ES valstybės kontrolės sertifikavimas ypatingos svarbos skaitmeninei infrastruktūrai

Iniciatyvos tikslai

Raginame Europos Komisiją pasiūlyti teisės aktą, kuriuo būtų iš dalies pakeistas arba papildytas Reglamentas (ES) 2019/881 (Kibernetinio saugumo aktas), siekiant sukurti neprivalomą ES nepriklausomos kontrolės sertifikavimo komponentą, skirtą ypatingos svarbos skaitmeninės infrastruktūros paslaugoms.

Komponentas turėtų įvertinti:

1. faktinė nuosavybė ir kontrolė, įskaitant tikrąją nuosavybę, patronuojančiąją įmonę, balsavimą, valdybą, sutartinę ar kitą reikšmingą įtaką;

2. ES jurisdikcija, susijusi su ypatingos svarbos operacijomis, įskaitant duomenų tvarkymą, raktų valdymą, tapatumo nustatymą, registravimą, reagavimą į incidentus ir nuotolinį administravimą;

3. trečiųjų valstybių teisinės prievolės, dėl kurių gali kilti prieigos prie asmens duomenų, metaduomenų, operatyvinių duomenų, registracijos žurnalų ar administracinių sistemų rizika;

4. ypatingos svarbos priklausomybe nuo ES nepriklausančių šalių, įskaitant debesiją, prieglobą, DNS, CDN, pažymėjimų išdavimą, tapatybę, programinę įrangą, subrangovus ir nuotolinio administravimo paslaugas;

5. nepriklausomas periodinis auditas ir apsaugos nuo neteisėtos trečiųjų šalių prieigos priemonės.

Sertifikuotas statusas turėtų būti naudojamas kaip objektyvus viešųjų pirkimų kriterijus, kai tai pateisinama kibernetiniu saugumu, atsparumu, duomenų apsauga, paslaugų tęstinumu, strateginiu savarankiškumu arba teisėtu naudotojų pasirinkimu.
Sutarčių
nuostatos, kurios, jūsų nuomone, yra svarbios siūlomam veiksmui

SESV 114 ir 16 straipsniai; kai aktualu, SESV 173 straipsnį dėl vidaus rinkos suderinimo, duomenų apsaugos, kibernetinio saugumo sertifikavimo ir ES pramonės konkurencingumo.

Priedas dėl iniciatyvos temos, tikslų ir aplinkybių



Ši iniciatyva susijusi su neprivalomu ES ypatingos svarbos skaitmeninės infrastruktūros paslaugų suverenios kontrolės sertifikavimo komponentu, iš dalies pakeičiant arba papildant Reglamentą (ES) 2019/881 – Kibernetinio saugumo aktą.

Jame neprašoma uždrausti užsienio paslaugų teikėjų, privalomo naudojimo tik ES, cenzūros, Sutarties keitimo ar skaitmeninės izoliacijos. Jame prašoma sukurti teisėtą, savanorišką ir patikrinamą ES mechanizmą, kad piliečiai, įmonės, valdžios institucijos ir ES institucijos galėtų nustatyti paslaugas, kuriomis užtikrinamas didesnis atsparumas ne ES kontrolei, užsienio teisiniam spaudimui, neskaidriai priklausomybei ir neteisėtai trečiųjų šalių prieigai.

Poreikis ir teisinė spraga

ES teisėje jau sprendžiamos svarbios problemos dalys. BDAR saugo asmens duomenis. TIS 2 sustiprinamos esminių ir svarbių subjektų kibernetinio saugumo pareigos. Į Duomenų aktą įtrauktos taisyklės, kuriomis užkertamas kelias neteisėtai trečiųjų šalių vyriausybių prieigai prie duomenų tvarkymo paslaugų teikėjų Sąjungoje turimų ne asmens duomenų. Kibernetinio saugumo aktu sukuriama IRT produktų, IRT paslaugų, IRT procesų ir valdomų saugumo paslaugų kibernetinio saugumo sertifikavimo ES sistema.

Tačiau šiomis priemonėmis nesukuriamas aiškus ES masto sertifikavimo signalas dėl ypatingos svarbos skaitmeninės infrastruktūros suverenios kontrolės atsparumo. Paslauga gali būti techniškai saugi ir teisiškai atitinkanti reikalavimus, tačiau vis tiek priklausyti nuo ne ES kontrolės lėktuvų, patronuojančiosios įmonės įtakos, trečiųjų šalių teisinių įsipareigojimų, nuotolinio administravimo, registravimo, telemetrijos, DNS, CDN, sertifikavimo institucijos, tapatybės, debesijos ar subrangovų priklausomybės, kurios paprasti naudotojai ir perkantieji subjektai realiai negali patikrinti.
Todėl
šia iniciatyva šalinama konkreti spraga: pagal ją valstybės kontrolės rizika iš neapibrėžto politinio reikalavimo paverčiama savanorišku, išmatuojamu ir nepriklausomai patikrinamu sertifikavimo komponentu pagal ES teisę.
 

