EU-certificering voor soevereine controle van kritieke digitale infrastructuur

Doelstellingen van het initiatief

Wij roepen de Europese Commissie op om wetgeving voor te stellen of te ondersteunen binnen het EU-kader voor cyberbeveiligingscertificering, met inbegrip van Verordening (EU) 2019/881 of een vervolghandeling, om een facultatieve, risicogebaseerde en gedifferentieerde EU-certificeringscomponent voor overheidscontrole voor kritieke digitale infrastructuurdiensten tot stand te brengen.

De component moet verschillen van, en een aanvulling vormen op, cloud-only cyberbeveiligingscertificering, entiteitscyberpositiecertificering, leveranciersbeperkingen met een hoog risico en algemene instrumenten voor risico’s in de toeleveringsketen. Het moet een vrijwillig en controleerbaar signaal op dienstniveau geven over de weerbaarheid van overheidscontrole.

Het moet de daadwerkelijke eigendom en materiële zeggenschap beoordelen; jurisdictie van de EU en operationele controle over kritieke functies; juridische risico's of risico's op het gebied van bedrijfscontrole in derde landen; wezenlijke kritieke afhankelijkheden; waarborgen tegen onrechtmatige toegang of inmenging van derde landen; onafhankelijke audits, zekerheidsniveaus en herbeoordeling na materiële veranderingen.

De gecertificeerde status moet bruikbaar zijn als objectief aanbestedings- of transparantiecriterium wanneer dit gerechtvaardigd is op grond van cyberbeveiliging, veerkracht, gegevensbescherming, continuïteit van de dienstverlening of de rechtmatige keuze van gebruikers.

Bepalingen van de Verdragen die u relevant acht voor de voorgestelde maatregel

de artikelen 114 en 16 VWEU; in voorkomend geval, artikel 53, lid 1, artikel 62 en artikel 173 VWEU, voor harmonisatie van de interne markt, gegevensbescherming, cyberbeveiligingscertificering, handel in diensten, veerkracht en industrieel concurrentievermogen van de EU.

Bijlage over het onderwerp, de doelstellingen en de achtergrond van het initiatief

Onderwerp

Dit initiatief betreft een facultatieve, risicogebaseerde en gedifferentieerde EU-certificeringscomponent voor overheidscontrole voor kritieke digitale infrastructuurdiensten, binnen het EU-kader voor cyberbeveiligingscertificering uit hoofde van Verordening (EU) 2019/881 of een vervolghandeling.
 

Er wordt niet gevraagd om een verbod op buitenlandse aanbieders, verplicht gebruik uitsluitend in de EU, censuur, verdragswijziging of digitaal isolement. Het dringt aan op een rechtmatig, vrijwillig en controleerbaar EU-mechanisme, zodat burgers, bedrijven, overheidsinstanties en EU-instellingen diensten kunnen identificeren die beter bestand zijn tegen niet-EU-controle, buitenlandse juridische druk, ondoorzichtige kritieke afhankelijkheden en onrechtmatige toegang tot derde landen.
 

Dit initiatief bouwt voort op, maar onderscheidt zich van, het debat over EUCS-cloudcertificering. EUCS betreft de certificering van cyberbeveiliging in de cloud. Dit initiatief vraagt om een bredere rechtsgrondslag voor een overheidscontroleprofiel op serviceniveau dat betrekking heeft op kritieke digitale infrastructuur, waaronder cloud, hosting, DNS, CDN, certificaatautoriteit, identiteit en authenticatie, beheerde cyberbeveiliging en andere kritieke ICT-diensten.
 

Noodzaak en juridische leemte

Het EU-recht pakt al belangrijke delen van het probleem aan. De GDPR beschermt persoonsgegevens. NIS2 versterkt de cyberbeveiligingstaken voor essentiële en belangrijke entiteiten. De dataverordening heeft betrekking op onrechtmatige toegang van de overheid van derde landen tot niet-persoonsgebonden gegevens die in de Unie worden bewaard door aanbieders van dataverwerkingsdiensten. De cyberbeveiligingsverordening creëert een EU-kader voor cyberbeveiligingscertificering.
 

Bestaande en voorgestelde instrumenten bieden echter niet noodzakelijkerwijs een duidelijk, vrijwillig, openbaar en op dienstverleningsniveau afgegeven EU-certificeringssignaal voor veerkracht op het gebied van soevereine controle. Technische cyberbeveiligingscertificering, certificering van de cyberpositie van entiteiten, instrumenten voor risico’s in de toeleveringsketen, beperkingen voor leveranciers met een hoog risico en regelingen voor alleen de cloud bieden gewone gebruikers en inkopers op zich geen vergelijkbare manier om te beoordelen wie een kritieke dienst beheert, welke wet zijn kritieke functies kan bereiken en welke afhankelijkheden van invloed kunnen zijn op de continuïteit, vertrouwelijkheid, integriteit of rechtmatige toegang.
 

