0.814.011.268

 AS 2018 895; BBl 2018 411

Originaltext

Abkommen
zwischen der Schweizerischen Eidgenossenschaft und
der Europäischen Union zur Verknüpfung ihrer jeweiligen Systeme für den Handel mit Treibhausgasemissionen

Abgeschlossen in Bern am 23. November 2017
Provisorische Anwendung der Artikel 11–13 ab 23. November 2017
Von der Bundesversammlung genehmigt am 22. März 20191
Ratifikationsurkunde hinterlegt am 6. Dezember 2019
In Kraft getreten am 1. Januar 20202 3

(Stand am 15. Dezember 2021)

1 AS 2019 4327

2 AS 2019 5013

3 Berichtigung vom 15. Dez. 2021 (AS 2021 863).

Die Schweizerische Eidgenossenschaft,
(im Folgenden «Schweiz»), einerseits,
und
die Europäische Union,
(im Folgenden «Union»), andererseits,

(im Folgenden «Vertragsparteien»),

in dem Bewusstsein, dass der Klimawandel eine globale Herausforderung darstellt und dass internationale Anstrengungen nötig sind, um im Kampf gegen den Klimawandel die Treibhausgasemissionen zu verringern;

in Anbetracht der internationalen Verpflichtungen zur Verringerung der Treibhausgasemissionen, insbesondere des Rahmenübereinkommens der Vereinten Nationen über Klimaänderungen4 (im Folgenden «UNFCCC») und des Kyoto-Protokolls5;

in der Erwägung, dass die Schweiz und die Union das gemeinsame Ziel verfolgen, die Treibhausgasemissionen bis zum Jahr 2020 und darüber hinaus erheblich zu verringern;

in dem Bewusstsein, dass die Überarbeitung der Emissionshandelssysteme der Union und der Schweiz für künftige Handelszeiträume dazu führen kann, dass dieses Abkommen überprüft werden muss, um zumindest die Integrität der Klimaschutzverpflichtungen der Vertragsparteien zu wahren;

in Anerkennung dessen, dass Emissionshandelssysteme ein wirksames Instrument zur kostenwirksamen Verringerung der Treibhausgasemissionen sind;

in der Erwägung, dass durch die Verknüpfung von Emissionshandelssystemen der Handel mit Emissionszertifikaten zwischen Systemen ermöglicht wird, sodass ein robuster internationaler CO2-Markt entsteht und die Bemühungen der Vertragsparteien, die ihre Systeme miteinander verknüpft haben, um die Verringerung der Emissionen weiter verstärkt werden;

in der Erwägung, dass durch die Verknüpfung von Emissionshandelssystemen die Verlagerung von CO2-Emissionen und die Verzerrung des Wettbewerbs zwischen den miteinander verknüpften Systemen vermieden und das ordnungsgemässe Funktionieren der entsprechenden CO2-Märkte sichergestellt werden sollte;

unter Bezugnahme auf das mit der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates vom 13. Oktober 2003 über ein System für den Handel mit Treibhausgasemissionszertifikaten in der Gemeinschaft und zur Änderung der Richtlinie 96/61/EG des Rates – in der geänderten Fassung – (im Folgenden «Richtlinie 2003/87/EG») geschaffene Emissionshandelssystem der Union und das mit dem CO2-Gesetz und der entsprechenden Verordnung geschaffene Emissionshandelssystem der Schweiz;

unter Hinweis darauf, dass Norwegen, Island und Liechtenstein am Emissionshandelssystem der Union beteiligt sind;

in der Erwägung, dass die Verknüpfung der Systeme – je nach dem Zeitpunkt der Ratifizierung dieses Abkommens – ab dem 1. Januar 2019 oder 1. Januar 2020 funktionieren sollte, unbeschadet einer früheren Gültigkeit wesentlicher Kriterien in der Schweiz oder der Union und unbeschadet der vorläufigen Anwendung dieses Abkommens;

in dem Bewusstsein, dass die Verknüpfung von Emissionshandelssystemen den Zugang zu vertraulichen Informationen sowie deren Austausch zwischen den Vertragsparteien und somit geeignete Sicherheitsmassnahmen erfordert;

in Anbetracht dessen, dass dieses Abkommen nicht die Vorschriften berührt, mit denen die Vertragsparteien ihre Ziele für die Verringerung von Treibhausgasemis­sionen festlegen, die nicht unter ihre Emissionshandelssysteme fallen;

in Anerkennung dessen, dass dieses Abkommen ein etwaiges bilaterales Abkommen zwischen der Schweiz und Frankreich – in Bezug auf den binationalen Status des EuroAirport Basel-Mulhouse-Freiburg gemäss dem französisch-schweizerischer Staatsvertrag vom 4. Juli 19496 über den Bau und den Betrieb des Flughafens Basel-Mülhausen – unberührt lässt, solange das bilaterale Abkommen den wesentlichen Kriterien und technischen Bestimmungen des vorliegenden Abkommens entspricht;

in Anerkennung dessen, dass die Bestimmungen dieses Abkommens mit Blick auf die engen Verbindungen und die besondere Beziehung zwischen der Schweiz und der Union abgefasst werden;

unter Würdigung der Einigung, die am 12. Dezember 20157 auf der 21. Tagung der Konferenz der Vertragsparteien der UNFCCC in Paris erzielt wurde, und in Anerkennung dessen, dass die sich aus diesem Abkommen hinsichtlich der Abrechnung ergebenden Fragen zu gegebener Zeit geprüft werden,

sind wie folgt übereingekommen:

4 SR 0.814.01

5 SR 0.814.011

6 SR 0.748.131.934.92

7 SR 0.814.012

Kapitel I: Allgemeine Bestimmungen

Art. 1 Ziel

Mit diesem Abkommen wird das Emissionshandelssystem der Union (im Folgenden «EU-EHS») mit dem Emissionshandelssystem der Schweiz (im Folgenden «EHS der Schweiz») verknüpft.

Art. 2

Die Emissionshandelssysteme der Vertragsparteien (im Folgenden «EHS») erfüllen mindestens die wesentlichen Kriterien gemäss Anhang I.

Kapitel II: Technische Bestimmungen

Art. 3 Register

1.  Die Register der Vertragsparteien erfüllen die Kriterien gemäss Anhang I Teil C.

2.  Um die Verknüpfung zwischen dem EU-EHS und dem EHS der Schweiz zu operationalisieren, wird eine direkte Verknüpfung zwischen dem Transaktionsprotokoll der Europäischen Union (European Union Transaction Log, im Folgenden «EUTL») des Unionsregisters und dem Schweizer Zusatztransaktionsprotokoll (Swiss Supplementary Transaction Log, im Folgenden «SSTL») des Schweizer Registers eingerichtet, sodass im Rahmen der beiden EHS vergebenen Emissionszertifikate von einem Register in das andere übertragen werden können.

3.  Die Registerverknüpfung soll unter anderem:

a.
für die Schweiz vom Schweizer Registerverwalter und für die Union vom Zentralverwalter der Union verwaltet werden;
b.
im Einklang mit den geltenden Rechtsvorschriften des jeweiligen Rechtssystems betrieben werden;
c.
durch im Schweizer und im Unionsregister integrierte automatisierte Prozesse unterstützt werden, um Transaktionen zu ermöglichen;
d.
so umgesetzt sein, dass für Nutzer des Schweizer und des Unionsregisters soweit wie möglich eine einheitliche Funktionsweise gewährleistet wird.

4.  Der Schweizer Registerverwalter, der Zentralverwalter der Union oder beide Verwalter gemeinsam können die Registerverknüpfung zur Wartung des Systems oder im Fall einer Sicherheitsverletzung bzw. eines Sicherheitsrisikos im Einklang mit den geltenden Rechtsvorschriften der Schweiz und der Europäischen Union vorübergehend unterbrechen. Die Vertragsparteien informieren frühestmöglich über eine vorübergehende Unterbrechung der Registerverknüpfung zur Wartung des Systems oder im Fall einer Sicherheitsverletzung bzw. eines Sicherheitsrisikos und halten die vorübergehende Unterbrechung so kurz wie möglich.

5.  Die Vertragsparteien reagieren umgehend und in enger Zusammenarbeit unter Einsatz der in ihren jeweiligen Rechtssystemen verfügbaren Massnahmen, um Betrug zu verhindern und um die Integrität der verknüpften EHS zu wahren. Der Schweizer Registerverwalter, der Zentralverwalter der Union und die nationalen Verwalter in den Mitgliedstaaten der Union arbeiten im Rahmen der verknüpften EHS zusammen, um das Risiko von Betrug, Missbrauch oder kriminellen Handlungen in Bezug auf die Register zu verringern, auf solche Vorfälle zu reagieren und die Integrität der Registerverknüpfung zu schützen. Von den Verwaltern vereinbarte Massnahmen zur Minderung des Risikos von Betrug, Missbrauch oder kriminellen Handlungen werden durch Beschluss des Gemeinsamen Ausschusses angenommen.

6.  Der Schweizer Registerverwalter und der Zentralverwalter der Union legen gemeinsame Verfahrensvorschriften für technische oder andere Fragen fest, die für das Funktionieren der Verknüpfung erforderlich sind; dabei tragen sie den Prioritäten der innerstaatlichen Rechtsvorschriften Rechnung. Die von den Verwaltern entwickelten gemeinsamen Verfahrensvorschriften treten in Kraft, sobald sie durch Beschluss des Gemeinsamen Ausschusses angenommen wurden.

7.  Der Schweizer Registerverwalter und der Zentralverwalter der Union erstellen technische Verknüpfungsstandards (Linking Technical Standards, LTS) auf Basis der Grundsätze in Anhang II, in dem die Anforderungen für eine solide und gesicherte Verbindung zwischen dem SSTL und dem EUTL im Einzelnen beschrieben sind. Die von den Verwaltern entwickelten LTS treten in Kraft, sobald sie durch Beschluss des Gemeinsamen Ausschusses angenommen wurden.

8.  Probleme, die sich aus der Umsetzung und aus dem Betrieb der Registerverknüpfung ergeben, werden durch eine rechtzeitige Konsultation des Schweizer Registerverwalters und des Zentralverwalters der Union im Einklang mit den gemeinsamen Verfahrensvorschriften gelöst.

Art. 4 Emissionszertifikate und Abrechnung

1.  Emissionszertifikate, die im Rahmen des EHS einer Vertragspartei zur Verpflichtungserfüllung verwendet werden können, werden im Rahmen des EHS der anderen Vertragspartei für die Verpflichtungserfüllung anerkannt.

«Emissionszertifikat» bezeichnet ein Zertifikat, das zur Emission von einer Tonne Kohlendioxidäquivalent in einem bestimmten Zeitraum berechtigt und das im Rahmen des EU-EHS oder des EHS der Schweiz zur Erfüllung der Anforderungen im Rahmen des EU-EHS oder des EHS der Schweiz vergeben wurde.

2.  In einem EHS bestehende Beschränkungen für die Verwendung bestimmter Zertifikate können auf das andere EHS angewendet werden.

3.  Die Registerverwalter und Kontoinhaber können das EHS, in dem ein Emissionszertifikat vergeben wurde, zumindest anhand des Landescodes der Seriennummer des Emissionszertifikats erkennen.

4.  Jede Vertragspartei informiert die jeweils andere Vertragspartei mindestens einmal jährlich über den Gesamtbestand der im Rahmen des anderen EHS vergebenen Emissionszertifikate und die Zahl der im Rahmen des anderen EHS vergebenen Zertifikate, die zu Zwecken der Verpflichtungserfüllung abgegeben oder die im jeweils anderen EHS freiwillig gelöscht wurden.

5.  Die Vertragsparteien berücksichtigen die Nettotransaktionen von Zertifikaten im Einklang mit den durch die UNFCCC gebilligten Abrechnungsgrundsätzen und ‑regeln, sobald diese in Kraft sind. Dieser Mechanismus wird in einem Anhang zu diesem Abkommen festgelegt, der durch Beschluss des Gemeinsamen Ausschusses angenommen wird.

6.  Bei Inkrafttreten des zweiten Verpflichtungszeitraums des Kyoto-Protokolls übertragen oder erwerben die Vertragsparteien innerhalb einer vereinbarten Frist und für den Fall der Kündigung gemäss Artikel 16 ausreichende zugeteilte, für den zweiten Verpflichtungszeitraum des Kyoto-Protokolls gültige Emissionsrechte (Assigned Amount Units, im Folgenden «AAU»), um Nettotransaktionen von Zertifikaten zwischen den Vertragsparteien abzudecken, soweit unter das EHS fallende Betreiber diese Zertifikate zu Zwecken der Verpflichtungserfüllung abgegeben haben und soweit diese Zertifikate Emissionen in Anlage A des Kyoto-Protokolls entsprechen. Der Mechanismus für diese Transaktionen wird in einem Anhang zu diesem Abkommen festgelegt, der durch Beschluss des Gemeinsamen Ausschusses nach dem Inkrafttreten der Änderung des Kyoto-Protokolls8 angenommen wird. Dieser Anhang enthält ferner eine Vereinbarung über die Verwaltung der Erlösan­teile, die für die erste internationale Übertragung von AAU gilt.

8 SR 0.814.011

Art. 5 Versteigerung

1.  Die Vertragsparteien veräussern Zertifikate ausschliesslich im Wege von Versteigerungen.

2.  Betreiber, die einem der beiden EHS unterliegen, können die Zulassung zur Gebotseinstellung für Zertifikate in Versteigerungen beantragen. Der Zugang zu solchen Versteigerungen wird Betreibern, die einem der beiden EHS unterliegen, auf der Grundlage nicht diskriminierender Kriterien gewährt. Um die Integrität der Versteigerungen sicherzustellen, kann die Berechtigung, die Zulassung zu Versteigerungen zu beantragen, anderen Kategorien von Teilnehmern nur gewährt werden, wenn diese den Rechtsvorschriften einer Vertragspartei unterliegen oder speziell zur Teilnahme an den Versteigerungen ermächtigt sind.

3.  Die Versteigerung erfolgt auf offene, transparente und nicht diskriminierende Weise und im Einklang mit den Kriterien in Anhang I Teil D.

Kapitel III: Luftverkehr

Art. 6 Einbeziehung von Luftverkehrstätigkeiten

Die Vertragsparteien beziehen Luftverkehrstätigkeiten im Einklang mit den wesentlichen Kriterien in Anhang I Teil B in ihr jeweiliges EHS ein. Die Einbeziehung von Luftverkehrstätigkeiten in das EHS der Schweiz erfolgt nach denselben Grundsätzen wie im EU-EHS, insbesondere im Hinblick auf Vorschriften für den Geltungs­bereich, die Obergrenze und die Zuteilung.

Art. 7 Überprüfung dieses Abkommens bei Änderungen in Bezug auf Luftverkehrstätigkeiten

1.  Bei Änderungen in Bezug auf Luftverkehrstätigkeiten im EU-EHS überprüft der Gemeinsame Ausschuss gemäss Artikel 13 Absatz 2 den entsprechenden Anhang I Teil B.

2.  Der Gemeinsame Ausschuss tritt in jedem Fall bis Ende des Jahres 2018 zur Überprüfung der einschlägigen Bestimmungen dieses Abkommens gemäss Artikel 13 Absatz 2 hinsichtlich des Geltungsbereichs für Luftverkehrstätigkeiten zusammen.

Kapitel IV: Vertrauliche Informationen und Sicherheit

Art. 8 Vertrauliche Informationen

1.  «Vertrauliche Informationen» bezeichnet Informationen und Materialien in mündlicher, visueller, elektronischer, magnetischer oder dokumentarischer Form, einschliesslich Ausrüstung und Technologie, die von den Vertragsparteien in Verbindung mit diesem Abkommen bereitgestellt oder ausgetauscht wurden und i) deren unbefugte Weitergabe den Interessen der Schweiz, der Union oder eines oder mehrerer ihrer Mitgliedstaaten in unterschiedlichem Masse schaden könnte, ii) die im Interesse der Sicherheit einer der Vertragsparteien vor einer unbefugten Weitergabe geschützt werden müssen und iii) die durch eine der Vertragsparteien als vertraulich gekennzeichnet sind.

2.  Unbeschadet der jeweiligen Rechts- und Verwaltungsvorschriften der Vertragsparteien schützt jede Vertragspartei vertrauliche Informationen im Einklang mit den Sicherheitsanforderungen, den Vertraulichkeitsstufen und den Handhabungsvorschriften gemäss den Anhängen II, III und IV insbesondere vor einer unbefugten Weitergabe oder dem Verlust der Integrität. «Handhabung» umfasst die Erstellung, Verarbeitung, Speicherung, Übermittlung oder Vernichtung vertraulicher Informationen oder etwaiger anderer darin enthaltener Informationen.

Art. 9 Vertraulichkeitsstufen

1.  Jede Vertragspartei trägt die alleinige Verantwortung dafür, die Informationen, die sie offenlegt, als vertraulich zu kennzeichnen oder über die Herabstufung und Aufhebung der Vertraulichkeit von ihr offengelegter Informationen zu entscheiden. Legen die Vertragsparteien vertrauliche Informationen gemeinsam offen, entscheiden sie gemeinsam über die Kennzeichnung und die Vertraulichkeitsstufe sowie die Herabstufung und Aufhebung der Vertraulichkeit.

2.  Vertrauliche Informationen sind entsprechend der in Anhang III aufgeführten Vertraulichkeitsstufe mit der Einstufung ETS CRITICAL (EHS-höchst vertraulich), ETS SENSITIVE (EHS-vertraulich) oder ETS LIMITED (EHS-nicht öffentlich zugänglich) zu versehen.

3.  Der Urheber der vertraulichen Informationen in der offenlegenden Vertragspartei setzt die Vertraulichkeitsstufe herab, sobald die Informationen nicht länger eines höheren Schutzniveaus bedürfen, und hebt die Vertraulichkeit auf, sobald die Informationen nicht länger vor einer unbefugten Weitergabe oder dem Integritätsverlust geschützt werden müssen.

4.  Die offenlegende Vertragspartei informiert die empfangende Vertragspartei über alle neuen vertraulichen Informationen und deren Vertraulichkeitsstufe sowie eine etwaige Herabstufung oder Aufhebung der Vertraulichkeit.

