Souveräne Kontrollzertifizierung der EU für kritische digitale Infrastrukturen

Ziele der Initiative

Wir fordern die Europäische Kommission auf, Rechtsvorschriften zur Änderung oder Ergänzung der Verordnung (EU) 2019/881, des Rechtsakts zur Cybersicherheit, vorzuschlagen, um eine optionale EU-Komponente zur Zertifizierung der souveränen Kontrolle für kritische digitale Infrastrukturdienste zu schaffen.

Die Komponente sollte Folgendes bewerten:

1. das tatsächliche Eigentum und die tatsächliche Kontrolle, einschließlich des wirtschaftlichen Eigentums, der Muttergesellschaft, des Stimmrechts, des Vorstands, des Vertrags oder eines anderen wesentlichen Einflusses;

2. Zuständigkeit der EU für kritische Vorgänge, einschließlich Datenverarbeitung, Schlüsselverwaltung, Authentifizierung, Protokollierung, Reaktion auf Vorfälle und Fernverwaltung;

Rechtliche Verpflichtungen von Drittländern, die Zugangsrisiken für personenbezogene Daten, Metadaten, Betriebsdaten, Protokolle oder Verwaltungssysteme bergen können;

4. kritische Abhängigkeiten außerhalb der EU, einschließlich Cloud, Hosting, DNS, CDN, Zertifizierungsstelle, Identität, Software, Unterauftragnehmer und Fernverwaltungsdienste;

5. unabhängige regelmäßige Audits und Schutzmaßnahmen gegen unrechtmäßigen Zugang zu Drittländern.

Der zertifizierte Status sollte als objektives Beschaffungskriterium verwendet werden können, wenn dies durch Cybersicherheit, Resilienz, Datenschutz, Kontinuität der Dienste, strategische Autonomie oder die rechtmäßige Wahl der Nutzer gerechtfertigt ist.

Bestimmungen der Verträge, die Ihrer Ansicht nach für die vorgeschlagene Maßnahme relevant sind

Artikel 114 und 16 AEUV; gegebenenfalls Artikel 173 AEUV für die Harmonisierung des Binnenmarkts, den Datenschutz, die Cybersicherheitszertifizierung und die industrielle Wettbewerbsfähigkeit der EU.

Anhang zum Thema, zu den Zielen und zum Hintergrund der Initiative

Betrifft

Diese Initiative betrifft eine optionale EU-Komponente zur Zertifizierung der souveränen Kontrolle für kritische digitale Infrastrukturdienste durch Änderung oder Ergänzung der Verordnung (EU) 2019/881, des Cybersicherheitsgesetzes.

Sie fordert kein Verbot ausländischer Anbieter, eine verpflichtende ausschließliche Nutzung durch die EU, Zensur, Vertragsänderungen oder digitale Isolation. Er fordert einen rechtmäßigen, freiwilligen und überprüfbaren EU-Mechanismus, damit Bürgerinnen und Bürger, Unternehmen, Behörden und EU-Organe Dienste ermitteln können, die eine stärkere Widerstandsfähigkeit gegenüber Kontrollen außerhalb der EU, ausländischem Rechtsdruck, undurchsichtigen Abhängigkeiten und unrechtmäßigem Zugang zu Drittstaaten bieten.

Der Bedarf und die Rechtslücke im

EU-Recht lösen bereits wichtige Teile des Problems. Die DSGVO schützt personenbezogene Daten. NIS2 stärkt die Cybersicherheitsaufgaben wesentlicher und wichtiger Einrichtungen. Das Datengesetz enthält Vorschriften gegen den unrechtmäßigen staatlichen Zugang von Drittländern zu nicht personenbezogenen Daten, die sich in der Union bei Anbietern von Datenverarbeitungsdiensten befinden. Mit dem Rechtsakt zur Cybersicherheit wird ein EU-Rahmen für die Cybersicherheitszertifizierung von IKT-Produkten, IKT-Diensten, IKT-Prozessen und verwalteten Sicherheitsdiensten geschaffen.
Diese Instrumente schaffen
jedoch kein klares EU-weites Zertifizierungssignal für die Resilienz der staatlichen Kontrolle in kritischen digitalen Infrastrukturen. Ein Dienst kann technisch sicher und rechtskonform sein, während er immer noch von Kontrollflugzeugen außerhalb der EU, dem Einfluss der Muttergesellschaft, rechtlichen Verpflichtungen von Drittländern, Fernverwaltung, Protokollierung, Telemetrie, DNS, CDN, Zertifizierungsstelle, Identitäts-, Cloud- oder Unterauftragnehmerabhängigkeiten abhängt, die normale Nutzer und Beschaffer realistischerweise nicht inspizieren können.

