Certificarea UE de control suveran pentru infrastructura digitală critică

Obiectivele inițiativei

Solicităm Comisiei Europene să propună acte legislative de modificare sau completare a Regulamentului (UE) 2019/881, Regulamentul privind securitatea cibernetică, pentru a crea o componentă opțională a UE de certificare a controlului suveran pentru serviciile de infrastructură digitală critică.

Componenta ar trebui să evalueze:

1. proprietatea efectivă și controlul efectiv, inclusiv proprietatea efectivă, societatea-mamă, votul, consiliul de administrație, influența contractuală sau altă influență semnificativă;

2. jurisdicția UE asupra operațiunilor critice, inclusiv prelucrarea datelor, gestionarea cheilor, autentificarea, înregistrarea, răspunsul la incidente și administrarea de la distanță;

3. obligațiile legale ale țărilor terțe care pot crea riscuri de acces la date cu caracter personal, metadate, date operaționale, registre sau sisteme administrative;

4. dependențele critice din afara UE, inclusiv serviciile de cloud, de găzduire, DNS, CDN, autoritatea de certificare, identitatea, software-ul, subcontractanții și serviciile de administrare la distanță;

5. audituri periodice independente și garanții împotriva accesului ilegal al țărilor terțe.

Statutul
certificat ar trebui să poată fi utilizat ca un criteriu obiectiv de achiziții publice atunci când acest lucru este justificat de securitatea cibernetică, reziliență, protecția datelor, continuitatea serviciului, autonomia strategică sau alegerea legală a utilizatorilor.

Dispozițiile tratatelor pe care le considerați relevante pentru acțiunea propusă

articolele 114 și 16 din TFUE; după caz, articolul 173 din TFUE, pentru armonizarea pieței interne, protecția datelor, certificarea securității cibernetice și competitivitatea industrială a UE.

Anexă privind subiectul, obiectivele și contextul inițiativei

Subiect

Această inițiativă se referă la o componentă opțională a UE de certificare a controlului suveran pentru serviciile de infrastructură digitală critică, prin modificarea sau completarea Regulamentului (UE) 2019/881, Regulamentul privind securitatea cibernetică.

Nu solicită interzicerea furnizorilor străini, utilizarea obligatorie numai în UE, cenzura, modificarea tratatului sau izolarea digitală. Aceasta solicită un mecanism legal, voluntar și auditabil al UE, astfel încât cetățenii, întreprinderile, autoritățile publice și instituțiile UE să poată identifica serviciile care oferă o reziliență mai mare împotriva controlului din afara UE, a presiunii juridice străine, a dependențelor opace și a accesului ilegal al țărilor terțe.

Necesitatea și lacunele juridice ale legislației

UE abordează deja părți importante ale problemei. GDPR protejează datele cu caracter personal. NIS2 consolidează obligațiile în materie de securitate cibernetică pentru entitățile esențiale și importante. Legea privind datele include norme împotriva accesului ilegal al autorităților publice din țări terțe la datele fără caracter personal deținute în Uniune de către furnizorii de servicii de prelucrare a datelor. Regulamentul privind securitatea cibernetică creează un cadru al UE pentru certificarea securității cibernetice a produselor TIC, a serviciilor TIC, a proceselor TIC și a serviciilor de securitate gestionate.

Cu toate acestea, aceste instrumente nu creează un semnal clar de certificare la nivelul UE pentru reziliența controlului suveran în infrastructura digitală critică. Un serviciu poate fi sigur din punct de vedere tehnic și conform din punct de vedere juridic, depinzând în același timp de planurile de control din afara UE, de influența societății-mamă, de obligațiile juridice ale țărilor terțe, de administrarea la distanță, de jurnalizare, de telemetrie, de DNS, de CDN, de autoritatea de certificare, de identitate, de dependențele de cloud sau de subcontractanți pe care utilizatorii obișnuiți și achizitorii nu le pot inspecta în mod realist.
Prin urmare,
prezenta inițiativă abordează o lacună specifică: transformă riscul de control suveran dintr-o pretenție politică vagă într-o componentă de certificare voluntară, măsurabilă și care poate fi auditată independent în temeiul legislației UE.
 

Obiective

Comisia ar trebui să propună acte legislative de modificare sau completare a Regulamentului (UE) 2019/881 pentru:

1. Crearea unei componente opționale a UE de certificare a controlului suveran pentru serviciile de infrastructură digitală critică, inclusiv cloud, găzduire, DNS, CDN, servicii de autoritate de certificare, servicii de identitate și autentificare, servicii gestionate de securitate cibernetică și alte servicii TIC desemnate ca fiind critice de către Comisie sau ENISA.

2. să solicite evaluarea proprietății efective și a controlului efectiv, inclusiv a proprietății efective, a controlului societății-mamă, a drepturilor de vot, a influenței consiliului de administrație, a controlului contractual și a altor forme de influență semnificativă.

3. Necesitatea evaluării jurisdicției UE asupra operațiunilor critice, inclusiv prelucrarea datelor, administrarea serviciilor, gestionarea cheilor, înregistrarea, autentificarea, răspunsul la incidente, controlul infrastructurii și administrarea de la distanță.

4. să solicite evaluarea expunerii la obligațiile legale ale țărilor terțe, inclusiv legi, hotărâri judecătorești, ordine administrative, regimuri de acces la informații sau structuri de control corporativ care ar putea crea riscuri de acces pentru datele cu caracter personal, metadatele, datele operaționale fără caracter personal, registrele de securitate sau sistemele administrative de acces ale utilizatorilor din UE.

5. Solicitarea divulgării dependențelor critice, inclusiv a dependențelor relevante de găzduire, cloud, software, firmware, DNS, CDN, autoritate de certificare, lanț de aprovizionare hardware, telemetrie, subcontractant și administrație la distanță.

6. Să solicite garanții tehnice, organizatorice și juridice împotriva accesului ilegal al țărilor terțe, inclusiv documentarea cererilor de acces ale țărilor terțe, contestarea în justiție, acolo unde este posibil, și raportarea agregată în materie de transparență, cu excepția cazului în care acest lucru este interzis prin lege.

7. să solicite audituri periodice independente, rezumate ale auditurilor publice, niveluri de certificare măsurabile și protecția secretelor comerciale, a detaliilor de securitate cu adevărat sensibile și a informațiilor clasificate.

8. Permiterea utilizării statutului de certificat drept criteriu obiectiv de achiziții publice și de transparență a pieței atunci când acest lucru este justificat de securitatea cibernetică, reziliență, protecția datelor, protecția datelor din sectorul public, continuitatea serviciilor esențiale, autonomia strategică sau alegerea legală a utilizatorilor.

Relevanța pentru cetățeni și entități Cetățenii

UE, autoritățile publice și entitățile private ar trebui să poată alege servicii digitale cu expunere redusă la controlul țărilor terțe și acces ilegal, fără a le elimina libertatea de a utiliza servicii din afara UE. Această inițiativă sprijină o opțiune practică controlată de UE în cazul în care riscul, legislația, nevoile în materie de achiziții publice sau alegerea democratică justifică acest lucru.

Respectarea legislației și valorilor UE

Inițiativa este voluntară, proporțională, transparentă și compatibilă cu piețele deschise. Acesta sprijină piața internă, protecția datelor, securitatea cibernetică, reziliența și suveranitatea tehnologică a UE, respectând în același timp competențele statelor membre, inclusiv securitatea națională, precum și libertatea cetățenilor și a entităților de a menține legături digitale cu țări terțe.