5.  Die Vertragsparteien erstellen und pflegen ein gemeinsames Verzeichnis vertraulicher Informationen.

Kapitel V: Weiterentwicklung der Rechtsvorschriften

Art. 10 Weiterentwicklung der Rechtsvorschriften

1.  Dieses Abkommen berührt nicht das Recht jeder Vertragspartei, für das Abkommen relevante Rechtsvorschriften zu ändern oder zu verabschieden; dies schliesst ihr Recht ein, striktere Schutzmassnahmen anzunehmen.

2.  Wenn eine der Vertragsparteien Rechtsvorschriften in einem für das Abkommen relevanten Bereich entwickelt, unterrichtet sie die andere Vertragspartei rechtzeitig schriftlich. Zu diesem Zweck richtet der Gemeinsame Ausschuss ein Verfahren zum regelmässigen Informations- und Konsultationsaustausch ein.

3.  Im Anschluss an eine Unterrichtung gemäss Absatz 2 kann jede Vertragspartei gemäss Artikel 13 Absatz 4 einen entsprechenden Meinungsaustausch im Gemeinsamen Ausschuss beantragen, um insbesondere zu beurteilen, ob sich die Rechtsvorschriften unmittelbar auf die Kriterien in Anhang I auswirken würden.

4.  Wenn eine Vertragspartei einen Vorschlag für einen für das Abkommen relevanten Rechtsakt annimmt, wird dem Vertreter/den Vertretern der anderen Vertragspartei im Gemeinsamen Ausschuss eine Abschrift davon übermittelt.

5.  Nach der Annahme eines für das Abkommen relevanten Rechtsakts durch eine Vertragspartei wird dem Vertreter/den Vertretern der anderen Vertragspartei im Gemeinsamen Ausschuss eine Abschrift davon übermittelt.

6.  Gelangt der Gemeinsame Ausschuss zu dem Schluss, dass sich der Rechtsakt unmittelbar auf die Kriterien in Anhang I auswirkt, entscheidet er über eine entsprechende Änderung des betreffenden Teils des Anhangs I. Dieser Beschluss wird binnen sechs Monaten ab dem Tag der Befassung des Gemeinsamen Ausschusses gefasst.

7.  Kann ein Beschluss über eine Änderung des Anhangs I nicht innerhalb des in Absatz 6 genannten Zeitraums gefasst werden, prüft der Gemeinsame Ausschuss binnen acht Monaten nach dem Tag seiner Befassung alle weiteren Möglichkeiten zur Aufrechterhaltung des ordnungsgemässen Funktionierens dieses Abkommens und fasst gegebenenfalls die zu diesem Zweck notwendigen Beschlüsse.

Art. 11 Koordinierung

1.  Die Vertragsparteien koordinieren Bemühungen in den für das Abkommen relevanten Bereichen und insbesondere hinsichtlich der in den Anhängen festgelegten Kriterien, um die ordnungsgemässe Umsetzung des Abkommens und die Integrität der EHS der Vertragsparteien zu gewährleisten sowie um die Verlagerung von CO2-Emissionen und die unverhältnismässige Verzerrung des Wettbewerbs zwischen den miteinander verknüpften EHS zu vermeiden.

2.  Eine solche Koordinierung erfolgt vor allem durch den formellen und informellen Austausch oder die Bereitstellung von Informationen und – auf Antrag einer Vertragspartei – durch Konsultationen im Gemeinsamen Ausschuss.

Kapitel VI: Gemeinsamer Ausschuss

Art. 12 Zusammensetzung und Arbeitsweise des Gemeinsamen Ausschusses

1.  Es wird ein Gemeinsamer Ausschuss eingesetzt, der sich aus Vertretern der Vertragsparteien zusammensetzt.

2.  Jede Vertragspartei kann die Einberufung einer Sitzung beantragen. Der Gemeinsame Ausschuss tritt binnen 30 Tagen zusammen, nachdem ein solcher Antrag gestellt wurde.

3.  Die Beschlüsse, die der Gemeinsame Ausschuss in den in diesem Abkommen vorgesehenen Fällen fasst, sind ab dem Zeitpunkt ihres Inkrafttretens für die Vertragsparteien verbindlich; diese treffen die erforderlichen Massnahmen, um die Durchführung und Anwendung dieser Beschlüsse sicherzustellen.

4.  Der Gemeinsame Ausschuss gibt sich eine Geschäftsordnung. Beide Vertragsparteien müssen den Beschlüssen des Gemeinsamen Ausschusses zustimmen.

5.  Der Gemeinsame Ausschuss kann Unterausschüsse und Arbeitsgruppen einsetzen, die ihn bei seinen Aufgaben unterstützen.

Art. 13 Aufgaben des Gemeinsamen Ausschusses

1.  Der Gemeinsame Ausschuss verwaltet dieses Abkommen und stellt seine ordnungsgemässe Umsetzung sicher.

2.  Der Gemeinsame Ausschuss kann beschliessen, einen neuen Anhang anzunehmen oder einen bestehenden Anhang dieses Abkommens zu ändern.

3.  Der Gemeinsame Ausschuss erörtert Änderungen der Artikel dieses Abkommens, die von einer der Vertragsparteien vorschlagen werden. Stimmt der Gemeinsame Ausschuss dem Vorschlag zu, legt er ihn den Vertragsparteien zur Annahme gemäss ihren jeweiligen innerstaatlichen Verfahren vor.

4.  Auf Antrag gemäss Artikel 10 Absatz 3 leitet der Gemeinsame Ausschuss einen Meinungsaustausch über die vorgeschlagenen Rechtsvorschriften ein, insbesondere um zu prüfen, ob diese dazu führen würden, dass das EHS der jeweiligen Vertragspartei die Kriterien in den Anhängen nicht mehr erfüllt.

5.  Bei Aussetzung oder vor der Mitteilung der Kündigung dieses Abkommens gemäss den Artikeln 15 und 16 führt der Gemeinsame Ausschuss einen Meinungsaustausch durch und bemüht sich, eine Einigung zur Beendigung der Aussetzung oder Vermeidung der Kündigung zu erzielen.

6.  Der Gemeinsame Ausschuss bemüht sich, Streitigkeiten, mit denen er befasst wird, im Einklang mit Artikel 14 beizulegen.

7.  Der Gemeinsame Ausschuss überprüft dieses Abkommen regelmässig unter Berücksichtigung etwaiger wesentlicher Entwicklungen in den jeweiligen EHS, auch in Bezug auf die Marktaufsicht oder den Beginn eines neuen Handelszeitraums, um insbesondere sicherzustellen, dass die Verknüpfung nicht die innerstaatlichen Emis­sionsreduktionsziele einer der Vertragsparteien oder die Integrität und das ordnungsgemässe Funktionieren ihrer CO2-Märkte untergräbt.

8.  Die Aufgaben des Gemeinsamen Ausschusses beschränken sich auf diejenigen gemäss diesem Abkommen.

Kapitel VII: Streitbeilegung

Art. 14 Streitbeilegung

1.  Die Vertragsparteien befassen den Gemeinsamen Ausschuss mit zwischen ihnen entstandenen Streitigkeiten über die Auslegung oder Anwendung dieses Abkommens.

2.  Gelingt es dem Gemeinsamen Ausschuss nicht, den Streitfall binnen sechs Monaten nach dem Tag seiner Befassung beizulegen, wird der Streitfall auf Antrag einer der Vertragsparteien im Einklang mit der Schiedsgerichtsordnung aus dem Jahr 2012 dem Ständigen Schiedshof vorgelegt.

3.  Im Falle der Aussetzung oder Kündigung dieses Abkommens gilt der Streitbeilegungsmechanismus weiterhin für Streitigkeiten gemäss Absatz 1, die sich während der Anwendung dieses Abkommens ergaben.

Kapitel VIII: Aussetzung und Kündigung

Art. 15 Aussetzung des Artikels 4 Absatz 1

1.  Unbeschadet des Artikels 16 kann eine Vertragspartei die Anwendung des Artikels 4 Absatz 1 dieses Abkommens unter den folgenden Umständen aussetzen:

a.
Falls eine Vertragspartei der Auffassung ist, dass die andere Vertragspartei den Verpflichtungen gemäss Artikel 2, Artikel 3 Absatz 1, Artikel 4 Absatz 1, Artikel 5 Absatz 3, Artikel 6, Artikel 8 Absatz 2, Artikel 10 Absätze 2, 4 und 5 sowie Artikel 18 Absatz 2 nicht oder nur teilweise nachkommt;
b.
falls eine Vertragspartei von der anderen Vertragspartei schriftlich über ihre Absicht unterrichtet wird, ihr EHS mit dem einer dritten Partei gemäss Artikel 18 zu verknüpfen;
c.
falls eine Vertragspartei von der anderen Vertragspartei schriftlich über ihre Absicht unterrichtet wird, dieses Abkommen gemäss Artikel 16 zu kündigen.

2.  Eine Vertragspartei unterrichtet die andere Vertragspartei schriftlich über ihre Entscheidung, Artikel 4 Absatz 1 dieses Abkommens auszusetzen, und begründet dies. Die Entscheidung, Artikel 4 Absatz 1 dieses Abkommens auszusetzen, wird unverzüglich nach Unterrichtung der anderen Vertragspartei öffentlich gemacht.

3.  Die Aussetzung von Artikel 4 Absatz 1 dieses Abkommens ist vorübergehend. Wird Artikel 4 Absatz 1 gemäss Absatz 1 Buchstabe a dieses Artikels ausgesetzt, endet die Aussetzung mit der Beilegung der Streitigkeit im Einklang mit Artikel 14. Wird Artikel 4 Absatz 1 gemäss Absatz 1 Buchstabe b oder c dieses Artikels ausgesetzt, so gilt die Aussetzung für einen vorübergehenden Zeitraum von drei Monaten. Die Vertragspartei kann beschliessen, den Aussetzungszeitraum zu verkürzen oder zu verlängern.

4.  Während der Aussetzung werden Zertifikate nicht zu Zwecken der Verpflichtungserfüllung in einem EHS abgegeben, aus dem sie nicht stammen. Alle sonstigen Transaktionen bleiben weiterhin möglich.

5.  Wurde ab dem Zeitpunkt der Übermittlung des Legislativvorschlags bis zur Frist gemäss Artikel 10 Absatz 6 kein Meinungsaustausch im Gemeinsamen Ausschuss beantragt gemäss Artikel 10 Absatz 3 bzw. hat ein solcher Austausch stattgefunden und ist der Gemeinsame Ausschuss zu dem Schluss gelangt, dass sich die neuen Rechtsvorschriften nicht unmittelbar auf die Kriterien auswirken, ist eine Vertragspartei nicht berechtigt, die Anwendung des Artikels 4 Absatz 1 mit der Begründung aussetzen, dass die andere Vertragspartei ihren Verpflichtungen zur Erfüllung der Kriterien in Anhang I nicht mehr nachkommt.

Art. 16 Kündigung

1.  Eine Vertragspartei kann dieses Abkommen jederzeit nach Konsultation im Gemeinsamen Ausschuss kündigen, indem sie die andere Vertragspartei schriftlich über ihre Entscheidung unterrichtet. Die Kündigung wird sechs Monate nach Unterrichtung der anderen Vertragspartei wirksam. Die Entscheidung wird öffentlich gemacht, nachdem die andere Vertragspartei unterrichtet wurde.

2.  Bei Nichtverlängerung oder Einstellung des EHS einer der Vertragsparteien wird dieses Abkommen am letzten Betriebstag des betreffenden EHS automatisch gekündigt.

3.  Im Falle der Kündigung einigen sich die Vertragsparteien über die fortgesetzte Nutzung und Speicherung der zwischen ihnen bereits übermittelten Informationen mit Ausnahme der im jeweiligen Register gespeicherten Daten. Falls keine Einigung erzielt wird, ist jede Vertragspartei berechtigt, die Löschung der übermittelten Informationen zu verlangen.

Kapitel IX: Schlussbestimmungen

Art. 17 Umsetzung

1.  Die Vertragsparteien treffen alle geeigneten Massnahmen, um die Erfüllung der Verpflichtungen in diesem Abkommen, einschliesslich der Beschlüsse des Gemeinsamen Ausschusses, zu gewährleisten.

2.  Die Vertragsparteien unterlassen alle Massnahmen, welche die Erreichung der Ziele dieses Abkommens gefährden könnten.

Art. 18 Verknüpfung mit Dritten

1.  Die Vertragsparteien können mit einer dritten Partei über eine Verknüpfung ihrer jeweiligen EHS verhandeln.

2.  Verhandelt eine Vertragspartei mit einer dritten Partei über eine Verknüpfung, so unterrichtet sie darüber die andere Vertragspartei und informiert sie regelmässig über den neuesten Stand der Verhandlungen.

3.  Bevor eine Vertragspartei ihr System mit dem einer dritten Partei verknüpft, entscheidet die andere Vertragspartei, ob sie das andere Verknüpfungsabkommen billigt oder dieses Abkommen kündigt. Billigt sie das andere Verknüpfungsabkommens, endet die Aussetzung des Artikels 4 Absatz 1.

4.  Bei Verknüpfung mit dem EHS einer dritten Partei können die Bestimmungen dieses Abkommens überarbeitet werden.

Art. 20 Sprachen

Dieses Abkommen ist in zwei Urschriften in deutscher, französicher, italienischer, bulgarischer, dänischer, englischer, estnischer, finnischer, griechischer, (irischer,) kroatischer, lettischer, litauischer, maltesischer, niederländischer, polnischer, portugiesischer, rumänischer, schwedischer, slowakischer, slowenischer, spanischer, tschechischer und ungarischer Sprache abgefasst, wobei jeder Wortlaut gleichermassen verbindlich ist.

Art. 21 Ratifizierung und Inkrafttreten

1.  Unbeschadet des Artikels 16 wird dieses Abkommen auf unbegrenzte Zeit geschlossen.

2.  Dieses Abkommen wird nach den innerstaatlichen Verfahren jeder Vertragspartei ratifiziert oder genehmigt.

3.  Die Vertragsparteien tauschen ihre Ratifizierungs- oder Genehmigungsurkunden erst aus, wenn sie die Bedingungen für eine Verknüpfung im Sinne dieses Abkommens erfüllt sehen.

4.  Dieses Abkommen tritt am 1. Januar des auf den Austausch der Ratifizierungs- oder Genehmigungsurkunden durch die Vertragsparteien folgenden Jahres in Kraft.

5.  Das Inkrafttreten des Artikels 4 Absatz 6 steht unter dem Vorbehalt des Inkrafttreten für beide Vertragsparteien der Doha-Änderung des Kyoto-Protokolls, die auf der 8. Tagung der Vertragsparteien angenommen wurde (Beschluss 1/CMP.8; zweiter Verpflichtungszeitraum).

Art. 22 Vorläufige Anwendung

Vor dem Inkrafttreten dieses Abkommens werden ab seiner Unterzeichnung die Artikel 11–13 vorläufig angewendet.

Geschehen zu Bern am 23. November 2017.

Für die
Schweizerische Eidgenossenschaft:

Marc Chardonnens

Für die
Europäische Union:

Rein Oidekivi
Michael Matthiessen

Art. 4 des Beschlusses 2/20209

9 AS 2020 6365

Im Einklang mit Artikel 12 Absatz 5 des Abkommens wird eine Arbeitsgruppe eingesetzt. Sie unterstützt den Gemeinsamen Ausschuss, um die ordnungsgemässe Umsetzung des Abkommens, einschliesslich der Erarbeitung von technischen Leit­linien für die Umsetzung der LTS, zu gewährleisten.

Zu der Arbeitsgruppe gehören mindestens den Schweizer Registerverwalter und den Zentralverwalter der Union.

Anhang I10

10 Fassung gemäss Art. 1 des Beschlusses Nr. 2/2019 des Gemeinsamen Ausschusses vom 5. Dez. 2019 (AS 2020 369). Bereinigt gemäss Art. 1 des Beschlusses Nr. 2/2020 des Gemeinsamen Ausschusses vom 5. Nov. 2020, in Kraft seit 5. Nov. 2020 (AS 2020 6365).

Wesentliche Kriterien

A. Wesentliche Kriterien für ortsfeste Anlagen

Dieser Abschnitt wird gemäss dem Vorschlag der Schweizer Regierung im Einklang mit Artikel 13 Absatz 7 dieses Abkommens überprüft, um die derzeitige Kompatibilität des EU‑EHS mit dem EHS der Schweiz für den Handelszeitraum 2021–2030 aufrechtzuerhalten. Der Gemeinsame Ausschuss sorgt dafür, dass bei der Überarbeitung dieses Abschnitts zumindest die Integrität der jeweiligen Verpflichtungen der Vertragsparteien zur internen Emissionsminderung sowie die Integrität und das reibungslose Funktionieren ihrer CO2‑Märkte gewahrt bleiben. Die Verlagerung von CO2‑Emissionen und Wettbewerbsverzerrungen zwischen den verknüpften Systemen werden vermieden.

Wesentliche Kriterien

Im EU‑EHS

Im EHS der Schweiz

1
Verbindlichkeit der Teilnahme am EHS

Die Teilnahme am EHS ist für die Anlagen obligatorisch, in denen die Tätigkeiten durch­geführt und die Treib­hausgase (im Folgenden «THG») freigesetzt werden, die nachstehend aufgeführt sind.

Die Teilnahme am EHS ist für die Anlagen obligatorisch, in denen die Tätigkeiten durchgeführt und die THG freigesetzt werden, die nachstehend aufgeführt sind.

2
Das EHS erstreckt sich mindestens auf die Tätigkeiten gemäss:
Anhang I der Richtlinie 2003/87/EG

in der zum Zeitpunkt des In­krafttretens dieses Abkommens geltenden Fassung.

Artikel 40 Absatz 1 und Anhang 6 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

3
Das EHS erstreckt sich mindestens auf die THG gemäss:
Anhang II der Richtlinie 2003/87/EG

in der zum Zeitpunkt des In­krafttretens dieses Abkommens geltenden Fassung.

Artikel 1 Absatz 1 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

4
In dem EHS ist eine Obergrenze festzusetzen, die mindestens so streng ist wie diejenige in:
Artikel 9 und 9a der Richtlinie 2003/87/EG

in der zum Zeitpunkt des In­krafttretens dieses Abkommens geltenden Fassung.

Der lineare Kürzungsfaktor von 1,74 % jährlich wird ab dem Jahr 2021 auf 2,2 % jährlich angehoben und gilt für alle Sektoren gemäss der Richtlinie (EU) 2018/410 in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Artikel 18 Absätze 1 und 2 des CO2‑Gesetzes
Artikel 45 Absatz 1 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Der lineare Kürzungsfaktor beträgt 1,74 % jährlich bis zum Jahr 2020.

