Direct la conținutul principal
Drapelul Uniunii Europene
românăromână
Forumul inițiativei cetățenești europene

Certificarea UE de control suveran pentru infrastructura digitală critică

Autor: Nikitas Bastas |
Actualizat la: 08 June 2026 |
Număr de vizualizări: 646

Obiectivele inițiativei

Solicităm Comisiei Europene să propună sau să sprijine acte legislative în cadrul UE de certificare a securității cibernetice, inclusiv Regulamentul (UE) 2019/881 sau orice act ulterior, pentru a crea o componentă opțională, bazată pe riscuri și secvențială a UE de certificare a controlului suveran pentru serviciile de infrastructură digitală critică.


Componenta ar trebui să fie distinctă și complementară certificării de securitate cibernetică exclusiv în cloud, certificării poziției cibernetice a entității, restricțiilor aplicabile furnizorilor cu grad ridicat de risc și instrumentelor generale de risc privind lanțul de aprovizionare. Acesta ar trebui să ofere un semnal voluntar și auditabil la nivel de serviciu cu privire la reziliența controlului suveran.


Acesta ar trebui să evalueze proprietatea efectivă și controlul materialelor; jurisdicția UE și controlul operațional asupra funcțiilor critice; riscurile juridice sau de control corporativ din țări terțe; dependențele critice materiale; garanții împotriva accesului sau a ingerințelor ilegale din partea țărilor terțe; audituri independente, niveluri de asigurare și reevaluare după modificări semnificative.

Statutul
certificat ar trebui să poată fi utilizat ca un criteriu obiectiv de achiziții publice sau de transparență atunci când acest lucru este justificat de securitatea cibernetică, reziliență, protecția datelor, continuitatea serviciului sau alegerea legală a utilizatorilor.


Dispozițiile tratatelor pe care le considerați relevante pentru acțiunea propusă

articolele 114 și 16 din TFUE; după caz, articolul 53 alineatul (1), articolul 62 și articolul 173 din TFUE, în ceea ce privește armonizarea pieței interne, protecția datelor, certificarea de securitate cibernetică, comerțul cu servicii, reziliența și competitivitatea industrială a UE.

Anexă privind subiectul, obiectivele și contextul inițiativei

Subiect


Prezenta inițiativă se referă la o componentă opțională, bazată pe riscuri și secvențială a UE de certificare a controlului suveran pentru serviciile de infrastructură digitală critică, în cadrul UE de certificare a securității cibernetice în temeiul Regulamentului (UE) 2019/881 sau al oricărui act ulterior.
 

Aceasta nu solicită interzicerea furnizorilor străini, utilizarea obligatorie numai în UE, cenzura, modificarea tratatului sau izolarea digitală. Aceasta solicită un mecanism legal, voluntar și auditabil al UE, astfel încât cetățenii, întreprinderile, autoritățile publice și instituțiile UE să poată identifica serviciile care oferă o reziliență mai mare împotriva controlului din afara UE, a presiunii juridice străine, a dependențelor critice opace și a accesului ilegal al țărilor terțe.
 

Această inițiativă se bazează pe dezbaterea EUCS privind certificarea în cloud, dar este diferită de aceasta. EUCS se referă la certificarea securității cibernetice în cloud. Această inițiativă solicită o bază legislativă mai largă pentru un profil de control suveran la nivel de serviciu care să acopere infrastructura digitală critică, inclusiv cloud, găzduire, DNS, CDN, autoritatea de certificare, identitatea și autentificarea, securitatea cibernetică gestionată și alte servicii TIC critice.
 

Necesitatea și lacunele juridice

Legislația
UE abordează deja părți importante ale problemei. GDPR protejează datele cu caracter personal. NIS2 consolidează obligațiile în materie de securitate cibernetică pentru entitățile esențiale și importante. Legea privind datele abordează accesul ilegal al guvernelor țărilor terțe la datele fără caracter personal deținute în Uniune de către furnizorii de servicii de prelucrare a datelor. Regulamentul privind securitatea cibernetică creează un cadru al UE pentru certificarea securității cibernetice.
 