Een dienst kan technisch veilig en wettelijk conform zijn, maar is nog steeds afhankelijk van niet-EU-controlevliegtuigen, invloed van de moedermaatschappij, wettelijke verplichtingen van derde landen, beheer op afstand, logging, telemetrie, DNS, CDN, diensten van certificeringsinstanties, identiteitssystemen, clouddiensten, softwaretoeleveringsketens of onderaannemers die gebruikers realistisch gezien niet kunnen inspecteren.
 

Doelstellingen

De Commissie moet wetgeving voorstellen of ondersteunen om:
 

1. Een facultatieve, risicogebaseerde en gedifferentieerde EU-certificeringscomponent voor overheidscontrole voor kritieke digitale-infrastructuurdiensten creëren.
 

2. een beoordeling vereisen van de daadwerkelijke eigendom en materiële zeggenschap, met inbegrip van uiteindelijk begunstigden, zeggenschap over moederondernemingen, stemrechten, invloed van de raad van bestuur, contractuele zeggenschap en andere materiële invloed op voor de veiligheid relevante beslissingen of kritieke activiteiten.
 

3. Beoordeling vereisen van de jurisdictie van de EU en operationele controle over kritieke functies, waaronder gegevensverwerking, sleutelbeheer, logboekregistratie, authenticatie, incidentrespons, infrastructuurbeheer, updatemechanismen en beheer op afstand.
 

4. beoordeling vereisen van wettelijke verplichtingen van derde landen of regelingen voor bedrijfscontrole die kunnen leiden tot dwingende toegang, geheimhouding, openbaarmaking, operationele inmenging of overdracht van zeggenschap over persoonsgegevens, metagegevens, niet-persoonsgebonden operationele gegevens, beveiligingslogboeken, administratieve systemen of andere kritieke functies.
 

5. openbaarmaking vereisen van wezenlijke kritieke afhankelijkheden, indien relevant voor de gecertificeerde dienst, met inbegrip van hosting, cloud, software, firmware, DNS, CDN, certificaatautoriteit, identiteit, telemetrie, onderaannemer en afhankelijkheid van beheer op afstand, die van invloed kunnen zijn op vertrouwelijkheid, integriteit, beschikbaarheid, administratieve controle, rechtmatige toegang of continuïteit.
 

6. technische, organisatorische en juridische waarborgen vereisen tegen onrechtmatige toegang of inmenging door derde landen, met inbegrip van gedocumenteerde behandeling van toegangsverzoeken, juridische betwisting waar mogelijk, controles van bevoorrechte toegang, auditlogboeken, scheiding van taken, transparantierapportage en, in voorkomend geval, door de EU gecontroleerd sleutelbeheer.
 

7. Onafhankelijke periodieke controles, samenvattingen van openbare controles, meetbare zekerheidsniveaus, herbeoordeling na materiële wijzigingen en bescherming van bedrijfsgeheimen, gevoelige beveiligingsgegevens en gerubriceerde informatie vereisen.
 

8. Toestaan dat de gecertificeerde status wordt gebruikt als objectief criterium voor overheidsopdrachten en markttransparantie, indien dit gerechtvaardigd is op grond van cyberbeveiliging, veerkracht, gegevensbescherming, continuïteit van essentiële diensten, behoeften van de publieke sector of de rechtmatige keuze van gebruikers.
 

Relevantie en naleving
 

Het initiatief is geen zwarte lijst en geen rigide regel voor gegevenslokalisatie. Het is een mechanisme voor transparantie en zekerheid. Het moet een aanvulling vormen op EUCS, NIS2, de dataverordening, maatregelen voor de toeleveringsketen voor cyberbeveiliging en toekomstig cloudbeleid zonder deze te vervangen.
 

Het ondersteunt de interne markt, gegevensbescherming, cyberbeveiliging, veerkracht en technologische soevereiniteit van de EU en blijft vrijwillig, evenredig, risicogebaseerd en verenigbaar met open markten. Het respecteert de bevoegdheden van de lidstaten, met inbegrip van de nationale veiligheid, en de vrijheid van burgers en entiteiten om digitale banden met derde landen te onderhouden.