5
Marktstabilitäts­mechanismus

Im Jahr 2015 führte die EU die Marktstabilitätsreserve ein (Beschluss (EU) 2015/1814), deren Funktionieren durch die Richtlinie (EU) 2018/410 gestärkt wurde.

Artikel 19 Absatz 5 des CO2‑Gesetzes
Artikel 48 der CO2‑Verordnung

in der zum Zeitpunkt des Inkraft­tretens dieses Abkommens geltenden Fassung.

Das Schweizerische Recht sieht die Möglichkeit vor, die Versteige­rungsmengen zu kürzen, wenn aus wirtschaftlichen Gründen die Zahl der auf dem Markt befindlichen Zertifikate erheblich steigt.

Die Vertragsparteien arbeiten zusammen, um einen geeigneten Beitrag zur Marktstabilität zu entwickeln.

6
Der Umfang der Marktaufsicht des EHS ist mindestens so streng wie derjenige gemäss der/dem:
Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU (MiFID II)
Bundesgesetz über die Eidgenössische Finanzmarktaufsicht vom 22. Juni 200711
Bundesgesetz über die Finanzmarktinfrastrukturen und das Marktverhalten im Effekten- und Derivatehandel vom 19. Juni 201512

Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente und zur Änderung der Verordnung (EU) Nr. 648/2012 (MiFIR)
Verordnung (EU) Nr. 596/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über Marktmissbrauch (Markt­missbrauchsverordnung) und zur Aufhebung der Richtlinie 2003/6/EG des Europäischen Parlaments und des Rates und der Richtlinien 2003/124/EG, 2003/125/EG und 2004/72/EG der Kommission
Richtlinie 2014/57/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über strafrechtliche Sanktionen bei Markt­manipulation (Markt­missbrauchsrichtlinie)
Bundesgesetz über die Finanzinstitute vom 15. Juni 201813
Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung vom 10. Oktober 199714,

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

In der Schweizer Finanzmarkt­regulierung wird die Rechtsnatur von Emissionszertifikaten nicht definiert. Insbesondere gelten Emissionszertifikate im Gesetz über die Finanzmarktinfra­strukturen nicht als Effekten und können daher nicht an Handels­plätzen gehandelt werden. Weil Emissionszertifikate nicht als Effekten gelten, gelten die Schweizer Vorschriften für den Effektenhandel für den OTC‑Handel mit Emissions­zertifikaten auf dem Sekundärmarkt nicht.

Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanz­systems zum Zwecke der Geldwäsche und der Terrorismus­finanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission (vierte Geldwäscherichtlinie)

in der zum Zeitpunkt des In­krafttretens dieses Abkommens geltenden Fassung.

Derivatekontrakte gelten nach dem Gesetz über Finanzmarkt­infrastrukturen als Effekten. Dazu gehören auch Derivate, deren Basiswert Emissions­zertifikate sind. Derivate von Emissionszertifikaten, die Gegenstand des OTC-Handels zwischen nichtfinanziellen und finanziellen Gegenparteien sind, fallen unter die Bestimmungen des Gesetzes über die Finanzmarktinfrastrukturen.

7
Zusammenarbeit bei der Marktaufsicht

Die Vertragsparteien treffen geeignete Kooperationsvereinbarungen in Bezug auf die Marktaufsicht. Diese Kooperationsvereinbarungen betreffen den Informationsaustausch und die Durchsetzung der Ver­pflichtungen, die sich aus ihrer jeweiligen Marktaufsichtsregelung ergeben. Die Vertragsparteien unterrichten den Gemeinsamen Ausschuss über derartige Vereinbarungen.

8
Die qualitativen Beschränkungen für inter­nationale Gutschriften sind mindestens so streng wie diejenigen gemäss
Artikel 11a und 11b der Richtlinie 2003/87/EG
Verordnung (EU) Nr. 550/2011 der Kommission vom 7. Juni 2011 über Mass­nahmen zur Beschränkung der Verwendung inter­nationaler Gutschriften aus Industriegasprojekten gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates
Artikel 58 der Verordnung (EU) Nr. 389/2013 der Kommission vom 2. Mai 2013 zur Festlegung eines Unionsregisters gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates und den Entscheidungen Nr. 280/2004/EG und Nr. 406/2009/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Verordnungen (EU) Nr. 920/2010 und (EU) Nr. 1193/2011 der Kommission

in der zum Zeitpunkt des In­krafttretens dieses Abkom­mens geltenden Fassung.

Artikel 5 und 6 des CO2‑Gesetzes
Artikel 4 und Artikel 4a Absatz 1 und Anhang 2 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

9
Die quantitativen Beschränkungen für inter­nationale Gutschriften sind mindestens so streng wie diejenigen gemäss:
Artikel 11a der Richtlinie 2003/87/EG
Verordnung (EU) Nr. 389/2013 der Kommission vom 2. Mai 2013 zur Festlegung eines Unionsregisters gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates und den Entscheidungen Nr. 280/2004/EG und Nr. 406/2009/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Verordnungen (EU) Nr. 920/2010 und (EU) Nr. 1193/2011 der Kommission
Verordnung (EU) Nr. 1123/2013 der Kommission vom 8. November 2013 zur Festlegung der Verwendungsrechte für internationale Gutschriften gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Das Unionsrecht sieht für die Zeit nach 2021 keine An­sprüche auf die Nutzung internationaler Gutschriften vor.

Artikel 16 Absatz 2 des CO2‑Gesetzes
Artikel 55b der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Diese Bestimmungen sehen die Nutzung internationaler Gutschriften lediglich bis zum Jahr 2020 vor.

10 Der Berechnung der kostenlosen Zuteilung liegen Benchmarks und Anpassungsfaktoren zugrunde. Maximal fünf Prozent der Gesamt­menge der Zertifikate im Zeitraum von 2013 bis 2020 werden in die Reserve für neue Markt­teilnehmer eingestellt. Zertifikate, die nicht kostenlos zugeteilt wer­den, werden versteigert oder entwertet. Zu diesem Zweck genügt das EHS zumindest:
Artikel 10, 10a, 10b und 10c der Richtlinie 2003/87/EG
Beschluss 2011/278/EU der Kommission vom 27. April 2011 zur Festlegung EU‑weiter Übergangsvorschriften zur Harmonisierung der kostenlosen Zuteilung von Emissionszertifikaten gemäss Artikel 10a der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates
Artikel 18 Absatz 3 und Artikel 19 Absätze 2 bis 6 des CO2‑Gesetzes
Artikel 45 Absatz 2, Artikel 46, 46a, 46b, 46c und 48 sowie Anhang 9 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Die kostenlosen Zuteilungen übersteigen nicht den Umfang der Zuteilungen an Anlagen im Rahmen des EU‑EHS.

Beschluss 2013/448/EU der Kommission vom 5. September 2013 über nationale Umsetzungs­massnahmen für die übergangsweise kostenlose Zuteilung von Treibhaus­gasemissionszertifikaten gemäss Artikel 11 Absatz 3 der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates
Beschluss (EU) 2017/126 der Kommission vom 24. Januar 2017 zur Änderung des Beschlusses 2013/448/EU in Bezug auf die Festlegung eines einheitlichen sektor­übergreifenden Korrektur­faktors gemäss Artikel 10a der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates

(Berechnungen zur Bestim­mung des sektorübergreifen­den Korrekturfaktors im EU‑EHS von 2013 bis 2020)

Beschluss 2014/746/EU der Kommission vom 27. Ok­to­ber 2014 zur Fest­legung eines Verzeichnisses der Sektoren und Teil­sektoren, von denen ange­nommen wird, dass sie im Zeitraum 2015–2019 einem erheblichen Risiko einer Verlagerung von CO2-Emissionen ausgesetzt sind, gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates
Richtlinie (EU) 2018/410 des Europäischen Parlaments und des Rates vom 14. März 2018 zur Änderung der Richtlinie 2003/87/EG zwecks Unterstützung kosteneffizienter Emissionsreduktionen und zur Förderung von Investitionen mit geringem CO2‑Ausstoss

(Carbon-Leakage-Liste für den Zeitraum 2015 – 2020)

Delegierte Verordnung (EU) 2019/331 der Kommission vom 19. Dezember 2018 zur Festlegung EU‑weiter Übergangsvorschriften zur Harmonisierung der kostenlosen Zuteilung von Emissionszertifikaten gemäss Artikel 10a der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates
Delegierter Beschluss (EU) 2019/708 der Kommission vom 15. Februar 2019 zur Ergänzung der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates hinsichtlich der Festlegung der Sektoren und Teilsektoren, bei denen davon ausgegangen wird, dass für sie im Zeitraum 2021–2030 ein Risiko der Verlagerung von CO2‑Emissionen besteht
sektorübergreifender Korrekturfaktor im EU‑EHS in den Zeiträumen 2021 bis 2025 oder 2026 bis 2030

in der zum Zeitpunkt des In­krafttretens dieses Abkommens geltenden Fassung.

11
Das EHS sieht Sanktionen vor, die hinsichtlich der Bedingungen und des Umfangs vergleichbar sind mit denjenigen gemäss:
Artikel 16 der Richtlinie 2003/87/EG

in der zum Zeitpunkt des In­krafttretens dieses Abkom­mens geltenden Fassung.

Artikel 21 des CO2‑Gesetzes
Artikel 56 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

12
Die Überwachung und Berichterstattung im Rahmen des EHS sind mindestens genauso streng wie diejenige gemäss:
Artikel 14 und Anhang IV der Richtlinie 2003/87/EG
Verordnung (EU) Nr. 601/2012 der Kommission vom 21. Juni 2012 über die Überwachung von und die Berichterstattung über Treibhausgasemissionen gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates
Durchführungsverordnung (EU) 2018/2066 der Kommission vom 19. Dezember 2018 über die Überwachung von und die Berichterstattung über Treibhausgasemissionen gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates und zur Änderung der Verordnung (EU) Nr. 601/2012 der Kommission

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Artikel 20 des CO2‑Gesetzes
Artikel 50 bis 53 und Anhänge 16 und 17 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

13
Die Prüfung und Akkreditierung im Rahmen des EHS sind mindestens genauso streng wie diejenige gemäss:
Artikel 15 und Anhang V der Richtlinie 2003/87/EG
Verordnung (EU) Nr. 600/2012 der Kommission vom 21. Juni 2012 über die Prüfung von Treibhaus­gasemissionsberichten und Tonnenkilometerberichten sowie die Akkreditierung von Prüfstellen gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates
Durchführungsverordnung (EU) 2018/2067 der Kommission vom 19. Dezember 2018 über die Prüfung von Daten und die Akkreditierung von Prüfstellen gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates

in der zum Zeitpunkt des In­krafttretens dieses Abkom­mens geltenden Fassung.

Artikel 51 bis 54 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

11 SR 956.1

12 SR 958.1

13 SR 954.1

14 SR 955.0

B. Wesentliche Kriterien für den Luftverkehr

Wesentliche Kriterien

Für die EU

Für die Schweiz

1
Verbindlichkeit der Teilnahme am EHS

Die Teilnahme am EHS ist für Luftverkehrstätigkeiten gemäss den im Folgenden aufgeführten Kriterien obligatorisch.

Die Teilnahme am EHS ist für Luftverkehrstätigkeiten gemäss den im Folgenden aufgeführten Kriterien obligatorisch.

2
Erfassung von Luftverkehrstätigkeiten und der dadurch freigesetzten THG sowie Zuordnung von Flügen und ihren jeweiligen Emissionen entsprechend dem Grundsatz des abgehenden Flugs gemäss:
Richtlinie 2003/87/EG, in der durch die Verordnung (EU) 2017/2392 des Europäischen Parlaments und des Rates vom 13. Dezember 2017 geänderten Fassung; diese Verordnung sieht eine befristete Ausnahme von der Durchsetzung in Bezug auf Flüge nach und aus Ländern, mit denen kein Abkommen gemäss Artikel 25 geschlossen wurden, vor
Artikel 17, 29, 35 und 56 sowie Anhang VII der Verordnung (EU) Nr. 389/2013 der Kommission vom 2. Mai 2013 zur Fest­legung eines Unionsregisters gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates und den Ent­scheidungen Nr. 280/2004/EG und Nr. 406/2009/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Verordnungen (EU) Nr. 920/2010 und (EU) Nr. 1193/2011 der Kommission

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

1.
Geltungsbereich

Flüge, die von Flugplätzen im Schweizer Hoheitsgebiet abgehen oder dort enden, mit Ausnahme von Flügen, die von Flugplätzen im Hoheitsgebiet des EWR abgehen.

Jede befristete Ausnahme in Bezug auf den Geltungsbereich des EHS, wie beispielsweise Ausnahmen im Sinne des Artikels 28a der Richtlinie 2003/87/EG, kann im Einklang mit dem EU‑EHS auf das EHS der Schweiz angewandt werden. Bei Luftverkehrstätigkeiten werden ausschliesslich CO2‑Emissionen erfasst.

Ab dem 1. Januar 2020 werden Flüge, die von Flugplätzen im Hoheitsgebiet des Europäischen Wirtschaftsraums (im Folgenden «EWR») abgehen und auf Flugplätzen im Schweizer Hoheitsgebiet enden, in das EU-EHS einbezogen, während Flüge, die von Flugplätzen im Schweizer Hoheitsgebiet abgehen und auf Flugplätzen im Hoheitsgebiet des EWR enden, gemäss Artikel 25a der Richtlinie 2003/87/EG vom EU‑EHS ausgeschlossen sein werden.

2.
Einschränkungen des Geltungsbereichs

Der allgemeine Geltungsbereich gemäss Nummer 1 umfasst keine

1.
Flüge, die ausschliesslich zur Beförderung von in offi­zieller Mission befindlichen regierenden Monarchen und ihren unmittelbaren Familienangehörigen, sowie Staatschefs, Regierungschefs und von zur Regierung gehörenden Ministern durch­geführt werden, soweit dies durch einen entsprechenden Statusindikator im Flugplan vermerkt ist;
2.
Militär-, Zoll- und Polizei­flüge;
3.
Flüge im Zusammenhang mit Such- und Rettungseinsätzen, Löschflüge, Flüge im humanitären Einsatz sowie Ambulanzflüge in medizinischen Notfällen;
4.
Flüge, die ausschliesslich nach Sichtflugregeln im Sinne von Anhang 2 des Übereinkommens über die Internationale Zivilluftfahrt vom 7. Dezember 194415 operiert werden;
5.
Flüge, bei denen das Luft­fahrzeug ohne geplante Zwischenlandung wieder zum Ausgangsflugplatz zurückkehrt;
6.
Übungsflüge, die aus­schliesslich zum Erwerb oder Erhalt eines Pilotenscheins oder einer Berechtigung für die Cockpit-Besatzung durchgeführt werden, sofern dies im Flugplan ent­sprechend vermerkt ist; vorausgesetzt, dass diese Flüge nicht zur Beförderung von Fluggästen und/oder Fracht oder zur Positionie­rung oder Überführung von Luftfahrzeugen dienen;
7.
Flüge, die ausschliesslich der wissenschaftlichen Forschung dienen;
8.
Flüge, die ausschliesslich der Kontrolle, Erprobung oder Zulassung von Luftfahr­zeugen bzw. Bord- oder Bodenausrüstung dienen;
9.
Flüge von Luftfahrzeugen mit einer höchstzulässigen Startmasse von weniger als 5 700 kg;
10.
Flüge gewerblicher Luftfahr­zeugbetreiber mit jährlichen Gesamtemissionen von weniger als 10 000 Tonnen auf Flügen, die unter das EHS der Schweiz fallen, oder mit weniger als 243 Flügen in drei aufeinanderfolgenden Viermonatszeiträumen im Geltungsbereich des EHS der Schweiz, sofern die Betreiber nicht unter das EU‑EHS fallen;
11.
Flüge nichtgewerblicher Luftfahrzeugbetreiber mit jährlichen Gesamtemissionen von weniger als 1 000 Tonnen, die unter das EHS der Schweiz fallen, im Einklang mit der jeweiligen im EU‑EHS angewandten Ausnahme, sofern die Betreiber nicht unter das EU‑EHS fallen.

Diese Einschränkungen des Geltungsbereichs sind vorgesehen in

Artikel 16a des CO2‑Gesetzes
Artikel 46d, Artikel 55 Absatz 2 und Anhang 13 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

3
Austausch einschlägiger Daten in Bezug auf die Anwendung der Einschränkungen des Geltungsbereichs für Luftverkehrstätigkeiten

Die beiden Vertragsparteien arbeiten in Bezug auf die Anwendung der Einschränkungen des Geltungsbereichs im EHS der Schweiz und im EU‑EHS für gewerbliche und nichtgewerbliche Betreiber gemäss diesem Anhang zusammen. Insbesondere stellen beide Vertrags­parteien die rechtzeitige Übermittlung aller einschlägigen Daten sicher, um die ordnungsgemässe Identifizierung von Flügen und Luftfahrzeugbetreibern, die unter das EHS der Schweiz und das EU‑EHS fallen, zu ermöglichen.

4
Obergrenze (Gesamtmenge der Luftfahrzeug­betreibern zuzuteilenden Zertifikate)

Artikel 3c der Richtlinie 2003/87/EG

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Artikel 3c der Richtlinie 2003/87/EG sah ursprünglich folgende Zuteilung von Zertifikaten vor:

15 % werden versteigert,
3 % werden in eine Sonderreserve eingestellt,
82 % werden kostenlos zugeteilt.

Die Zuteilungen wurden mit der Verordnung (EU) Nr. 421/2014 geändert, mit der die kostenlose Zuteilung von Zertifikaten proportional zur Verringerung der Abgabeverpflichtung gekürzt wurde (Artikel 28a Absatz 2 der Richtlinie 2003/87/EG). Mit der Verordnung (EU) 2017/2392 in der zum Zeitpunkt des Inkraft­tretens dieses Abkommens geltenden Fassung wurde diese Vorgehensweise bis zum Jahr 2023 verlängert; zudem wird ab dem 1. Januar 2021 ein linearer Kürzungsfaktor von 2,2 % angewandt.

