Сертифициране на ЕС за суверенен контрол на критична цифрова инфраструктура

Цели на инициативата

Призоваваме Европейската комисия да предложи или подкрепи законодателство в рамките на рамката на ЕС за сертифициране на киберсигурността, включително Регламент (ЕС) 2019/881 или всеки последващ акт, за да се създаде незадължителен, основан на риска и стъпаловиден компонент на ЕС за сертифициране на суверенния контрол за критични цифрови инфраструктурни услуги.

Компонентът
следва да се различава от сертифицирането на киберсигурността само в облак, сертифицирането на позиционирането в киберпространството на субекта, високорисковите ограничения на доставчиците и общите инструменти за риска във веригата на доставки и да го допълва. Той следва да предоставя доброволен и подлежащ на одит сигнал на равнището на обслужване относно устойчивостта на държавния контрол.

Тя следва да оценява ефективната собственост и материалния контрол; юрисдикция на ЕС и оперативен контрол върху критичните функции; правни рискове или рискове, свързани с корпоративния контрол в трети държави; съществени критични зависимости; гаранции срещу незаконен достъп или намеса на трета държава; независими одити, нива на увереност и преоценка след съществени промени.

Сертифицираният статус следва да може да се използва като обективен критерий за възлагане на обществени поръчки или за прозрачност, когато това е обосновано от съображения, свързани с киберсигурността, устойчивостта, защитата на данните, непрекъснатостта на услугите или законния избор на ползвателите.

Разпоредби на Договорите, които според Вас са от значение за предложеното действие

членове 114 и 16 от ДФЕС; когато е приложимо, член 53, параграф 1 и членове 62 и 173 от ДФЕС за хармонизиране на вътрешния пазар, защита на данните, сертифициране на киберсигурността, търговия с услуги, устойчивост и конкурентоспособност на промишлеността на ЕС.

Приложение относно предмета, целите и контекста на инициативата

Тема

Настоящата инициатива се отнася до незадължителен, основан на риска и стъпаловиден компонент на ЕС за сертифициране на държавния контрол за критични цифрови инфраструктурни услуги в рамките на рамката на ЕС за сертифициране на киберсигурността съгласно Регламент (ЕС) 2019/881 или всеки последващ акт.
 

Тя не изисква забрана за чуждестранни доставчици, задължително използване само в ЕС, цензура, промяна на Договора или цифрова изолация. В него се призовава за законосъобразен, доброволен и подлежащ на одит механизъм на ЕС, така че гражданите, предприятията, публичните органи и институциите на ЕС да могат да идентифицират услуги, които предлагат по-голяма устойчивост срещу контрол извън ЕС, чуждестранен правен натиск, непрозрачни критични зависимости и незаконен достъп до трети държави.
 

Тази инициатива се основава на дебата относно сертифицирането в облак на EUCS, но е различна от него. EUCS се отнася до сертифицирането на киберсигурността в облак. С тази инициатива се изисква по-широка законодателна основа за профил на суверенен контрол на равнището на услугите, обхващащ критична цифрова инфраструктура, включително услуги в облак, хостинг, DNS, CDN, сертифициращ орган, самоличност и удостоверяване на автентичността, управлявана киберсигурност и други критични ИКТ услуги.
 

Необходимост и правна празнота

Правото
на ЕС вече разглежда важни части от проблема. GDPR защитава личните данни. МИС 2 засилва задълженията в областта на киберсигурността за съществените и значимите субекти. Законодателният акт за данните разглежда незаконния правителствен достъп на трети държави до нелични данни, съхранявани в Съюза от доставчици на услуги за обработка на данни. С Акта за киберсигурността се създава рамка на ЕС за сертифициране на киберсигурността.
 

