Přejít na hlavní obsah
Vlajka Evropské unie
češtinačeština
Fórum evropské občanské iniciativy

Certifikace EU pro suverénní kontrolu kritické digitální infrastruktury

Autor /Autorka: Nikitas Bastas |
Datum aktualizace: 08 June 2026 |
Počet zobrazení: 617

Cíle iniciativy

Vyzýváme Evropskou komisi, aby navrhla nebo podpořila právní předpisy v rámci EU pro certifikaci kybernetické bezpečnosti, včetně nařízení (EU) 2019/881 nebo jakéhokoli následného aktu, s cílem vytvořit nepovinnou, na rizicích založenou a stupňovitou certifikační složku EU pro svrchovanou kontrolu služeb kritické digitální infrastruktury.


Složka by měla být odlišná od certifikace kybernetické bezpečnosti pouze v cloudu, certifikace kybernetické pozice subjektu, vysoce rizikových omezení dodavatelů a obecných nástrojů rizik dodavatelského řetězce a měla by je doplňovat. Měl by poskytovat dobrovolný a kontrolovatelný signál na úrovni služeb o odolnosti státní kontroly.


Měla by posoudit skutečné vlastnictví a materiální kontrolu; jurisdikce EU a operační kontrola nad zásadními funkcemi; právní rizika třetích zemí nebo rizika spojená s kontrolou společností; podstatné kritické závislosti; záruky proti nezákonnému přístupu nebo vměšování třetích zemí; nezávislé audity, úrovně jistoty a přehodnocení po významných změnách.


Certifikovaný status by měl být použitelný jako objektivní kritérium pro zadávání veřejných zakázek nebo transparentnost, je-li to odůvodněno kybernetickou bezpečností, odolností, ochranou údajů, kontinuitou služeb nebo zákonnou volbou uživatelů.


Ustanovení Smluv, která považujete za relevantní pro navrhovanou akci

články 114 a 16 SFEU; případně čl. 53 odst. 1, články 62 a 173 SFEU, pokud jde o harmonizaci vnitřního trhu, ochranu údajů, certifikaci kybernetické bezpečnosti, obchod službami, odolnost a konkurenceschopnost průmyslu EU.

Příloha k tématu, cílům a souvislostem iniciativy

Předmět


Tato iniciativa se týká nepovinné, na rizicích založené a stupňovité certifikační složky EU pro svrchovanou kontrolu služeb kritické digitální infrastruktury v rámci EU pro certifikaci kybernetické bezpečnosti podle nařízení (EU) 2019/881 nebo jakéhokoli následného aktu.
 

Nepožaduje zákaz zahraničních poskytovatelů, povinné používání pouze v EU, cenzuru, změnu Smlouvy nebo digitální izolaci. Požaduje zákonný, dobrovolný a kontrolovatelný mechanismus EU, aby občané, podniky, veřejné orgány a orgány EU mohli identifikovat služby, které nabízejí větší odolnost vůči kontrole ze zemí mimo EU, zahraničnímu právnímu tlaku, neprůhledným kritickým závislostem a nezákonnému přístupu třetích zemí.
 

Tato iniciativa vychází z diskuse o cloudové certifikaci EUCS, ale liší se od ní. Systém EUCS se týká certifikace kybernetické bezpečnosti v cloudu. Tato iniciativa požaduje širší legislativní základ pro profil svrchované kontroly na úrovni služeb zahrnující kritickou digitální infrastrukturu, včetně cloudu, hostingu, DNS, CDN, certifikační autority, identity a autentizace, řízené kybernetické bezpečnosti a dalších kritických služeb IKT.
 

Potřeba a právní mezera

Právní předpisy
EU již řeší důležité části problému. GDPR chrání osobní údaje. NIS2 posiluje povinnosti v oblasti kybernetické bezpečnosti pro základní a důležité subjekty. Akt o datech se zabývá nezákonným přístupem vlád třetích zemí k neosobním údajům uchovávaným v Unii poskytovateli služeb zpracování dat. Akt o kybernetické bezpečnosti vytváří rámec EU pro certifikaci kybernetické bezpečnosti.
 

