Certyfikacja unijnej suwerennej kontroli krytycznej infrastruktury cyfrowej

Cele inicjatywy

Wzywamy Komisję Europejską do zaproponowania przepisów zmieniających lub uzupełniających rozporządzenie (UE) 2019/881, akt o cyberbezpieczeństwie, w celu stworzenia opcjonalnego unijnego elementu certyfikacji suwerennej kontroli w odniesieniu do usług w zakresie krytycznej infrastruktury cyfrowej.

W ramach komponentu należy ocenić:

1. faktyczna własność i kontrola, w tym własność rzeczywista, spółka dominująca, prawo głosu, zarząd, wpływ umowny lub inny istotny wpływ;

2. jurysdykcja UE w zakresie operacji krytycznych, w tym przetwarzania danych, zarządzania kluczami, uwierzytelniania, rejestrowania, reagowania na incydenty i zdalnej administracji;

3. zobowiązania prawne państw trzecich, które mogą stwarzać ryzyko dostępu do danych osobowych, metadanych, danych operacyjnych, rejestrów lub systemów administracyjnych;

4. krytyczne zależności spoza UE, w tym chmura, hosting, DNS, CDN, urząd certyfikacji, tożsamość, oprogramowanie, podwykonawca i usługi administracji zdalnej;

5. niezależne okresowe audyty i zabezpieczenia przed nielegalnym dostępem państw trzecich.

Status
certyfikowany powinien być użyteczny jako obiektywne kryterium udzielenia zamówienia, jeżeli jest to uzasadnione cyberbezpieczeństwem, odpornością, ochroną danych, ciągłością usług, strategiczną autonomią lub zgodnym z prawem wyborem użytkowników.

Postanowienia Traktatów, które uważają Państwo za istotne dla proponowanego działania

art. 114 i 16 TFUE; w stosownych przypadkach art. 173 TFUE w odniesieniu do harmonizacji rynku wewnętrznego, ochrony danych, certyfikacji cyberbezpieczeństwa i konkurencyjności przemysłu UE.

Załącznik dotyczący tematu, celów i kontekstu inicjatywy

Przedmiot

Niniejsza inicjatywa dotyczy opcjonalnego elementu certyfikacji UE w zakresie suwerennej kontroli w odniesieniu do usług w zakresie krytycznej infrastruktury cyfrowej poprzez zmianę lub uzupełnienie rozporządzenia (UE) 2019/881 – aktu o cyberbezpieczeństwie.

Nie domaga się zakazu zagranicznych usługodawców, obowiązkowego korzystania wyłącznie z usług UE, cenzury, zmiany Traktatu ani izolacji cyfrowej. Wzywa się w nim do ustanowienia zgodnego z prawem, dobrowolnego i podlegającego kontroli mechanizmu UE, aby obywatele, przedsiębiorstwa, organy publiczne i instytucje UE mogli identyfikować usługi zapewniające większą odporność na kontrolę spoza UE, zagraniczną presję prawną, nieprzejrzyste zależności i nielegalny dostęp do państw trzecich.

Potrzeba i luka prawna Prawo

UE zajmuje się już istotnymi częściami problemu. RODO chroni dane osobowe. NIS 2 wzmacnia obowiązki podmiotów kluczowych i istotnych w zakresie cyberbezpieczeństwa. Akt w sprawie danych zawiera przepisy przeciwko niezgodnemu z prawem dostępowi rządu państwa trzeciego do danych nieosobowych przechowywanych w Unii przez dostawców usług przetwarzania danych. Akt o cyberbezpieczeństwie tworzy unijne ramy certyfikacji cyberbezpieczeństwa produktów ICT, usług ICT, procesów ICT i usług zarządzanych w zakresie bezpieczeństwa.
Instrumenty te nie tworzą
jednak wyraźnego ogólnounijnego sygnału certyfikacyjnego dotyczącego odporności w zakresie kontroli państwa w krytycznej infrastrukturze cyfrowej. Usługa może być bezpieczna pod względem technicznym i zgodna z prawem, choć nadal zależy od samolotów kontrolnych spoza UE, wpływu przedsiębiorstwa macierzystego, obowiązków prawnych państw trzecich, zdalnej administracji, rejestrowania, telemetrii, DNS, CDN, organu certyfikującego, tożsamości, chmury lub zależności od podwykonawcy, których zwykli użytkownicy i zamawiający nie mogą realistycznie sprawdzić.