Die Obergrenze ist ähnlich streng wie im EU‑EHS, insbesondere in Bezug auf den Kürzungssatz über die Jahre und Handelszeiträume hinweg. Die entsprechend der Obergrenze verfügbaren Zertifikate werden wie folgt aufgeteilt:

15 % werden versteigert;
3 % werden in eine Sonderreserve eingestellt,
82 % werden kostenlos zugeteilt.

Diese Zuteilung kann im Einklang mit den Artikeln 6 und 7 dieses Abkommens überprüft werden.

Bis 2020 wird die Menge der entsprechend der Obergrenze verfügbaren Zertifikate unter Verwendung eines Bottom-up-Ansatzes auf der Grundlage der im Einklang mit der vorstehenden Aufteilung kostenlos zuzuteilenden Zertifikate berechnet. Jede befristete Ausnahme in Bezug auf den Geltungsbereich des EHS macht entsprechende anteilige Anpassungen der zuzuteilenden Mengen erforderlich.

Ab 2021 wird die Menge der entsprechend der Obergrenze verfügbaren Zertifikate anhand der Obergrenze für das Jahr 2020 unter Berücksichti­gung eines möglichen Kürzungssatzes im Einklang mit dem EU‑EHS bestimmt.

Dies ist vorgesehen in

Artikel 18 des CO2‑Gesetzes
Artikel 46e und Anhang 15 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

5
Zuteilung von Zertifikaten für den Luftverkehr durch Versteigerung von Zertifikaten
Artikel 3d und Artikel 28a Absatz 3 der Richtlinie 2003/87/EG

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Die zu versteigernden Schweizer Zertifikate werden durch die zuständige Behörde der Schweiz versteigert. Die Schweiz hat Anspruch auf die Einnahmen aus der Versteigerung der Schweizer Zertifikate.

Dies ist vorgesehen in

Artikel 19a Absätze 2 und 4 des CO2-Gesetzes
Artikel 48 und Anhang 15 der CO2-Verordnung

in der zum Zeitpunkt des In­krafttretens dieses Abkommens geltenden Fassung.

6
Sonderreserve für bestimmte Luftfahrzeug­betreiber
Artikel 3f der Richtlinie 2003/87/EG

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Für neue Marktteilnehmer und wachstumsstarke Betreiber werden Zertifikate in eine Sonderreserve eingestellt; die Schweiz wird allerdings bis 2020 keine Sonderreserve haben, da das Bezugsjahr für die Erhebung von Daten über die Schweizer Luftverkehrs­tätigkeiten das Jahr 2018 ist.

Diese Sonderreserve ist vorgesehen in

Artikel 18 Absatz 3 des CO2‑Gesetzes
Artikel 46e und Anhang 15 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

7
Benchmark für die kostenlose Zuteilung von Zertifikaten an Luftfahrzeugbetreiber
Artikel 3e der Richtlinie 2003/87/EG

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Die jährliche Benchmark ist 0,000642186914222035 Zertifikate je Tonnenkilometer.

Die Benchmark darf nicht höher sein als im EU‑EHS.

Bis 2020 ist die jährliche Benchmark 0,000642186914222035 Zertifikate je Tonnenkilometer.

Diese Benchmark ist vorgesehen in

Artikel 46f Absätze 1 und 2 und Anhang 15 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

8
Kostenlose Zuteilung von Zertifikaten an Luftfahrzeugbetreiber
Artikel 3e der Richtlinie 2003/87/EG

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Die Vergabe von Zertifikaten wird gemäss Artikel 25a der Richtlinie 2003/87/EG im Verhältnis zu den entsprechenden Berichterstattungs- und Abgabe­pflichten aus der tatsächlichen Erfassung von Flügen zwischen dem EWR und der Schweiz im Rahmen des EU‑EHS angepasst.

Die Zahl der den Luftfahr­zeugbetreibern kostenlos zugeteilten Emissionszertifikate wird durch Multiplikation ihrer gemeldeten Tonnenkilometer­daten im Bezugsjahr mit der geltenden Benchmark berechnet.

Diese kostenlose Zuteilung ist vorgesehen in

Artikel 19a Absätze 3 und 4 des CO2‑Gesetzes
Artikel 46f Absätze 1 und 2 und Anhang 15 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

9
Die qualitativen Beschränkungen für inter­nationale Gutschriften sind mindestens so streng wie diejenigen gemäss:
Artikel 11a und 11b der Richtlinie 2003/87/EG
Verordnung (EU) Nr. 389/2013 der Kommission vom 2. Mai 2013 zur Fest­legung eines Unions­registers gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates und den Ent­scheidungen Nr. 280/2004/EG und Nr. 406/2009/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Verordnungen (EU) Nr. 920/2010 und (EU) Nr. 1193/2011 der Kommission

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Artikel 5 und 6 des CO2‑Gesetzes
Artikel 4 und Artikel 4a Absatz 1 und Anhang 2 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

10
Quantitative Beschränkungen für die Nutzung internationaler Gutschriften
Artikel 11a der Richtlinie 2003/87/EG
Verordnung (EU) Nr. 389/2013 der Kommission vom 2. Mai 2013 zur Fest­legung eines Unionsregisters gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates und den Entschei­dungen Nr. 280/2004/EG und Nr. 406/2009/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Verordnungen (EU) Nr. 920/2010 und (EU) Nr. 1193/2011 der Kommission
Verordnung (EU) Nr. 1123/2013 der Kommission vom 8. November 2013 zur Festlegung der Verwendungs­rechte für internationale Gutschriften gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Die Nutzung internationaler Gutschriften beträgt 1,5 % der geprüften Emissionen bis zum Jahr 2020.

Dies ist vorgesehen in

Artikel 55d der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

11
Erhebung von Tonnenkilometerdaten für das Bezugsjahr
Artikel 3e der Richtlinie 2003/87/EG

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Unbeschadet der nachstehenden Bestimmung werden die Tonnenkilometerdaten zur gleichen Zeit und auf dieselbe Weise wie beim EU‑EHS erhoben.

Bis zum Jahr 2020 und im Einklang mit der Verordnung über die Erhebung von Tonnenkilometerdaten und die Erstellung von Monitoring­plänen bei Flugstrecken in der zum Zeitpunkt des Inkraft­tretens dieses Abkommens geltenden Fassung ist das Bezugsjahr für die Erhebung von Daten über die Schweizer Luftverkehrstätigkeiten das Jahr 2018.

Dies ist vorgesehen in

Artikel 19a Absätze 3 und 4 des CO2‑Gesetzes
der Verordnung über die Er­hebung von Tonnenkilo­meterdaten und die Er­stellung von Monitoring­plänen bei Flugstrecken

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

12
Überwachung und Berichterstattung
Artikel 14 und Anhang IV der Richtlinie 2003/87/EG
Verordnung (EU) Nr. 601/2012 der Kommission vom 21. Juni 2012 über die Überwachung von und die Berichterstattung über Treib­hausgasemissionen gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates
Durchführungsverordnung (EU) 2018/2066 der Kommission vom 19. Dezember 2018 über die Überwachung von und die Berichterstattung über Treib­hausgasemissionen gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates und zur Änderung der Verordnung (EU) Nr. 601/2012 der Kommission

Die Überwachungs- und Berichterstattungsvorschriften sind ebenso streng wie im EU‑EHS.

Dies ist vorgesehen in

Artikel 20 des CO2‑Gesetzes
Artikel 50 bis 52 und Anhänge 16 und 17 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Delegierte Verordnung (EU) 2019/1603 der Kommission vom 18. Juli 2019 zur Ergänzung der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates betreffend die von der Internationalen Zivilluftfahrt-Organisation angenommenen Massnahmen für die Überwachung von, die Berichterstattung über und die Prüfung von Luftverkehrs­emissionen für die Zwecke der Umsetzung eines globalen marktbasierten Mechanismus

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

13
Prüfung und Akkreditierung
Artikel 15 und Anhang V der Richtlinie 2003/87/EG
Verordnung (EU) Nr. 600/2012 der Kommission vom 21. Juni 2012 über die Prüfung von Treibhausgasemissionsberichten und Tonnenkilometerberichten sowie die Akkreditierung von Prüfstellen gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates

Die Prüfungs- und Akkreditierungsvorschriften sind ebenso streng wie im EU‑EHS.

Dies ist vorgesehen in

Artikel 52 Absätze 4 und 5 und Anhang 18 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

Durchführungsverordnung (EU) 2018/2067 der Kommission vom 19. Dezember 2018 über die Prüfung von Daten und die Akkreditierung von Prüfstellen gemäss der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

14
Verwaltung

Es gelten die in Artikel 18a der Richtlinie 2003/87/EG festge­legten Kriterien. Zu diesem Zweck gilt die Schweiz gemäss Artikel 25a der Richtlinie 2003/87/EG im Hinblick auf die Zuordnung der Verwaltung von Luftfahrzeug­betreibern zur Schweiz und zu den Mitgliedstaaten der EU (des EWR) als Verwaltungs­mitgliedstaat.

Im Einklang mit der CO2‑Verordnung in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung ist die Schweiz für die Verwaltung von Luftfahrzeugbetreibern verantwortlich,

die über eine von der Schweiz erteilte gültige Betriebsgenehmigung verfügen oder
die den höchsten zugeordneten Schätzwert für Luftverkehrsemissionen in der Schweiz im Rahmen der verknüpften EHS aufweisen.

Gemäss Artikel 25a der Richtlinie 2003/87/EG sind die zuständigen Behörden der Mitgliedstaaten der EU (des EWR) für sämtliche Aufgaben im Zusammenhang mit der Ver­waltung von ihnen zugeordneten Luftfahrzeug­betreibern verantwortlich, einschliesslich der Aufgaben im Zusammenhang mit dem EHS der Schweiz (z. B. die Annahme der Berichte über die geprüften Emissionen aus Luft­verkehrstätigkeiten in der EU und in der Schweiz, die Zuteilung, Vergabe und Übertragung von Zertifikaten, Verpflichtungs­erfüllung und
Durchsetzung).

Die Europäische Kommission einigt sich bilateral mit den zuständigen Behörden der Schweiz über die Übermittlung der einschlägigen Unterlagen und Informa­tionen.

Die zuständigen Behörden der Schweiz sind für sämtliche Aufgaben im Zusammenhang mit der Verwaltung von der Schweiz zugeordneten Luftfahrzeugbetreibern verantwortlich, einschliesslich der Aufgaben im Zusammen­hang mit dem EU‑EHS (z. B. die Annahme der Berichte über die geprüften Emissionen aus Luftverkehrstätigkeiten in der EU und in der Schweiz, die Zuteilung, Vergabe und Übertragung von Zertifikaten, Verpflichtungserfüllung und Durchsetzung).

Die zuständigen Behörden der Schweiz einigen sich bilateral mit der Europäischen Kommission über die Übermittlung der einschlägigen Unterlagen und Informationen.

Die Kommission stellt insbesondere die Übertragung der Anzahl kostenlos zugeteilter EU‑Zertifikate an von der Schweiz verwaltete Luftfahrzeugbetreiber sicher.

Im Fall eines bilateralen Abkommens über die Verwaltung des Flugbetriebs in Verbindung mit dem EuroAirport Basel-Mulhouse-Freiburg, das keine Änderung der Richtlinie 2003/87/EG erfordert, wird die Europäische Kommission, soweit angebracht, die Umsetzung eines solchen Abkommens erleichtern, sofern es nicht zu Doppelzählungen führt.

Die schweizerischen Behörden übertragen insbesondere die Anzahl kostenlos zugeteilter schweizerischer Zertifikate an von EU‑ (EWR-)Mitgliedstaten verwaltete Luftfahrzeugbetreiber.

Dies ist vorgesehen in

Artikel 39 Absatz 1a des CO2-Gesetzes
Artikel 46d und Anhang 14 der CO2‑Verordnung

in der zum Zeitpunkt des Inkrafttretens dieses Abkommens geltenden Fassung.

15
Abgabe von Zertifikaten

Bei der Bewertung der Verpflichtungserfüllung von Luftfahrzeugbetreibern anhand der Anzahl abgegebener Zertifikate rechnen die zuständigen Behörden der EU- (EWR-)Mitgliedstaaten die Zertifikate erst auf die unter das EHS der Schweiz fallenden Emissionen an und verwenden die restlichen abgegebenen Zertifikate für die Anrechnung auf die unter das EU‑EHS fallenden Emissionen.

Bei der Bewertung der Verpflichtungserfüllung von Luftfahrzeugbetreibern anhand der Anzahl abgegebener Zertifikate rechnen die zuständigen Behörden der Schweiz die Zertifikate erst auf die unter das EU‑EHS fallenden Emissionen an und verwenden die restlichen abgegebenen Zertifikate für die Anrechnung auf die unter das EHS der Schweiz fallenden Emissionen.

16
Rechtliche Durchsetzung

Die Vertragsparteien setzen die Bestimmungen ihres jeweiligen EHS gegenüber Luftfahrzeugbetreibern durch, die ihren Verpflichtungen im entsprechenden EHS nicht nachkommen, und zwar unabhängig davon, ob der Betreiber von einer zuständigen Behörde der EU (des EWR) oder der Schweiz verwaltet wird, sofern die Durchsetzung durch die mit der Verwaltung des Betreibers betraute Behörde zusätzliche Massnahmen erfordert.

17
Zuordnung der Verwaltung von Luftfahrzeug­betreibern

Im Einklang mit Artikel 25a der Richtlinie 2003/87/EG wird in der gemäss Artikel 18a Absatz 3 der Richt­linie 2003/87/EG durch die Europäische Kommission veröffentlichten Liste der Luftfahrzeugbetreiber der für die einzelnen Luftfahrzeugbetreiber zuständige Verwaltungsmitgliedstaat, darunter die Schweiz, angegeben.

Die Schweiz übernimmt die Verwaltung der ihr nach dem Inkrafttreten dieses Abkommens erstmals zugeordneten Luftfahrzeugbetreiber nach dem 30. April des Jahres der Zuordnung und sobald die vorläufige Registerverbindung betriebsbereit ist.

Die beiden Vertragsparteien arbeiten beim Austausch der einschlägigen Unterlagen und Informationen zusammen.

Die Zuordnung eines Luftfahrzeugbetreibers wirkt sich nicht auf die Erfassung des betreffenden Luftfahrzeugbetreibers im jeweiligen EHS aus (d. h. ein Betreiber, der unter das EU‑EHS fällt und von der zuständigen Behörde der Schweiz verwaltet wird, hat im Rahmen des EU‑EHS gleichwertige Verpflichtungen wie im Geltungsbereich des EHS der Schweiz und umgekehrt).

18
Durchführungsmodalitäten

Etwaige weitere Modalitäten, die für die Organisation der Arbeit und Zusammenarbeit innerhalb der zentralen Anlaufstelle für Konto­inhaber aus dem Luftverkehr erforderlich sind, werden nach Unterzeichnung des Abkommens vom Gemeinsamen Ausschuss gemäss den Artikeln 12, 13 und 22 dieses Abkommens entwickelt und angenommen. Diese Modalitäten sollten ab dem Tag gelten, ab dem dieses Abkommen angewandt wird.

19
Unterstützung durch Eurocontrol

Für den den Luftverkehr betreffenden Teil dieses Abkommens nimmt die Europäische Kommission die Schweiz in das in Bezug auf das EU‑EHS an Eurocontrol übertragene Mandat auf.

15 SR 0.748.0

C. Wesentliche Kriterien für die Register

Das EHS jeder Vertragspartei umfasst ein Register und ein Transaktionsprotokoll, die die folgenden wesentlichen Kriterien bezüglich der Sicherheitsmechanismen und -verfahren sowie bezüglich der Eröffnung und Verwaltung von Konten erfüllen:

Wesentliche Kriterien bezüglich Sicherheitsmechanismen und -verfahren

Die Register und Transaktionsprotokolle wahren die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der im System gespeicherten Daten. Zu diesem Zweck setzen die Vertragsparteien die folgenden Sicherheitsmechanismen um:

Wesentliche Kriterien

Um Zugang zu den Konten zu erhalten, ist für alle Nutzer mit Zugang zum Konto ein Zwei-Faktor-Authentifizierungsmechanismus erforderlich.

Sowohl zur Veranlassung als auch zur Genehmigung von Transaktionen ist ein Mechanismus zur Transaktionsunterzeichnung erforderlich. Der Bestätigungscode wird den Nutzern über einen Ausserband-Kanal übermittelt.

Alle nachstehend aufgeführten Vorgänge werden von einer Person veranlasst und von einer anderen Person genehmigt (Vier-Augen-Prinzip):

sämtliche von einem Verwalter veranlasste Vorgänge, sofern nicht in den LTS festgelegte begründete Ausnahmen Anwendung finden
sämtliche Übertragungen von Einheiten, sofern nicht durch einen alternativen Vorgang begründet, der dasselbe Mass an Sicherheit bietet.

Es ist ein Meldesystem vorhanden, über das die Nutzer informiert werden, wenn ihre Konten und Guthaben betreffende Vorgänge durchgeführt werden.

Eine Übertragung wird frühestens 24 Stunden nach ihrer Veranlassung ausgeführt, sodass die Information alle Nutzer erreicht und diese einen mutmasslich widerrechtlichen Übertragungsvorgang abbrechen können.

Der Schweizer Verwalter und der Zentralverwalter der Union ergreifen Massnahmen, um die Nutzer über ihre Pflichten in Bezug auf die Sicherheit ihrer Systeme (z. B. PC, Netz) und in Bezug auf den Umgang mit Daten/das Surfen im Internet aufzuklären.

Die Emissionen des Jahres 2020 dürfen nur durch Zertifikate abgedeckt werden, die im Zeitraum 2013 bis 2020 vergeben wurden.


Wesentliche Kriterien in Bezug auf die Eröffnung und Verwaltung von Konten

Wesentliche Kriterien

Eröffnung eines Betreiberkontos

Der Antrag des Betreibers oder der zuständigen Behörde auf Eröffnung eines Betreiberkontos wird an den nationalen Verwalter gerichtet (für die Schweiz: Bundesamt für Umwelt, im Folgenden «BAFU»). Der Antrag muss zur Identifizierung der EHS-Anlage ausreichende Angaben sowie eine geeignete Anlagenkennung enthalten.

