Μετάβαση στο κύριο περιεχόμενο
Σημαία της Ευρωπαϊκής Ένωσης
ελληνικάελληνικά
Φόρουμ της Ευρωπαϊκής Πρωτοβουλίας Πολιτών

Πιστοποίηση κρατικού ελέγχου της ΕΕ για ψηφιακές υποδομές ζωτικής σημασίας

Ημερομηνία δημοσίευσης: Nikitas Bastas |
Επικαιροποιήθηκε στις: 08 June 2026 |
Αριθμός προβολών: 620

Στόχοι της πρωτοβουλίας

Καλούμε την Ευρωπαϊκή Επιτροπή να προτείνει ή να στηρίξει νομοθεσία εντός του πλαισίου πιστοποίησης της κυβερνοασφάλειας της ΕΕ, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2019/881 ή οποιασδήποτε διάδοχης πράξης, για τη δημιουργία προαιρετικής, βάσει κινδύνου και κλιμακωτής συνιστώσας πιστοποίησης δημόσιου ελέγχου της ΕΕ για υπηρεσίες ψηφιακών υποδομών ζωτικής σημασίας.


Η συνιστώσα θα πρέπει να είναι διακριτή και συμπληρωματική προς την πιστοποίηση κυβερνοασφάλειας μόνο στο υπολογιστικό νέφος, την πιστοποίηση της στάσης των οντοτήτων στον κυβερνοχώρο, τους περιορισμούς των προμηθευτών υψηλού κινδύνου και τα γενικά εργαλεία κινδύνου της αλυσίδας εφοδιασμού. Θα πρέπει να παρέχει ένα εθελοντικό και ελέγξιμο σήμα σε επίπεδο υπηρεσιών σχετικά με την ανθεκτικότητα του κρατικού ελέγχου.


Θα πρέπει να αξιολογεί την πραγματική κυριότητα και τον ουσιαστικό έλεγχο· δικαιοδοσία της ΕΕ και επιχειρησιακός έλεγχος των κρίσιμων λειτουργιών· τους νομικούς κινδύνους ή τους κινδύνους εταιρικού ελέγχου τρίτων χωρών· σημαντικές κρίσιμες εξαρτήσεις· εγγυήσεις κατά της παράνομης πρόσβασης ή παρέμβασης σε τρίτες χώρες· ανεξάρτητους ελέγχους, επίπεδα διασφάλισης και επαναξιολόγηση μετά από ουσιώδεις αλλαγές.


Το πιστοποιημένο καθεστώς θα πρέπει να μπορεί να χρησιμοποιείται ως αντικειμενικό κριτήριο προμήθειας ή διαφάνειας, όταν δικαιολογείται από την κυβερνοασφάλεια, την ανθεκτικότητα, την προστασία των δεδομένων, τη συνέχεια των υπηρεσιών ή τη νόμιμη επιλογή των χρηστών.


Διατάξεις των Συνθηκών που θεωρείτε συναφείς με την προτεινόμενη δράση

άρθρα 114 και 16 της ΣΛΕΕ· κατά περίπτωση, το άρθρο 53 παράγραφος 1, το άρθρο 62 και το άρθρο 173 της ΣΛΕΕ, για την εναρμόνιση της εσωτερικής αγοράς, την προστασία των δεδομένων, την πιστοποίηση της κυβερνοασφάλειας, τις συναλλαγές στον τομέα των υπηρεσιών, την ανθεκτικότητα και τη βιομηχανική ανταγωνιστικότητα της ΕΕ.

Παράρτημα σχετικά με το θέμα, τους στόχους και το ιστορικό της πρωτοβουλίας

Θέμα


Η παρούσα πρωτοβουλία αφορά μια προαιρετική, βάσει κινδύνου και κλιμακωτή συνιστώσα πιστοποίησης κρατικού ελέγχου της ΕΕ για υπηρεσίες ψηφιακών υποδομών ζωτικής σημασίας, εντός του πλαισίου πιστοποίησης της κυβερνοασφάλειας της ΕΕ βάσει του κανονισμού (ΕΕ) 2019/881 ή οποιασδήποτε διάδοχης πράξης.
 

Δεν ζητεί την απαγόρευση των αλλοδαπών παρόχων, την υποχρεωτική χρήση μόνο από την ΕΕ, τη λογοκρισία, την αλλαγή της Συνθήκης ή την ψηφιακή απομόνωση. Ζητεί έναν νόμιμο, εθελοντικό και ελέγξιμο μηχανισμό της ΕΕ, ώστε οι πολίτες, οι επιχειρήσεις, οι δημόσιες αρχές και τα θεσμικά όργανα της ΕΕ να μπορούν να εντοπίζουν υπηρεσίες που προσφέρουν μεγαλύτερη ανθεκτικότητα έναντι του ελέγχου από τρίτες χώρες, των ξένων νομικών πιέσεων, των αδιαφανών κρίσιμων εξαρτήσεων και της παράνομης πρόσβασης τρίτων χωρών.
 