W związku z tym niniejsza inicjatywa ma na celu wyeliminowanie konkretnej luki: przekształca ryzyko związane z kontrolą państwa z niejasnego twierdzenia politycznego w dobrowolny, wymierny i podlegający niezależnemu audytowi element certyfikacji na mocy prawa UE.
 

Cele

Komisja powinna zaproponować przepisy zmieniające lub uzupełniające rozporządzenie (UE) 2019/881 w celu:

1. Utworzenie opcjonalnego unijnego komponentu certyfikacji suwerennej kontroli w odniesieniu do usług w zakresie krytycznej infrastruktury cyfrowej, w tym usług w chmurze, hostingu, DNS, CDN, usług urzędów certyfikacji, usług w zakresie tożsamości i uwierzytelniania, usług zarządzanych w zakresie cyberbezpieczeństwa oraz innych usług ICT uznanych za krytyczne przez Komisję lub ENISA.

2. Wymóg oceny faktycznej własności i kontroli, w tym własności rzeczywistej, kontroli spółki dominującej, praw głosu, wpływu zarządu, kontroli umownej i innych form istotnego wpływu.

3. Wymóg oceny jurysdykcji UE w zakresie operacji krytycznych, w tym przetwarzania danych, administrowania usługami, zarządzania kluczami, rejestrowania, uwierzytelniania, reagowania na incydenty, kontroli infrastruktury i zdalnej administracji.

4. Wymóg oceny narażenia na zobowiązania prawne państw trzecich, w tym przepisy prawa, nakazy sądowe, nakazy administracyjne, systemy dostępu do danych wywiadowczych lub struktury kontroli korporacyjnej, które mogłyby stwarzać ryzyko dostępu do danych osobowych użytkowników z UE, metadanych, operacyjnych danych nieosobowych, rejestrów bezpieczeństwa lub administracyjnych systemów dostępu.

5. Wymagać ujawnienia krytycznych zależności, w tym odpowiednich zależności od hostingu, chmury, oprogramowania, oprogramowania układowego, DNS, CDN, urzędu certyfikacji, łańcucha dostaw sprzętu, telemetrii, podwykonawcy i zdalnego administrowania.

6. Wymagać technicznych, organizacyjnych i prawnych zabezpieczeń przed nielegalnym dostępem z państw trzecich, w tym dokumentacji wniosków o dostęp z państw trzecich, w miarę możliwości zaskarżenia oraz zagregowanej sprawozdawczości w zakresie przejrzystości, chyba że jest to zabronione przez prawo.

7. Wymóg przeprowadzania niezależnych okresowych audytów, podsumowań audytów publicznych, wymiernych poziomów certyfikacji oraz ochrony tajemnic przedsiębiorstwa, szczególnie chronionych informacji dotyczących bezpieczeństwa i informacji niejawnych.

8. Zezwolenie na stosowanie statusu certyfikowanego jako obiektywnego kryterium zamówień publicznych i przejrzystości rynku, jeżeli jest to uzasadnione cyberbezpieczeństwem, odpornością, ochroną danych, ochroną danych w sektorze publicznym, ciągłością usług kluczowych, autonomią strategiczną lub zgodnym z prawem wyborem użytkowników.

Znaczenie dla obywateli i podmiotów Obywatele

UE, organy publiczne i podmioty prywatne powinni mieć możliwość wyboru usług cyfrowych o ograniczonym narażeniu na kontrolę państwa trzeciego i bezprawny dostęp, bez pozbawiania ich swobody korzystania z usług spoza UE. Inicjatywa ta wspiera praktyczną opcję kontrolowaną przez UE, w przypadku gdy uzasadniają to ryzyko, prawo, potrzeby w zakresie zamówień publicznych lub demokratyczny wybór.

Przestrzeganie prawa i wartości UE

Inicjatywa jest dobrowolna, proporcjonalna, przejrzysta i zgodna z zasadami otwartego rynku. Wspiera rynek wewnętrzny, ochronę danych, cyberbezpieczeństwo, odporność i suwerenność technologiczną UE, przy jednoczesnym poszanowaniu kompetencji państw członkowskich, w tym bezpieczeństwa narodowego, oraz swobody obywateli i podmiotów w zakresie utrzymywania więzi cyfrowych z państwami trzecimi.