Eröffnung eines Luftfahrzeugbetreiberkontos

Jeder Luftfahrzeugbetreiber, der unter das EHS der Schweiz und/oder das EU‑EHS fällt, muss über ein Luftfahrzeugbetreiberkonto verfügen. Für die von der zuständigen Behörde der Schweiz verwalteten Luftfahrzeugbetreiber wird ein solches Konto im Schweizer Register geführt. Der Luftfahrzeugbetreiber oder dessen Bevollmächtigter richtet innerhalb von 30 Arbeitstagen nach der Genehmigung des Überwachungsplans des Luftfahrzeugbetreibers bzw. seiner Übermittlung von einem Mitgliedstaat der EU (des EWR) an die Behörden der Schweiz den Antrag an den nationalen Verwalter (für die Schweiz: BAFU). Der Antrag enthält das eindeutige Luftfahrzeugkennzeichen jedes vom Antragsteller betriebenen Luftfahrzeugs, das unter das EHS der Schweiz und/oder das EU‑EHS fällt.

Eröffnung eines Personenkontos

Der Antrag auf Eröffnung eines Personenkontos wird an den nationalen Verwalter gerichtet (für die Schweiz: BAFU). Er enthält zur Identifizierung des Kontoinhabers/Antragstellers ausreichende Angaben sowie mindestens Folgendes:

bei einer natürlichen Person: Identitätsnachweis und Kontaktangaben
bei einer juristischen Person:
Auszug aus dem Handelsregister oder
Gründungsurkunden und Eintragungsnachweis der juristischen Person
Führungszeugnis/Strafregisterauszug der natürlichen Person oder – bei einer juristischen Person – von deren Geschäftsführern




Kontobevollmächtigte

Für jedes Konto gibt es zumindest einen vom künftigen Kontoinhaber benannten Kontobevoll­mächtigten. Die Kontobevollmächtigten veranlassen Transaktionen und andere Vorgänge im Namen des Kontoinhabers. Bei der Benennung des Kontobevollmächtigten werden mindestens die folgenden Angaben über den Kontobevollmächtigten übermittelt:

Name und Kontaktangaben
Ausweisdokument
polizeiliches Führungszeugnis.

Dokumentenprüfung

Eine Abschrift eines Dokuments, das als Nachweis für die Eröffnung eines Personenkontos oder zur Ernennung eines Kontobevollmächtigten vorgelegt wird, muss als authentische Abschrift beglaubigt sein. Abschriften von ausserhalb des Staats ausgestellten Dokumenten müssen legalisiert sein. Das Datum der Beglaubigung oder Legalisierung darf nicht mehr als drei Monate vor dem Antragsdatum liegen.

Ablehnung der Eröffnung bzw. Aktualisierung eines Kontos oder der Ernennung eines Kontobevollmächtigten

Ein nationaler Verwalter (für die Schweiz: BAFU) kann die Eröffnung bzw. Aktualisierung eines Kontos oder die Ernennung eines Kontobevoll­mächtigten ablehnen, sofern die Ablehnung angemessen und begründbar ist. Die Ablehnung muss durch mindestens einen der folgenden Gründe gerechtfertigt sein:

die übermittelten Angaben und Unterlagen sind unvollständig, veraltet oder aus anderen Gründen unrichtig oder falsch
gegen den angehenden Bevollmächtigten wird ermittelt oder er wurde in den vorangegangenen fünf Jahren rechtskräftig verurteilt wegen betrügerischen Praktiken, die Zertifikate oder Kyoto-Einheiten betreffen, wegen Geldwäsche, Terrorismusfinanzierung oder anderer schwerer Straftaten, bei denen das Konto möglicherweise eine instrumentelle Rolle spielt
staatsrechtliche oder unionsrechtliche Gründe.

Regelmässige Überprüfung der Kontoangaben

Der Kontoinhaber meldet dem nationalen Verwalter (für die Schweiz: BAFU) alle Änderungen des Kontos oder der Nutzerdaten unverzüglich und übermittelt dem nationalen Verwalter, der für die zügige Aktualisierung der Angaben zuständig ist, die von diesem verlangten Angaben.

Mindestens einmal alle drei Jahre überprüft der nationale Verwalter, ob die mit dem Konto verbundenen Angaben nach wie vor vollständig, aktuell, richtig und exakt sind, und fordert den Kontoinhaber auf, etwaige Änderungen gegebenenfalls zu melden.

Sperrung des Kontozugangs

Falls gegen Registerbestimmungen des Artikels 3 dieses Abkommens verstossen wurde oder Ermittlungen in Bezug auf einen möglichen Verstoss gegen diese Bestimmungen laufen, kann der Kontozugang gesperrt werden.

Vertraulichkeit und Offenlegung von Informationen

Im EUTL, SSTL, im Unionsregister, dem Schweizer Register und anderen Registern im Rahmen des Kyoto-Protokolls enthaltene Informationen einschliesslich sämtlicher Kontostände, sämtlicher Transaktionen, der eindeutigen Einheiten-Kennung der Zertifikate und des eindeutigen numerischen Wertes der Seriennummer der verbuchten oder von einer Transaktion betroffenen Kyoto-Einheiten, sind als vertraulich zu behandeln.

Diese vertraulichen Informationen dürfen auf Antrag den zuständigen öffentlichen Stellen zur Verfügung gestellt werden, wenn ein solcher Antrag ein berechtigtes Ziel verfolgt und gerecht­fertigt, erforderlich und verhältnismässig zu Ermittlungs-, Aufdeckungs- und Verfolgungszwecken, zu Zwecken der Steuerverwaltung, des Vollzugs, zur Durchführung von Audits oder für die Finanzaufsicht zur Prävention und Bekämpfung von Betrug, Geldwäsche, Terrorismusfinanzierung, anderen schweren Straftaten, Marktmanipulation oder von Verstössen gegen die Rechtsvorschriften der Union oder gegen die nationalen Rechtsvorschriften eines EWR-Mitgliedstaats oder der Schweiz sowie zur Gewährleistung des reibungslosen Funktionierens des EU‑EHS und des EHS der Schweiz ist.

D. Wesentliche Kriterien für Auktionsplattformen und Auktionstätigkeiten


Einrichtungen, die Versteigerungen von Zertifikaten im Rahmen der EHS der Vertragsparteien durchführen, müssen die folgenden wesentlichen Kriterien erfüllen und die Versteigerungen entsprechend durchführen:

Wesentliche Kriterien

1
Die die Versteigerung durchführende Einrichtung wird im Wege eines Verfahrens ausgewählt, das die Transparenz, Verhältnismässigkeit, Gleichbehandlung und Nichtdiskriminierung sowie den Wettbewerb zwischen verschiedenen potenziellen Auktionsplattformen auf der Grundlage des Vergaberechts der Union oder des nationalen Vergaberechts gewährleistet.

2
Die die Versteigerung durchführende Einrichtung wird zur Ausübung dieser Tätigkeit zugelassen und trifft bei der Abwicklung der Vorgänge die erforderlichen Sicherheitsmassnahmen; solche Sicherheitsmassnahmen umfassen unter anderem Vorkehrungen für das Erkennen und die Regelung etwaiger nachteiliger Auswirkungen etwaiger Interessenkonflikte, für das Erkennen und Management der Risiken, denen der Markt ausgesetzt ist, transparente und ermessensunabhängige Regeln und Verfahren für eine faire und ordnungsgemässe Versteigerung sowie ausreichende finanzielle Mittel, um das ordnungsgemässe Funktionieren zu erleichtern.

3
Der Zugang zu den Versteigerungen unterliegt Mindestanforderungen bezüglich angemessener Überprüfungen der Kunden, mit denen sichergestellt wird, dass Teilnehmer die Auktionsabläufe nicht untergraben.

4
Das Auktionsverfahren muss vorhersehbar sein, besonders was den Zeitplan und die Abfolge der Verkäufe sowie die voraussichtlich zur Verfügung zu stellenden Mengen angeht. Die Hauptelemente des Auktionsverfahrens, einschliesslich Zeitplan, Termine und voraussichtliche Verkaufsmengen, werden mindestens einen Monat vor Beginn der Versteigerung auf der Website der die Versteigerung durchführenden Einrichtung veröffentlicht. Ferner sind etwaige erhebliche Änderungen frühestmöglich im Voraus anzukündigen.

5
Die Versteigerung von Zertifikaten erfolgt mit dem Ziel, die Auswirkungen auf das EHS jeder Vertragspartei möglichst gering zu halten. Die für die Versteigerung verantwortliche Einrichtung stellt sicher, dass die Auktionspreise nicht wesentlich vom massgeblichen Preis für Zertifikate auf dem Sekundärmarkt im Auktionszeitraum abweichen, was auf Defizite bei den Versteigerungen hindeuten würde. Die Methode zur Bestimmung der im vorangehenden Satz genannten Abweichung sollte den zuständigen Behörden mit Marktaufsichtsfunktionen mitgeteilt werden.

6
Sämtliche nicht vertraulichen, für die Versteigerungen relevanten Informationen, einschliesslich aller Rechtsvorschriften, Leitfäden und Formulare, werden offen und transparent veröffentlicht. Die Ergebnisse jeder durchgeführten Versteigerung werden so bald wie möglich veröffentlicht und enthalten die einschlägigen nicht vertraulichen Informationen. Mindestens einmal jährlich werden Berichte über die Ergebnisse der Versteigerungen veröffentlicht.

7
Für die Versteigerung von Zertifikaten gelten geeignete Regeln und Verfahren, die bei Versteigerungen das Risiko von wettbewerbsschädigendem Verhalten, Marktmiss­brauch, Geldwäsche und Terrorismusfinanzierung mindern. Soweit möglich, sind diese Regeln und Verfahren nicht weniger streng als diejenigen für Finanzmärkte in den jeweiligen Rechtsordnungen der Vertragsparteien. Insbesondere obliegt es der die Versteigerung durchführenden Einrichtung, Massnahmen zu ergreifen sowie Verfahren und Prozesse einzurichten, um die Integrität der Versteigerungen sicherzustellen. Ferner überwacht sie das Verhalten der Marktteilnehmer und meldet den zuständigen Behörden Fälle von wettbewerbsschädigendem Verhalten, Marktmissbrauch, Geldwäsche oder Terrorismusfinanzierung.

8
Die die Versteigerungen durchführende Einrichtung und die Versteigerung von Zertifikaten unterliegen einer angemessenen Aufsicht durch die zuständigen Behörden. Die benannten zuständigen Behörden verfügen über die erforderlichen rechtlichen Zuständigkeiten und technischen Vorkehrungen zur Überwachung von
Organisation und Verhalten der Betreiber von Auktionsplattformen
Organisation und Verhalten professioneller Intermediäre, die im Namen der Kunden handeln
Verhalten und Transaktionen der Marktteilnehmer, um Insider-Geschäfte und Marktmanipulation zu verhindern
Transaktionen der Marktteilnehmer, um Geldwäsche und Terrorismus­finanzierung zu verhindern.
Soweit möglich, ist die Überwachung nicht weniger streng als diejenige der Finanzmärkte in den jeweiligen Rechtsordnungen der Vertragsparteien.


Die Schweiz bemüht sich, für die Versteigerung ihrer Zertifikate im Einklang mit den Vorschriften für die Vergabe öffentlicher Aufträge eine private Einrichtung zu nutzen.

Bis eine solche Einrichtung unter Vertrag genommen ist und sofern die Zahl der in einem Jahr zu versteigernden Zertifikate unter einem bestimmten Schwellenwert liegt, kann die Schweiz unter den folgenden Bedingungen weiterhin die bestehende Regelung für die Versteigerung — nämlich eine Durchführung der Versteigerungen durch das BAFU — beibehalten:

1.
Der Schwellenwert ist 1 000 000 Zertifikate, einschliesslich der für Luftverkehrstätigkeiten zu versteigernden Zertifikate.
2.
Die wesentlichen Kriterien 1 bis 8 gelten mit Ausnahme der Kriterien 1 und 2, während der letzte Satz des Kriteriums 5 und die Kriterien 7 und 8 für das BAFU nur soweit möglich gelten.

Das wesentliche Kriterium 3 gilt in Verbindung mit der folgenden Bestimmung: Zur Gebots­einstellung für Schweizer Zertifikate in Versteigerungen im Rahmen der Auktionsregelung, die zum Zeitpunkt der Unterzeichnung dieses Abkommens gilt, sind alle im EWR ansässigen Unternehmen zugelassen, die dies auch in der Union sind.

Die Schweiz kann Einrichtungen, die im EWR ansässig sind, mit der Durchführung der Versteigerungen beauftragen.

Anhang II16

16 Fassung gemäss Art. 1 des Beschlusses Nr. 2/2019 des Gemeinsamen Ausschusses vom 5. Dez. 2019 (AS 2020 369). Bereinigt gemäss Art. 2 des Beschlusses Nr. 2/2020 des Gemeinsamen Ausschusses vom 5. Nov. 2020, in Kraft seit 5. Nov. 2020 (AS 2020 6365).

Technische Verknüpfungsstandards

Für die Operationalisierung der Verknüpfung zwischen dem EU‑EHS und dem EHS der Schweiz muss bis Mai 2020 oder so bald wie möglich danach eine vorläufige Lösung eingeführt werden. Die Vertragsparteien arbeiten zusammen, um so bald wie möglich die vorläufige Lösung durch eine dauerhafte Registerverbindung zu ersetzen.

In den technischen Verknüpfungsstandards (Linking Technical Standards, im Folgenden «LTS») ist Folgendes festgelegt:

Architektur der Kommunikationsverbindung;
Sicherheit der Datenübermittlung;
Liste der Funktionen (Transaktionen, Kontenabstimmung usw.);
Festlegung der Webdienste;
Anforderungen an die Datenprotokollierung;
Betriebsregelungen (Helpdesk, Unterstützung);
Strategie für die Kommunikationsaktivierung und Prüfverfahren;
Sicherheitsprüfverfahren.

In den LTS ist festzulegen, dass die Verwalter alle angemessenen Massnahmen ergreifen sollen, um zu gewährleisten, dass das SSTL und das EUTL sowie die Verknüpfung täglich rund um die Uhr funktionsbereit sind, und dass Unterbrechungen der Funktionsfähigkeit des SSTL, des EUTL und der Verknüpfung auf ein Minimum zu reduzieren sind.

In den LTS ist festzulegen, dass die Kommunikation zwischen dem SSTL und dem EUTL in Form eines gesicherten Austauschs von Webdienstmeldungen auf der Grundlage der folgenden* oder gleichwertiger Technologien erfolgt:

Webdienste mit Simple Object Access Protocol (SOAP);
hardwarebasiertes virtuelles privates Netzwerk (VPN);
erweiterbare Auszeichnungssprache (XML);
digitale Signatur; und
Netzzeitprotokolle (Network Time Protocols).

* Diese Technologien werden derzeit für die Einrichtung einer Verbindung zwischen dem Unionsregister und dem internationalen Transaktionsprotokoll bzw. zwischen dem Schweizer Register und dem internationalen Transaktionsprotokoll genutzt.

In den LTS sind zusätzliche Sicherheitsvorschriften für das Schweizer Register, das SSTL, das Unionsregister und das EUTL enthalten, die in einem «Sicherheitsmanagementplan» dokumentiert werden. Insbesondere ist in den LTS Folgendes festzulegen:

Falls der Verdacht besteht, dass die Sicherheit des Schweizer Registers, des SSTL, des Unionsregisters oder des EUTL beeinträchtigt wurde, informieren die beiden Vertrags­parteien einander unverzüglich darüber und unterbrechen die Verknüpfung zwischen dem SSTL und dem EUTL.
Die Vertragsparteien verpflichten sich, im Falle einer Sicherheitsverletzung Informationen unverzüglich auszutauschen. Soweit die technischen Einzelheiten verfügbar sind, tauschen der Registerverwalter der Schweiz und der Zentralverwalter der Union innerhalb von 24 Stunden nach der Sicherheitsverletzung einen Bericht aus, in dem der Vorfall beschrieben ist (Datum, Ursache Auswirkungen, Abhilfemassnahmen).

Das in den LTS festgelegten Sicherheitsprüfverfahren muss abgeschlossen sein, bevor die Kommunikationsverbindung zwischen dem SSTL und dem EUTL aufgebaut wird, und immer, wenn eine neue Version des SSTL oder des EUTL erforderlich ist.

In den LTS sind neben der Produktionsumgebung zwei Testumgebungen vorgesehen: eine Testumgebung für Entwickler und eine Abnahmeumgebung.

Die Vertragsparteien legen durch den Schweizer Registerverwalter und den Zentralverwalter der Union den Nachweis vor, dass ihre Systeme im Einklang mit den in den LTS festgelegten Sicherheitsanforderungen in den vorhergehenden 12 Monaten einer unabhängigen Sicherheits­bewertung unterzogen wurden. Alle wichtigen neuen Versionen der Software werden im Einklang mit den in den LTS festgelegten Sicherheitsanforderungen einer Sicherheitsprüfung und insbesondere Penetrationstests unterzogen. Der Penetrationstest darf nicht vom Entwickler der Software oder einem Subunternehmer des Softwareentwicklers durchgeführt werden.

Anhang III

Vertraulichkeitsstufen und Handhabungsvorschriften

Die Vertragsparteien kommen überein, die folgenden Vertraulichkeitsstufen zur Kennzeichnung vertraulicher Informationen, die im Rahmen dieses Abkommens bearbeitet und ausgetauscht werden, zu verwenden:

EHS-nicht öffentlich zugänglich
EHS-vertraulich
EHS-höchst vertraulich.

Dabei sind mit der Einstufung «EHS-höchst vertraulich» versehene Informationen vertraulicher als jene mit der Einstufung «EHS-vertraulich», welche wiederum vertraulicher sind als jene mit der Einstufung «EHS-nicht öffentlich zugänglich».

Die Vertragsparteien kommen überein, auf der Grundlage der bestehenden Strategie für die Einstufung von EHS-Informationen in der Union sowie der Informationsschutzverordnung (ISchV) und des Bundesgesetzes über den Datenschutz (DSG) der Schweiz Handhabungsvorschriften zu entwickeln. Die Handhabungsvorschriften werden dem Gemeinsamen Ausschuss zur Annahme vorgelegt. Nach der Annahme werden alle Informationen entsprechend ihrer Vertraulichkeitsstufe in Übereinstimmung mit diesen Handhabungsvorschriften verarbeitet.

Schätzen die Vertragsparteien die Vertraulichkeitsstufe unterschiedlich ein, findet die höhere Stufe Anwendung.

