support der verbindlichen Datenbank zuständig.

7.4.

Die Datenbank der zuständigen Gerichte (Behörden) (CDB) ermöglicht es den Mitgliedstaaten, die darin enthaltenen Informationen zu aktualisieren, und den am dezentralen IT-System beteiligten Behörden, programmatisch auf Informationen zuzugreifen und sie abzurufen.

7.5.

Der Zugriff auf die Datenbank der zuständigen Gerichte (CDB) ist über ein gemeinsames Kommunikationsprotokoll möglich, unabhängig davon, ob die an das dezentrale IT-System angeschlossenen zuständigen Behörden ein Back-End-System oder eine Installation der Referenzimplementierungssoftware betreiben.

7.6.

Die Mitgliedstaaten stellen sicher, dass die Informationen über ihre Behörden in der unter Nummer 7.2 genannten verbindlichen Datenbank vollständig, korrekt und auf dem neuesten Stand sind.