A kritikus digitális infrastruktúrára vonatkozó uniós szuverenitás-ellenőrzési tanúsítvány

A kezdeményezés célkitűzései

Felkérjük az Európai Bizottságot, hogy tegyen javaslatot az (EU) 2019/881 rendeletet, a kiberbiztonsági jogszabályt módosító vagy kiegészítő jogszabályra a kritikus digitálisinfrastruktúra-szolgáltatásokra vonatkozó opcionális uniós szuverén ellenőrzési tanúsítási komponens létrehozása érdekében.

A komponensnek értékelnie kell a következőket:

1. tényleges tulajdonlás és ellenőrzés, beleértve a tényleges tulajdonlást, az anyavállalatot, a szavazást, az igazgatóságot, a szerződéses vagy egyéb lényeges befolyást;

2. az EU joghatósága a kritikus műveletek felett, beleértve az adatkezelést, a kulcskezelést, a hitelesítést, a naplózást, az eseményekre való reagálást és a távoli adminisztrációt;

3. olyan harmadik országbeli jogi kötelezettségek, amelyek hozzáférési kockázatot jelenthetnek a személyes adatokra, metaadatokra, működési adatokra, naplókra vagy igazgatási rendszerekre nézve;

4. kritikus nem uniós függőségek, beleértve a felhőt, a tárhelyszolgáltatást, a DNS-t, a CDN-t, a tanúsítványhatóságot, a személyazonosságot, a szoftvert, az alvállalkozót és a távoli adminisztrációs szolgáltatásokat;

5. független időszakos ellenőrzések és a harmadik országok jogellenes hozzáférésével szembeni biztosítékok.

A tanúsított státusznak objektív közbeszerzési kritériumként használhatónak kell lennie, amennyiben azt a kiberbiztonság, a reziliencia, az adatvédelem, a szolgáltatás folytonossága, a stratégiai autonómia vagy a felhasználók jogszerű választása indokolja.

A Szerződések azon rendelkezései, amelyeket Ön a javasolt intézkedés szempontjából relevánsnak tart

az EUMSZ 114. és 16. cikke; adott esetben az EUMSZ 173. cikke a belső piaci harmonizáció, az adatvédelem, a kiberbiztonsági tanúsítás és az uniós ipari versenyképesség tekintetében.

Melléklet a kezdeményezés tárgyáról, célkitűzéseiről és hátteréről

Tárgy

Ez a kezdeményezés az (EU) 2019/881 rendelet (a kiberbiztonsági jogszabály) módosításával vagy kiegészítésével a kritikus digitálisinfrastruktúra-szolgáltatásokra vonatkozó opcionális uniós szuverén ellenőrzési tanúsítási komponensre vonatkozik.

Nem kéri a külföldi szolgáltatók betiltását, a kizárólag az EU-ban történő kötelező felhasználást, a cenzúrát, a Szerződés módosítását vagy a digitális izolációt. Jogszerű, önkéntes és ellenőrizhető uniós mechanizmust kér annak érdekében, hogy a polgárok, a vállalkozások, a hatóságok és az uniós intézmények azonosítani tudják azokat a szolgáltatásokat, amelyek nagyobb rezilienciát kínálnak a nem uniós ellenőrzéssel, a külföldi jogi nyomással, az átláthatatlan függőségekkel és a harmadik országok jogellenes hozzáférésével szemben.

Szükséglet és joghézag

Az uniós jog már foglalkozik a probléma fontos részeivel. A GDPR védi a személyes adatokat. A NIS2 megerősíti az alapvető és fontos szervezetek kiberbiztonsági feladatait. Az adatmegosztási jogszabály szabályokat tartalmaz az adatkezelési szolgáltatóknak az Unióban tárolt nem személyes adatokhoz való jogellenes, harmadik országbeli kormányzati hozzáférése ellen. A kiberbiztonsági jogszabály uniós keretet hoz létre az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások kiberbiztonsági tanúsítására.
Ezek az eszközök
azonban nem teremtenek egyértelmű uniós szintű tanúsítási jelet a kritikus digitális infrastruktúrák szuverén ellenőrzési rezilienciájára vonatkozóan. A szolgáltatás műszakilag biztonságos és jogilag megfelelő lehet, miközben továbbra is függ a nem uniós ellenőrzési síkoktól, az anyavállalat és a vállalat befolyásától, a harmadik országok jogi kötelezettségeitől, a távoli adminisztrációtól, a naplózástól, a telemetriától, a DNS-től, a CDN-től, a tanúsítványhatóságtól, a személyazonosságtól, a felhőtől vagy az alvállalkozói függőségektől, amelyeket a hétköznapi felhasználók és a beszerzők reálisan nem tudnak ellenőrizni.

