Сертифициране на ЕС за суверенен контрол на критична цифрова инфраструктура

Цели на инициативата

Призоваваме Европейската комисия да предложи законодателство за изменение или допълнение на Регламент (ЕС) 2019/881, Акта за киберсигурността, за да се създаде незадължителен компонент на ЕС за сертифициране на суверенния контрол за критични цифрови инфраструктурни услуги.

Компонентът следва да оценява:

1. ефективна собственост и контрол, включително действителна собственост, дружество майка, право на глас, съвет на директорите, договорно или друго съществено влияние;

2. юрисдикция на ЕС по отношение на критични операции, включително обработка на данни, управление на ключове, удостоверяване на автентичността, регистриране, реагиране при инциденти и дистанционно администриране;

3. правни задължения на трети държави, които могат да създадат рискове за достъпа до лични данни, метаданни, оперативни данни, регистрационни файлове или административни системи;

4. критични зависимости извън ЕС, включително облачни, хостинг, DNS, CDN, сертифициращ орган, идентичност, софтуер, подизпълнител и услуги за дистанционно администриране;

5. независими периодични одити и предпазни мерки срещу незаконен достъп на трети държави.

Сертифицираният статут следва да може да се използва като обективен критерий за възлагане на обществени поръчки, когато това е обосновано от съображения, свързани с киберсигурността, устойчивостта, защитата на данните, непрекъснатостта на услугите, стратегическата автономност или законния избор на ползвателите.

Разпоредби на Договорите, които според Вас са от значение за предложеното действие

членове 114 и 16 от ДФЕС; когато е приложимо, член 173 от ДФЕС за хармонизиране на вътрешния пазар, защита на данните, сертифициране на киберсигурността и конкурентоспособност на промишлеността на ЕС.

Приложение относно предмета, целите и контекста на инициативата

Предмет

Настоящата инициатива се отнася до незадължителен компонент на ЕС за сертифициране на държавния контрол за критични цифрови инфраструктурни услуги чрез изменение или допълване на Регламент (ЕС) 2019/881 — Акта за киберсигурността.

Той не изисква забрана за чуждестранни доставчици, задължително използване само в ЕС, цензура, промяна на Договора или цифрова изолация. В него се призовава за законосъобразен, доброволен и подлежащ на одит механизъм на ЕС, така че гражданите, предприятията, публичните органи и институциите на ЕС да могат да идентифицират услуги, които предлагат по-голяма устойчивост срещу контрол извън ЕС, чуждестранен правен натиск, непрозрачни зависимости и незаконен достъп до трети държави.

Необходимостта и правната празнота в правото

на ЕС вече са насочени към важни части от проблема. GDPR защитава личните данни. МИС 2 засилва задълженията в областта на киберсигурността за съществените и значимите субекти. Законодателният акт за данните включва правила срещу незаконния правителствен достъп на трети държави до нелични данни, съхранявани в Съюза от доставчици на услуги за обработка на данни. С Акта за киберсигурността се създава рамка на ЕС за сертифициране на киберсигурността на ИКТ продукти, ИКТ услуги, ИКТ процеси и управлявани услуги за сигурност.
Тези инструменти
обаче не създават ясен сигнал за сертифициране в целия ЕС за устойчивост на държавния контрол в критичната цифрова инфраструктура. Дадена услуга може да бъде технически сигурна и законосъобразна, като същевременно все още зависи от самолетите за контрол извън ЕС, влиянието на дружеството майка, правните задължения на трети държави, дистанционното управление, регистрирането, телеметрията, DNS, CDN, сертифициращия орган, самоличността, зависимостите от облака или подизпълнителите, които обикновените потребители и възложителите на обществени поръчки не могат реалистично да проверят.
Поради това
с настоящата инициатива се преодолява конкретен пропуск: той преобразува риска, свързан с държавния контрол, от неясна политическа претенция в доброволен, измерим и поддаващ се на независим одит компонент на сертифицирането съгласно правото на ЕС.
 

Цели

Комисията следва да предложи законодателство за изменение или допълнение на Регламент (ЕС) 2019/881 с цел:

1. Създаване на незадължителен компонент на ЕС за сертифициране чрез държавен контрол за критични цифрови инфраструктурни услуги, включително услуги в облак, хостинг, DNS, CDN, услуги на сертифициращи органи, услуги за идентификация и удостоверяване на автентичността, управлявани услуги за киберсигурност и други ИКТ услуги, определени като критични от Комисията или ENISA.

2. Изискване за оценка на ефективната собственост и контрол, включително действителна собственост, контрол от страна на дружеството майка, права на глас, влияние на управителния съвет, договорен контрол и други форми на съществено влияние.

3. Изискване за оценка на юрисдикцията на ЕС по отношение на критични операции, включително обработка на данни, администриране на услуги, управление на ключове, регистриране, удостоверяване, реагиране при инциденти, контрол на инфраструктурата и дистанционно администриране.

4. Изискване за оценка на излагането на правни задължения на трети държави, включително закони, съдебни разпореждания, административни разпореждания, режими за достъп до разузнавателни данни или структури за корпоративен контрол, които биха могли да създадат рискове за достъпа за личните данни, метаданните, неличните оперативни данни, регистрите за сигурност или системите за административен достъп на ползвателите от ЕС.

5. Изискване за разкриване на критични зависимости, включително съответен хостинг, облачни услуги, софтуер, фърмуер, DNS, CDN, сертифициращ орган, верига за доставки на хардуер, телеметрия, зависимости от подизпълнители и отдалечена администрация.

6. Изискване на технически, организационни и правни гаранции срещу незаконния достъп на трети държави, включително документиране на исканията за достъп на трети държави, оспорване по съдебен ред, когато е възможно, и обобщено докладване за прозрачност, освен ако това не е забранено от закона.

7. Изискване за независими периодични одити, обобщения от публични одити, измерими нива на сертифициране и защита на търговските тайни, действително чувствителните данни за сигурността и класифицираната информация.

8. Да се позволи използването на сертифицирания статут като обективен критерий за обществени поръчки и прозрачност на пазара, когато това е обосновано от съображения, свързани с киберсигурността, устойчивостта, защитата на данните, защитата на данните в публичния сектор, непрекъснатостта на основните услуги, стратегическата автономност или законния избор на ползвателите.

Значение за гражданите и субектите Гражданите

на ЕС, публичните органи и частните субекти следва да могат да избират цифрови услуги с намалено излагане на контрол от трети държави и незаконен достъп, без да се премахва свободата им да използват услуги извън ЕС. Тази инициатива подкрепя практически контролиран от ЕС вариант, при който рискът, правото, нуждите от обществени поръчки или демократичният избор оправдават това.

Спазване на правото и ценностите на ЕС

Инициативата е доброволна, пропорционална, прозрачна и съвместима с отворените пазари. Той подкрепя вътрешния пазар, защитата на данните, киберсигурността, устойчивостта и технологичния суверенитет на ЕС, като същевременно зачита компетентността на държавите членки, включително националната сигурност, и свободата на гражданите и субектите да поддържат цифрови връзки с трети държави.