Η πρωτοβουλία αυτή βασίζεται, αλλά διαφέρει, από τη συζήτηση σχετικά με την πιστοποίηση υπολογιστικού νέφους του EUCS. Το EUCS αφορά την πιστοποίηση της κυβερνοασφάλειας στο υπολογιστικό νέφος. Η παρούσα πρωτοβουλία ζητεί ευρύτερη νομοθετική βάση για ένα προφίλ κρατικού ελέγχου σε επίπεδο υπηρεσιών που θα καλύπτει κρίσιμες ψηφιακές υποδομές, συμπεριλαμβανομένων του υπολογιστικού νέφους, της φιλοξενίας, του DNS, του CDN, της αρχής πιστοποίησης, της ταυτότητας και της επαλήθευσης ταυτότητας, της διαχειριζόμενης κυβερνοασφάλειας και άλλων κρίσιμων υπηρεσιών ΤΠΕ.
 

Ανάγκη και νομικό κενό


Το δίκαιο της ΕΕ αντιμετωπίζει ήδη σημαντικά τμήματα του προβλήματος. Ο GDPR προστατεύει τα προσωπικά δεδομένα. Η NIS2 ενισχύει τα καθήκοντα κυβερνοασφάλειας για βασικές και σημαντικές οντότητες. Η πράξη για τα δεδομένα αντιμετωπίζει την παράνομη κυβερνητική πρόσβαση τρίτων χωρών σε δεδομένα μη προσωπικού χαρακτήρα που τηρούνται στην Ένωση από παρόχους υπηρεσιών επεξεργασίας δεδομένων. Η πράξη για την κυβερνοασφάλεια δημιουργεί ένα πλαίσιο της ΕΕ για την πιστοποίηση της κυβερνοασφάλειας.
 

Ωστόσο, τα υφιστάμενα και τα προτεινόμενα εργαλεία δεν παρέχουν απαραιτήτως ένα σαφές, εθελοντικό, δημόσιο και υπηρεσιακό σήμα πιστοποίησης της ΕΕ για την ανθεκτικότητα του κρατικού ελέγχου. Η τεχνική πιστοποίηση της κυβερνοασφάλειας, η πιστοποίηση της θέσης της οντότητας στον κυβερνοχώρο, τα εργαλεία κινδύνου της αλυσίδας εφοδιασμού, οι περιορισμοί προμηθευτών υψηλού κινδύνου και τα συστήματα μόνο για το υπολογιστικό νέφος δεν παρέχουν από μόνα τους στους απλούς χρήστες και τους αγοραστές συγκρίσιμο τρόπο αξιολόγησης του ποιος ελέγχει μια κρίσιμη υπηρεσία, ποιο δίκαιο μπορεί να επιτύχει τις κρίσιμες λειτουργίες του και ποιες εξαρτήσεις ενδέχεται να επηρεάσουν τη συνέχεια, την εμπιστευτικότητα, την ακεραιότητα ή τη νόμιμη πρόσβαση.
 

Μια υπηρεσία μπορεί να είναι τεχνικά ασφαλής και νομικά συμμορφούμενη, ενώ εξακολουθεί να εξαρτάται από μη ενωσιακά επίπεδα ελέγχου, επιρροή μητρικής εταιρείας, νομικές υποχρεώσεις τρίτης χώρας, εξ αποστάσεως διαχείριση, καταγραφή, τηλεμετρία, DNS, CDN, υπηρεσίες αρχής πιστοποίησης, συστήματα ταυτότητας, υπηρεσίες υπολογιστικού νέφους, αλυσίδες εφοδιασμού λογισμικού ή υπεργολάβους που οι χρήστες δεν μπορούν ρεαλιστικά να επιθεωρήσουν.
 

Στόχοι

Η Επιτροπή θα πρέπει να προτείνει ή να υποστηρίξει νομοθεσία για:
 

1. Δημιουργία προαιρετικής, βάσει κινδύνου και κλιμακωτής συνιστώσας πιστοποίησης κρατικού ελέγχου της ΕΕ για τις υπηρεσίες ψηφιακών υποδομών ζωτικής σημασίας.
 

2. Απαιτείται αξιολόγηση της πραγματικής κυριότητας και του ουσιαστικού ελέγχου, συμπεριλαμβανομένων της πραγματικής κυριότητας, του ελέγχου μητρικής εταιρείας, των δικαιωμάτων ψήφου, της επιρροής του διοικητικού συμβουλίου, του συμβατικού ελέγχου και άλλης σημαντικής επιρροής σε αποφάσεις ή κρίσιμες λειτουργίες που σχετίζονται με την ασφάλεια.
 

