Ugrás a fő tartalomra
Az Európai Unió zászlaja
magyarmagyar
Az európai polgári kezdeményezés fóruma

A kritikus digitális infrastruktúrára vonatkozó uniós szuverenitás-ellenőrzési tanúsítvány

Szerző: Nikitas Bastas |
Frissítés dátuma: 08 June 2026 |
Megtekintések száma: 617

A kezdeményezés célkitűzései

Felkérjük az Európai Bizottságot, hogy tegyen javaslatot vagy támogassa az uniós kiberbiztonsági tanúsítási keretrendszeren belüli jogszabályokat, beleértve az (EU) 2019/881 rendeletet vagy bármely azt felváltó jogi aktust, hogy hozzon létre egy opcionális, kockázatalapú és többszintű uniós szuverén ellenőrzési tanúsítási komponenst a kritikus digitálisinfrastruktúra-szolgáltatások számára.


A komponensnek el kell különülnie a kizárólag felhőalapú kiberbiztonsági tanúsítástól, a szervezetek kiberhelyzet-tanúsításától, a magas kockázatú beszállítói korlátozásoktól és az ellátási lánccal kapcsolatos általános kockázati eszközöktől, és ki kell egészítenie azokat. Önkéntes és ellenőrizhető szolgáltatási szintű jelzést kell adnia a szuverén ellenőrzéssel szembeni rezilienciáról.


Értékelnie kell a tényleges tulajdonlást és az anyagellenőrzést; a kritikus funkciók feletti uniós joghatóság és operatív ellenőrzés; harmadik országbeli jogi vagy vállalati ellenőrzési kockázatok; lényeges kritikus függőségek; a harmadik országok jogellenes hozzáférésével vagy beavatkozásával szembeni biztosítékok; független ellenőrzések, bizonyossági szintek és a lényeges változásokat követő újraértékelés.


A tanúsított státusznak objektív közbeszerzési vagy átláthatósági kritériumként használhatónak kell lennie, amennyiben azt a kiberbiztonság, a reziliencia, az adatvédelem, a szolgáltatás folytonossága vagy a felhasználók jogszerű választása indokolja.


A Szerződések azon rendelkezései, amelyeket Ön a javasolt intézkedés szempontjából relevánsnak tart

az EUMSZ 114. és 16. cikke; adott esetben az EUMSZ 53. cikkének (1) bekezdése, 62. és 173. cikke a belső piaci harmonizáció, az adatvédelem, a kiberbiztonsági tanúsítás, a szolgáltatáskereskedelem, a reziliencia és az uniós ipari versenyképesség tekintetében.

Melléklet a kezdeményezés tárgyáról, célkitűzéseiről és hátteréről

Tárgy


Ez a kezdeményezés az (EU) 2019/881 rendelet vagy bármely azt felváltó jogi aktus szerinti uniós kiberbiztonsági tanúsítási keretrendszeren belül a kritikus digitálisinfrastruktúra-szolgáltatásokra vonatkozó opcionális, kockázatalapú és többszintű uniós szuverén ellenőrzési tanúsítási komponensre vonatkozik.
 

Nem kéri a külföldi szolgáltatók betiltását, a kizárólag az EU-ban történő kötelező felhasználást, a cenzúrát, a Szerződés módosítását vagy a digitális izolációt. Jogszerű, önkéntes és ellenőrizhető uniós mechanizmust kér annak érdekében, hogy a polgárok, a vállalkozások, a hatóságok és az uniós intézmények azonosítani tudják azokat a szolgáltatásokat, amelyek nagyobb rezilienciát kínálnak a nem uniós ellenőrzéssel, a külföldi jogi nyomással, az átláthatatlan kritikus függőségekkel és a harmadik országok jogellenes hozzáférésével szemben.
 

Ez a kezdeményezés az EUCS felhőtanúsítási vitájára épül, de különbözik attól. Az EUCS a felhőalapú kiberbiztonsági tanúsításra vonatkozik. Ez a kezdeményezés a kritikus digitális infrastruktúrára – többek között a felhőre, a tárhelyszolgáltatásra, a DNS-re, a CDN-re, a tanúsítványhatóságra, a személyazonosságra és a hitelesítésre, az irányított kiberbiztonságra és más kritikus IKT-szolgáltatásokra – kiterjedő szolgáltatási szintű szuverén ellenőrzési profil szélesebb körű jogalapját kéri.
 

