Certificazione UE di controllo sovrano per le infrastrutture digitali critiche

Obiettivi dell'iniziativa

Invitiamo la Commissione europea a proporre o sostenere la legislazione nell'ambito del quadro di certificazione della cibersicurezza dell'UE, compreso il regolamento (UE) 2019/881 o qualsiasi atto successivo, al fine di creare una componente facoltativa, basata sul rischio e a più livelli di certificazione del controllo sovrano dell'UE per i servizi di infrastrutture digitali critiche.

La componente dovrebbe essere distinta e complementare alla certificazione della cibersicurezza basata esclusivamente sul cloud, alla certificazione della postura informatica dell'entità, alle restrizioni dei fornitori ad alto rischio e agli strumenti generali di rischio della catena di approvvigionamento. Dovrebbe fornire un segnale volontario e verificabile a livello di servizio sulla resilienza del controllo sovrano.

Dovrebbe valutare l'effettiva proprietà e il controllo dei materiali; giurisdizione dell'UE e controllo operativo sulle funzioni essenziali; rischi legali o di controllo societario di paesi terzi; dipendenze critiche rilevanti; misure di salvaguardia contro l'accesso o l'ingerenza illeciti da parte di paesi terzi; audit indipendenti, livelli di affidabilità e rivalutazione dopo modifiche sostanziali.

Lo status certificato dovrebbe essere utilizzabile come criterio oggettivo di appalto o di trasparenza ove giustificato dalla cibersicurezza, dalla resilienza, dalla protezione dei dati, dalla continuità del servizio o dalla legittima scelta degli utenti.

Disposizioni dei trattati che ritieni pertinenti per l'azione proposta

articoli 114 e 16 TFUE; se del caso, l'articolo 53, paragrafo 1, e gli articoli 62 e 173 TFUE, per l'armonizzazione del mercato interno, la protezione dei dati, la certificazione della cibersicurezza, gli scambi di servizi, la resilienza e la competitività industriale dell'UE.

Allegato sul tema, gli obiettivi e il contesto dell'iniziativa

La presente iniziativa riguarda una componente facoltativa, basata sul rischio e a più livelli di certificazione del controllo sovrano dell'UE per i servizi di infrastrutture digitali critiche, nell'ambito del quadro di certificazione della cibersicurezza dell'UE a norma del regolamento (UE) 2019/881 o di qualsiasi atto successivo.
 

Non chiede un divieto per i fornitori stranieri, l'uso obbligatorio solo nell'UE, la censura, la modifica dei trattati o l'isolamento digitale. Chiede un meccanismo dell'UE legale, volontario e verificabile in modo che i cittadini, le imprese, le autorità pubbliche e le istituzioni dell'UE possano individuare servizi che offrano una maggiore resilienza contro il controllo da parte di paesi terzi, la pressione giuridica straniera, le dipendenze critiche opache e l'accesso illegale di paesi terzi.
 

L'iniziativa si basa, ma è distinta, dal dibattito sulla certificazione cloud dell'EUCS. L'EUCS riguarda la certificazione della cibersicurezza nel cloud. L'iniziativa chiede una base legislativa più ampia per un profilo di controllo sovrano a livello di servizio che copra le infrastrutture digitali critiche, tra cui cloud, hosting, DNS, CDN, autorità di certificazione, identità e autenticazione, cibersicurezza gestita e altri servizi TIC critici.
 

Necessità e lacuna giuridica

Il diritto
dell'UE affronta già parti importanti del problema. Il GDPR protegge i dati personali. NIS2 rafforza gli obblighi di cibersicurezza per i soggetti essenziali e importanti. La legge sui dati riguarda l'accesso illecito da parte di governi di paesi terzi a dati non personali detenuti nell'Unione da fornitori di servizi di trattamento dei dati. Il regolamento sulla cibersicurezza istituisce un quadro dell'UE per la certificazione della cibersicurezza.
 

Tuttavia, gli strumenti esistenti e proposti non forniscono necessariamente un segnale di certificazione dell'UE chiaro, volontario, pubblico e a livello di servizio per la resilienza del controllo sovrano. La certificazione tecnica della cibersicurezza, la certificazione della postura informatica dell'entità, gli strumenti di rischio per la catena di approvvigionamento, le restrizioni per i fornitori ad alto rischio e i sistemi esclusivamente cloud non offrono di per sé agli utenti ordinari e ai committenti un modo comparabile per valutare chi controlla un servizio critico, quale legge può raggiungere le sue funzioni essenziali e quali dipendenze possono incidere sulla continuità, sulla riservatezza, sull'integrità o sull'accesso lecito.
 

