Certificação do controlo soberano da UE para infraestruturas digitais críticas

Objectivos da iniciativa

Instamos a Comissão Europeia a propor legislação que altere ou complemente o Regulamento (UE) 2019/881, o Regulamento Cibersegurança, a fim de criar uma componente facultativa de certificação do controlo soberano da UE para os serviços de infraestruturas digitais críticas.

O componente deve avaliar:

1. A propriedade e o controlo efetivos, incluindo a propriedade efetiva, a empresa-mãe, o direito de voto, o conselho de administração, a influência contratual ou outra influência material;

2. jurisdição da UE sobre operações críticas, incluindo o tratamento de dados, a gestão de chaves, a autenticação, o registo, a resposta a incidentes e a administração à distância;

Obrigações jurídicas de países terceiros que possam criar riscos de acesso a dados pessoais, metadados, dados operacionais, registos ou sistemas administrativos;

4. Dependências críticas de países terceiros, incluindo serviços de computação em nuvem, de alojamento, de DNS, de CDN, de autoridade de certificação, de identidade, de software, de subcontratante e de administração à distância;

5. auditorias periódicas independentes e salvaguardas contra o acesso ilegal de países terceiros.

O estatuto certificado deve ser utilizável como critério objetivo de contratação pública sempre que tal se justifique por razões de cibersegurança, resiliência, proteção de dados, continuidade do serviço, autonomia estratégica ou escolha lícita dos utilizadores.

Disposições dos Tratados que considera pertinentes para a ação proposta

artigos 114.o e 16.o do TFUE; Se for caso disso, o artigo 173.o do TFUE, para a harmonização do mercado interno, a proteção de dados, a certificação da cibersegurança e a competitividade industrial da UE.

Anexo sobre o tema, os objetivos e o contexto da iniciativa

Assunto

A presente iniciativa diz respeito a uma componente facultativa de certificação do controlo soberano da UE para serviços de infraestruturas digitais críticas, alterando ou complementando o Regulamento (UE) 2019/881, o Regulamento Cibersegurança.

Não solicita a proibição de prestadores estrangeiros, a utilização obrigatória apenas na UE, a censura, a alteração do Tratado ou o isolamento digital. Solicita um mecanismo legal, voluntário e auditável da UE para que os cidadãos, as empresas, as autoridades públicas e as instituições da UE possam identificar serviços que ofereçam uma maior resiliência contra o controlo de países terceiros, a pressão jurídica estrangeira, as dependências opacas e o acesso ilegal de países terceiros.

A necessidade e a lacuna jurídica

da legislação da UE já abordam partes importantes do problema. O RGPD protege os dados pessoais. A SRI 2 reforça os deveres de cibersegurança das entidades essenciais e importantes. O Regulamento Dados inclui regras contra o acesso governamental ilegal de países terceiros a dados não pessoais detidos na União por prestadores de serviços de tratamento de dados. O Regulamento Cibersegurança cria um quadro da UE para a certificação da cibersegurança de produtos, serviços e processos de TIC e de serviços de segurança geridos.

No entanto, estes instrumentos não criam um sinal claro de certificação à escala da UE para a resiliência do controlo soberano em infraestruturas digitais críticas. Um serviço pode ser tecnicamente seguro e conforme com a lei, embora ainda dependa de aviões de controlo de países terceiros, da influência da empresa-mãe, das obrigações jurídicas de países terceiros, da administração à distância, da exploração madeireira, da telemetria, do DNS, da CDN, da autoridade de certificação, da identidade, da computação em nuvem ou das dependências de subcontratantes que os utilizadores comuns e as entidades adjudicantes não podem inspecionar de forma realista.

Por conseguinte, a presente iniciativa aborda uma lacuna específica: converte o risco de controlo soberano de uma alegação política vaga numa componente de certificação voluntária, mensurável e passível de auditoria independente ao abrigo do direito da UE.
 

Objetivos

A Comissão deve propor legislação que altere ou complemente o Regulamento (UE) 2019/881 a fim de:

1. Criar uma componente facultativa de certificação de controlo soberano da UE para serviços de infraestruturas digitais críticas, incluindo serviços de computação em nuvem, alojamento, DNS, CDN, serviços de autoridade de certificação, serviços de identidade e autenticação, serviços de cibersegurança geridos e outros serviços de TIC designados como críticos pela Comissão ou pela ENISA.

2. Exigir uma avaliação da propriedade e do controlo efetivos, incluindo a propriedade efetiva, o controlo da empresa-mãe, os direitos de voto, a influência no conselho de administração, o controlo contratual e outras formas de influência material.

3. Exigir uma avaliação da jurisdição da UE sobre operações críticas, incluindo o tratamento de dados, a administração de serviços, a gestão de chaves, o registo, a autenticação, a resposta a incidentes, o controlo de infraestruturas e a administração à distância.

4. Exigir uma avaliação da exposição a obrigações jurídicas de países terceiros, incluindo leis, decisões judiciais, ordens administrativas, regimes de acesso a informações ou estruturas de controlo das empresas que possam criar riscos de acesso para os dados pessoais, metadados, dados operacionais não pessoais, registos de segurança ou sistemas de acesso administrativo dos utilizadores da UE.

5. Exigir a divulgação das dependências críticas, incluindo as dependências relevantes em matéria de alojamento, computação em nuvem, software, firmware, DNS, CDN, autoridade de certificação, cadeia de abastecimento de hardware, telemetria, subcontratante e administração à distância.

6. Exigir garantias técnicas, organizativas e jurídicas contra o acesso ilegal de países terceiros, incluindo a documentação dos pedidos de acesso de países terceiros, a impugnação judicial, sempre que possível, e a comunicação de informações agregadas em matéria de transparência, a menos que tal seja proibido por lei.

7. Exigir auditorias periódicas independentes, resumos de auditorias públicas, níveis de certificação mensuráveis e proteção de segredos comerciais, pormenores de segurança genuinamente sensíveis e informações classificadas.

8. Permitir que o estatuto certificado seja utilizado como critério objetivo de contratação pública e de transparência do mercado, sempre que tal se justifique por razões de cibersegurança, resiliência, proteção de dados, proteção de dados do setor público, continuidade dos serviços essenciais, autonomia estratégica ou escolha lícita dos utilizadores.

A relevância para os cidadãos e entidades

da UE, as autoridades públicas e as entidades privadas devem poder escolher serviços digitais com menor exposição ao controlo de países terceiros e acesso ilegal, sem eliminar a sua liberdade de utilização de serviços de países terceiros. Esta iniciativa apoia uma opção prática controlada pela UE sempre que o risco, a legislação, as necessidades em matéria de contratos públicos ou a escolha democrática o justifiquem.

Cumprimento da legislação e dos valores da UE

A iniciativa é voluntária, proporcionada, transparente e compatível com mercados abertos. Apoia o mercado interno, a proteção de dados, a cibersegurança, a resiliência e a soberania tecnológica da UE, respeitando simultaneamente as competências dos Estados-Membros, incluindo a segurança nacional, e a liberdade de os cidadãos e as entidades manterem laços digitais com países terceiros.