EU-certificering af suveræn kontrol af kritisk digital infrastruktur

Initiativets formål

Vi opfordrer Europa-Kommissionen til at foreslå eller støtte lovgivning inden for EU's ramme for cybersikkerhedscertificering, herunder forordning (EU) 2019/881 eller enhver efterfølgende retsakt, for at skabe en frivillig, risikobaseret og trinvis EU-certificeringskomponent for suveræn kontrol for kritiske digitale infrastrukturtjenester.

Komponenten bør adskille sig fra og supplere cybersikkerhedscertificering udelukkende i skyen, certificering af enheders cyberposition, begrænsninger for højrisikoleverandører og generelle værktøjer til håndtering af forsyningskæderisici. Det bør give et frivilligt og kontrollerbart serviceniveausignal om suveræn kontrols modstandsdygtighed.

Den bør vurdere effektivt ejerskab og materiel kontrol EU's jurisdiktion over og operationelle kontrol med kritiske funktioner juridiske risici eller risici i forbindelse med virksomhedskontrol i tredjelande væsentlig kritisk afhængighed garantier mod ulovlig adgang eller indblanding fra tredjelande uafhængige revisioner, sikkerhedsniveauer og fornyet vurdering efter væsentlige ændringer.

Certificeret status bør kunne anvendes som et objektivt udbuds- eller gennemsigtighedskriterium, hvis det er begrundet i cybersikkerhed, modstandsdygtighed, databeskyttelse, tjenestekontinuitet eller brugernes lovlige valg.

De bestemmelser i traktaterne, som De finder relevante for den foreslåede foranstaltning

artikel 114 og 16 i TEUF hvor det er relevant, artikel 53, stk. 1, artikel 62 og artikel 173 i TEUF med henblik på harmonisering af det indre marked, databeskyttelse, cybersikkerhedscertificering, handel med tjenesteydelser, modstandsdygtighed og EU's industrielle konkurrenceevne.

Bilag om emnet, målene og baggrunden for initiativet Emne

Dette initiativ vedrører en frivillig, risikobaseret og trinvis EU-certificeringskomponent for suveræn kontrol for kritiske digitale infrastrukturtjenester inden for EU's ramme for cybersikkerhedscertificering i henhold til forordning (EU) 2019/881 eller enhver efterfølgende retsakt.  

Den kræver ikke et forbud mod udenlandske udbydere, obligatorisk anvendelse udelukkende i EU, censur, traktatændringer eller digital isolation. Der anmodes om en lovlig, frivillig og kontrollerbar EU-mekanisme, således at borgere, virksomheder, offentlige myndigheder og EU-institutioner kan identificere tjenester, der giver større modstandsdygtighed over for kontrol uden for EU, udenlandsk juridisk pres, uigennemsigtig kritisk afhængighed og ulovlig adgang til tredjelande.  

Dette initiativ bygger på, men adskiller sig fra, EUCS' cloudcertificeringsdebat.

EUCS vedrører cybersikkerhedscertificering af cloudmiljøet. Med dette initiativ anmodes der om et bredere retsgrundlag for en suveræn kontrolprofil på tjenesteniveau, der omfatter kritisk digital infrastruktur, herunder cloud, hosting, DNS, CDN, certifikatmyndighed, identitet og autentifikation, forvaltet cybersikkerhed og andre kritiske IKT-tjenester.  Behov og juridisk tomrum EU-lovgivningen tager allerede fat på vigtige dele af problemet.

GDPR beskytter personoplysninger. NIS2 styrker cybersikkerhedsforpligtelserne for væsentlige og vigtige enheder.

Dataforordningen omhandler ulovlig statslig adgang fra tredjelande til andre data end personoplysninger, som udbydere af databehandlingstjenester er i besiddelse af i Unionen.

Forordningen om cybersikkerhed skaber en EU-ramme for cybersikkerhedscertificering.

 
De eksisterende og foreslåede værktøjer giver imidlertid ikke nødvendigvis et klart, frivilligt, offentligt og serviceorienteret EU-certificeringssignal om suveræn kontrols modstandsdygtighed.

Teknisk cybersikkerhedscertificering, enhedscyberpostcertificering, forsyningskæderisikoværktøjer, begrænsninger for højrisikoleverandører og cloudonly-ordninger giver ikke i sig selv almindelige brugere og indkøbere en sammenlignelig måde at vurdere, hvem der kontrollerer en kritisk tjeneste, hvilken lovgivning der kan nå dens kritiske funktioner, og hvilke afhængighedsforhold der kan påvirke kontinuiteten, fortroligheden, integriteten eller den lovlige adgang.  

En tjeneste kan være teknisk sikker og overholde lovgivningen, selv om den stadig afhænger af kontrolplaner uden for EU, moderselskabers indflydelse, tredjelandes retlige forpligtelser, fjernadministration, logning, telemetri, DNS, CDN, certifikatmyndighedstjenester, identitetssystemer, cloudtjenester, softwareforsyningskæder eller underleverandører, som brugerne ikke realistisk kan inspicere.  

MålsætningerKommissionen bør foreslå eller støtte lovgivning med henblik på at:

 1.

Oprette en valgfri, risikobaseret og trinvis EU-certificeringskomponent for suveræn kontrol for kritiske digitale infrastrukturtjenester.  

2. Kræve vurdering af effektivt ejerskab og materiel kontrol, herunder reelt ejerskab, moderselskabskontrol, stemmerettigheder, bestyrelsesindflydelse, kontraktmæssig kontrol og anden væsentlig indflydelse på sikkerhedsrelevante beslutninger eller kritiske operationer.

 3.

Kræve en vurdering af EU's jurisdiktion og operationelle kontrol over kritiske funktioner, herunder databehandling, nøgleforvaltning, logning, autentificering, reaktion på hændelser, infrastrukturadministration, opdateringsmekanismer og fjernadministration.  

4.

Kræve vurdering af tredjelandes retlige forpligtelser eller virksomhedskontrolordninger, der kan sikre adgang, hemmeligholdelse, videregivelse, operationel indgriben eller overførsel af kontrol over personoplysninger, metadata, operationelle data, der ikke er personoplysninger, sikkerhedslogfiler, administrative systemer eller andre kritiske funktioner.  5.

Kræve offentliggørelse af væsentlige kritiske afhængigheder, hvor det er relevant for den certificerede tjeneste, herunder afhængigheder af hosting, cloud, software, firmware, DNS, CDN, certifikatmyndighed, identitet, telemetri, underleverandør og fjernadministration, der kan påvirke fortrolighed, integritet, tilgængelighed, administrativ kontrol, lovlig adgang eller kontinuitet.