Die Rechtsvorschriften der Vertragsparteien enthalten für die nachstehend genannten Handhabungsschritte gleichwertige wesentliche Sicherheitsanforderungen, die den EHS-Vertraulichkeitsstufen Rechnung tragen:

Dokumentengenerierung
Ressourcen
Vertraulichkeitsstufe
Speicherung
elektronisches Dokument im Datennetz
elektronisches Dokument in der lokalen Umgebung
physisches Dokument
Elektronische Übermittlung
Telefon und Mobilfunk
Fax
E-Mail
Datenübermittlung
Physische Übermittlung
Mündlich
Persönliche Übergabe
Postalisch
Verwendung
Verarbeitung mit IT-Anwendungen
Drucken
Kopieren
Entfernung von festem Standort
Informationsmanagement
Regelmässige Bewertung der Klassifizierung und der Empfänger
Archivierung
Löschung und Vernichtung

Anhang IV

Festlegung der EHS-Vertraulichkeitsstufen

A.1 Vertraulichkeits- und Integritätseinstufung

«Vertraulichkeit» bezeichnet den Verschlusscharakter einer Information, eines Teils oder der Gesamtheit des Informationssystems (insbesondere Algorithmen, Programme oder Dokumentationen), bei denen der Zugang auf Personen, Stellen oder Verfahren mit entsprechender Befugnis beschränkt ist.

«Integrität» bezeichnet die Garantie, dass ein Informationssystem und die bearbeiteten Informationen nur durch eine bewusste und rechtmässige Handlung geändert werden können, und dass das System das erwartete Ergebnis zutreffend und vollständig liefert.

Bei jeder als vertraulich eingestufter EHS-Information ist der Aspekt der Vertraulichkeit im Hinblick darauf zu prüfen, wie sich die Weitergabe der Informationen auf Unternehmensebene auswirken kann und der Aspekt der Integrität im Hinblick darauf zu prüfen, wie sich die unbeabsichtigte Änderung, unbeabsichtigte teilweise oder unbeabsichtigte völlige Vernichtung der Informationen auf Unternehmensebene auswirken kann.

Die Vertraulichkeitsstufe von Informationen und die Integritätsstufe eines Informationssystems werden nach einer Beurteilung auf der Grundlage der in Abschnitt A.2 enthaltenen Kriterien eingestuft. Diese Einstufungen erlauben eine Bewertung der allgemeinen Vertraulichkeitsstufe von Informationen anhand der Übersichtstabelle in Abschnitt A.3.

A.2 Vertraulichkeits- und Integritätseinstufung

A.2.1 «Niedrige Einstufung»

Mit einer niedrigen Einstufung versehen werden alle Informationen in Verbindung mit dem Emissionshandelssystem, deren Offenlegung gegenüber unbefugten Personen und/oder bei Integritätsverlust den Vertragsparteien oder anderen Einrichtungen mässigen Schaden zufügen würden, und deren Offenlegung voraussichtlich zu Folgendem führt:

mässige negative Auswirkungen auf politische oder diplomatische Beziehungen;
lokale Negativwerbung für das Ansehen oder den Ruf der Vertragsparteien oder anderer Einrichtungen;
Blossstellung von Einzelpersonen;
negative Auswirkungen auf die Arbeitsmoral/Produktivität der Mitarbeiter;
beschränkte finanzielle Verluste oder die Ermöglichung mässiger ungerechtfertigter Gewinne oder Vorteile für Einzelpersonen oder Unternehmen;
mässige Behinderung der Vertragsparteien bei der wirksamen Ausarbeitung oder Durchführung ihrer Politiken;
mässige Gefährdung einer sachgerechten Verwaltung der Vertragsparteien und ihrer Tätigkeiten.

A.2.2 «Mittlere Einstufung»

Mit einer mittleren Einstufung versehen werden alle Informationen in Verbindung mit dem Emissionshandelssystem, deren Offenlegung gegenüber unbefugten Personen und/oder bei Integritätsverlust den Vertragsparteien oder anderen Einrichtungen mässigen Schaden zufügen würden, und deren Offenlegung voraussichtlich zu Folgendem führt:

Blossstellung im Rahmen politischer oder diplomatischer Beziehungen;
Schädigung des Ansehens oder des Rufs der Vertragsparteien oder anderer Einrichtungen;
Unannehmlichkeiten für Einzelpersonen;
direkte Senkung der Arbeitsmoral/Produktivität der Mitarbeiter;
Blossstellung der Vertragsparteien oder anderer Einrichtungen bei Verhandlungen mit Dritten über handelspolitische oder allgemein politische Fragen;
finanzielle Verluste oder die Ermöglichung ungerechtfertigter Gewinne oder Vorteile für Einzelpersonen oder Unternehmen;
negative Auswirkungen auf strafrechtliche Ermittlungen;
Verstoss gegen gesetzliche oder vertragliche Verpflichtungen zur Wahrung der Vertraulichkeit von Informationen;
negative Auswirkungen auf die Ausarbeitung oder Durchführung von Politiken durch die Vertragsparteien;
negative Auswirkungen auf die sachgerechte Verwaltung der Vertragsparteien und ihrer Tätigkeiten.

A.2.3 «Hohe Einstufung»

Mit einer hohen Einstufung versehen werden alle Informationen in Verbindung mit dem Emissionshandelssystem, deren Offenlegung gegenüber unbefugten Personen und/oder bei Integritätsverlust den Vertragsparteien oder anderen Einrichtungen mässigen Schaden zufügen würden, und deren Offenlegung voraussichtlich zu Folgendem führt:

Belastung diplomatischer Beziehungen;
erhebliche Unannehmlichkeiten für Einzelpersonen;
Erschwerung der Wahrung der Einsatzfähigkeit oder der Sicherheit von Streitkräften der Vertragsparteien oder anderer Partner;
finanzielle Verluste oder die Ermöglichung ungerechtfertigter Gewinne oder Vorteile für Einzelpersonen oder Unternehmen;
Bruch eigener Verpflichtungen zur Wahrung der Vertraulichkeit von Informationen, die von dritter Seite erteilt wurden;
Verstoss gegen gesetzlich begründete Einschränkungen der Weitergabe von Informationen;
Beeinträchtigung der Ermittlungstätigkeit oder Erleichterung des Begehens schwerer Straftaten;
Benachteiligung der Vertragsparteien bei Verhandlungen mit Dritten über handelspolitische oder allgemein politische Fragen;
Behinderung der Vertragsparteien bei der wirksamen Ausarbeitung oder Durchführung ihrer Politiken;
Gefährdung einer sachgerechten Verwaltung der Vertragsparteien und ihrer Tätigkeiten.

A.3 Einstufung von Informationen als «EHS-vertraulich»

Auf der Grundlage der Einstufungen der Vertraulichkeit und Integrität nach Abschnitt A.2 wird die allgemeine Vertraulichkeitsstufe von Informationen unter Verwendung der folgenden Übersichtstabelle festgelegt:

Vertraulichkeitseinstufung

Integritätseinstufung

Niedrig

Mittel

Hoch

Niedrig

EHS-nicht öffentlich zugänglich

EHS-vertraulich

(oder EHS-nicht öffentlich zugänglich*)

EHS-höchst vertraulich

Mittel

EHS-vertraulich

(oder EHS-nicht öffentlich zugänglich*)

EHS-vertraulich

(oder EHS-höchst vertraulich*) 

EHS-höchst vertraulich

Hoch

EHS-höchst vertraulich

EHS-höchst vertraulich

EHS-höchst vertraulich

*
mögliche Variante, auf Einzelfallbasis zu prüfen.

Technische Verknüpfungsstandards (LTS) gemäss Artikel 3 Absatz 7 des Abkommens zwischen der Europäischen Union und der Schweizerischen Eidgenossenschaft zur Verknüpfung ihrer jeweiligen Systeme für den Handel mit Treibhausgasemissionen17

17 Eingefügt durch Art. 3 des Beschlusses Nr. 2/2020 des Gemeinsamen Ausschusses vom 5. Nov. 2020, in Kraft seit 5. Nov. 2020 (AS 2020 6365).

Standards für vorläufige Lösung

1. Glossar

Tabelle 1–1  Verwaltungstechnische Abkürzungen und Begriffsbestimmungen

Abkürzung/Begriff

Begriffsbestimmung

Zertifikat

Ein Zertifikat, das zur Emission von einer Tonne Kohlendioxidäquivalent in einem bestimmten Zeitraum berechtigt und das ausschliesslich zur Erfüllung der Anforderungen im Rahmen des EU-EHS oder des EHS der Schweiz gültig ist.

CH

Schweizerische Eidgenossenschaft

CHU

Allgemeine CH-Zertifikate (die Abkürzung «CHU2» bezeichnet CH-Zertifikate des zweiten Verpflichtungs­zeitraums).

CHUA

CH-Luftverkehrszertifikat

Gemeinsame Verfahrensvorschriften

Von den Vertragsparteien des Abkommens gemeinsam erstellte gemeinsame Verfahrensvorschriften zur Operationalisierung der Verknüpfung zwischen dem
EU-EHS und dem EHS der Schweiz.

EHR

Emissionshandelsregister

EHS

Emissionshandelssystem

EU

Europäische Union

EUA

Allgemeines EU-Zertifikat

EUAA

EU-Luftverkehrszertifikat

EUCR

Konsolidiertes Register der Europäischen Union

EUTL

Transaktionsprotokoll der Europäischen Union

Register

Ein Verbuchungssystem für im Rahmen des EHS ausgestellte Zertifikate, das das Eigentum an in elektronischen Konten verbuchten Zertifikaten verfolgt.

SSTL

Schweizer Zusatztransaktionsprotokoll

Transaktion

Ein Vorgang in einem Register, der die Übertragung eines Zertifikats von einem Konto auf ein anderes umfasst.

Transaktionsprotokollsystem

Im Transaktionsprotokoll sind die einzelnen vorgeschlagenen Transaktionen erfasst, die von einem Register an das andere übermittelt werden.

Tabelle 1–2  Technische Abkürzungen und Begriffsbestimmungen

Abkürzung/Begriff

Begriffsbestimmung

Asymmetrische Kryptografie

Verwendung öffentlicher und privater Schlüssel zur
Ver- und Entschlüsselung von Daten.

Zertifizierungsstelle

Stelle, die digitale Zertifikate ausstellt.

Kryptografischer Schlüssel

Eine Information, die die funktionale Ausgabe eines kryptografischen Algorithmus bestimmt.

Entschlüsselung

Rückgängigmachung der Verschlüsselung.

Digitale Signatur

Ein mathematisches Verfahren zur Validierung der Authentizität und Integrität einer Meldung, einer Software oder eines digitalen Dokuments.

Verschlüsselung

Die Umwandlung von Informationen oder Daten in einen Code, insbesondere um unbefugten Zugriff zu verhindern.

Dateieingabe

Das Lesen einer Datei.

Firewall

Netzsicherheitsanwendung oder -software zur Überwachung und Kontrolle des ein- und ausgehenden Netzverkehrs auf der Grundlage vorab festgelegter Regeln.

Heartbeat-Überwachung

Periodisches Signal, das von Hardware oder Software erzeugt und überwacht wird, um Normalbetrieb zu bestätigen oder andere Teile eines Computersystems zu synchronisieren.

IPSec

IP-Sicherheit. Netzwerkprotokollsuite, die die Datenpakete authentifiziert und verschlüsselt, um eine sichere verschlüsselte Kommunikation zwischen zwei Computern über ein Internetprotokollnetz zu ermöglichen.

Penetrationstest

Test eines Computersystems, eines Netzwerks oder einer Web-Anwendung, um Sicherheitslücken zu finden, die ein Angreifer ausnutzen könnte.

Abgleichverfahren

Verfahren, mit dem sichergestellt wird, dass zwei Datensätze übereinstimmen.

VPN

Virtuelles privates Netzwerk

XML

Erweiterbare Auszeichnungssprache. Mit ihrer Hilfe können Designer ihre eigenen massgeschneiderten Tags erstellen und so die Definition, Übermittlung, Validierung und Interpretation von Daten zwischen Anwendungen und zwischen Organisationen ermöglichen.

2. Einleitung

Das Abkommen zwischen der Europäischen Union und der Schweizerischen Eidgenossenschaft zur Verknüpfung ihrer jeweiligen Systeme für den Handel mit Treibhausgasemissionen vom 23. November 2017 (im Folgenden «Abkommen») sieht die gegenseitige Anerkennung von Emissionszertifikaten vor, die für die Einhaltung der Vorschriften im Rahmen des Emissionshandelssystems der Europäischen Union (im Folgenden «EU-EHS») oder des Emissionshandelssystems der Schweiz (im Folgenden «EHS der Schweiz») genutzt werden können. Um die Verknüpfung zwischen dem EU-EHS und dem EHS der Schweiz zu operationalisieren, wird eine direkte Verknüpfung zwischen dem Transaktionsprotokoll der Europäischen Union (European Union Transaction Log, im Folgenden «EUTL») des Unionsregisters und dem Schweizer Zusatztransaktionsprotokoll (Swiss Supplementary Transaction Log, im Folgenden «SSTL») des Schweizer Registers eingerichtet, sodass im Rahmen eines der beiden EHS vergebene Emissionszertifikate von einem Register in das andere übertragen werden können (Artikel 3 Absatz 2 des Abkommens). Für die Operationalisierung der Verknüpfung zwischen dem EU-EHS und dem EHS der Schweiz muss bis Mai 2020 oder so bald wie möglich danach eine vorläufige Lösung eingeführt werden. Die Vertrags­parteien arbeiten zusammen, um so bald wie möglich die vorläufige Lösung durch eine dauerhafte Registerverknüpfung zu ersetzen (Anhang II des Abkommens).

Gemäss Artikel 3 Absatz 7 erstellen der Schweizer Registerverwalter und der Zentral­verwalter der Union technische Verknüpfungsstandards (Linking Technical Standards, LTS) auf Basis der Grundsätze in Anhang II des Abkommens, in dem die Anforderungen für eine solide und gesicherte Verbindung zwischen dem SSTL und dem EUTL im Einzelnen beschrieben sind. Die von den Verwaltern entwickelten LTS treten in Kraft, sobald sie durch Beschluss des Gemeinsamen Ausschusses angenommen wurden.

Der Gemeinsame Ausschuss soll die in diesem Dokument festgehaltenen LTS mit seinem Beschluss Nr. 2/2020 annehmen. Im Einklang mit diesem Beschluss ersucht der Gemeinsame Ausschuss den Schweizer Registerverwalter und den Zentralverwalter der Union, weitere technische Leitlinien zur Operationalisierung der Verknüpfung zu erarbeiten und sicherzustellen, dass diese laufend an den technischen Fortschritt und die neuen Anforderungen in Bezug auf die Sicherheit der Verknüpfung und ihr wirksames und effizientes Funktionieren angepasst werden.

2.1. Anwendungsbereich

Dieses Dokument stellt den Konsens der Vertragsparteien über die Schaffung der technischen Grundlagen der Verknüpfung zwischen den Registern des EU-EHS und des EHS der Schweiz dar. Es gibt zwar einen Überblick über die grundlegenden technischen Spezifikationen im Hinblick auf Architektur-, Dienstleistungs- und Sicherheits­anforderungen, doch sind weitere genaue Anleitungen erforderlich, um die Verknüpfung zu operationalisieren.

Für das ordnungsgemässe Funktionieren der Verknüpfung sind weitere Prozesses und Verfahren erforderlich, um die Verknüpfung weiter zu operationalisieren. Gemäss Artikel 3 Absatz 6 des Abkommens werden diese Aspekte eingehend in den gemeinsamen Verfahrensvorschriften geregelt, die gesondert durch einen Beschluss des Gemeinsamen Ausschusses angenommen werden.

2.2. Adressaten

Dieses Dokument ist an den Schweizer Registerverwalter und den Zentralverwalter der Union gerichtet.

3. Allgemeine Bestimmungen

3.1 Architektur der Kommunikationsverbindung

Dieser Abschnitt enthält eine Beschreibung der allgemeinen Architektur der Operationalisierung der Verknüpfung zwischen dem EU-EHS und dem EHS der Schweiz sowie der verschiedenen dazugehörigen Komponenten.

Da Sicherheit ein Schlüsselelement für die Definition der Architektur der Register­verknüpfung ist, wurden alle Massnahmen ergriffen, um über eine solide Architektur zu verfügen. Obwohl die vorgesehene dauerhafte Registerverknüpfung auf Webdiensten beruhen wird, wird bei der vorläufigen Lösung stattdessen ein Dateiaustauschmechanismus verwendet.

Die technische Lösung verwendet Folgendes:

ein Transferprotokoll für den sicheren Austausch von Meldungen;
Meldungen im XML-Format;
XML-basierte digitale Signatur und Entschlüsselung;
VPN-Anwendung oder gleichwertiges Netz für die sichere Datenübermittlung.
3.1.1. Austausch von Meldungen

Die Kommunikation zwischen dem Unionsregister und dem Schweizer Register erfolgt auf der Grundlage eines Mechanismus für den Austausch von Meldungen über gesicherte Kanäle. Jede Seite wird sich auf ihr eigenes Archiv der eingegangenen Meldungen stützen.

Beide Vertragsparteien führen ein Protokoll über die eingegangenen Meldungen, einschliesslich Angaben zur Verarbeitung.

Fehler oder ein unerwarteter Status sind als Warnung zu melden und die Supportteams sollten Kontakt miteinander aufnehmen.

Fehler und unerwartete Ereignisse werden unter Einhaltung der im Vorfall­managementprozess in den gemeinsamen Verfahrensvorschriften festgelegten operativen Verfahren behandelt.

3.1.2. XML-Meldungen – übergeordnete Beschreibung

Eine XML-Meldung enthält eines der folgenden Elemente:

eine oder mehrere Transaktionsanfragen und/oder eine oder mehrere Transaktionsantworten;
ein Vorgang/eine Antwort im Zusammenhang mit dem Abgleich;
eine Test-Meldung.

Jede Meldung enthält eine Kopfzeile mit folgenden Informationen:

Herkunfts-EHS;
laufende Nummer.
3.1.3. Eingabefenster

Die vorläufige Lösung basiert auf vordefinierten Eingabefenstern, an die sich eine Reihe benannter Ereignisse anschliessen. Über die Verknüpfung eingegangene Transaktions­anfragen werden nur in vordefinierten Zeitabständen eingegeben. Die Eingabefenster umfassen eine technische Validierung für ausgehende und eingehende Transaktionen. Darüber hinaus können täglich Abgleiche erfolgen und manuell ausgelöst werden.

