Elutähtsa digitaristu ELi riigikontrolli sertifikaat

Algatuse eesmärgid

Kutsume Euroopa Komisjoni üles esitama õigusakti ettepaneku, millega muudetakse või täiendatakse määrust (EL) 2019/881 (küberturvalisuse määrus), et luua elutähtsate digitaristuteenuste jaoks vabatahtlik ELi riikliku kontrolli sertifitseerimise komponent.

Komponendi puhul tuleks hinnata järgmist:

1. tegelik omamine ja kontroll, sealhulgas tegelik tulusaaja, emaettevõtja, hääletamine, juhatus, lepinguline või muu oluline mõju;

2. ELi jurisdiktsioon kriitiliste toimingute, sealhulgas andmetöötluse, võtmehalduse, autentimise, logimise, intsidentidele reageerimise ja kaughalduse üle;

3. kolmanda riigi õiguslikud kohustused, mis võivad põhjustada isikuandmetele, metaandmetele, operatiivandmetele, logidele või haldussüsteemidele juurdepääsuga seotud riske;

4. kriitilised ELi-välised sõltuvused, sealhulgas pilvandmetöötlus, veebimajutus, DNS, CDN, sertifitseerimisasutus, identiteet, tarkvara, alltöövõtja ja kaughaldusteenused;

5. sõltumatud korrapärased auditid ja kaitsemeetmed kolmandate riikide ebaseadusliku juurdepääsu vastu.

Sertifitseeritud staatus peaks olema kasutatav objektiivse hankekriteeriumina, kui see on põhjendatud küberturvalisuse, vastupidavuse, andmekaitse, teenuse järjepidevuse, strateegilise autonoomia või kasutajate seadusliku valikuga.
Aluslepingute
sätted, mida peate kavandatava meetme puhul asjakohaseks

ELi toimimise lepingu artiklid 114 ja 16; vajaduse korral ELi toimimise lepingu artikkel 173 siseturu ühtlustamise, andmekaitse, küberturvalisuse sertifitseerimise ja ELi tööstuse konkurentsivõime kohta.

Lisa algatuse teema, eesmärkide ja tausta kohta

Teema

Käesolev algatus käsitleb elutähtsate digitaristuteenuste vabatahtlikku ELi riigikontrolli sertifitseerimise komponenti, muutes või täiendades küberturvalisust käsitlevat määrust (EL) 2019/881.

Selles ei nõuta välismaiste teenuseosutajate keelustamist, kohustuslikku kasutamist ainult ELis, tsensuuri, aluslepingu muutmist ega digitaalset eraldatust. Selles nõutakse seaduslikku, vabatahtlikku ja auditeeritavat ELi mehhanismi, et kodanikud, ettevõtjad, avaliku sektori asutused ja ELi institutsioonid saaksid teha kindlaks teenused, mis pakuvad suuremat vastupanuvõimet ELi-välise kontrolli, välisriigi õigusliku surve, läbipaistmatu sõltuvuse ja kolmandate riikide ebaseadusliku juurdepääsu suhtes.

Vajadus ja õiguslik lünk

ELi õiguses juba käsitleb probleemi olulisi osi. Isikuandmete kaitse üldmäärus kaitseb isikuandmeid. Küberturvalisuse 2. direktiiviga tugevdatakse elutähtsate ja oluliste üksuste küberturvalisusega seotud kohustusi. Andmemäärus sisaldab eeskirju, mis keelavad kolmandate riikide valitsuste ebaseadusliku juurdepääsu andmetöötlusteenuste osutajate valduses olevatele isikustamata andmetele liidus. Küberturvalisust käsitleva õigusaktiga luuakse ELi raamistik IKT-toodete, -teenuste, -protsesside ja hallatud turbeteenuste küberturvalisuse sertifitseerimiseks.
Need vahendid ei anna
siiski selget kogu ELi hõlmavat sertifitseerimissignaali riigi kontrolli kerksuse kohta elutähtsas digitaristus. Teenus võib olla tehniliselt turvaline ja õiguslikult nõuetele vastav, sõltudes siiski ELi-välistest kontrolllennukitest, emaettevõtte mõjust, kolmandate riikide õiguslikest kohustustest, kaughaldusest, logimisest, telemeetriast, DNSist, CDNist, sertifitseerimisasutusest, identiteedist, pilveteenusest või alltöövõtjate sõltuvustest, mida tavakasutajad ja hankijad ei saa realistlikult kontrollida.