Cu toate acestea, instrumentele existente și propuse nu oferă neapărat un semnal de certificare clar, voluntar, public și la nivelul serviciilor UE pentru reziliența controlului suveran. Certificarea tehnică de securitate cibernetică, certificarea poziției cibernetice a entității, instrumentele de risc ale lanțului de aprovizionare, restricțiile aplicabile furnizorilor cu grad ridicat de risc și sistemele exclusiv în cloud nu oferă, prin ele însele, utilizatorilor obișnuiți și achizitorilor o modalitate comparabilă de a evalua cine controlează un serviciu critic, ce legislație poate atinge funcțiile sale critice și ce dependențe pot afecta continuitatea, confidențialitatea, integritatea sau accesul legal.
 

Un serviciu poate fi sigur din punct de vedere tehnic și conform din punct de vedere juridic, depinzând în același timp de planurile de control din afara UE, de influența societății-mamă, de obligațiile juridice ale țărilor terțe, de administrarea la distanță, de exploatarea forestieră, de telemetrie, de DNS, de CDN, de serviciile autorității de certificare, de sistemele de identitate, de serviciile de cloud, de lanțurile de aprovizionare cu software sau de subcontractanții pe care utilizatorii nu îi pot inspecta în mod realist.
 

Obiective

Comisia ar trebui să propună sau să sprijine acte legislative pentru:
 

1. Crearea unei componente opționale, bazate pe riscuri și secvențiale a UE de certificare a controlului suveran pentru serviciile de infrastructură digitală critică.
 

2. să solicite evaluarea proprietății efective și a controlului material, inclusiv a proprietății efective, a controlului societății-mamă, a drepturilor de vot, a influenței consiliului de administrație, a controlului contractual și a altor influențe semnificative asupra deciziilor relevante în materie de securitate sau asupra operațiunilor critice.
 

3. Necesitatea evaluării jurisdicției UE și a controlului operațional asupra funcțiilor critice, inclusiv prelucrarea datelor, gestionarea cheilor, înregistrarea, autentificarea, răspunsul la incidente, administrarea infrastructurii, mecanismele de actualizare și administrarea la distanță.
 

4. să solicite evaluarea obligațiilor juridice ale țărilor terțe sau a mecanismelor de control corporativ capabile să impună accesul, secretul, divulgarea, interferența operațională sau transferul de control asupra datelor cu caracter personal, metadatelor, datelor operaționale fără caracter personal, registrelor de securitate, sistemelor administrative sau altor funcții critice.
 

5. Solicitarea divulgării dependențelor critice semnificative, dacă sunt relevante pentru serviciul certificat, inclusiv a dependențelor de găzduire, cloud, software, firmware, DNS, CDN, autoritate de certificare, identitate, telemetrie, subcontractant și administrație la distanță care pot afecta confidențialitatea, integritatea, disponibilitatea, controlul administrativ, accesul legal sau continuitatea.
 

6. Să solicite garanții tehnice, organizatorice și juridice împotriva accesului ilegal al țărilor terțe sau a ingerințelor ilegale din partea acestora, inclusiv tratarea documentată a cererilor de acces, contestarea în justiție, acolo unde este posibil, controale ale accesului privilegiat, registre de audit, separarea sarcinilor, raportarea în materie de transparență și gestionarea cheilor controlată de UE, după caz.
 

7. Necesitatea unor audituri periodice independente, a unor rezumate ale auditurilor publice, a unor niveluri de asigurare măsurabile, a unei reevaluări după modificări semnificative și a protecției secretelor comerciale, a detaliilor de securitate sensibile și a informațiilor clasificate.
 

8. Permiterea utilizării statutului de certificat drept criteriu obiectiv de achiziții publice și de transparență a pieței atunci când acest lucru este justificat de securitatea cibernetică, reziliență, protecția datelor, continuitatea serviciilor esențiale, nevoile sectorului public sau alegerea legală a utilizatorilor.
 