Änderungen der Häufigkeit und/oder der Zeitpunkte dieser Ereignisse werden unter Einhaltung der im Prozess der Anfrageerledigung in den gemeinsamen Verfahrensvorschriften festgelegten operativen Verfahren behandelt.

3.1.4. Fluss von Transaktionsmeldungen

Ausgehende Transaktionen

Hier geht es um Transaktionen aus Sicht des Auftraggeber-EHS. Das vorstehende Ablaufdiagramm zeigt alle spezifischen ausgehenden Transaktionsflüsse.

Hauptfluss «Normaltransaktion» (entsprechend den Schritten in obiger Zeichnung):

a)
Im Auftraggeber-EHS wird die Transaktionsanfrage vom Register an das Transaktionsprotokoll geschickt, sobald alle geschäftlichen Wartezeiten abgelaufen sind (gegebenenfalls Wartezeit von 24 Stunden).
b)
Das Transaktionsprotokoll validiert die Transaktionsanfrage.
c)
Die Transaktionsanfrage wird an das Bestimmungs-EHS gesendet.
d)
Die Annahmebestätigung wird an das Register des Herkunfts-EHS gesendet.
e)
Das Bestimmungs-EHS validiert die Transaktionsanfrage.
f)
Das Bestimmungs-EHS sendet die Annahmebestätigung an das Transaktionsprotokoll des Herkunfts-EHS zurück.
g)
Das Transaktionsprotokoll sendet die Annahmebestätigung an das Register.

Alternativfluss «Ablehnung im Transaktionsprotokoll» (entsprechend den Schritten in obiger Zeichnung, ebenfalls beginnend bei Buchstabe a:

a)
Im Herkunfts-EHS wird die Transaktionsanfrage vom Register an das Transaktionsprotokoll geschickt, sobald alle geschäftlichen Wartezeiten abgelaufen sind (gegebenenfalls Wartezeit von 24 Stunden).

Dann:

b)
Das Transaktionsprotokoll validiert die Anfrage nicht.
c)
Eine Ablehnungsmeldung wird an das Register des Herkunfts-EHS gesendet.

Alternativfluss «Ablehnung im EHS» (entsprechend den Schritten in obiger Zeichnung, beginnend bei Buchstabe a):

a)
Im Herkunfts-EHS wird die Transaktionsanfrage vom Register an das Transaktionsprotokoll geschickt, sobald alle geschäftlichen Wartezeiten abgelaufen sind (gegebenenfalls Wartezeit von 24 Stunden).
b)
Das Transaktionsprotokoll validiert die Transaktion.
c)
Die Transaktionsanfrage wird an das Bestimmungs-EHS gesendet.
d)
Die Annahmemeldung wird an das Register des Herkunfts-EHS gesendet.

Dann:

e)
Das Transaktionsprotokoll des Empfänger-EHS validiert die Anfrage nicht.
f)
Das Empfänger-EHS sendet die Ablehnungsbestätigung an das Transaktionsprotokoll des Auftraggeber-EHS.
g)
Das Transaktionsprotokoll sendet die Ablehnungsbestätigung an das Register.

Eingehende Transaktionen

Hier geht es um Transaktionen aus Sicht des Empfänger-EHS. Das folgende Ablauf­diagramm zeigt den spezifischen Fluss:

Das Diagramm zeigt Folgendes:

1.
Wenn das Transaktionsprotokoll des Empfänger-EHS die Anfrage validiert, sendet es die Annahmemeldung an das Auftraggeber-EHS und eine Meldung «transaction completed» (Transaktion abgeschlossen) an das Register des Empfänger-EHS.
2.
Wird eine eingehende Anfrage im Transaktionsprotokoll abgelehnt, wird die Transaktionsanfrage nicht an das Register des Empfänger-EHS gesendet.

Protokoll

Der Zyklus von Transaktionsmeldungen umfasst nur zwei Meldungen:

Auftraggeber-EHS Transaktionsvorschlag an das Empfänger-EHS;
Empfänger-EHS Transaktionsantwort an das Auftraggeber-EHS: Entweder «accepted» (angenommen) oder «rejected» (abgelehnt) (unter Angabe des Ablehnungsgrundes);
Accepted: Transaktion ist abgeschlossen,
Rejected: Transaktion ist «terminated» (eingestellt).


Transaktionsstatus

Der Transaktionsstatus im Auftraggeber-EHS wird bei der Absendung der Anfrage auf «proposed» (vorgeschlagen) gesetzt.
Der Transaktionsstatus im Empfänger-EHS wird nach Eingang der Anfrage und während der Verarbeitung auf «proposed» gesetzt.
Der Transaktionsstatus im Empfänger-EHS wird nach Verarbeitung des Vor­schlags auf «completed»/«terminated» (abgeschlossen/eingestellt) gesetzt. Das Empfänger-EHS sendet dann die entsprechende Annahme-/Ableh­nungsmeldung.
Der Transaktionsstatus im Auftraggeber-EHS wird nach Eingang und Verarbeitung der Annahme/Ablehnung auf «completed»/«terminated» gesetzt.
Wenn keine Antwort eingeht, bleibt der Transaktionsstatus im Auftraggeber-EHS unverändert bei «proposed».
Der Transaktionsstatus Empfänger-EHS wird für jede Transaktion, deren Status länger als 30 Minuten «proposed» lautet, auf «terminated» gesetzt.

Vorfälle in Verbindung mit Transaktionen werden unter Einhaltung der im Vorfallmanagementprozess in den gemeinsamen Verfahrensvorschriften festgelegten operativen Verfahren behandelt.

3.2. Sicherheit der Datenübermittlung

Für die in der Übertragung befindlichen Daten gelten vier Sicherheitsstufen:

(1)
Netzzugangskontrolle: Firewall und Netzwerkverbindungsschicht;
(2)
Verschlüsselung der Transportschicht: VPN oder gleichwertiges Netz für den sicheren Datentransport;
(3)
Verschlüsselung der Sitzungsschicht: Transferprotokoll für den sicheren Aus­­­tausch von Meldungen;
(4)
Verschlüsselung der Anwendungsschicht: XML-Inhaltsverschlüsselung und
-Signatur.
3.2.1. Firewall und Netzwerkverbindung

Die Verbindung wird über ein Netzwerk hergestellt, das durch eine Hardware-basierte Firewall geschützt ist. Die Firewall muss so konfiguriert sein, dass nur «registrierte» Kunden Verbindungen zum VPN-Server herstellen können.

3.2.2. Virtuelles privates Netzwerk (VPN)

Die gesamte Kommunikation zwischen den Vertragsparteien wird durch eine sichere Datentransporttechnologie geschützt. Im Falle eines virtuellen privaten Netzwerks (VPN) sollte die Infrastruktur auf Hardware oder virtuellen Anwendungen beruhen. VPN-Technologien ermöglichen einen «VPN-Tunnel» über ein Netz wie das Internet von einem Punkt zum anderen und schützen damit die gesamte Kommunikation. Vor der Einrichtung des VPN-Tunnels wird einem potenziellen Kundenendpunkt ein digitales Zertifikat ausgestellt, das es dem Kunden ermöglicht, während der Verbindungsverhandlungen seine Identität nachzuweisen. Jede Vertragspartei ist für die Installation des Zertifikats in ihrem VPN-Endpunkt verantwortlich. Über digitale Zertifikate greift jeder VPN-Endserver auf eine zentrale Stelle zu, um Authentifizierungsdaten auszuhandeln. Während des Aufbaus des Tunnels wird eine Verschlüsselung ausgehandelt, die gewährleistet, dass die gesamte Kommunikation durch den Tunnel geschützt ist.

Die VPN-Kundenendpunkte werden so konfiguriert, dass der VPN-Tunnel dauerhaft aufrechterhalten wird, damit jederzeit eine zuverlässige wechselseitige Echtzeit-Kommunikation zwischen den Vertragsparteien möglich ist.

Jede andere gleichwertige Lösung muss den oben genannten Grundsätzen entsprechen.

3.2.3. IPSec-Umsetzung

Wird eine VPN-Lösung verwendet, so ermöglicht die Verwendung des IPSec-Protokolls zur Schaffung der Site-to-site-VPN-Infrastruktur die Site-to-site-Authen­tifizierung, die Datenintegrität und die Datenverschlüsselung. IPSec-VPN-Konfigu­rationen gewährleisten eine ordnungsgemässe Authentifizierung zwischen zwei Endpunkten einer VPN-Verbindung. Die Vertragsparteien identifizieren und authentifizieren den Remote-Client über die IPSec-Verbindung über ein digitales Zertifikat, das von einer von der anderen Seite anerkannten Zertifizierungsstelle bereitgestellt wird.

IPSec gewährleistet auch die Datenintegrität der gesamten über den VPN-Tunnel übertragenen Kommunikation. Die Datenpakete werden mithilfe der vom VPN er­stellten Authentifizierungsinformationen gehasht und signiert. Die Vertraulichkeit der Daten wird auch dadurch gewährleistet, dass die IPSec-Verschlüsselung aktiviert wird.

3.2.4. Transferprotokoll für den sicheren Austausch von Meldungen

Die vorläufige Lösung stützt sich für den sicheren Datenaustausch zwischen den Vertrags­parteien auf mehrere Verschlüsselungsschichten. Beide Systeme und ihre unterschied­lichen Umgebungen sind auf Netzwerkebene über VPN-Tunnel oder gleichwertige sichere Datentransportnetze miteinander verbunden. In der Anwendungsschicht werden Dateien über ein Transferprotokoll für den sicheren Austausch von Meldungen in der Sitzungsschicht übertragen.

3.2.5. XML-Verschlüsselung und -Signatur

Innerhalb von XML-Dateien erfolgt die Signatur und Verschlüsselung auf zwei Ebenen. Jede Transaktionsanfrage, Transaktionsantwort und Abgleichmeldung wird einzeln digital signiert.

In einem zweiten Schritt wird jedes Unterelement des Elements «Meldung» einzeln verschlüsselt.

Darüber hinaus wird als dritter Schritt und zur Gewährleistung der Integrität und Nichtabstreitbarkeit der gesamten Meldung das Wurzelelement digital signiert. Dies führt zu einem hohen Schutzniveau für die eingebetteten XML-Daten. Die technische Umsetzung entspricht den Standards des World Wide Web Consortiums.

Um die Meldung zu entschlüsseln und zu überprüfen, wird das Verfahren in umgekehrter Reihenfolge angewendet.

3.2.6. Kryptografische Schlüssel

Zur Verschlüsselung und Signatur wird ein Public-Key-Verschlüsselungsverfahren verwendet.

Für den Sonderfall IPSec wird ein digitales Zertifikat verwendet, das von einer Zertifizierungsstelle ausgestellt wurde, der beide Vertragsparteien vertrauen. Diese Zertifizierungsstelle prüft die Identität des Zertifikatinhabers und stellt Zertifikate aus, die zur positiven Identifizierung einer Organisation verwendet werden, und richtet sichere Datenkommunikationskanäle zwischen den Vertragsparteien ein.

Zur Signatur und Verschlüsselung von Kommunikationskanälen und Dateien werden kryptografische Schlüssel verwendet. Die öffentlichen Zertifikate werden von den Vertragsparteien digital über sichere Kanäle ausgetauscht und ausserhalb des Bandes überprüft. Dieses Verfahren ist integraler Bestandteil des Informationssicherheitsmanagements in den gemeinsamen Verfahrensvorschriften.

3.3. Liste der Funktionen im Rahmen der Verknüpfung

Im Rahmen der Verknüpfung wird das Übertragungssystem für eine Reihe von Funktionen festgelegt, mit denen die aus dem Abkommen abgeleiteten Geschäftsabläufe umgesetzt werden. Die Verknüpfung umfasst auch die Spezifikation für das Abgleichverfahren und die Testmeldungen, die die Durchführung einer Heartbeat-Überwachung ermöglichen.

3.3.1. Geschäftstransaktionen

Aus geschäftlicher Sicht umfasst die Verknüpfung vier (4) Arten von Transaktionsanfragen:

Externe Übertragung:
Nach dem Inkrafttreten der EHS-Verknüpfung sind EU- und CH-Zertifikate zwischen den Vertragsparteien austauschbar und somit vollständig übertragbar.
Eine Übertragung über die Verknüpfung erfolgt mithilfe eines Auftraggeber­kontos in einem EHS und eines Empfängerkontos in dem anderen EHS.
Die Übertragung kann jede beliebige Menge von vier (4) Arten von Zertifikaten umfassen;
Allgemeine CH-Zertifikate (CHU);
CH-Luftverkehrszertifikate (CHUA);
Allgemeine EU-Zertifikate (EUA);
EU-Luftverkehrszertifikate (EUAA).
Internationale Zuteilung:
Luftfahrzeugbetreiber, die von einem EHS verwaltet werden und Verpflichtungen gegenüber dem anderen EHS sowie Anspruch auf kostenlose Zertifikate aus dem zweiten EHS haben, erhalten im Wege der internationalen Zuteilungstransaktion kostenlose Luftverkehrszertifikate aus dem zweiten EHS.
Rückgängigmachung der internationale Zuteilung:
Diese Transaktion findet statt, wenn die kostenlose Zuteilung von Zertifikaten an ein Luftfahrzeugbetreiberkonto durch das andere EHS vollständig rückgängig gemacht werden muss.
Rückübertragung einer Überschusszuteilung:
Ähnlich der Rückgängigmachung, jedoch muss die Zuteilung nicht vollständig rückgängig gemacht werden, vielmehr müssen lediglich die überschüssigen zugeteilten Zertifikate an das zuteilende EHS rückübertragen werden.
3.3.2. Abgleichprotokoll

Abgleiche finden erst statt, nachdem die Fenster für die Eingabe, Validierung und Verarbeitung von Meldungen geschlossen sind.

Abgleiche sind ein integraler Bestandteil der Sicherheits- und Kohärenzmassnahmen der Verknüpfung. Beide Vertragsparteien einigen sich vor der Aufstellung eines Zeitplans auf den genauen Zeitpunkt des Abgleichs. Ein täglicher planmässiger Abgleich kann stattfinden, wenn beide Vertragsparteien zustimmen. Nach jeder Eingabe wird zumindest ein planmässiger Abgleich durchgeführt.

In jedem Fall kann jede Vertragspartei jederzeit manuelle Abgleiche einleiten.

Änderungen von Zeitpunkt und Häufigkeit der planmässigen Abgleiche werden unter Einhaltung der im Prozess der Anfrageerledigung in den gemeinsamen Verfahrensvorschriften festgelegten operativen Verfahren behandelt.

3.3.3. Test-Meldung

Zur Prüfung der Ende-zu-Ende-Kommunikation ist eine Test-Meldung vorgesehen. Die Meldung enthält Daten, mit denen sie als Test gekennzeichnet wird, und wird bei Eingang am anderen Ende beantwortet.

3.4. Standards für Webdienste

Webdienste werden für die vorläufige Lösung nicht genutzt. Es sei jedoch darauf hingewiesen, dass die Form und das Format der XML-Meldungen weitgehend un­verändert bleiben werden. Mit der künftigen Einrichtung der dauerhaften Registerverknüpfung sollten Webdienste den Austausch von XML-Meldungen in Echtzeit ermöglichen.

3.5. Webdienst-spezifische Definition

Dieser Abschnitt gilt nicht für die vorläufige Lösung. Wie im vorangehenden Abschnitt erwähnt, werden Webdienste nur für die künftige dauerhafte Registerverknüpfung genutzt.

3.6. Anforderungen an die Datenprotokollierung

Um die beiden Vertragsparteien dabei zu unterstützen, genaue und kohärente Datensätze zu pflegen, und um Instrumente für das Abgleichverfahren zur Beseitigung von Unstimmigkeiten bereitzustellen, werden von beiden Vertragsparteien vier (4) Arten von Datenprotokollen geführt:

Transaktionsprotokolle;
Abgleichprotokolle;
Meldungsarchiv;
Protokoll der internen Prüfung.

Alle Daten in diesen Protokollen werden für die Zwecke der Fehlerbehebung mindestens drei (3) Monate lang aufbewahrt; ihre weitere Speicherung richtet sich nach dem jeweils für die Vertragsparteien in Bezug auf Audits geltenden Recht. Protokolldateien, die älter als drei (3) Monate sind, können in einem unabhängigen IT-System an einem sicheren Ort archiviert werden, sofern sie innerhalb einer angemessenen Frist abgerufen werden können oder darauf zugegriffen werden kann.

Transaktionsprotokolle

Sowohl das EUTL- als auch das SSTL-Teilsystem umfasst Transaktionsprotokoll­implementierungen.

Konkret werden in den Transaktionsprotokollen Aufzeichnungen über jede vorgeschlagene Transaktion geführt, die an das andere EHS gesendet wird. Jede Aufzeichnung enthält alle Felder des Transaktionsinhalts und das anschliessende Er­gebnis der Transaktion (die Antwort des Empfänger-EHS). In den Transak­tions­pro­tokollen werden auch Aufzeichnungen über die eingehenden Transaktionen sowie über die an das Herkunfts-EHS gesendete Antwort geführt.

Abgleichprotokolle

Das Abgleichprotokoll enthält eine Aufzeichnung jeder zwischen den beiden Vertragsparteien ausgetauschten Abgleichmeldung, einschliesslich der Abgleich-Ken­nung, des Zeitstempels und des Ergebnisses des Abgleichs: Abgleichstatus «Pass» (keine Abweichungen) oder «Discrepancies» (Abweichungen). In der vorläufigen Lösung sind Abgleichmeldungen integraler Bestandteil der ausgetauschten Meldungen.

Beide Vertragsparteien protokollieren jede Anfrage und ihre Antwort im Abgleichprotokoll. Obwohl die Informationen im Abgleichprotokoll nicht direkt im Rahmen des Abgleichs selbst ausgetauscht werden, kann der Zugang zu diesen Informationen erforderlich sein, um Unstimmigkeiten zu beseitigen.

Meldungsarchiv

Beide Parteien sind verpflichtet, eine Kopie der ausgetauschten Daten (die XML-Dateien), die gesendet und empfangen wurden, zu archivieren und anzugeben, ob das Format dieser Daten oder XML-Meldungen korrekt war.

