Certifikácia suverénneho riadenia EÚ pre kritickú digitálnu infraštruktúru

Ciele iniciatívy

Vyzývame Európsku komisiu, aby navrhla alebo podporila právne predpisy v rámci certifikácie kybernetickej bezpečnosti EÚ vrátane nariadenia (EÚ) 2019/881 alebo akéhokoľvek následného aktu s cieľom vytvoriť voliteľný, na riziku založený a viacúrovňový komponent certifikácie EÚ suverénnej kontroly pre služby kritickej digitálnej infraštruktúry.

Komponent by sa mal odlišovať od certifikácie kybernetickej bezpečnosti založenej len na cloude, certifikácie kybernetickej pozície subjektov, vysokorizikových obmedzení dodávateľov a všeobecných nástrojov rizika dodávateľského reťazca a mal by ich dopĺňať. Mal by poskytovať dobrovoľný a kontrolovateľný signál na úrovni služieb o odolnosti suverénnej kontroly.

Mala by posúdiť účinné vlastníctvo a kontrolu materiálu; jurisdikcia EÚ a operačná kontrola kritických funkcií; riziká vyplývajúce z právnej alebo podnikovej kontroly v tretej krajine; podstatné kritické závislosti; záruky proti nezákonnému prístupu alebo zasahovaniu tretích krajín; nezávislé audity, úrovne uistenia a opätovné posúdenie po významných zmenách.

Certifikovaný štatút by mal byť použiteľný ako objektívne kritérium obstarávania alebo transparentnosti, ak je to odôvodnené kybernetickou bezpečnosťou, odolnosťou, ochranou údajov, kontinuitou služieb alebo zákonným výberom používateľov.

Ustanovenia zmlúv, ktoré považujete za relevantné pre navrhované opatrenie

články 114 a 16 ZFEÚ; v relevantných prípadoch článok 53 ods. 1, článok 62 a článok 173 ZFEÚ, pokiaľ ide o harmonizáciu vnútorného trhu, ochranu údajov, certifikáciu kybernetickej bezpečnosti, obchod so službami, odolnosť a konkurencieschopnosť priemyslu EÚ.

Príloha o predmete, cieľoch a súvislostiach iniciatívy

Predmet

Táto iniciatíva sa týka voliteľného, na riziku založeného a odstupňovaného komponentu certifikácie EÚ suverénnej kontroly pre služby kritickej digitálnej infraštruktúry v rámci certifikácie kybernetickej bezpečnosti EÚ podľa nariadenia (EÚ) 2019/881 alebo akéhokoľvek následného aktu.
 

Nepožaduje zákaz zahraničných poskytovateľov, povinné používanie výlučne v EÚ, cenzúru, zmenu zmluvy alebo digitálnu izoláciu. Požaduje zákonný, dobrovoľný a kontrolovateľný mechanizmus EÚ, aby občania, podniky, verejné orgány a inštitúcie EÚ mohli identifikovať služby, ktoré ponúkajú väčšiu odolnosť voči kontrole mimo EÚ, zahraničnému právnemu tlaku, neprehľadným kritickým závislostiam a nezákonnému prístupu tretích krajín.
 

Táto iniciatíva vychádza z diskusie o cloudovej certifikácii EUCS, ale odlišuje sa od nej. EUCS sa týka certifikácie kybernetickej bezpečnosti cloudu. V tejto iniciatíve sa požaduje širší legislatívny základ pre profil zvrchovanej kontroly na úrovni služieb, ktorý by zahŕňal kritickú digitálnu infraštruktúru vrátane cloudu, hostingu, DNS, CDN, certifikačnej autority, identity a autentifikácie, riadenej kybernetickej bezpečnosti a iných kritických IKT služieb.
 

Potreba a právna medzera

Právne predpisy
EÚ už riešia dôležité časti problému. GDPR chráni osobné údaje. Smernicou NIS 2 sa posilňujú povinnosti kľúčových a dôležitých subjektov v oblasti kybernetickej bezpečnosti. Akt o údajoch sa zaoberá nezákonným prístupom vlád tretích krajín k iným ako osobným údajom uchovávaným v Únii poskytovateľmi služieb spracúvania údajov. Aktom o kybernetickej bezpečnosti sa vytvára rámec EÚ pre certifikáciu kybernetickej bezpečnosti.
 