3. Απαίτηση αξιολόγησης της δικαιοδοσίας της ΕΕ και του επιχειρησιακού ελέγχου κρίσιμων λειτουργιών, συμπεριλαμβανομένης της επεξεργασίας δεδομένων, της διαχείρισης κλειδιών, της καταγραφής, της επαλήθευσης ταυτότητας, της αντιμετώπισης περιστατικών, της διαχείρισης υποδομών, των μηχανισμών επικαιροποίησης και της εξ αποστάσεως διαχείρισης.
 

4. Απαίτηση αξιολόγησης των νομικών υποχρεώσεων τρίτων χωρών ή των ρυθμίσεων εταιρικού ελέγχου που είναι ικανές να επιβάλλουν πρόσβαση, απόρρητο, αποκάλυψη, επιχειρησιακή παρέμβαση ή μεταβίβαση ελέγχου επί δεδομένων προσωπικού χαρακτήρα, μεταδεδομένων, επιχειρησιακών δεδομένων μη προσωπικού χαρακτήρα, αρχείων καταγραφής ασφαλείας, διοικητικών συστημάτων ή άλλων κρίσιμων λειτουργιών.
 

5. Απαίτηση γνωστοποίησης ουσιωδών κρίσιμων εξαρτήσεων, κατά περίπτωση για την πιστοποιημένη υπηρεσία, συμπεριλαμβανομένων των εξαρτήσεων φιλοξενίας, υπολογιστικού νέφους, λογισμικού, υλικολογισμικού, DNS, CDN, αρχής πιστοποίησης, ταυτότητας, τηλεμετρίας, υπεργολάβου και εξ αποστάσεως διοίκησης που ενδέχεται να επηρεάσουν την εμπιστευτικότητα, την ακεραιότητα, τη διαθεσιμότητα, τον διοικητικό έλεγχο, τη νόμιμη πρόσβαση ή τη συνέχεια.
 

6. Να απαιτούν τεχνικές, οργανωτικές και νομικές διασφαλίσεις κατά της παράνομης πρόσβασης ή παρέμβασης τρίτων χωρών, συμπεριλαμβανομένης της τεκμηριωμένης διεκπεραίωσης των αιτημάτων πρόσβασης, της νομικής αμφισβήτησης, όπου είναι δυνατόν, των ελέγχων προνομιακής πρόσβασης, των ημερολογίων ελέγχου, του διαχωρισμού των καθηκόντων, της υποβολής εκθέσεων διαφάνειας και της διαχείρισης κλειδών που ελέγχεται από την ΕΕ, κατά περίπτωση.
 

7. Να απαιτούν ανεξάρτητους περιοδικούς ελέγχους, περιλήψεις δημόσιου ελέγχου, μετρήσιμα επίπεδα διασφάλισης, επαναξιολόγηση μετά από ουσιώδεις αλλαγές και προστασία του εμπορικού απορρήτου, των ευαίσθητων λεπτομερειών ασφαλείας και των διαβαθμισμένων πληροφοριών.
 

8. Να επιτρέπεται η χρήση του πιστοποιημένου καθεστώτος ως αντικειμενικού κριτηρίου δημόσιων συμβάσεων και διαφάνειας της αγοράς, όταν αυτό δικαιολογείται από την κυβερνοασφάλεια, την ανθεκτικότητα, την προστασία των δεδομένων, τη συνέχεια των βασικών υπηρεσιών, τις ανάγκες του δημόσιου τομέα ή τη νόμιμη επιλογή των χρηστών.
 

Συνάφεια και συμμόρφωση
 

Η πρωτοβουλία δεν αποτελεί μαύρη λίστα ούτε άκαμπτο κανόνα εντοπισμού δεδομένων. Πρόκειται για έναν μηχανισμό διαφάνειας και διασφάλισης. Θα πρέπει να συμπληρώνει τα EUCS, NIS2, την πράξη για τα δεδομένα, τα μέτρα για την αλυσίδα εφοδιασμού στον τομέα της κυβερνοασφάλειας και τη μελλοντική πολιτική για το υπολογιστικό νέφος χωρίς να τα αντικαθιστά.
 

Στηρίζει την εσωτερική αγορά, την προστασία των δεδομένων, την κυβερνοασφάλεια, την ανθεκτικότητα και την τεχνολογική κυριαρχία της ΕΕ, παραμένοντας παράλληλα προαιρετική, αναλογική, βασισμένη στον κίνδυνο και συμβατή με τις ανοικτές αγορές. Σέβεται τις αρμοδιότητες των κρατών μελών, συμπεριλαμβανομένης της εθνικής ασφάλειας, και την ελευθερία των πολιτών και των οντοτήτων να διατηρούν ψηφιακούς δεσμούς με τρίτες χώρες.