Ez a kezdeményezés ezért egy konkrét hiányosságot orvosol: a bizonytalan politikai követelésből eredő állami ellenőrzési kockázatot az uniós jog szerinti önkéntes, mérhető és függetlenül ellenőrizhető tanúsítási komponenssé alakítja át.
 

Célkitűzések

A Bizottságnak az (EU) 2019/881 rendeletet módosító vagy kiegészítő jogszabályra kell javaslatot tennie a következők érdekében:

1. opcionális uniós szuverén ellenőrzési tanúsítási komponens létrehozása a kritikus digitálisinfrastruktúra-szolgáltatások számára, beleértve a felhőszolgáltatásokat, a tárhelyszolgáltatásokat, a DNS-t, a CDN-t, a tanúsítványhatósági szolgáltatásokat, a személyazonossági és hitelesítési szolgáltatásokat, az irányított kiberbiztonsági szolgáltatásokat és a Bizottság vagy az ENISA által kritikusnak minősített egyéb IKT-szolgáltatásokat.

2. A tényleges tulajdonlás és ellenőrzés értékelésének előírása, beleértve a tényleges tulajdonlást, az anyavállalat ellenőrzését, a szavazati jogokat, az igazgatósági befolyást, a szerződéses ellenőrzést és a lényeges befolyás egyéb formáit.

3. A kritikus műveletekre vonatkozó uniós joghatóság értékelésének előírása, beleértve az adatfeldolgozást, a szolgáltatáskezelést, a kulcskezelést, a naplózást, a hitelesítést, a biztonsági eseményekre való reagálást, az infrastruktúra ellenőrzését és a távoli adminisztrációt.

4. Fel kell mérni a harmadik országok jogi kötelezettségeinek való kitettséget, beleértve a jogszabályokat, bírósági végzéseket, közigazgatási végzéseket, hírszerzési információkhoz való hozzáférésre vonatkozó rendszereket vagy vállalati ellenőrzési struktúrákat, amelyek hozzáférési kockázatot jelenthetnek az uniós felhasználók személyes adataira, metaadataira, nem személyes operatív adataira, biztonsági naplóira vagy adminisztratív hozzáférési rendszereire nézve.

5. A kritikus függőségek nyilvánosságra hozatalának előírása, beleértve a releváns tárhelyszolgáltatást, felhőszolgáltatást, szoftvert, firmware-t, DNS-t, CDN-t, tanúsítványhatóságot, hardverellátási láncot, telemetriát, alvállalkozói és távoli igazgatási függőségeket.

6. Technikai, szervezeti és jogi biztosítékok előírása a harmadik országok jogellenes hozzáférésével szemben, beleértve a harmadik országok hozzáférés iránti kérelmeinek dokumentációját, lehetőség szerint a jogi kifogást és az összesített átláthatósági jelentéstételt, kivéve, ha azt jogszabály tiltja.

7. Független időszakos ellenőrzések, nyilvános ellenőrzési összefoglalók, mérhető tanúsítási szintek, valamint az üzleti titkok, a valóban érzékeny biztonsági adatok és a minősített adatok védelmének előírása.

8. Lehetővé kell tenni a tanúsított státusz objektív közbeszerzési és piaci átláthatósági kritériumként való alkalmazását, amennyiben azt a kiberbiztonság, a reziliencia, az adatvédelem, a közszférabeli adatvédelem, az alapvető szolgáltatások folytonossága, a stratégiai autonómia vagy a felhasználók jogszerű választása indokolja.

Az

uniós polgárok, hatóságok és magánszervezetek számára lehetővé kell tenni, hogy olyan digitális szolgáltatásokat válasszanak, amelyek kevésbé vannak kitéve harmadik országbeli ellenőrzésnek és jogellenes hozzáférésnek, anélkül, hogy megfosztanák őket a nem uniós szolgáltatások igénybevételének szabadságától. Ez a kezdeményezés olyan gyakorlatias, uniós ellenőrzés alatt álló alternatívát támogat, amelyet a kockázat, a jog, a beszerzési igények vagy a demokratikus választás indokol.

Az uniós jognak és értékeknek
való megfelelés A kezdeményezés önkéntes, arányos, átlátható és összeegyeztethető a nyitott piacokkal. Támogatja a belső piacot, az adatvédelmet, a kiberbiztonságot, a rezilienciát és az EU technológiai szuverenitását, ugyanakkor tiszteletben tartja a tagállami hatásköröket, többek között a nemzetbiztonságot, valamint a polgárok és szervezetek azon szabadságát, hogy digitális kapcsolatokat tartsanak fenn harmadik országokkal.