ES valstybės kontrolės sertifikavimas ypatingos svarbos skaitmeninei infrastruktūrai

Iniciatyvos tikslai

Raginame Europos Komisiją pasiūlyti arba remti teisės aktus pagal ES kibernetinio saugumo sertifikavimo sistemą, įskaitant Reglamentą (ES) 2019/881 arba bet kurį vėlesnį aktą, kad ypatingos svarbos skaitmeninės infrastruktūros paslaugoms būtų sukurtas neprivalomas, rizika grindžiamas ir pakopinis ES suverenios kontrolės sertifikavimo komponentas.

Komponentas turėtų būti atskiras ir papildyti tik debesijos kibernetinio saugumo sertifikavimą, subjekto kibernetinės rizikos sertifikavimą, didelės rizikos tiekėjų apribojimus ir bendrąsias tiekimo grandinės rizikos priemones. Tai turėtų būti savanoriškas ir patikrinamas paslaugų lygmens signalas apie valstybės kontrolės atsparumą.

Ji turėtų įvertinti faktinę nuosavybę ir materialinę kontrolę; ES jurisdikcija ir ypatingos svarbos funkcijų veiklos kontrolė; trečiosios valstybės teisinės arba įmonių kontrolės rizika; esminės kritinės priklausomybės; apsaugos nuo neteisėtos trečiųjų šalių prieigos ar kišimosi priemones; nepriklausomi auditai, patikinimo lygiai ir pakartotinis vertinimas po esminių pokyčių.

Sertifikuotas statusas turėtų būti naudojamas kaip objektyvus viešųjų pirkimų arba skaidrumo kriterijus, kai tai pateisinama kibernetiniu saugumu, atsparumu, duomenų apsauga, paslaugų tęstinumu arba teisėtu naudotojų pasirinkimu.

Sutarčių
nuostatos, kurios, jūsų nuomone, yra svarbios siūlomam veiksmui

SESV 114 ir 16 straipsniai; kai aktualu, SESV 53 straipsnio 1 dalis, 62 ir 173 straipsniai, susiję su vidaus rinkos derinimu, duomenų apsauga, kibernetinio saugumo sertifikavimu, prekyba paslaugomis, atsparumu ir ES pramonės konkurencingumu.

Priedas dėl iniciatyvos temos, tikslų ir aplinkybių

Ši iniciatyva susijusi su neprivalomu, rizika grindžiamu ir pakopiniu ES suverenios kontrolės sertifikavimo komponentu, taikomu ypatingos svarbos skaitmeninės infrastruktūros paslaugoms pagal ES kibernetinio saugumo sertifikavimo sistemą pagal Reglamentą (ES) 2019/881 arba bet kurį vėlesnį aktą.
 

Jame neprašoma uždrausti užsienio paslaugų teikėjų, privalomo naudojimo tik ES, cenzūros, Sutarties keitimo ar skaitmeninės izoliacijos. Jame prašoma sukurti teisėtą, savanorišką ir patikrinamą ES mechanizmą, kad piliečiai, įmonės, valdžios institucijos ir ES institucijos galėtų nustatyti paslaugas, kuriomis užtikrinamas didesnis atsparumas ne ES kontrolei, užsienio teisiniam spaudimui, neskaidriai kritinei priklausomybei ir neteisėtai prieigai prie trečiųjų šalių.
 

Ši iniciatyva grindžiama debatais dėl EUCS debesijos sertifikavimo, tačiau skiriasi nuo jų. EUCS yra susijusi su debesijos kibernetinio saugumo sertifikavimu. Šia iniciatyva prašoma nustatyti platesnį teisinį pagrindą paslaugų lygmens suverenios kontrolės profiliui, apimančiam ypatingos svarbos skaitmeninę infrastruktūrą, įskaitant debesiją, prieglobą, DNS, CDN, sertifikatų išdavimą, tapatybę ir tapatumo nustatymą, valdomą kibernetinį saugumą ir kitas ypatingos svarbos IRT paslaugas.
 

Poreikis ir teisinė spraga

Svarbios problemos dalys jau sprendžiamos ES teisės aktais. BDAR saugo asmens duomenis. TIS 2 sustiprinamos esminių ir svarbių subjektų kibernetinio saugumo pareigos. Duomenų aktu sprendžiama neteisėtos trečiųjų šalių vyriausybių prieigos prie duomenų tvarkymo paslaugų teikėjų Sąjungoje turimų ne asmens duomenų problema. Kibernetinio saugumo aktu sukuriama ES kibernetinio saugumo sertifikavimo sistema.
 

Tačiau esamos ir siūlomos priemonės nebūtinai duoda aiškų, savanorišką, viešojo ir paslaugų lygmens ES sertifikavimo signalą dėl suverenios kontrolės atsparumo. Techninis kibernetinio saugumo sertifikavimas, subjektų kibernetinių pozicijų sertifikavimas, tiekimo grandinės rizikos priemonės, didelės rizikos tiekėjų apribojimai ir tik debesijos schemos savaime nesuteikia eiliniams naudotojams ir perkantiesiems subjektams palyginamo būdo įvertinti, kas kontroliuoja ypatingos svarbos paslaugą, kuri teisė gali pasiekti jos ypatingos svarbos funkcijas ir kuri priklausomybė gali turėti įtakos tęstinumui, konfidencialumui, vientisumui ar teisėtai prieigai.
 

