Certyfikacja unijnej suwerennej kontroli krytycznej infrastruktury cyfrowej

Cele inicjatywy

Wzywamy Komisję Europejską do zaproponowania lub wsparcia przepisów w ramach unijnych ram certyfikacji cyberbezpieczeństwa, w tym rozporządzenia (UE) 2019/881 lub jakiegokolwiek kolejnego aktu, w celu stworzenia opcjonalnego, opartego na analizie ryzyka i wielopoziomowego unijnego komponentu certyfikacji suwerenności w odniesieniu do usług w zakresie krytycznej infrastruktury cyfrowej.

Komponent ten powinien być odrębny od certyfikacji cyberbezpieczeństwa wyłącznie w chmurze, certyfikacji cyberpozycji podmiotu, ograniczeń dostawców wysokiego ryzyka i ogólnych narzędzi ryzyka w łańcuchu dostaw oraz stanowić ich uzupełnienie. Powinien on stanowić dobrowolny i możliwy do skontrolowania sygnał na poziomie usług dotyczący odporności w zakresie kontroli państwa.

Powinna ona oceniać faktyczną własność i kontrolę materiałową; jurysdykcja UE i kontrola operacyjna nad funkcjami krytycznymi; ryzyko prawne lub ryzyko związane z kontrolą przedsiębiorstw w państwach trzecich; istotne krytyczne zależności; zabezpieczenia przed bezprawnym dostępem lub ingerencją ze strony państw trzecich; niezależne audyty, poziomy pewności i ponowna ocena po istotnych zmianach.

Status
certyfikowany powinien być użyteczny jako obiektywne kryterium udzielania zamówień lub przejrzystości, jeżeli jest to uzasadnione cyberbezpieczeństwem, odpornością, ochroną danych, ciągłością usług lub zgodnym z prawem wyborem użytkowników.

Postanowienia Traktatów, które uważają Państwo za istotne dla proponowanego działania

art. 114 i 16 TFUE; w stosownych przypadkach art. 53 ust. 1, art. 62 i 173 TFUE w odniesieniu do harmonizacji rynku wewnętrznego, ochrony danych, certyfikacji cyberbezpieczeństwa, handlu usługami, odporności i konkurencyjności przemysłowej UE.

Załącznik dotyczący tematu, celów i kontekstu inicjatywy

Niniejsza inicjatywa dotyczy opcjonalnego, opartego na analizie ryzyka i wielopoziomowego unijnego komponentu certyfikacji suwerennej kontroli w odniesieniu do usług w zakresie krytycznej infrastruktury cyfrowej, w ramach unijnych ram certyfikacji cyberbezpieczeństwa na podstawie rozporządzenia (UE) 2019/881 lub dowolnego kolejnego aktu prawnego.
 

Nie postuluje się w nim zakazu usługodawców zagranicznych, obowiązkowego korzystania wyłącznie z usług UE, cenzury, zmiany Traktatu ani izolacji cyfrowej. Wzywa się w nim do ustanowienia zgodnego z prawem, dobrowolnego i podlegającego kontroli mechanizmu UE, aby obywatele, przedsiębiorstwa, organy publiczne i instytucje UE mogli identyfikować usługi zapewniające większą odporność na kontrolę spoza UE, zagraniczną presję prawną, nieprzejrzyste krytyczne zależności i nielegalny dostęp do państw trzecich.
 

Inicjatywa ta opiera się na debacie na temat certyfikacji chmury EUCS, ale jest od niej odrębna. EUCS dotyczy certyfikacji cyberbezpieczeństwa w chmurze. W ramach tej inicjatywy postuluje się szerszą podstawę prawną dla profilu suwerennej kontroli na poziomie usług obejmującego krytyczną infrastrukturę cyfrową, w tym chmurę, hosting, DNS, CDN, urząd certyfikacji, tożsamość i uwierzytelnianie, zarządzane cyberbezpieczeństwo i inne krytyczne usługi ICT.
 

Potrzeba i luka prawna

Prawo
UE zajmuje się już istotnymi częściami problemu. RODO chroni dane osobowe. NIS 2 wzmacnia obowiązki podmiotów kluczowych i istotnych w zakresie cyberbezpieczeństwa. Akt w sprawie danych odnosi się do niezgodnego z prawem dostępu rządu państwa trzeciego do danych nieosobowych przechowywanych w Unii przez dostawców usług przetwarzania danych. Akt o cyberbezpieczeństwie tworzy unijne ramy certyfikacji cyberbezpieczeństwa.
 

Istniejące i proponowane narzędzia niekoniecznie zapewniają jednak jasny, dobrowolny, publiczny i usługowy sygnał certyfikacyjny UE w zakresie odporności na suwerenną kontrolę. Techniczna certyfikacja cyberbezpieczeństwa, certyfikacja cyberpozycji podmiotu, narzędzia ryzyka w łańcuchu dostaw, ograniczenia dostawców wysokiego ryzyka i systemy oparte wyłącznie na chmurze same w sobie nie zapewniają zwykłym użytkownikom i nabywcom porównywalnego sposobu oceny, kto kontroluje usługę krytyczną, które prawo może osiągnąć swoje funkcje krytyczne i które zależności mogą wpływać na ciągłość, poufność, integralność lub zgodny z prawem dostęp.
 