Κατηγορίες
1
Ψήφος

Αφήστε ένα σχόλιο

Για να προσθέσετε τα σχόλιά σας, πρέπει να γίνει η ταυτοποίησή σας ή να εγγραφείτε.

Σχόλια

Χρήστης/-ρια του φόρουμ της ΕΠΠ  | 21 May 2026

Γεια σου Νικήτα,

Σίγουρα δεν έχω εμπειρία σε αυτό το θέμα ή ακόμη και σε ΕΠΠ στο σύνολό τους, αλλά έχω κάποιες σκέψεις αν νομίζετε ότι θα βοηθήσουν.

1. Ενώ είναι ένα μεγάλο θέμα, είναι μάλλον βαριά ορολογία. Θα ήταν δύσκολο να μην είναι βαριά η ορολογία, γιατί αυτό είναι πραγματικά το θέμα εδώ. Δεν ξέρω πώς να βοηθήσω. Η Ευρωπαϊκή Επιτροπή θα ήταν εντάξει με αυτό, αλλά η λήψη 1 εκατομμυρίου υπογραφών μπορεί να είναι πολύ δύσκολη εάν οι άνθρωποι δεν κατανοούν το θέμα.

2. Νομίζω ότι υπήρξε παρόμοια πρόταση με το ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας για τις υπηρεσίες υπολογιστικού νέφους (EUCS). Δεν είμαι σίγουρος αν είναι επιτυχής ή ακόμη και μια ενεργή πρόταση, αλλά μια αναφορά σε αυτήν θα ήταν καλή, έτσι ώστε η Ευρωπαϊκή Επιτροπή να μην απαντήσει ότι τουλάχιστον ορισμένοι από τους στόχους σας καλύπτονται ήδη από το EUCS. Δεν είμαι τεχνικός, οπότε ίσως οι προτάσεις είναι αρκετά διαφορετικές και δεν το συνειδητοποίησα με μια ματιά.

Παρόλα αυτά, σκεφτείτε ότι αυτή είναι μια καλή πρωτοβουλία που μπορεί να λειτουργήσει, αλλά ίσως χρειαστούν κάποιες μικρές αλλαγές και κάποια περισσότερη εξωτερική βοήθεια.

Καλές ευχές και καλή τύχη

Nikitas Bastas | 22 May 2026

Ναι, έχεις δίκιο! Επικαλύπτεται σε μεγάλο βαθμό όχι μόνο με την πρόταση EUCS, αλλά και με τους ισχύοντες νόμους και κανονισμούς, τις εν εξελίξει συζητήσεις, τα μελλοντικά σχέδια της ΕΕ για την ψηφιακή αυτοεξάρτηση κ.λπ. 

Ιδίως υπό ορισμένες γεωπολιτικές συνθήκες, διαπιστώθηκε τελικά ότι η αυτοεξάρτηση της ΕΕ, όχι μόνο από την ψηφιακή πλευρά, αλλά με την ευρύτερη έννοια, δεν είναι πλέον «καλή» αλλά απόλυτη αναγκαιότητα.

Ένας λόγος που μπορεί να καταστήσει την παρούσα πρόταση διακριτή και πολύτιμη ως μέτρια συμβολή/ιδέα είναι ότι ζητεί «ένα εθελοντικό, προσανατολισμένο στην παροχή υπηρεσιών, βασιζόμενο στον κίνδυνο, ανεξάρτητα ελεγμένο προφίλ πιστοποίησης για την ανθεκτικότητα του κρατικού ελέγχου σε όλες τις κρίσιμες υπηρεσίες ψηφιακών υποδομών», αλλά χωρίς να περιορίζεται στις υπηρεσίες υπολογιστικού νέφους (EUCS).

Ένας δεύτερος λόγος μπορεί να είναι ότι η πρόταση αυτή ζητείται από τους ευρωπαίους πολίτες - όχι από τα μέσα της ΕΕ, τους υπεύθυνους χάραξης πολιτικής, τα μικροπολιτικά μεροληπτικά άτομα. Από αυτή την άποψη, μπορεί να στείλει ένα σαφές μήνυμα στην Ευρωπαϊκή Επιτροπή σχετικά με την ανησυχία, τον σκεπτικισμό που έχουν ήδη πολλοί πολίτες της ΕΕ όσον αφορά την υψηλή ψηφιακή εξάρτηση και την έκθεση δεδομένων σε ψηφιακά αγαθά εκτός ΕΕ.

banner
Είστε έτοιμοι να καταχωρίσετε την πρωτοβουλία σας;

Θέλετε να υποστηρίξετε μια πρωτοβουλία; Θέλετε να μάθετε περισσότερα για τρέχουσες ή παλαιότερες πρωτοβουλίες;

Επισκεφτείτε τον ιστότοπο της Ευρωπαϊκής Πρωτοβουλίας Πολιτών