Stávající a navrhované nástroje však nemusí nutně poskytovat jasný, dobrovolný a veřejný certifikační signál EU na úrovni služeb pro odolnost svrchované kontroly. Technická certifikace kybernetické bezpečnosti, certifikace kybernetické pozice subjektů, nástroje rizik dodavatelského řetězce, vysoce riziková omezení dodavatelů a systémy založené pouze na cloud computingu samy o sobě neposkytují běžným uživatelům a zadavatelům srovnatelný způsob, jak posoudit, kdo kontroluje kritickou službu, jaké právo může dosáhnout jejích kritických funkcí a které závislosti mohou ovlivnit kontinuitu, důvěrnost, integritu nebo zákonný přístup.
 

Služba může být technicky bezpečná a právně vyhovující, přičemž stále závisí na kontrolních letadlech mimo EU, vlivu mateřské společnosti, právních povinnostech třetích zemí, vzdálené správě, protokolování, telemetrii, DNS, CDN, službách certifikačního orgánu, systémech totožnosti, cloudových službách, dodavatelských řetězcích softwaru nebo subdodavatelích, které uživatelé nemohou reálně kontrolovat.
 

Cíle

Komise by měla navrhnout nebo podpořit právní předpisy s cílem:
 

1. Vytvořit nepovinnou, na rizicích založenou a stupňovitou certifikační složku EU pro svrchovanou kontrolu služeb kritické digitální infrastruktury.
 

2. Požadovat posouzení skutečného vlastnictví a podstatné kontroly, včetně skutečného vlastnictví, kontroly nad mateřskou společností, hlasovacích práv, vlivu správní rady, smluvní kontroly a jiného podstatného vlivu na rozhodnutí nebo zásadní operace související s bezpečností.
 

3. Požadovat posouzení jurisdikce EU a provozní kontroly kritických funkcí, včetně zpracování údajů, správy klíčů, protokolování, autentizace, reakce na incidenty, správy infrastruktury, mechanismů aktualizace a vzdálené správy.
 

4. Požadovat posouzení právních povinností třetích zemí nebo opatření podnikové kontroly, která mohou vyžadovat přístup k osobním údajům, metadatům, neosobním provozním údajům, bezpečnostním protokolům, správním systémům nebo jiným zásadním funkcím, jejich utajení, zveřejnění, provozní zásahy nebo předání kontroly nad nimi.
 

5. Požadovat zveřejnění významných kritických závislostí, je-li to relevantní pro certifikovanou službu, včetně hostingu, cloudu, softwaru, firmwaru, DNS, CDN, certifikační autority, identity, telemetrie, závislostí na subdodavateli a vzdálené správě, které mohou ovlivnit důvěrnost, integritu, dostupnost, administrativní kontrolu, zákonný přístup nebo kontinuitu.
 

6. Požadovat technické, organizační a právní záruky proti nezákonnému přístupu nebo vměšování třetích zemí, včetně dokumentovaného vyřizování žádostí o přístup, právního napadení, je-li to možné, kontrol privilegovaného přístupu, protokolů o auditu, oddělení povinností, podávání zpráv o transparentnosti a případně správy klíčů kontrolované EU.
 

7. Požadovat nezávislé pravidelné audity, shrnutí veřejných auditů, měřitelné úrovně záruky, přehodnocení po podstatných změnách a ochranu obchodního tajemství, citlivých bezpečnostních údajů a utajovaných informací.
 

8. Umožnit použití certifikovaného statusu jako objektivního kritéria pro zadávání veřejných zakázek a transparentnost trhu, je-li to odůvodněno kybernetickou bezpečností, odolností, ochranou údajů, kontinuitou základních služeb, potřebami veřejného sektoru nebo zákonnou volbou uživatelů.
 