Seepärast käsitletakse käesolevas algatuses konkreetset lünka: sellega muudetakse riigikontrolli risk ebamäärasest poliitilisest nõudest ELi õiguse kohaseks vabatahtlikuks, mõõdetavaks ja sõltumatult auditeeritavaks sertifitseerimiskomponendiks.
 

Eesmärgid

Komisjon peaks esitama õigusakti ettepaneku, millega muudetakse või täiendatakse määrust (EL) 2019/881, et:

1. Luua vabatahtlik ELi riigikontrolli sertifitseerimise komponent elutähtsate digitaristuteenuste jaoks, sealhulgas pilvandmetöötluse, veebimajutuse, domeeninimede süsteemi, CDNi, sertifitseerimisasutuse teenuste, identimis- ja autentimisteenuste, hallatud küberturvalisuse teenuste ja muude IKT-teenuste jaoks, mille komisjon või ENISA on tunnistanud kriitilise tähtsusega teenusteks.

2. Nõuda tegeliku omandiõiguse ja kontrolli, sealhulgas tegeliku tulusaaja, emaettevõtte kontrolli, hääleõiguse, juhatuse mõju, lepingulise kontrolli ja muude olulise mõju vormide hindamist.

3. Nõuda kriitilise tähtsusega toimingute, sealhulgas andmetöötluse, teenuste haldamise, võtmehalduse, logimise, autentimise, intsidentidele reageerimise, taristukontrolli ja kaughalduse ELi jurisdiktsiooni hindamist.

4. nõuda, et hinnataks kokkupuudet kolmandate riikide õiguslike kohustustega, sealhulgas seaduste, kohtumääruste, haldusmääruste, luureandmetele juurdepääsu korra või ettevõtete kontrollistruktuuridega, mis võivad tekitada juurdepääsuriske ELi kasutajate isikuandmetele, metaandmetele, isikustamata operatiivandmetele, turvalogidele või haldusjuurdepääsusüsteemidele.

5. Nõuda kriitilise sõltuvuse, sealhulgas asjakohase hostingu, pilve, tarkvara, püsivara, DNSi, CDNi, sertifitseerimisasutuse, riistvara tarneahela, telemeetria, alltöövõtja ja kaughalduse sõltuvuse avalikustamist.

6. Nõuda tehnilisi, organisatsioonilisi ja õiguslikke kaitsemeetmeid kolmandate riikide ebaseadusliku juurdepääsu vastu, sealhulgas kolmandate riikide juurdepääsutaotluste dokumenteerimist, võimaluse korral õiguslikku vaidlustamist ja koondatud läbipaistvusaruandlust, välja arvatud juhul, kui see on seadusega keelatud.

7. Nõuda sõltumatuid perioodilisi auditeid, avaliku auditi kokkuvõtteid, mõõdetavaid sertifitseerimistasemeid ning ärisaladuste, tõeliselt tundlike julgeolekuandmete ja salastatud teabe kaitset.

8. Lubada kasutada sertifitseeritud staatust objektiivse riigihanke- ja turuläbipaistvuse kriteeriumina, kui see on põhjendatud küberturvalisuse, vastupidavuse, andmekaitse, avaliku sektori andmekaitse, oluliste teenuste järjepidevuse, strateegilise autonoomia või kasutajate seadusliku valikuga.

Asjakohasus kodanike ja üksuste jaoks

ELi kodanikel, avaliku sektori asutustel ja eraõiguslikel üksustel peaks olema võimalik valida digiteenuseid, mille puhul on kolmanda riigi kontroll ja ebaseaduslik juurdepääs väiksem, ilma et nad kaotaksid vabaduse kasutada ELi-väliseid teenuseid. Algatusega toetatakse praktilist ELi kontrolli all olevat võimalust, kui risk, õigus, hankevajadused või demokraatlik valik seda õigustavad.

Vastavus ELi õigusele ja väärtustele

Algatus on vabatahtlik, proportsionaalne, läbipaistev ja kooskõlas avatud turgudega. See toetab siseturgu, andmekaitset, küberturvalisust, vastupanuvõimet ja ELi tehnoloogilist suveräänsust, austades samal ajal liikmesriikide pädevusi, sealhulgas riiklikku julgeolekut, ning kodanike ja üksuste vabadust säilitada digisidemeid kolmandate riikidega.