Un servizio può essere tecnicamente sicuro e conforme alla legge pur dipendendo da piani di controllo di paesi terzi, influenza della società madre, obblighi giuridici di paesi terzi, amministrazione remota, registrazione, telemetria, DNS, CDN, servizi di autorità di certificazione, sistemi di identità, servizi cloud, catene di approvvigionamento di software o subappaltatori che gli utenti non possono realisticamente ispezionare.
 

Obiettivi

La Commissione dovrebbe proporre o sostenere atti legislativi volti a:
 

1. Creare una componente facoltativa, basata sul rischio e a più livelli di certificazione del controllo sovrano dell'UE per i servizi di infrastrutture digitali critiche.
 

2. Richiedere una valutazione della proprietà effettiva e del controllo materiale, compresi la titolarità effettiva, il controllo della società madre, i diritti di voto, l'influenza del consiglio di amministrazione, il controllo contrattuale e altre influenze rilevanti sulle decisioni rilevanti per la sicurezza o sulle operazioni critiche.
 

3. Richiedere una valutazione della giurisdizione dell'UE e il controllo operativo sulle funzioni essenziali, tra cui l'elaborazione dei dati, la gestione delle chiavi, la registrazione, l'autenticazione, la risposta agli incidenti, l'amministrazione dell'infrastruttura, i meccanismi di aggiornamento e l'amministrazione remota.
 

4. richiedere una valutazione degli obblighi giuridici o delle disposizioni in materia di controllo societario dei paesi terzi in grado di imporre l'accesso, la segretezza, la divulgazione, l'interferenza operativa o il trasferimento del controllo su dati personali, metadati, dati operativi non personali, registri di sicurezza, sistemi amministrativi o altre funzioni essenziali.
 

5. Richiedere la divulgazione delle dipendenze critiche rilevanti, se pertinenti per il servizio certificato, comprese le dipendenze da hosting, cloud, software, firmware, DNS, CDN, autorità di certificazione, identità, telemetria, subappaltatore e amministrazione remota che possono incidere sulla riservatezza, l'integrità, la disponibilità, il controllo amministrativo, l'accesso legittimo o la continuità.
 

6. Richiedere garanzie tecniche, organizzative e giuridiche contro l'accesso o le interferenze illegali di paesi terzi, compresa la gestione documentata delle richieste di accesso, l'impugnazione legale ove possibile, i controlli di accesso privilegiato, i registri di audit, la separazione dei compiti, la comunicazione in materia di trasparenza e, se del caso, la gestione delle chiavi controllata dall'UE.
 

7. Richiedere audit periodici indipendenti, sintesi degli audit pubblici, livelli di affidabilità misurabili, rivalutazione dopo modifiche sostanziali e protezione dei segreti commerciali, dei dettagli di sicurezza sensibili e delle informazioni classificate.
 

8. Consentire che lo status certificato sia utilizzato come criterio oggettivo di appalto e di trasparenza del mercato ove giustificato dalla cibersicurezza, dalla resilienza, dalla protezione dei dati, dalla continuità dei servizi essenziali, dalle esigenze del settore pubblico o dalla scelta legittima degli utenti.
 

Pertinenza e conformità
 

L'iniziativa non è una lista nera né una rigida regola di localizzazione dei dati. Si tratta di un meccanismo di trasparenza e garanzia. Dovrebbe integrare l'EUCS, la NIS2, la normativa sui dati, le misure relative alla catena di approvvigionamento della cibersicurezza e la futura politica in materia di cloud senza sostituirle.
 

Sostiene il mercato interno, la protezione dei dati, la cibersicurezza, la resilienza e la sovranità tecnologica dell'UE, pur rimanendo volontario, proporzionato, basato sul rischio e compatibile con i mercati aperti. Rispetta le competenze degli Stati membri, compresa la sicurezza nazionale, e la libertà dei cittadini e delle entità di mantenere legami digitali con i paesi terzi.