Tikslai

Komisija turėtų pasiūlyti teisės aktus, kuriais iš dalies keičiamas arba papildomas Reglamentas (ES) 2019/881, siekiant:

1. Sukurti neprivalomą ES nepriklausomos kontrolės sertifikavimo komponentą, skirtą ypatingos svarbos skaitmeninės infrastruktūros paslaugoms, įskaitant debesijos, prieglobos, DNS, CDN, sertifikavimo institucijų paslaugas, tapatybės ir tapatumo nustatymo paslaugas, valdomas kibernetinio saugumo paslaugas ir kitas IRT paslaugas, kurias Komisija arba ENISA laiko ypatingos svarbos paslaugomis.

2. Reikalauti įvertinti faktinę nuosavybę ir kontrolę, įskaitant tikrąją nuosavybę, patronuojančiosios įmonės kontrolę, balsavimo teises, valdybos įtaką, sutartinę kontrolę ir kitas reikšmingos įtakos formas.

3. Reikalauti įvertinti ES jurisdikciją, susijusią su ypatingos svarbos operacijomis, įskaitant duomenų tvarkymą, paslaugų administravimą, raktų valdymą, registravimą, tapatumo nustatymą, reagavimą į incidentus, infrastruktūros kontrolę ir nuotolinį administravimą.

4. Reikalauti įvertinti trečiųjų valstybių teisinių prievolių, įskaitant įstatymus, teismo nutartis, administracinius įsakymus, prieigos prie žvalgybos informacijos režimus ar įmonių kontrolės struktūras, dėl kurių galėtų kilti prieigos rizika ES naudotojų asmens duomenims, metaduomenims, ne asmens operatyviniams duomenims, saugumo žurnalams ar administracinėms prieigos sistemoms, poveikį.

5. Reikalauti atskleisti kritines priklausomybes, įskaitant atitinkamą prieglobą, debesiją, programinę įrangą, programinę aparatinę įrangą, DNS, CDN, sertifikavimo įgaliojimus, aparatinės įrangos tiekimo grandinę, telemetriją, subrangovus ir nuotolinio administravimo priklausomybes.

6. Reikalauti techninių, organizacinių ir teisinių apsaugos nuo neteisėtos trečiųjų šalių prieigos priemonių, įskaitant trečiųjų šalių prieigos prašymų dokumentavimą, teisinį užginčijimą, kai įmanoma, ir bendrą skaidrumo ataskaitų teikimą, išskyrus atvejus, kai tai draudžiama pagal teisės aktus.

7. Reikalauti nepriklausomo periodinio audito, viešojo audito santraukų, išmatuojamo sertifikavimo lygio ir komercinių paslapčių, tikrai neskelbtinų saugumo duomenų ir įslaptintos informacijos apsaugos.

8. Leisti sertifikuotą statusą naudoti kaip objektyvų viešųjų pirkimų ir rinkos skaidrumo kriterijų, kai tai pateisinama kibernetiniu saugumu, atsparumu, duomenų apsauga, viešojo sektoriaus duomenų apsauga, esminių paslaugų tęstinumu, strateginiu savarankiškumu arba teisėtu naudotojų pasirinkimu.

Aktualumas piliečiams ir subjektams

ES piliečiai, valdžios institucijos ir privatūs subjektai turėtų turėti galimybę rinktis skaitmenines paslaugas, kurioms taikoma mažesnė trečiųjų valstybių kontrolė ir neteisėta prieiga, nepanaikinant jų laisvės naudotis ne ES paslaugomis. Šia iniciatyva remiamas praktinis ES kontroliuojamas variantas, kai tai pateisinama rizika, teise, viešųjų pirkimų poreikiais ar demokratiniu pasirinkimu.

Atitiktis ES teisei ir vertybėms Iniciatyva

yra savanoriška, proporcinga, skaidri ir suderinama su atviromis rinkomis. Ja remiama vidaus rinka, duomenų apsauga, kibernetinis saugumas, atsparumas ir ES technologinis suverenumas, kartu gerbiant valstybių narių kompetenciją, įskaitant nacionalinį saugumą, ir piliečių bei subjektų laisvę palaikyti skaitmeninius ryšius su trečiosiomis valstybėmis.