Existujúce a navrhované nástroje však nemusia nevyhnutne poskytovať jasný, dobrovoľný a verejný certifikačný signál EÚ na úrovni služieb, pokiaľ ide o odolnosť suverénnej kontroly. Technická certifikácia kybernetickej bezpečnosti, certifikácia kybernetickej pozície subjektu, nástroje rizika dodávateľského reťazca, vysokorizikové obmedzenia dodávateľov a systémy len v cloude samy osebe neposkytujú bežným používateľom a obstarávateľom porovnateľný spôsob, ako posúdiť, kto kontroluje kritickú službu, ktoré právne predpisy môžu dosiahnuť jej kritické funkcie a ktoré závislosti môžu ovplyvniť kontinuitu, dôvernosť, integritu alebo zákonný prístup.
 

Služba môže byť technicky bezpečná a v súlade s právnymi predpismi, pričom stále závisí od kontrolných lietadiel mimo EÚ, vplyvu materskej spoločnosti, právnych povinností tretích krajín, vzdialenej správy, protokolovania, telemetrie, DNS, CDN, služieb certifikačnej autority, systémov totožnosti, cloudových služieb, dodávateľských reťazcov softvéru alebo subdodávateľov, ktorých používatelia nemôžu reálne skontrolovať.
 

Ciele

Komisia by mala navrhnúť alebo podporiť právne predpisy s cieľom:
 

1. Vytvoriť voliteľnú, na riziku založenú a odstupňovanú certifikačnú zložku EÚ suverénnej kontroly pre služby kritickej digitálnej infraštruktúry.
 

2. Vyžadovať posúdenie účinného vlastníctva a materiálnej kontroly vrátane skutočného vlastníctva, kontroly materskej spoločnosti, hlasovacích práv, vplyvu rady, zmluvnej kontroly a iného materiálneho vplyvu na rozhodnutia týkajúce sa bezpečnosti alebo kritické operácie.
 

3. Vyžadovať posúdenie jurisdikcie EÚ a prevádzkovú kontrolu nad kritickými funkciami vrátane spracovania údajov, správy kľúčov, logovania, autentifikácie, reakcie na incidenty, správy infraštruktúry, aktualizačných mechanizmov a správy na diaľku.
 

4. Vyžadovať posúdenie právnych povinností tretích krajín alebo opatrení podnikovej kontroly, ktoré môžu vynútiť prístup, utajenie, zverejnenie, prevádzkové zasahovanie alebo prenos kontroly nad osobnými údajmi, metaúdajmi, inými ako osobnými prevádzkovými údajmi, bezpečnostnými logmi, administratívnymi systémami alebo inými kritickými funkciami.
 

5. Požadovať zverejnenie podstatných kritických závislostí, ak sú relevantné pre certifikovanú službu, vrátane hostingu, cloudu, softvéru, firmvéru, DNS, CDN, certifikačnej autority, identity, telemetrie, subdodávateľa a závislostí vzdialenej správy, ktoré môžu ovplyvniť dôvernosť, integritu, dostupnosť, administratívnu kontrolu, zákonný prístup alebo kontinuitu.
 

6. Vyžadovať technické, organizačné a právne záruky proti nezákonnému prístupu alebo zasahovaniu tretích krajín vrátane zdokumentovaného vybavovania žiadostí o prístup, právneho napadnutia, ak je to možné, kontrol privilegovaného prístupu, audítorských protokolov, oddelenia povinností, podávania správ o transparentnosti a prípadne riadenia kľúčov pod kontrolou EÚ.
 

7. Vyžadovať nezávislé pravidelné audity, zhrnutia verejných auditov, merateľné stupne dôveryhodnosti, opätovné posúdenie po významných zmenách a ochranu obchodného tajomstva, citlivých bezpečnostných údajov a utajovaných skutočností.
 

8. Umožniť používanie certifikovaného statusu ako objektívneho kritéria obstarávania a transparentnosti trhu, ak je to odôvodnené kybernetickou bezpečnosťou, odolnosťou, ochranou údajov, kontinuitou základných služieb, potrebami verejného sektora alebo zákonným výberom používateľov.
 

Relevantnosť a súlad
 

Iniciatíva nie je čiernou listinou ani prísnym pravidlom lokalizácie údajov. Ide o mechanizmus transparentnosti a uistenia. Mal by dopĺňať EUCS, NIS2, akt o údajoch, opatrenia dodávateľského reťazca kybernetickej bezpečnosti a budúcu politiku v oblasti cloud computingu bez toho, aby ich nahrádzal.
 

Podporuje vnútorný trh, ochranu údajov, kybernetickú bezpečnosť, odolnosť a technologickú suverenitu EÚ, pričom zostáva dobrovoľný, primeraný, založený na riziku a zlučiteľný s otvorenými trhmi. Rešpektuje právomoci členských štátov vrátane národnej bezpečnosti a slobody občanov a subjektov udržiavať digitálne väzby s tretími krajinami.