Elutähtsa digitaristu ELi riigikontrolli sertifikaat

Algatuse eesmärgid

Kutsume Euroopa Komisjoni üles esitama või toetama ELi küberturvalisuse sertifitseerimise raamistikus õigusakte, sealhulgas määrust (EL) 2019/881 või mis tahes sellele järgnevat õigusakti, et luua elutähtsate digitaristuteenuste jaoks vabatahtlik, riskipõhine ja astmeline ELi riigikontrolli sertifitseerimise komponent.

Komponent peaks olema eraldiseisev üksnes pilvepõhisest küberturvalisuse sertifitseerimisest, üksuse küberpositsioonide sertifitseerimisest, suure riskiga tarnijate piirangutest ja tarneahela üldistest riskivahenditest ning neid täiendama. See peaks andma vabatahtliku ja auditeeritava teenustaseme signaali riigikontrolli vastupanuvõime kohta.

Ta peaks hindama tegelikku omandilist kuuluvust ja materiaalset kontrolli; ELi jurisdiktsioon ja operatiivkontroll kriitiliste funktsioonide üle; kolmanda riigi õiguslikud või äriühingu kontrolliga seotud riskid; oluline kriitiline sõltuvus; kaitsemeetmed kolmandate riikide ebaseadusliku juurdepääsu või sekkumise vastu; sõltumatud auditid, usaldusväärsuse tasemed ja ümberhindamine pärast olulisi muutusi.

Sertifitseeritud staatus peaks olema kasutatav objektiivse hanke- või läbipaistvuskriteeriumina, kui see on põhjendatud küberturvalisuse, kerksuse, andmekaitse, teenuse järjepidevuse või kasutajate seadusliku valikuga.

Aluslepingute
sätted, mida peate kavandatava meetme puhul asjakohaseks

ELi toimimise lepingu artiklid 114 ja 16; vajaduse korral ELi toimimise lepingu artikli 53 lõige 1, artiklid 62 ja 173, mis käsitlevad siseturu ühtlustamist, andmekaitset, küberturvalisuse sertifitseerimist, teenuskaubandust, vastupanuvõimet ja ELi tööstuse konkurentsivõimet.

Lisa algatuse teema, eesmärkide ja tausta kohta

Teema

Käesolev algatus käsitleb elutähtsate digitaristuteenuste vabatahtlikku, riskipõhist ja astmelist ELi riigikontrolli sertifitseerimise komponenti määruse (EL) 2019/881 kohases ELi küberturvalisuse sertifitseerimise raamistikus või mis tahes sellele järgnevas õigusaktis.
 

Selles ei nõuta välismaiste teenuseosutajate keelustamist, kohustuslikku kasutamist ainult ELis, tsensuuri, aluslepingu muutmist ega digitaalset eraldatust. Selles nõutakse seaduslikku, vabatahtlikku ja auditeeritavat ELi mehhanismi, et kodanikud, ettevõtjad, avaliku sektori asutused ja ELi institutsioonid saaksid teha kindlaks teenused, mis pakuvad suuremat vastupanuvõimet ELi-välise kontrolli, välisriigi õigusliku surve, läbipaistmatu kriitilise sõltuvuse ja kolmandate riikide ebaseadusliku juurdepääsu suhtes.
 

Algatus tugineb EUCSi pilvandmetöötluse sertifitseerimise arutelule, kuid on sellest eraldiseisev. EUCS käsitleb pilvandmetöötluse küberturvalisuse sertifitseerimist. Algatusega taotletakse laiemat õiguslikku alust teenusetasandi suveräänse kontrolli profiilile, mis hõlmab elutähtsat digitaristut, sealhulgas pilvandmetöötlust, veebimajutust, DNSi, CDNi, sertifitseerimisasutust, identiteeti ja autentimist, hallatud küberturvalisust ja muid elutähtsaid IKT-teenuseid.
 

Vajadus ja õiguslik lünk

ELi õiguses juba käsitletakse probleemi olulisi osi. Isikuandmete kaitse üldmäärus kaitseb isikuandmeid. Küberturvalisuse 2. direktiiviga tugevdatakse elutähtsate ja oluliste üksuste küberturvalisusega seotud kohustusi. Andmemääruses käsitletakse kolmandate riikide valitsuste ebaseaduslikku juurdepääsu andmetöötlusteenuse osutajate liidus hoitavatele isikustamata andmetele. Küberturvalisust käsitleva õigusaktiga luuakse küberturvalisuse sertifitseerimise ELi raamistik.
 