Szükséglet és joghézag


Az uniós jog már foglalkozik a probléma fontos részeivel. A GDPR védi a személyes adatokat. A NIS2 megerősíti az alapvető és fontos szervezetek kiberbiztonsági feladatait. Az adatmegosztási jogszabály az adatkezelési szolgáltatóknak az Unióban tárolt nem személyes adatokhoz való jogellenes, harmadik országbeli kormányzati hozzáférésével foglalkozik. A kiberbiztonsági jogszabály létrehozza a kiberbiztonsági tanúsítás uniós keretét.
 

A meglévő és a javasolt eszközök azonban nem feltétlenül nyújtanak egyértelmű, önkéntes, köz- és szolgáltatási szintű uniós tanúsítási jelzést az államadósság-ellenőrzés rezilienciájához. A műszaki kiberbiztonsági tanúsítás, a szervezet kiberbiztonsági póztanúsítása, az ellátási lánc kockázati eszközei, a magas kockázatú beszállítói korlátozások és a csak felhőalapú rendszerek önmagukban nem biztosítanak összehasonlítható módot a hétköznapi felhasználók és a beszerzők számára annak értékelésére, hogy ki ellenőrzi a kritikus szolgáltatást, mely jog érheti el annak kritikus funkcióit, és mely függőségek befolyásolhatják a folytonosságot, a titoktartást, az integritást vagy a jogszerű hozzáférést.
 

Egy szolgáltatás műszakilag biztonságos és jogilag megfelelő lehet, miközben továbbra is függ a nem uniós ellenőrzési síkoktól, az anyavállalat és a vállalat befolyásától, a harmadik országok jogi kötelezettségeitől, a távoli adminisztrációtól, a naplózástól, a telemetriától, a DNS-től, a CDN-től, a tanúsítványhatósági szolgáltatásoktól, az azonosító rendszerektől, a felhőszolgáltatásoktól, a szoftverellátási láncoktól vagy az alvállalkozóktól, amelyeket a felhasználók reálisan nem tudnak ellenőrizni.
 

Célkitűzések

A Bizottságnak jogszabályt kell javasolnia vagy támogatnia a következők érdekében:
 

1. A kritikus digitálisinfrastruktúra-szolgáltatásokra vonatkozó opcionális, kockázatalapú és többszintű uniós szuverén ellenőrzési tanúsítási komponens létrehozása.
 

2. A tényleges tulajdonlás és a lényeges ellenőrzés értékelésének előírása, beleértve a tényleges tulajdonlást, az anyavállalat ellenőrzését, a szavazati jogokat, az igazgatósági befolyást, a szerződéses ellenőrzést és az értékpapír szempontjából releváns döntésekre vagy kritikus műveletekre gyakorolt egyéb lényeges befolyást.
 

3. A kritikus funkciók – többek között az adatfeldolgozás, a kulcskezelés, a naplózás, a hitelesítés, a biztonsági eseményekre való reagálás, az infrastruktúra-adminisztráció, a frissítési mechanizmusok és a távadminisztráció – feletti uniós joghatóság és operatív ellenőrzés értékelésének előírása.
 

4. A személyes adatokhoz, metaadatokhoz, nem személyes műveleti adatokhoz, biztonsági naplókhoz, adminisztratív rendszerekhez vagy más kritikus funkciókhoz való kötelező hozzáférésre, azok titkosságára, nyilvánosságra hozatalára, operatív beavatkozására vagy az azok feletti ellenőrzés átadására alkalmas, harmadik országbeli jogi kötelezettségek vagy vállalati ellenőrzési megállapodások értékelésének előírása.
 

5. A tanúsított szolgáltatás szempontjából releváns lényeges kritikus függőségek közzétételének előírása, beleértve a tárhelyet, a felhőt, a szoftvert, a firmware-t, a DNS-t, a CDN-t, a tanúsítványhatóságot, az identitást, a telemetriát, az alvállalkozót és a távoli igazgatástól való függőségeket, amelyek befolyásolhatják a titoktartást, az integritást, a rendelkezésre állást, az adminisztratív ellenőrzést, a jogszerű hozzáférést vagy a folytonosságot.
 

6. Technikai, szervezeti és jogi biztosítékok előírása a harmadik országok jogellenes hozzáférésével vagy beavatkozásával szemben, beleértve a hozzáférési kérelmek dokumentált kezelését, lehetőség szerint a jogi kifogást, a kiváltságos hozzáférés ellenőrzését, az ellenőrzési naplókat, a feladatok szétválasztását, az átláthatósági jelentéstételt és adott esetben az EU által ellenőrzött kulcskezelést.
 

7. Független időszakos ellenőrzések, nyilvános ellenőrzési összefoglalók, mérhető megbízhatósági szintek, lényeges változásokat követő újraértékelés, valamint az üzleti titkok, az érzékeny biztonsági adatok és a minősített adatok védelmének előírása.
 