Съществуващите и предложените инструменти обаче не предоставят непременно ясен, доброволен, публичен и свързан с услугите сертификационен сигнал на ЕС за устойчивост на суверенния контрол. Техническото сертифициране на киберсигурността, сертифицирането на кибернетичното позициониране на субектите, инструментите за риска по веригата на доставки, високорисковите ограничения на доставчиците и схемите само за изчисления в облак сами по себе си не предоставят на обикновените ползватели и възложители на обществени поръчки сравним начин за оценка на това кой контролира дадена критична услуга, кое право може да достигне критичните ѝ функции и кои зависимости могат да засегнат непрекъснатостта, поверителността, целостта или законния достъп.
 

Дадена услуга може да бъде технически сигурна и законосъобразна, като същевременно все още зависи от самолетите за контрол извън ЕС, влиянието на дружеството майка, правните задължения на трети държави, дистанционното администриране, регистрирането, телеметрията, DNS, CDN, услугите на сертифициращия орган, системите за самоличност, услугите „в облак“, веригите за доставка на софтуер или подизпълнителите, които потребителите не могат реалистично да проверят.
 

Цели

Комисията следва да предложи или подкрепи законодателство за:
 

1. Създаване на незадължителен, основан на риска и стъпаловиден компонент на ЕС за сертифициране на държавния контрол за критични цифрови инфраструктурни услуги.
 

2. Изискване за оценка на ефективната собственост и съществения контрол, включително действителните собственици, контрола между дружеството майка и дружеството майка, правата на глас, влиянието на управителния съвет, договорния контрол и друго съществено влияние върху решенията или критичните операции, свързани със сигурността.
 

3. Изискване за оценка на юрисдикцията на ЕС и оперативен контрол върху критичните функции, включително обработка на данни, управление на ключове, регистриране, удостоверяване на автентичността, реагиране при инциденти, администриране на инфраструктурата, механизми за актуализиране и дистанционно администриране.
 

4. Изискване за оценка на правните задължения или договореностите за корпоративен контрол на трети държави, които са в състояние да задължат за достъп, поверителност, разкриване, оперативна намеса или прехвърляне на контрол върху лични данни, метаданни, нелични оперативни данни, регистри за сигурност, административни системи или други критични функции.
 

5. Изискване за разкриване на съществени критични зависимости, когато са от значение за сертифицираната услуга, включително хостинг, облачни услуги, софтуер, фърмуер, DNS, CDN, сертифициращ орган, идентичност, телеметрия, зависимости от подизпълнители и дистанционно администриране, които могат да засегнат поверителността, целостта, наличността, административния контрол, законния достъп или непрекъснатостта.
 

6. Изискване на технически, организационни и правни гаранции срещу незаконен достъп или намеса от трети държави, включително документирано обработване на искания за достъп, оспорване по съдебен ред, когато е възможно, контрол на привилегирования достъп, одитни регистри, разделение на задълженията, докладване за прозрачност и контролирано от ЕС управление на ключове, когато е уместно.
 

7. Изискване за независими периодични одити, обобщения от публични одити, измерими нива на увереност, повторна оценка след съществени промени и защита на търговските тайни, чувствителните данни за сигурността и класифицираната информация.
 

8. Да се даде възможност сертифицираният статут да се използва като обективен критерий за възлагане на обществени поръчки и за прозрачност на пазара, когато това е обосновано от съображения за киберсигурност, устойчивост, защита на данните, непрекъснатост на основните услуги, нужди на публичния сектор или законен избор на ползвателите.
 

Целесъобразност и съответствие
 

Инициативата не е черен списък и не е строго правило за локализиране на данни. Това е механизъм за прозрачност и гарантиране. Тя следва да допълва EUCS, МИС 2, Законодателния акт за данните, мерките за веригата на доставки в областта на киберсигурността и бъдещата политика в областта на изчисленията в облак, без да ги заменя.
 

Той подкрепя вътрешния пазар, защитата на данните, киберсигурността, устойчивостта и технологичния суверенитет на ЕС, като същевременно остава доброволен, пропорционален, основан на риска и съвместим с отворените пазари. То зачита компетентността на държавите членки, включително националната сигурност, и свободата на гражданите и субектите да поддържат цифрови връзки с трети държави.