Certifikacija državne kontrole EU-a za kritičnu digitalnu infrastrukturu

Ciljevi inicijative

Pozivamo Europsku komisiju da predloži zakonodavstvo kojim bi se izmijenila ili dopunila Uredba (EU) 2019/881, Akt o kibersigurnosti, kako bi se stvorila neobvezna certifikacijska komponenta EU-a za suverenu kontrolu za usluge ključne digitalne infrastrukture.

Komponentom bi se trebalo ocijeniti sljedeće:

1. stvarno vlasništvo i kontrola, uključujući stvarno vlasništvo, matično društvo, glasačko pravo, upravu, ugovorni ili drugi značajni utjecaj;

2. nadležnost EU-a nad ključnim operacijama, uključujući obradu podataka, upravljanje ključevima, autentifikaciju, evidentiranje, odgovor na incidente i upravljanje na daljinu;

3. pravne obveze trećih zemalja koje mogu stvoriti rizike za pristup osobnim podacima, metapodacima, operativnim podacima, evidenciji ili administrativnim sustavima;

4. ključne ovisnosti izvan EU-a, uključujući usluge računalstva u oblaku, smještaja informacija na poslužitelju, DNS-a, CDN-a, certifikacijskog tijela, identiteta, softvera, podizvođača i upravljanja na daljinu;

5. neovisne periodične revizije i zaštitne mjere protiv nezakonitog pristupa trećih zemalja.

Certificirani status trebao bi se moći upotrebljavati kao objektivan kriterij nabave ako je to opravdano kibersigurnošću, otpornošću, zaštitom podataka, kontinuitetom usluga, strateškom autonomijom ili zakonitim izborom korisnika.

Odredbe Ugovorâ koje smatrate relevantnima za predloženo djelovanje

članci 114. i 16. UFEU-a; prema potrebi, članak 173. UFEU-a, za usklađivanje unutarnjeg tržišta, zaštitu podataka, kibersigurnosnu certifikaciju i industrijsku konkurentnost EU-a.

Prilog o predmetu, ciljevima i pozadini inicijative

Predmet

Ova se inicijativa odnosi na neobveznu certifikacijsku komponentu EU-a za suverenu kontrolu za usluge ključne digitalne infrastrukture izmjenom ili dopunom Uredbe (EU) 2019/881, Akta o kibersigurnosti.

Ne traži zabranu stranih pružatelja usluga, obveznu upotrebu samo u EU-u, cenzuru, izmjenu Ugovora ili digitalnu izolaciju. Traži zakonit i dobrovoljan mehanizam EU-a koji se može revidirati kako bi građani, poduzeća, javna tijela i institucije EU-a mogli utvrditi usluge koje nude veću otpornost na kontrolu izvan EU-a, strani pravni pritisak, netransparentne ovisnosti i nezakonit pristup trećih zemalja.

Potreba i pravna praznina u zakonodavstvu

EU-a već se odnose na važne dijelove problema. GDPR štiti osobne podatke. Direktivom NIS2 jačaju se dužnosti u području kibersigurnosti za ključne i važne subjekte. Akt o podacima uključuje pravila protiv nezakonitog pristupa vlade trećih zemalja neosobnim podacima u posjedu pružatelja usluga obrade podataka u Uniji. Aktom o kibersigurnosti stvara se okvir EU-a za kibersigurnosnu certifikaciju IKT proizvoda, IKT usluga, IKT procesa i upravljanih sigurnosnih usluga.

Međutim, tim se instrumentima ne stvara jasan certifikacijski signal na razini EU-a za otpornost državne kontrole u kritičnoj digitalnoj infrastrukturi. Usluga može biti tehnički sigurna i pravno usklađena, ali i dalje ovisi o kontrolnim zrakoplovima izvan EU-a, utjecaju matičnih društava, pravnim obvezama trećih zemalja, upravljanju na daljinu, evidentiranju, telemetriji, DNS-u, CDN-u, certifikacijskom tijelu, identitetu, oblaku ili ovisnostima podugovaratelja koje obični korisnici i naručitelji ne mogu realno pregledati.

