Certificação do controlo soberano da UE para infraestruturas digitais críticas

Objectivos da iniciativa

Apelamos à Comissão Europeia para que proponha ou apoie legislação no âmbito do quadro de certificação da cibersegurança da UE, incluindo o Regulamento (UE) 2019/881 ou qualquer ato que lhe suceda, a fim de criar uma componente facultativa, baseada no risco e faseada de certificação do controlo soberano da UE para serviços de infraestruturas digitais críticas.

A componente deve ser distinta e complementar da certificação da cibersegurança exclusivamente em nuvem, da certificação da cibersegurança das entidades, das restrições de fornecedores de alto risco e das ferramentas de risco geral da cadeia de abastecimento. Deve fornecer um sinal de nível de serviço voluntário e auditável sobre a resiliência do controlo soberano.

Deve avaliar a propriedade efetiva e o controlo material; jurisdição e controlo operacional da UE sobre funções críticas; Riscos jurídicos ou de controlo das empresas de países terceiros; dependências críticas materiais; salvaguardas contra o acesso ou interferência ilegais de países terceiros; auditorias independentes, níveis de garantia e reavaliação após alterações materiais.

O estatuto certificado deve ser utilizável como critério objetivo de contratação pública ou de transparência, sempre que tal se justifique por razões de cibersegurança, resiliência, proteção de dados, continuidade do serviço ou escolha lícita dos utilizadores.

Disposições dos Tratados que considera pertinentes para a ação proposta

artigos 114.o e 16.o do TFUE; Se for caso disso, o artigo 53.o, n.o 1, e os artigos 62.o e 173.o do TFUE, para a harmonização do mercado interno, a proteção de dados, a certificação da cibersegurança, o comércio de serviços, a resiliência e a competitividade industrial da UE.

Anexo sobre o tema, os objetivos e o contexto da iniciativa

Assunto

A presente iniciativa diz respeito a uma componente facultativa, baseada no risco e faseada de certificação do controlo soberano da UE para serviços de infraestruturas digitais críticas, no âmbito do quadro de certificação da cibersegurança da UE ao abrigo do Regulamento (UE) 2019/881 ou de qualquer ato que lhe suceda.
 

Não solicita a proibição de prestadores estrangeiros, a utilização obrigatória apenas na UE, a censura, a alteração do Tratado ou o isolamento digital. Solicita um mecanismo legal, voluntário e auditável da UE para que os cidadãos, as empresas, as autoridades públicas e as instituições da UE possam identificar serviços que ofereçam uma maior resiliência contra o controlo de países terceiros, a pressão jurídica estrangeira, as dependências críticas opacas e o acesso ilegal de países terceiros.
 

Esta iniciativa baseia-se, mas é distinta, do debate sobre a certificação EUCS na nuvem. O EUCS diz respeito à certificação da cibersegurança na nuvem. Esta iniciativa solicita uma base legislativa mais ampla para um perfil de controlo soberano a nível dos serviços que abranja as infraestruturas digitais críticas, incluindo a computação em nuvem, o alojamento, o DNS, a CDN, a autoridade de certificação, a identidade e a autenticação, a cibersegurança gerida e outros serviços TIC críticos.
 

Necessidades e lacunas jurídicas

A legislação da UE já aborda partes importantes do problema. O RGPD protege os dados pessoais. A SRI 2 reforça os deveres de cibersegurança das entidades essenciais e importantes. O Regulamento Dados aborda o acesso governamental ilegal de países terceiros a dados não pessoais detidos na União por prestadores de serviços de tratamento de dados. O Regulamento Cibersegurança cria um quadro da UE para a certificação da cibersegurança.
 

No entanto, os instrumentos existentes e propostos não fornecem necessariamente um sinal claro, voluntário, público e de nível de serviço da UE para a resiliência do controlo soberano. A certificação técnica da cibersegurança, a certificação da cibersegurança das entidades, as ferramentas de risco da cadeia de abastecimento, as restrições dos fornecedores de alto risco e os sistemas exclusivamente em nuvem não proporcionam, por si só, aos utilizadores comuns e às entidades adjudicantes uma forma comparável de avaliar quem controla um serviço crítico, qual a lei que pode alcançar as suas funções críticas e quais as dependências que podem afetar a continuidade, a confidencialidade, a integridade ou o acesso lícito.
 