Usługa może być bezpieczna pod względem technicznym i zgodna z prawem, choć nadal zależy od samolotów kontrolnych spoza UE, wpływu przedsiębiorstwa macierzystego, obowiązków prawnych państw trzecich, zdalnej administracji, rejestrowania, telemetrii, DNS, CDN, usług urzędu certyfikacji, systemów tożsamości, usług w chmurze, łańcuchów dostaw oprogramowania lub podwykonawców, których użytkownicy nie mogą realistycznie sprawdzić.
 

Cele

Komisja powinna proponować lub wspierać przepisy mające na celu:
 

1. Utworzenie opcjonalnego, opartego na analizie ryzyka i wielopoziomowego komponentu certyfikacji UE w zakresie kontroli państwa w odniesieniu do usług w zakresie krytycznej infrastruktury cyfrowej.
 

2. Wymóg oceny faktycznej własności i kontroli materialnej, w tym własności rzeczywistej, kontroli spółki dominującej, praw głosu, wpływu zarządu, kontroli umownej i innego istotnego wpływu na decyzje istotne dla bezpieczeństwa lub operacje krytyczne.
 

3. Wymóg oceny jurysdykcji UE i kontroli operacyjnej nad funkcjami krytycznymi, w tym przetwarzaniem danych, zarządzaniem kluczami, rejestrowaniem, uwierzytelnianiem, reagowaniem na incydenty, administrowaniem infrastrukturą, mechanizmami aktualizacji i zdalną administracją.
 

4. Wymóg oceny zobowiązań prawnych państw trzecich lub ustaleń dotyczących kontroli korporacyjnej, które mogą wymagać dostępu, zachowania tajemnicy, ujawnienia, ingerencji operacyjnej lub przekazania kontroli nad danymi osobowymi, metadanymi, operacyjnymi danymi nieosobowymi, dziennikami bezpieczeństwa, systemami administracyjnymi lub innymi funkcjami krytycznymi.
 

5. Wymóg ujawnienia istotnych krytycznych zależności, w stosownych przypadkach związanych z certyfikowaną usługą, w tym hostingu, chmury, oprogramowania, oprogramowania układowego, DNS, CDN, urzędu certyfikacji, tożsamości, telemetrii, zależności podwykonawcy i zdalnego administrowania, które mogą mieć wpływ na poufność, integralność, dostępność, kontrolę administracyjną, zgodny z prawem dostęp lub ciągłość.
 

6. Wymagały zabezpieczeń technicznych, organizacyjnych i prawnych przed bezprawnym dostępem lub ingerencją ze strony państw trzecich, w tym udokumentowanego rozpatrywania wniosków o udzielenie dostępu, w miarę możliwości zaskarżenia, kontroli uprzywilejowanego dostępu, rejestrów audytów, podziału obowiązków, sprawozdawczości w zakresie przejrzystości oraz, w stosownych przypadkach, zarządzania kluczami kontrolowanego przez UE.
 

7. Wymóg przeprowadzania niezależnych okresowych audytów, podsumowań audytów publicznych, wymiernych poziomów pewności, ponownej oceny po istotnych zmianach oraz ochrony tajemnic przedsiębiorstwa, szczególnie chronionych informacji dotyczących bezpieczeństwa i informacji niejawnych.
 

8. Zezwolenie na stosowanie statusu certyfikowanego jako obiektywnego kryterium udzielania zamówień i przejrzystości rynku, jeżeli jest to uzasadnione cyberbezpieczeństwem, odpornością, ochroną danych, ciągłością usług kluczowych, potrzebami sektora publicznego lub zgodnym z prawem wyborem użytkowników.
 

Adekwatność i zgodność
 

Inicjatywa nie jest czarną listą ani sztywną zasadą lokalizacji danych. Jest to mechanizm przejrzystości i pewności. Powinien on uzupełniać EUCS, NIS2, akt w sprawie danych, środki dotyczące łańcucha dostaw w zakresie cyberbezpieczeństwa i przyszłą politykę w zakresie chmury obliczeniowej bez ich zastępowania.
 

Wspiera on rynek wewnętrzny, ochronę danych, cyberbezpieczeństwo, odporność i suwerenność technologiczną UE, pozostając jednocześnie dobrowolnym, proporcjonalnym, opartym na analizie ryzyka i kompatybilnym z otwartymi rynkami. Przestrzega się w nim kompetencji państw członkowskich, w tym bezpieczeństwa narodowego, oraz swobody obywateli i podmiotów w zakresie utrzymywania więzi cyfrowych z państwami trzecimi.