Ovom se inicijativom stoga uklanja određeni nedostatak: pretvara rizik kontrole države iz nejasne političke tvrdnje u dobrovoljnu, mjerljivu komponentu certificiranja koja se može neovisno revidirati u skladu s pravom EU-a.
 

Ciljevi

Komisija bi trebala predložiti zakonodavstvo o izmjeni ili dopuni Uredbe (EU) 2019/881 kako bi se:

1. Stvoriti neobveznu komponentu certifikacije EU-a pod suverenom kontrolom za usluge ključne digitalne infrastrukture, uključujući usluge računalstva u oblaku, smještaja na poslužitelju, DNS-a, CDN-a, usluga certifikacijskog tijela, usluge identifikacije i autentikacije, upravljane kibersigurnosne usluge i druge IKT usluge koje su Komisija ili ENISA odredile kao ključne.

2. Zahtijevaju procjenu stvarnog vlasništva i kontrole, uključujući stvarno vlasništvo, kontrolu matičnog društva, glasačka prava, utjecaj uprave, ugovornu kontrolu i druge oblike značajnog utjecaja.

3. zahtijevati procjenu nadležnosti EU-a nad ključnim operacijama, uključujući obradu podataka, administraciju usluga, upravljanje ključevima, bilježenje, autentifikaciju, odgovor na incidente, kontrolu infrastrukture i upravljanje na daljinu.

4. zahtijevati procjenu izloženosti pravnim obvezama trećih zemalja, uključujući zakone, sudske naloge, upravne naloge, sustave pristupa obavještajnim podacima ili strukture korporativne kontrole koje bi mogle stvoriti rizike za pristup osobnim podacima korisnika iz EU-a, metapodacima, neosobnim operativnim podacima, sigurnosnoj evidenciji ili sustavima administrativnog pristupa.

5. zahtijevati otkrivanje ključnih ovisnosti, uključujući relevantne ovisnosti o smještaju na poslužitelju, oblaku, softveru, ugrađenom softveru, DNS-u, CDN-u, certifikacijskom tijelu, lancu opskrbe hardverom, telemetriji, podizvođaču i ovisnosti o upravljanju na daljinu.

6. zahtijevati tehničke, organizacijske i pravne zaštitne mjere protiv nezakonitog pristupa trećih zemalja, uključujući dokumentaciju o zahtjevima za pristup trećih zemalja, pravno osporavanje ako je to moguće i skupno izvješćivanje o transparentnosti, osim ako je to zabranjeno zakonom.

7. Zahtijevati neovisne periodične revizije, sažetke javnih revizija, mjerljive razine certifikacije i zaštitu poslovnih tajni, istinski osjetljivih sigurnosnih podataka i klasificiranih podataka.

8. omogućiti upotrebu certificiranog statusa kao objektivnog kriterija javne nabave i transparentnosti tržišta ako je to opravdano kibersigurnošću, otpornošću, zaštitom podataka, zaštitom podataka u javnom sektoru, kontinuitetom ključnih usluga, strateškom autonomijom ili zakonitim izborom korisnika.

Građanima i subjektima

EU-a, javnim tijelima i privatnim subjektima trebalo bi omogućiti da odaberu digitalne usluge sa smanjenom izloženošću kontroli trećih zemalja i nezakonitom pristupu, a da im se pritom ne ukine sloboda korištenja uslugama izvan EU-a. Ovom se inicijativom podupire praktična opcija pod kontrolom EU-a u kojoj je to opravdano rizikom, pravom, potrebama za nabavom ili demokratskim izborom.

Usklađenost s pravom i vrijednostima EU-a

Inicijativa je dobrovoljna, proporcionalna, transparentna i kompatibilna s otvorenim tržištima. Podupire unutarnje tržište, zaštitu podataka, kibersigurnost, otpornost i tehnološku suverenost EU-a uz poštovanje nadležnosti država članica, uključujući nacionalnu sigurnost, te slobodu građana i subjekata da održavaju digitalne veze s trećim zemljama.