Um serviço pode ser tecnicamente seguro e conforme com a lei, embora ainda dependa de aviões de controlo de países terceiros, da influência da empresa-mãe, das obrigações jurídicas de países terceiros, da administração à distância, do registo, da telemetria, do DNS, da CDN, dos serviços de autoridade de certificação, dos sistemas de identidade, dos serviços de computação em nuvem, das cadeias de abastecimento de software ou dos subcontratantes que os utilizadores não possam inspecionar de forma realista.
 

Objectivos

A Comissão deve propor ou apoiar legislação para:
 

1. Criar uma componente opcional, baseada no risco e faseada de certificação do controlo soberano da UE para serviços de infraestruturas digitais críticas.
 

2. Exigir a avaliação da propriedade efetiva e do controlo material, incluindo a propriedade efetiva, o controlo da empresa-mãe, os direitos de voto, a influência no conselho de administração, o controlo contratual e outra influência material sobre decisões relevantes em matéria de segurança ou operações críticas.
 

3. Exigir a avaliação da jurisdição e do controlo operacional da UE sobre funções críticas, incluindo o tratamento de dados, a gestão de chaves, o registo, a autenticação, a resposta a incidentes, a administração de infraestruturas, os mecanismos de atualização e a administração à distância.
 

4. Exigir a avaliação das obrigações legais ou dos mecanismos de controlo das empresas de países terceiros capazes de impor o acesso, o sigilo, a divulgação, a interferência operacional ou a transferência do controlo sobre os dados pessoais, os metadados, os dados operacionais não pessoais, os registos de segurança, os sistemas administrativos ou outras funções críticas.
 

5. Exigir a divulgação de dependências críticas materiais, se for caso disso, para o serviço certificado, incluindo o alojamento, a computação em nuvem, o software, o firmware, o DNS, a CDN, a autoridade de certificação, a identidade, a telemetria, as dependências de subcontratantes e de administração à distância que possam afetar a confidencialidade, a integridade, a disponibilidade, o controlo administrativo, o acesso lícito ou a continuidade.
 

6. Exigir garantias técnicas, organizativas e jurídicas contra o acesso ou interferência ilegais de países terceiros, incluindo o tratamento documentado dos pedidos de acesso, a impugnação judicial sempre que possível, os controlos de acesso privilegiado, os registos de auditoria, a separação de funções, a comunicação de informações em matéria de transparência e a gestão de chaves controlada pela UE, se for caso disso.
 

7. Exigir auditorias periódicas independentes, resumos de auditorias públicas, níveis de garantia mensuráveis, reavaliação após alterações materiais e proteção de segredos comerciais, pormenores de segurança sensíveis e informações classificadas.
 

8. Permitir que o estatuto certificado seja utilizado como critério objetivo de contratação pública e de transparência do mercado, sempre que tal se justifique por razões de cibersegurança, resiliência, proteção de dados, continuidade dos serviços essenciais, necessidades do setor público ou escolha lícita dos utilizadores.
 

Pertinência e conformidade
 

A iniciativa não é uma lista negra nem uma regra rígida de localização de dados. Trata-se de um mecanismo de transparência e de garantia. Deve complementar o EUCS, a SRI 2, o Regulamento Dados, as medidas relativas à cadeia de abastecimento da cibersegurança e a futura política em matéria de computação em nuvem sem as substituir.
 

Apoia o mercado interno, a proteção de dados, a cibersegurança, a resiliência e a soberania tecnológica da UE, mantendo-se simultaneamente voluntário, proporcionado, baseado no risco e compatível com os mercados abertos. Respeita as competências dos Estados-Membros, incluindo a segurança nacional, e a liberdade de os cidadãos e as entidades manterem laços digitais com países terceiros.