Relevanța și conformitatea
 

Inițiativa nu este o listă neagră și nici o regulă rigidă de localizare a datelor. Este un mecanism de transparență și asigurare. Acesta ar trebui să completeze EUCS, NIS2, Regulamentul privind datele, măsurile privind lanțul de aprovizionare în materie de securitate cibernetică și viitoarea politică în domeniul cloud computingului, fără a le înlocui.
 

Acesta sprijină piața internă, protecția datelor, securitatea cibernetică, reziliența și suveranitatea tehnologică a UE, rămânând în același timp voluntare, proporționale, bazate pe riscuri și compatibile cu piețele deschise. Aceasta respectă competențele statelor membre, inclusiv securitatea națională, precum și libertatea cetățenilor și a entităților de a menține legături digitale cu țări terțe.

Categorii
1
Vot

Scrieți un comentariu

Pentru a putea scrie comentarii, trebuie să vă autentificați sau să vă înregistrați.

Comentarii

Utilizator al Forumului ICE  | 21 May 2026

Bună ziua Nikitas,

Cu siguranță nu am experiență în acest subiect sau chiar în ICE în ansamblu, dar am câteva gânduri dacă credeți că vor ajuta.

1. În timp ce este un subiect mare, este destul de greu terminologie. Ar fi dificil să nu fie o terminologie greoaie, pentru că acesta este într-adevăr subiectul aici. Deci, nu știu cum să ajut. CE ar fi de acord cu acest lucru, dar obținerea unui milion de semnături ar putea fi prea dificilă dacă oamenii nu înțeleg subiectul.

2. Cred că a existat o propunere similară cu Sistemul european de certificare a securității cibernetice pentru serviciile de cloud (EUCS). Nu sunt sigur dacă este o propunere reușită sau chiar activă, dar o menționare a acesteia ar fi bună, astfel încât CE să nu răspundă că cel puțin unele dintre obiectivele dumneavoastră sunt deja acoperite de SUESC. Deci, practic, nu vei fi închis. Dar eu nu sunt un tip de tehnologie, așa că poate propunerile sunt destul de diferite și nu mi-am dat seama dintr-o privire.

Cu toate acestea, cred că aceasta este o inițiativă bună, care poate funcționa, dar poate unele ajustări mici și unele mai mult ajutor din exterior ar putea fi necesare.

Cele mai bune urări și noroc

Nikitas Bastas | 22 May 2026

Da, aveți dreptate! Aceasta se suprapune destul de mult nu numai cu propunerea EUCS, ci și cu legile și reglementările existente, cu dezbaterile în curs, cu planurile de viitor ale UE privind autonomia digitală etc. 

În special în anumite circumstanțe geopolitice, s-a realizat în cele din urmă că autonomia UE, nu numai din punct de vedere digital, ci într-un sens mai larg, nu mai este un „frumos de avut”, ci o necesitate absolută.

Un motiv care poate face ca această propunere să se distingă și să fie valoroasă ca o contribuție/idee modestă este faptul că solicită „un profil de certificare voluntar, bazat pe servicii, bazat pe riscuri și auditat independent pentru reziliența controlului suveran în cadrul serviciilor de infrastructură digitală critică”, dar fără a se limita la serviciile de cloud (EUCS).

Un al doilea motiv ar putea fi faptul că această propunere este solicitată de cetățenii europeni - nu de instrumentele UE, de factorii de decizie politică, de persoanele părtinitoare din punct de vedere micropolitic. Din această perspectivă, ea poate transmite un mesaj clar Comisiei Europene cu privire la îngrijorarea, scepticismul pe care mulți cetățeni ai UE îl au deja față de dependența digitală ridicată și expunerea ridicată la date a bunurilor digitale din afara UE.

banner
Sunteți gata să vă înregistrați inițiativa?

Doriți să susțineți o inițiativă? Vreți să aflați mai multe despre anumite inițiative actuale sau încheiate?

Vizitați site-ul Inițiativei cetățenești europene