Paslauga gali būti techniškai saugi ir teisiškai atitinkanti reikalavimus, tačiau vis tiek priklauso nuo ne ES kontrolės lėktuvų, patronuojančiosios įmonės įtakos, trečiųjų šalių teisinių įsipareigojimų, nuotolinio administravimo, registravimo, telemetrijos, DNS, CDN, sertifikavimo institucijos paslaugų, tapatybės sistemų, debesijos paslaugų, programinės įrangos tiekimo grandinių ar subrangovų, kurių naudotojai realiai negali patikrinti.
 

Tikslai

Komisija turėtų pasiūlyti arba paremti teisės aktus, kuriais siekiama:
 

1. Sukurti neprivalomą, rizika grindžiamą ir pakopinį ES suverenios kontrolės sertifikavimo komponentą, skirtą ypatingos svarbos skaitmeninės infrastruktūros paslaugoms.
 

2. Reikalauti įvertinti faktinę nuosavybę ir esminę kontrolę, įskaitant tikrąją nuosavybę, patronuojančiosios įmonės kontrolę, balsavimo teises, valdybos įtaką, sutartinę kontrolę ir kitą reikšmingą įtaką su saugumu susijusiems sprendimams ar ypatingos svarbos operacijoms.
 

3. Reikalauti įvertinti ES jurisdikciją ir ypatingos svarbos funkcijų veiklos kontrolę, įskaitant duomenų tvarkymą, raktų valdymą, registravimą, tapatumo nustatymą, reagavimą į incidentus, infrastruktūros administravimą, atnaujinimo mechanizmus ir nuotolinį administravimą.
 

4. Reikalauti įvertinti trečiosios valstybės teisinius įsipareigojimus arba įmonių kontrolės susitarimus, kuriais galima priverstinai susipažinti su asmens duomenimis, metaduomenimis, ne asmens operatyviniais duomenimis, saugumo žurnalais, administracinėmis sistemomis ar kitomis ypatingos svarbos funkcijomis, juos saugoti, atskleisti, kištis į jų veikimą arba perduoti jų kontrolę.
 

5. reikalauti atskleisti esminę kritinę priklausomybę, kai tai aktualu sertifikuotai paslaugai, įskaitant prieglobą, debesiją, programinę įrangą, programinę aparatinę įrangą, DNS, CDN, sertifikavimo įgaliojimus, tapatybę, telemetriją, subrangovo ir nuotolinio administravimo priklausomybę, kuri gali turėti įtakos konfidencialumui, vientisumui, prieinamumui, administracinei kontrolei, teisėtai prieigai ar tęstinumui.
 

6. Reikalauti techninių, organizacinių ir teisinių apsaugos nuo neteisėtos trečiųjų šalių prieigos ar kišimosi priemonių, įskaitant dokumentais pagrįstą prieigos prašymų tvarkymą, teisinį užginčijimą, kai įmanoma, privilegijuotos prieigos kontrolę, audito žurnalus, pareigų atskyrimą, skaidrumo ataskaitų teikimą ir, kai aktualu, ES kontroliuojamą pagrindinių duomenų valdymą.
 

7. Reikalauti atlikti nepriklausomus periodinius auditus, viešojo audito santraukas, išmatuojamus patikinimo lygius, pakartotinį vertinimą po esminių pokyčių ir komercinių paslapčių, neskelbtinų saugumo duomenų ir įslaptintos informacijos apsaugą.
 

8. Leisti sertifikuotą statusą naudoti kaip objektyvų viešųjų pirkimų ir rinkos skaidrumo kriterijų, kai tai pateisinama kibernetiniu saugumu, atsparumu, duomenų apsauga, esminių paslaugų tęstinumu, viešojo sektoriaus poreikiais arba teisėtu naudotojų pasirinkimu.
 

Aktualumas ir atitiktis
 

Iniciatyva nėra juodasis sąrašas ir nėra griežta duomenų vietos nustatymo taisyklė. Tai skaidrumo ir užtikrinimo mechanizmas. Jis turėtų papildyti EUCS, TIS 2, Duomenų aktą, kibernetinio saugumo tiekimo grandinės priemones ir būsimą debesijos politiką jų nepakeičiant.
 

Ja remiama vidaus rinka, duomenų apsauga, kibernetinis saugumas, atsparumas ir ES technologinis suverenumas, kartu išlaikant savanorišką, proporcingą, rizika grindžiamą ir su atviromis rinkomis suderinamą veiklą. Juo gerbiama valstybių narių kompetencija, įskaitant nacionalinį saugumą, ir piliečių bei subjektų laisvė palaikyti skaitmeninius ryšius su trečiosiomis šalimis.