8. Lehetővé kell tenni a tanúsított státusz objektív közbeszerzési és piaci átláthatósági kritériumként való alkalmazását, amennyiben azt a kiberbiztonság, a reziliencia, az adatvédelem, az alapvető szolgáltatások folytonossága, a közszféra igényei vagy a felhasználók jogszerű választása indokolja.
 

Relevancia és megfelelés
 

A kezdeményezés nem feketelista és nem merev adatlokalizációs szabály. Ez egy átláthatósági és bizonyossági mechanizmus. Ki kell egészítenie az EUCS-t, a NIS2-t, az adatmegosztási jogszabályt, a kiberbiztonsági ellátásilánc-intézkedéseket és a jövőbeli számításifelhő-politikát anélkül, hogy azokat felváltaná.
 

Támogatja a belső piacot, az adatvédelmet, a kiberbiztonságot, a rezilienciát és az EU technológiai szuverenitását, miközben továbbra is önkéntes, arányos, kockázatalapú és összeegyeztethető a nyitott piacokkal. Tiszteletben tartja a tagállami hatásköröket, többek között a nemzetbiztonságot, valamint a polgárok és szervezetek azon szabadságát, hogy digitális kapcsolatokat tartsanak fenn harmadik országokkal.

Kategória
1
Szavazás

Szóljon hozzá!

Észrevételek beírásához kérjük, jelentkezzen be vagy regisztráljon.

Hozzászólások

Az európai polgári kezdeményezés fórumának felhasználója  | 21 May 2026

Jó napot, Nikitas!

Határozottan nem vagyok jártas ebben a témában, vagy akár az európai polgári kezdeményezések egészében, de van néhány gondolatom, ha úgy gondolja, hogy segítenek.

1. Bár ez egy nagy téma, ez inkább terminológia nehéz. Nehéz lenne nem nehézkessé tenni a terminológiát, mert itt tényleg ez a téma. Szóval, nem tudom, hogyan segítsek. Az Európai Bizottság egyetértene ezzel, de egymillió aláírás megszerzése túl nehéz lenne, ha az emberek nem értenék a témát.

2. Véleményem szerint hasonló javaslat született a számításifelhő-szolgáltatások európai kiberbiztonsági tanúsítási rendszerével (EUCS) kapcsolatban is. Nem vagyok biztos benne, hogy sikeres-e, vagy akár aktív javaslatról van-e szó, de jó lenne, ha megemlítenék, így az Európai Bizottság nem válaszol arra, hogy legalább néhány célkitűzésük már szerepel az EUCS-ben. Tehát alapvetően nem zárnak ki, de én nem vagyok tech srác, így talán a javaslatok meglehetősen eltérőek, és nem vettem észre egy pillantás alatt.

Mégis, úgy gondolom, hogy ez egy jó kezdeményezés, amely működhet, de talán néhány apró változtatásra és néhány külső segítségre lehet szükség.

Jókívánságokat és sok szerencsét

Nikitas Bastas | 22 May 2026

Igen, igazad van! Nagymértékben átfedésben van nemcsak az EUCS-javaslattal, hanem a meglévő jogszabályokkal és rendeletekkel, a folyamatban lévő vitákkal, a digitális önellátásra irányuló jövőbeli uniós tervekkel stb. 

Különösen bizonyos geopolitikai körülmények között végül felismerték, hogy az EU önellátása nemcsak digitális szempontból, hanem tágabb értelemben is már nem „kedves dolog”, hanem abszolút szükségszerűség.

Annak oka, hogy ez a javaslat szerény hozzájárulásként/ötletként megkülönböztethetővé és értékessé válhat, az, hogy „önkéntes, szolgáltatásalapú, kockázatalapú, függetlenül ellenőrzött tanúsítási profilt kér a kritikus digitális infrastrukturális szolgáltatások szuverén ellenőrzési rezilienciájára vonatkozóan”, de nem korlátozódik a felhőalapú szolgáltatásokra (EUCS).

A második ok az lehet, hogy ezt a javaslatot európai polgárok kérik - nem uniós eszközök, politikai döntéshozók, mikropolitikailag elfogult egyének. Ebből a szempontból egyértelmű üzenetet küldhet az Európai Bizottságnak arról az aggodalomról és szkepticizmusról, amelyet sok uniós polgár már most is érez a nem uniós digitális áruktól való nagyfokú digitális függőség és adatkitettség iránt.

banner
Készen áll egy kezdeményezés regisztrálására?

Támogatni szeretné valamelyik kezdeményezést? Bővebb információra van szüksége jelenlegi vagy korábbi kezdeményezésekről?

Látogasson el az európai polgári kezdeményezés honlapjára!