Mit dieser Initiative wird daher eine spezifische Lücke geschlossen: Es wandelt das Risiko einer staatlichen Kontrolle von einer vagen politischen Forderung in eine freiwillige, messbare und unabhängig prüfbare Zertifizierungskomponente nach EU-Recht um.
 

Ziele

Die Kommission sollte Rechtsvorschriften zur Änderung oder Ergänzung der Verordnung (EU) 2019/881 vorschlagen, um

1. Schaffung einer optionalen EU-Komponente für die Zertifizierung kritischer digitaler Infrastrukturdienste, einschließlich Cloud-, Hosting-, DNS-, CDN-, Zertifizierungsstellen-, Identitäts- und Authentifizierungsdienste, verwalteter Cybersicherheitsdienste und anderer IKT-Dienste, die von der Kommission oder der ENISA als kritisch eingestuft werden.

2. Bewertung des tatsächlichen Eigentums und der tatsächlichen Kontrolle, einschließlich des wirtschaftlichen Eigentums, der Kontrolle durch die Muttergesellschaft, der Stimmrechte, des Einflusses des Vorstands, der vertraglichen Kontrolle und anderer Formen materieller Einflussnahme.

3. Bewertung der EU-Rechtsprechung für kritische Vorgänge, einschließlich Datenverarbeitung, Dienstverwaltung, Schlüsselverwaltung, Protokollierung, Authentifizierung, Reaktion auf Vorfälle, Infrastruktursteuerung und Fernverwaltung.

4. eine Bewertung der Exposition gegenüber rechtlichen Verpflichtungen von Drittländern, einschließlich Gesetzen, Gerichtsbeschlüssen, Verwaltungsanordnungen, Regelungen für den Zugang zu Erkenntnissen oder Strukturen der Unternehmenskontrolle, die Zugangsrisiken für personenbezogene Daten, Metadaten, nicht personenbezogene operative Daten, Sicherheitsprotokolle oder administrative Zugangssysteme von EU-Nutzern schaffen könnten, verlangen.

5. Offenlegung kritischer Abhängigkeiten, einschließlich relevanter Abhängigkeiten in den Bereichen Hosting, Cloud, Software, Firmware, DNS, CDN, Zertifizierungsstelle, Hardware-Lieferkette, Telemetrie, Unterauftragnehmer und Fernverwaltung.

6. Anforderung technischer, organisatorischer und rechtlicher Garantien gegen unrechtmäßigen Zugang zu Drittstaaten, einschließlich der Dokumentation von Anträgen auf Zugang zu Drittstaaten, nach Möglichkeit rechtlicher Anfechtung und aggregierter Transparenzberichterstattung, sofern dies nicht gesetzlich verboten ist.

7. Erfordern Sie unabhängige regelmäßige Audits, Zusammenfassungen öffentlicher Audits, messbare Zertifizierungsstufen und den Schutz von Geschäftsgeheimnissen, wirklich sensiblen Sicherheitsdetails und Verschlusssachen.

8. Zulassen, dass der zertifizierte Status als objektives Kriterium für die Vergabe öffentlicher Aufträge und die Markttransparenz verwendet wird, wenn dies durch Cybersicherheit, Resilienz, Datenschutz, Datenschutz des öffentlichen Sektors, Kontinuität wesentlicher Dienste, strategische Autonomie oder die rechtmäßige Wahl der Nutzer gerechtfertigt ist.

Die Relevanz für Bürger und Einrichtungen

EU-Bürger, Behörden und private Einrichtungen sollte in der Lage sein, digitale Dienste mit einer geringeren Exposition gegenüber der Kontrolle durch Drittländer und einem unrechtmäßigen Zugang zu wählen, ohne ihre Freiheit zur Nutzung von Diensten außerhalb der EU zu entziehen. Diese Initiative unterstützt eine praktische, von der EU kontrollierte Option, wenn Risiken, Rechtsvorschriften, Beschaffungserfordernisse oder demokratische Entscheidungen dies rechtfertigen.

Einhaltung des EU-Rechts und der EU-Werte

Die Initiative ist freiwillig, verhältnismäßig, transparent und mit offenen Märkten vereinbar. Sie unterstützt den Binnenmarkt, den Datenschutz, die Cybersicherheit, die Resilienz und die technologische Souveränität der EU unter Wahrung der Zuständigkeiten der Mitgliedstaaten, einschließlich der nationalen Sicherheit, und der Freiheit der Bürger und Einrichtungen, digitale Beziehungen zu Drittländern aufrechtzuerhalten.