Certificazione UE di controllo sovrano per le infrastrutture digitali critiche

Obiettivi dell'iniziativa

Invitiamo la Commissione europea a proporre una legislazione che modifichi o integri il regolamento (UE) 2019/881, il regolamento sulla cibersicurezza, al fine di creare una componente facoltativa di certificazione del controllo sovrano dell'UE per i servizi di infrastrutture digitali critiche.

La componente dovrebbe valutare:

1. la proprietà e il controllo effettivi, compresi la titolarità effettiva, la società madre, il voto, il consiglio di amministrazione, l'influenza contrattuale o di altro tipo;

2. giurisdizione dell'UE sulle operazioni critiche, compresi il trattamento dei dati, la gestione delle chiavi, l'autenticazione, la registrazione, la risposta agli incidenti e l'amministrazione a distanza;

3. obblighi giuridici di paesi terzi che possono creare rischi di accesso per i dati personali, i metadati, i dati operativi, i registri o i sistemi amministrativi;

4. dipendenze critiche da paesi terzi, tra cui cloud, hosting, DNS, CDN, autorità di certificazione, identità, software, subappaltatori e servizi di amministrazione remota;

5. audit periodici indipendenti e garanzie contro l'accesso illegale di paesi terzi.

Lo status certificato dovrebbe essere utilizzabile come criterio oggettivo di appalto ove giustificato dalla cibersicurezza, dalla resilienza, dalla protezione dei dati, dalla continuità del servizio, dall'autonomia strategica o dalla legittima scelta degli utenti.

Disposizioni dei trattati che ritieni pertinenti per l'azione proposta

articoli 114 e 16 TFUE; se del caso, l'articolo 173 TFUE, per l'armonizzazione del mercato interno, la protezione dei dati, la certificazione della cibersicurezza e la competitività industriale dell'UE.

Oggetto



La presente iniziativa riguarda una componente facoltativa di certificazione del controllo sovrano dell'UE per i servizi di infrastrutture digitali critiche, modificando o integrando il regolamento (UE) 2019/881, il regolamento sulla cibersicurezza.

Non chiede un divieto per i fornitori stranieri, l'uso obbligatorio solo nell'UE, la censura, la modifica dei trattati o l'isolamento digitale. Chiede un meccanismo dell'UE legale, volontario e verificabile in modo che i cittadini, le imprese, le autorità pubbliche e le istituzioni dell'UE possano individuare servizi che offrano una maggiore resilienza contro il controllo da parte di paesi terzi, la pressione giuridica straniera, le dipendenze opache e l'accesso illegale di paesi terzi.

Il diritto

dell'UE affronta già parti importanti del problema. Il GDPR protegge i dati personali. NIS2 rafforza gli obblighi di cibersicurezza per i soggetti essenziali e importanti. La legge sui dati comprende norme contro l'accesso illecito dei governi di paesi terzi ai dati non personali detenuti nell'Unione da fornitori di servizi di trattamento dei dati. Il regolamento sulla cibersicurezza istituisce un quadro dell'UE per la certificazione della cibersicurezza dei prodotti TIC, dei servizi TIC, dei processi TIC e dei servizi di sicurezza gestiti.

Tuttavia, tali strumenti non creano un chiaro segnale di certificazione a livello dell'UE per la resilienza del controllo sovrano nelle infrastrutture digitali critiche. Un servizio può essere tecnicamente sicuro e conforme alla legge pur dipendendo da piani di controllo non UE, dall'influenza della società madre, dagli obblighi giuridici dei paesi terzi, dall'amministrazione remota, dalla registrazione, dalla telemetria, dal DNS, dalla CDN, dall'autorità di certificazione, dall'identità, dal cloud o dalle dipendenze dei subappaltatori che gli utenti ordinari e i committenti non possono realisticamente ispezionare.

La presente iniziativa colma pertanto una lacuna specifica: converte il rischio di controllo sovrano da una vaga rivendicazione politica in una componente di certificazione volontaria, misurabile e verificabile in modo indipendente ai sensi del diritto dell'UE.
 

La Commissione dovrebbe proporre una normativa che modifichi o integri il regolamento (UE) 2019/881 al fine di:

1. Creare una componente facoltativa di certificazione del controllo sovrano dell'UE per i servizi di infrastrutture digitali critiche, tra cui cloud, hosting, DNS, CDN, servizi di autorità di certificazione, servizi di identità e autenticazione, servizi di cibersicurezza gestiti e altri servizi TIC designati come critici dalla Commissione o dall'ENISA.

2. Richiedere una valutazione della proprietà e del controllo effettivi, compresi la titolarità effettiva, il controllo della società madre, i diritti di voto, l'influenza del consiglio di amministrazione, il controllo contrattuale e altre forme di influenza materiale.

3. Richiedere una valutazione della giurisdizione dell'UE sulle operazioni critiche, tra cui l'elaborazione dei dati, l'amministrazione dei servizi, la gestione delle chiavi, la registrazione, l'autenticazione, la risposta agli incidenti, il controllo dell'infrastruttura e l'amministrazione remota.

4. richiedere una valutazione dell'esposizione agli obblighi giuridici dei paesi terzi, tra cui leggi, ordinanze giudiziarie, ordini amministrativi, regimi di accesso all'intelligence o strutture di controllo societario che potrebbero creare rischi di accesso per i dati personali, i metadati, i dati operativi non personali, i registri di sicurezza o i sistemi di accesso amministrativo degli utenti dell'UE.

5. Richiedere la divulgazione delle dipendenze critiche, tra cui l'hosting, il cloud, il software, il firmware, il DNS, la CDN, l'autorità di certificazione, la catena di approvvigionamento dell'hardware, la telemetria, il subappaltatore e le dipendenze dell'amministrazione remota.

6. Richiedere garanzie tecniche, organizzative e giuridiche contro l'accesso illegale da parte di paesi terzi, compresa la documentazione delle richieste di accesso da parte di paesi terzi, l'impugnazione legale ove possibile e la segnalazione aggregata per la trasparenza, a meno che ciò non sia vietato dalla legge.

7. Richiedono audit periodici indipendenti, sintesi degli audit pubblici, livelli di certificazione misurabili e protezione dei segreti commerciali, dettagli di sicurezza realmente sensibili e informazioni classificate.

8. Consentire che lo status certificato sia utilizzato come criterio oggettivo per gli appalti pubblici e la trasparenza del mercato, ove giustificato dalla cibersicurezza, dalla resilienza, dalla protezione dei dati, dalla protezione dei dati del settore pubblico, dalla continuità dei servizi essenziali, dall'autonomia strategica o dalla scelta legittima degli utenti.

Pertinenza per i cittadini e gli enti I cittadini

dell'UE, le autorità pubbliche e gli enti privati dovrebbero poter scegliere servizi digitali con ridotta esposizione al controllo da parte di paesi terzi e accesso illegale, senza privarli della libertà di utilizzare servizi di paesi terzi. L'iniziativa sostiene un'opzione pratica controllata dall'UE laddove il rischio, la legge, le esigenze in materia di appalti o la scelta democratica la giustifichino.

Rispetto del diritto e dei valori dell'UE

L'iniziativa è volontaria, proporzionata, trasparente e compatibile con i mercati aperti. Sostiene il mercato interno, la protezione dei dati, la cibersicurezza, la resilienza e la sovranità tecnologica dell'UE, nel rispetto delle competenze degli Stati membri, compresa la sicurezza nazionale, e della libertà dei cittadini e delle entità di mantenere legami digitali con i paesi terzi.