Olemasolevad ja kavandatud vahendid ei pruugi siiski anda selget, vabatahtlikku, avalikku ja teenuste tasandi ELi sertifitseerimissignaali riigikontrolli vastupanuvõime kohta. Tehniline küberturvalisuse sertifitseerimine, üksuse küberpositsioonide sertifitseerimine, tarneahela riskivahendid, suure riskiga tarnijate piirangud ja ainult pilvandmetöötluse kavad ei anna tavakasutajatele ja hankijatele iseenesest võrreldavat võimalust hinnata, kes kontrollib elutähtsat teenust, milline õigus võib täita selle kriitilisi funktsioone ning millised sõltuvused võivad mõjutada järjepidevust, konfidentsiaalsust, terviklust või seaduslikku juurdepääsu.
 

Teenus võib olla tehniliselt turvaline ja õiguslikult nõuetele vastav, sõltudes siiski ELi-välistest kontrolllennukitest, emaettevõtte mõjust, kolmandate riikide õiguslikest kohustustest, kaughaldusest, logimisest, telemeetriast, DNSist, CDNist, sertifitseerimisasutuste teenustest, identiteedisüsteemidest, pilveteenustest, tarkvara tarneahelatest või alltöövõtjatest, mida kasutajad ei saa realistlikult kontrollida.
 

Eesmärgid

Komisjon peaks esitama õigusakti ettepaneku või seda toetama, et:
 

1. Luua elutähtsate digitaristuteenuste jaoks vabatahtlik, riskipõhine ja astmeline ELi riigikontrolli sertifitseerimise komponent.
 

2. Nõuda, et hinnataks tegelikku omandiõigust ja materiaalset kontrolli, sealhulgas tegelikku kasusaajat, emaettevõtja kontrolli, hääleõigust, juhatuse mõju, lepingulist kontrolli ja muud olulist mõju julgeolekuga seotud otsustele või kriitilistele operatsioonidele.
 

3. Nõuda ELi jurisdiktsiooni hindamist ja operatiivkontrolli kriitiliste funktsioonide üle, sealhulgas andmetöötlus, võtmehaldus, logimine, autentimine, intsidentidele reageerimine, taristu haldamine, ajakohastamismehhanismid ja kaughaldus.
 

4. Nõuda selliste kolmandate riikide õiguslike kohustuste või ettevõtte kontrollikorra hindamist, mis võivad sundida isikuandmetele, metaandmetele, isikustamata operatiivandmetele, turvalogidele, haldussüsteemidele või muudele kriitilistele funktsioonidele juurde pääsema, neid salajaseks muutma, avalikustama, tegevusse sekkuma või nende üle kontrolli üle andma.
 

5. Nõuda olulise kriitilise sõltuvuse avalikustamist, kui see on sertifitseeritud teenuse puhul asjakohane, sealhulgas veebimajutus, pilv, tarkvara, püsivara, DNS, CDN, sertifitseerimisasutus, identiteet, telemeetria, alltöövõtja ja kaughalduse sõltuvus, mis võib mõjutada konfidentsiaalsust, terviklikkust, kättesaadavust, halduskontrolli, seaduslikku juurdepääsu või järjepidevust.
 

6. Nõuda tehnilisi, korralduslikke ja õiguslikke kaitsemeetmeid kolmandate riikide ebaseadusliku juurdepääsu või sekkumise vastu, sealhulgas juurdepääsutaotluste dokumenteeritud menetlemist, võimaluse korral õiguslikku vaidlustamist, eelisjuurdepääsu kontrolle, auditilogisid, ülesannete lahusust, läbipaistvusaruandlust ja vajaduse korral ELi kontrolli all olevat võtmehaldust.
 

7. Nõuda sõltumatuid perioodilisi auditeid, avaliku auditi kokkuvõtteid, mõõdetavaid usaldusväärsuse tasemeid, ümberhindamist pärast olulisi muudatusi ning ärisaladuste, tundlike julgeolekuandmete ja salastatud teabe kaitset.
 

8. Lubada kasutada sertifitseeritud staatust objektiivse hanke- ja turuläbipaistvuse kriteeriumina, kui see on põhjendatud küberturvalisuse, vastupidavuse, andmekaitse, oluliste teenuste järjepidevuse, avaliku sektori vajaduste või kasutajate seadusliku valikuga.
 

Asjakohasus ja vastavus
 

Algatus ei ole must nimekiri ega range andmete asukoha reegel. See on läbipaistvuse ja kindluse tagamise mehhanism. See peaks täiendama EUCSi, küberturvalisuse 2. direktiivi, andmemäärust, küberturvalisuse tarneahela meetmeid ja tulevast pilvepoliitikat neid asendamata.
 

See toetab siseturgu, andmekaitset, küberturvalisust, vastupanuvõimet ja ELi tehnoloogilist suveräänsust, jäädes samal ajal vabatahtlikuks, proportsionaalseks, riskipõhiseks ja avatud turgudega kokkusobivaks. Selles austatakse liikmesriikide pädevust, sealhulgas riiklikku julgeolekut, ning kodanike ja üksuste vabadust säilitada digisidemeid kolmandate riikidega.