Relevantnost a soulad
 

Iniciativa není černou listinou ani přísným pravidlem pro lokalizaci údajů. Jedná se o mechanismus transparentnosti a jistoty. Měl by doplňovat EUCS, NIS2, akt o datech, opatření dodavatelského řetězce v oblasti kybernetické bezpečnosti a budoucí politiku v oblasti cloud computingu, aniž by je nahrazoval.
 

Podporuje vnitřní trh, ochranu údajů, kybernetickou bezpečnost, odolnost a technologickou suverenitu EU a zároveň zůstává dobrovolná, přiměřená, založená na rizicích a slučitelná s otevřenými trhy. Respektuje pravomoci členských států, včetně národní bezpečnosti, a svobodu občanů a subjektů udržovat digitální vazby se třetími zeměmi.

Kategorie
1
Hlasování

Připojit komentář

Chcete-li vkládat připomínky, musíte provést ověření identity nebo se zaregistrovat.

Komentáře

Uživatel Fóra evropské občanské iniciativy  | 21 May 2026

Dobrý den Nikitas,

Rozhodně nemám zkušenosti s tímto tématem nebo dokonce s evropskými občanskými iniciativami jako celkem, ale mám nějaké myšlenky, pokud si myslíte, že vám pomohou.

1. I když je to skvělé téma, je to poměrně těžká terminologie. Bylo by obtížné, aby to nebylo terminologie těžké, protože to je opravdu téma zde. Takže nevím, jak pomoct. EK by s tím souhlasila, ale získat milion podpisů by mohlo být příliš obtížné, pokud by lidé tomuto tématu nerozuměli.

2. Domnívám se, že podobný návrh byl předložen v rámci evropského systému certifikace kybernetické bezpečnosti pro cloudové služby (EUCS). Nejsem si jistý, zda je návrh úspěšný, nebo dokonce aktivní, ale zmínka o něm by byla dobrá, aby EK neodpověděla, že alespoň některé z vašich cílů jsou již zahrnuty v EUCS. Takže v podstatě nebudete vypnuti, ale já nejsem technolog, takže návrhy jsou možná docela odlišné a neuvědomila jsem si to na první pohled.

Přesto si myslíme, že je to dobrá iniciativa, která může fungovat, ale možná budou zapotřebí nějaké malé úpravy a další pomoc zvenčí.

Přání všeho nejlepšího a hodně štěstí

Nikitas Bastas | 22 May 2026

Ano, máte pravdu! Do značné míry se překrývá nejen s návrhem EUCS, ale také se stávajícími právními předpisy, probíhajícími diskusemi, budoucími plány EU na digitální soběstačnost atd. 

Zejména za určitých geopolitických okolností bylo konečně zjištěno, že soběstačnost EU, a to nejen v digitální oblasti, ale v širším smyslu, již není „pěkná“, ale je naprostou nutností.

Důvodem, proč může být tento návrh rozlišitelný a cenný jako skromný příspěvek/nápad, je to, že požaduje „dobrovolný, na služby zaměřený, na riziko založený, nezávisle auditovaný certifikační profil pro odolnost svrchované kontroly napříč službami kritické digitální infrastruktury“, ale neomezuje se pouze na cloudové služby (EUCS).

Druhým důvodem může být to, že tento návrh požadují evropští občané - nikoli nástroje EU, tvůrci politik, mikropoliticky zaujatí jednotlivci. Z tohoto hlediska může Komisi EU vyslat jasný signál o obavách a skepsi, které mnozí občané EU již mají vůči vysoké digitální závislosti a expozici datům na digitálním zboží ze zemí mimo EU.

banner
Jste připraveni zaregistrovat vlastní iniciativu?

Chcete některou z iniciativ podpořit? Potřebujete více informací o probíhajících nebo uzavřených iniciativách?

Přejít na internetové stránky evropské občanské iniciativy