Das Archiv dient vor allem für Audits, um einen Nachweis darüber zu erhalten, was an die andere Vertragspartei gesendet und von ihr empfangen wurde. Daher müssen zusammen mit den Dateien auch die entsprechenden Zertifikate archiviert werden.

Diese Dateien liefern ausserdem zusätzliche Informationen für die Fehlerbehebung.

Protokoll der internen Prüfung

Diese Protokolle werden von jeder Vertragspartei selbst festgelegt und verwendet.

3.7. Betriebsvoraussetzungen

Der Datenaustausch zwischen beiden Systemen ist bei der vorläufigen Lösung nicht völlig autonom; d. h., die Betreiber und Verfahren müssen die Verknüpfung operationalisieren.

4. Verfügbarkeitsvorgaben

4.1. Gestaltung der Kommunikationsverfügbarkeit

Die Architektur der vorläufigen Lösung ist im Grunde eine IKT-Infrastruktur und
-Software, die die Kommunikation zwischen dem EHS der Schweiz und dem EU-EHS ermöglichen. Die Gewährleistung eines hohen Masses an Verfügbarkeit, Integrität und Vertraulichkeit dieses Datenflusses wird daher zu einem wesentlichen Aspekt, der bei der Gestaltung der vorläufigen Lösung und der dauerhaften Registerverknüpfung zu berücksichtigen ist. Da es sich um ein Projekt handelt, bei dem die IKT-Infrastruktur, die massgeschneiderte Software und die Prozesse eine entscheidende Rolle spielen, müssen alle drei Elemente berücksichtigt werden, um ein widerstandsfähiges System zu entwerfen.

Widerstandfähigkeit der IKT-Infrastruktur

Das Kapitel «Allgemeine Bestimmungen» dieses Dokument enthält detaillierte Angaben zu den Bausteinen der Architektur. Im Hinblick auf die IKT-Infrastruktur wird mit der vorläufigen Verknüpfung ein widerstandsfähiges VPN-Netz (oder ein gleichwertiges Netz) eingerichtet, das sichere Kommunikationstunnel schafft, über die ein sicherer Austausch von Meldungen stattfinden kann. Andere Infrastrukturelemente werden für hohe Verfügbarkeit konfiguriert und/oder stützen sich auf Ausweichmechanismen.

Widerstandfähigkeit der massgeschneiderten Software

Die massgeschneiderten Software-Module verbessern die Widerstandsfähigkeit, indem sie für einen bestimmten Zeitraum versuchen, die Kommunikation mit der anderen Seite erneut herzustellen, wenn diese aus irgendeinem Grund nicht verfügbar ist.

Widerstandfähigkeit der Dienste

Bei der vorläufigen Lösung findet der Datenaustausch zwischen den Vertragsparteien während des gesamten Jahres in vordefinierten Zeitschlitzen statt. Bei einigen der für den vorprogrammierten Datenaustausch erforderlichen Schritte ist ein manuelles Eingreifen der Systembetreiber und/oder Registerverwalter nötig. Unter Berücksichtigung dieses Aspekts und um die Verfügbarkeit und den Erfolg der Austausche zu erhöhen:

sehen die Betriebsverfahren spezifische Zeitfenster für die Durchführung der einzelnen Schritte vor;
nutzen die Software-Module für die vorläufige Lösung asynchrone Kommunikation;
wird im Rahmen des automatischen Abgleichverfahrens festgestellt, ob es auf einer der Seiten Probleme bei der Eingabe von Dateien gab;
werden Überwachungsprozesse (IKT-Infrastruktur und massgeschneiderte Software-Module) in die Vorfallmanagementverfahren einbezogen und kön­nen diese auslösen (wie in den gemeinsame Verfahrensvorschriften festgelegt). Diese Verfahren, die die Zeit bis zur Wiederherstellung des Normalbetriebs nach Vorfällen verkürzen sollen, sind unerlässlich, um hohe Verfügbarkeitsquoten zu gewährleisten.

4.2. Initialisierungs-, Kommunikations-, Reaktivierungs- und Testplan

Alle an der Architektur der vorläufigen Lösung beteiligten Elemente müssen eine Reihe individueller und kollektiver Tests bestehen, um zu bestätigen, dass die Plattform auf der Ebene der IKT-Infrastruktur und der Informationssysteme betriebs­bereit ist. Diese Betriebstests sind jedes Mal zwingend erforderlich, wenn die vorläufige Lösung auf der Plattform vom Status «suspended» (unterbrochen) zu «ope­ra­tional» (betriebsbereit) übergeht.

Die Aufnahme des Betriebs der Verknüpfung erfordert dann die erfolgreiche Durchführung eines vordefinierten Testplans. Dadurch wird bestätigt, dass jedes Register zunächst eine Reihe interner Tests durchgeführt hat, gefolgt von der Validierung der Ende-zu-Ende-Konnektivität, bevor mit der Übermittlung von Produktionstransaktionen zwischen beiden Vertragsparteien begonnen wird.

Der Testplan sollte die allgemeine Teststrategie und Einzelheiten zur Testinfrastruktur enthalten. Insbesondere sollte er für jedes Element in jedem Testblock Folgendes umfassen:

die Testkriterien und ‑instrumente;
die für die Durchführung des Tests zugewiesenen Rollen;
die erwarteten Ergebnisse (positiv und negativ);
den Zeitplan für die Prüfungen;
die Protokollierung der Anforderungen an die Prüfergebnisse;
die Dokumentation zur Fehlerbehebung;
die Eskalationsvorschriften.

Als Prozess könnten die Tests zur Aufnahme des Betriebs in vier (4) Konzeptblöcke oder ‑phasen unterteilt werden:

4.2.1. Interne IKT-Infrastrukturtests

Diese Tests sind von beiden Vertragsparteien an jedem Ende einzeln durchzuführen und/oder zu prüfen.

Jedes Element der IKT-Infrastruktur ist an beiden Enden einzeln zu prüfen. Dies schliesst jede einzelne Komponente der Infrastruktur ein. Diese Prüfungen können automatisch oder manuell durchgeführt werden, müssen jedoch sicherstellen, dass alle Elemente der Infrastruktur betriebsbereit sind.

4.2.2. Kommunikationstests

Diese Tests werden einzeln bei jeder Vertragspartei eingeleitet und der Abschluss der Tests erfordert die Zusammenarbeit mit dem anderen Ende.

Sobald die einzelnen Elemente betriebsbereit sind, müssen die Kommunikationskanäle zwischen beiden Registern getestet werden. Zu diesem Zweck überprüft jede Vertrags­partei, ob der Internetzugang funktioniert, die VPN-Tunnel (oder ein gleich­wertiges Netz für den sicheren Datentransport) eingerichtet sind und eine Site-to-site-IP-Konnektivität besteht. Die Erreichbarkeit der lokalen und Fern-Infrastruk­tur­elemente und die IP-Konnektivität sollten dann dem anderen Ende bestätigt werden.

4.2.3. Vollständige Systemtests (Ende-zu-Ende-Tests)

Diese Tests sind an beiden Enden durchzuführen und die Ergebnisse der anderen Vertragspartei mitzuteilen.

Sobald die Kommunikationskanäle und die einzelnen Komponenten beider Register getestet sind, wird von jeder Seite eine Reihe simulierter Transaktionen und Abgleiche vorgenommen, die alle im Rahmen der Verknüpfung umzusetzenden Funktionen darstellen.

4.2.4. Sicherheitsprüfungen

Diese Tests sind von beiden Vertragsparteien am jeweiligen Ende gemäss den Abschnitten 5.4 «Leitlinien für Sicherheitsprüfungen» und 5.5 «Vorschriften für die Risikobewertung» durchzuführen und/oder auszulösen.

Erst wenn jede(r) der vier Phasen/Blöcke mit vorhersehbaren Ergebnissen abgeschlossen ist, kann die vorläufige Verknüpfung als betriebsbereit betrachtet werden.

Testressourcen

Jede Vertragspartei stützt sich auf spezifische Testressourcen (spezifische Software und Hardware für die IKT-Infrastruktur) und entwickelt Testfunktionen in ihrem jeweiligen System, um die manuelle und kontinuierliche Validierung der Plattform zu unterstützen. Individuelle und kooperative manuelle Testverfahren können jederzeit von Register­verwaltern durchgeführt werden. Die Aufnahme des Betriebs an sich ist ein manueller Prozess.

Gleichzeitig ist vorgesehen, dass die Plattform in regelmässigen Abständen automatische Kontrollen durchführt. Diese Kontrollen zielen darauf ab, die Verfügbarkeit der Plattform zu erhöhen, indem mögliche Infrastruktur- oder Softwareprobleme früh­zeitig erkannt werden. Dieses Überwachungskonzept für die Plattform besteht aus zwei Elementen:

Überwachung der IKT-Infrastruktur: Die Infrastruktur wird an beiden Enden von den IKT-Infrastrukturdienstleistern überwacht. Die automatischen Tests decken die verschiedenen Infrastrukturelemente und die Verfügbarkeit der Kommunikationskanäle ab.
Überwachung der Anwendung: Mit den Software-Modulen für die vorläu­fige Verknüpfung wird die Systemkommunikation auf der Anwendungsschicht (manuell und/oder in regelmässigen Abständen) überwacht, um die Ende-zu-Ende-Verfügbarkeit der Verknüpfung zu testen, indem einige der Transaktionen über die Verknüpfung simuliert werden.

4.3. Abnahme-/Testumgebungen

Die Architektur des Unionsregisters und des Registers der Schweiz umfasst die folgenden drei Umgebungen:

Produktion (PROD): Diese Umgebung enthält die realen Daten und verarbeitet reale Transaktionen;
Abnahme (ACC): Diese Umgebung enthält nicht-reale oder anonymisierte, repräsentative Daten. In dieser Umgebung validieren die Systembetreiber beider Vertragsparteien neue Releases;
Test (TEST): Diese Umgebung enthält nicht-reale oder anonymisierte, repräsentative Daten. Diese Umgebung ist nur Registerverwaltern zugänglich und von beiden Vertragsparteien für Integrationstests zu nutzen.

Mit Ausnahme des VPN (oder eines gleichwertigen Netzes) sind die drei Umgebungen völlig unabhängig voneinander, d. h. Hardware, Software, Datenbanken, virtuelle Umgebungen, IP-Adressen und Ports werden unabhängig voneinander eingerichtet und betrieben.

Das VPN-Layout umfasst zwei verschiedene Umgebungen, d. h. eine PROD-Um­ge­bung und eine weitere unabhängige ACC- und TEST-Umgebung.

5. Vertraulichkeits- und Integritätsvorschriften

Die Sicherheitsmechanismen und -verfahren sehen für die Vorgänge im Zusammenhang mit der Verknüpfung zwischen dem Unionsregister und dem Schweizer Register eine Methode mit zwei Personen (Vier-Augen-Prinzip) vor. Das Vier-Augen-Prinzip gilt, wann immer dies erforderlich ist. Es gilt jedoch möglicherweise nicht für alle Schritte, die von Registerverwaltern unternommen werden.

Die Sicherheitsanforderungen werden im Sicherheitsmanagementplan berücksichtigt und behandelt, der auch Prozesse im Zusammenhang mit dem Umgang mit Sicherheits­vorfällen nach einer möglichen Sicherheitsverletzung umfasst. Der operative Teil dieser Prozesse wird in den gemeinsamen Verfahrensvorschriften beschrieben.

5.1. Infrastruktur für die Sicherheitsprüfung

Jede Vertragspartei verpflichtet sich zur Einrichtung einer Infrastruktur für die Sicherheitsprüfung (unter Verwendung der gemeinsamen Software und Hardware für die Erkennung von Schwachstellen in der Entwicklungs- und der Betriebsphase):

die von der Produktionsumgebung getrennt ist;
wo die Sicherheit von einem Team analysiert wird, das nicht an der Entwicklung und am Betrieb des Systems beteiligt ist.

Jede Vertragspartei verpflichtet sich, sowohl statische als auch dynamische Analysen durchzuführen.

Im Falle dynamischer Analysen (wie Penetrationstests) verpflichten sich beide Vertrags­parteien, die Bewertungen im Allgemeinen auf die Test- und Abnahmeumgebungen (wie in Abschnitt 4.3 «Abnahme-/Testumgebungen» definiert) zu beschränken. Ausnahmen von dieser Strategie bedürfen der Zustimmung beider Vertragsparteien.

Vor dem Einsatz in der Produktionsumgebung muss jedes Software-Modul der Ver­knüpfung (wie im Abschnitt 3.1 «Architektur der Kommunikationsverbindung» definiert) einer Sicherheitsprüfung unterzogen werden.

Die Prüfinfrastruktur muss sowohl auf der Ebene des Netzes als auch auf der Ebene der Infrastruktur von der Produktionsinfrastruktur getrennt sein. Die Sicherheitsprüfungen, die erforderlich sind, um die Einhaltung der Sicherheitsanforderungen zu überprüfen, werden in der Prüfinfrastruktur durchgeführt.

5.2. Unterbrechung der Verknüpfung und Vorschriften für ihre Reaktivierung

Falls der Verdacht besteht, dass die Sicherheit des Registers der Schweiz, des SSTL, des Unionsregisters oder des EUTL beeinträchtigt wurde, informiert jede Vertragspartei die andere Vertragspartei unverzüglich darüber und unterbricht die Verknüpfung zwischen dem SSTL und dem EUTL.

Die Verfahren für den Informationsaustausch, für die Entscheidung über die Unterbrechung und für die Reaktivierung sind Teil des Prozesses der Anfrageerledigung in den gemeinsamen Verfahrensvorschriften.

Unterbrechungen

Eine Unterbrechung der Registerverknüpfung gemäss Anhang II des Abkommens kann folgende Ursachen haben:

verwaltungstechnische Gründe (beispielsweise Wartung), die geplant sind;
Sicherheitsgründe (oder Ausfall der IT-Infrastruktur), die ungeplant sind.

Im Notfall unterrichtet eine Vertragspartei die andere Vertragspartei und unterbricht die Registerverknüpfung einseitig.

Wird beschlossen, die Registerverknüpfung zu unterbrechen, stellt jede Vertragspartei daher sicher, dass die Verknüpfung auf Netzwerkebene unterbrochen wird (durch Sperrung von Teilen oder der Gesamtheit der ein- und ausgehenden Verbindungen).

Die Entscheidung über die Unterbrechung der Registerverknüpfung – unabhängig davon, ob sie geplant oder ungeplant ist – wird nach dem Verfahren für das Änderungsmanagement oder das Sicherheitsvorfall-Management in den gemeinsamen Verfahrensvorschriften getroffen.

Reaktivierung der Kommunikation

Eine Entscheidung über die Reaktivierung der Registerverknüpfung wird gemäss den Einzelheiten in den gemeinsamen Verfahrensvorschriften getroffen, und darf kei­nesfalls vor dem erfolgreichen Abschluss der Sicherheitsprüfverfahren gemäss den Abschnitten 5.4 «Leitlinien für Sicherheitsprüfungen» und 4.2 «Initialisierungs-, Kommunikations-, Reaktivierungs- und Testplan» erfolgen.

5.3. Vorschriften für Sicherheitsverletzungen

Bei einer Sicherheitsverletzung handelt es sich um einen Sicherheitsvorfall, der die Vertraulichkeit und Integrität vertraulicher Informationen und/oder die Verfügbarkeit des Systems, in dem sie verarbeitet werden, beeinträchtigt.

Vertrauliche Informationen sind im Verzeichnis vertraulicher Informationen aufgeführt und können im System oder in jedem damit zusammenhängenden Teil des Systems verarbeitet werden.

Informationen, die unmittelbar mit der Sicherheitsverletzung in Zusammenhang stehen, gelten als vertraulich, werden als «ETS CRITICAL» (EHS-höchst vertraulich) gekenn­zeichnet und gemäss den Handhabungsanweisungen behandelt, sofern nichts anderes festgelegt ist.

Jede Sicherheitsverletzung wird gemäss dem Kapitel «Sicherheitsvorfallmanagement» der gemeinsamen Verfahrensvorschriften behandelt.

5.4. Leitlinien für Sicherheitsprüfungen

5.4.1. Software

Zumindest alle grösseren Releases der Software werden im Einklang mit den in den LTS festgelegten Sicherheitsanforderungen einer Sicherheitsprüfung, gegebenenfalls einschliesslich eines Penetrationstests, unterzogen, um die Sicherheit der Verknüpfung und die entsprechenden Risiken zu bewerten.

Wenn in den letzten zwölf Monaten keine grösseren Releases veröffentlicht wurden, wird das aktuelle System unter Berücksichtigung der Entwicklung der Cyberbedrohungslage in den letzten zwölf Monaten einem Sicherheitstest unterzogen.

Die Sicherheit der Registerverknüpfung wird in der Abnahmeumgebung und erforderlichenfalls in der Produktionsumgebung sowie unter Koordinierung und mit gegen­seitigem Einverständnis beider Vertragsparteien getestet.

Beim Prüfen von Web-Anwendungen sind internationale offene Standards zu beachten, wie sie im Rahmen des Projekts «Open Web Application Security Project» (OWASP) entwickelt wurden.

5.4.2. Infrastruktur

Die Infrastruktur, auf die sich das Produktionssystem stützt, wird regelmässig (mindestens einmal monatlich) auf Schwachstellen geprüft und festgestellte Schwachstellen werden behoben. Die Tests werden nach den in Abschnitt 5.4.1 beschriebenen Methoden unter Verwendung einer aktuellen Schwachstellendatenbank durchgeführt.

5.5. Vorschriften für die Risikobewertung

Ist ein Penetrationstest anwendbar, so muss dieser in die Sicherheitsprüfung einbezogen werden.

Jede Vertragspartei kann ein spezialisiertes Unternehmen mit der Durchführung von Sicherheitsprüfungen beauftragen, sofern dieses Unternehmen:

über die Fähigkeiten für solche Sicherheitsprüfungen und entsprechende Erfahrungen verfügt;
nicht direkt dem Entwickler der Software und/oder seinem Auftragnehmer unterstellt ist und weder an der Entwicklung der Software für die Verknüpfung beteiligt noch selbst Unterauftragnehmer des Entwicklers ist;
eine Geheimhaltungsvereinbarung unterzeichnet hat, damit die Ergebnisse vertraulich bleiben und im Einklang mit den Handhabungsanweisungen als «ETS CRITICAL» behandelt werden.