Certifikácia suverénneho riadenia EÚ pre kritickú digitálnu infraštruktúru

Ciele iniciatívy

Vyzývame Európsku komisiu, aby navrhla právne predpisy, ktorými sa zmení alebo doplní nariadenie (EÚ) 2019/881, akt o kybernetickej bezpečnosti, s cieľom vytvoriť voliteľný komponent certifikácie EÚ suverénnej kontroly pre služby kritickej digitálnej infraštruktúry.

Zložka by mala posúdiť:

1. skutočné vlastníctvo a kontrola vrátane skutočného vlastníctva, materskej spoločnosti, hlasovania, predstavenstva, zmluvného alebo iného podstatného vplyvu;

2. jurisdikcia EÚ nad kritickými operáciami vrátane spracúvania údajov, správy kľúčov, autentifikácie, logovania, reakcie na incidenty a správy na diaľku;

3. právne povinnosti tretích krajín, ktoré môžu vytvárať riziká prístupu k osobným údajom, metaúdajom, operačným údajom, logom alebo administratívnym systémom;

4. kritické závislosti mimo EÚ vrátane cloudu, hostingu, DNS, CDN, certifikačnej autority, identity, softvéru, subdodávateľa a služieb diaľkovej správy;

5. nezávislé pravidelné audity a záruky proti nezákonnému prístupu tretích krajín.

Certifikovaný štatút by mal byť použiteľný ako objektívne kritérium obstarávania, ak je to odôvodnené kybernetickou bezpečnosťou, odolnosťou, ochranou údajov, kontinuitou služieb, strategickou autonómiou alebo zákonným výberom používateľov.

Ustanovenia zmlúv, ktoré považujete za relevantné pre navrhované opatrenie

články 114 a 16 ZFEÚ; v prípade potreby článok 173 ZFEÚ, pokiaľ ide o harmonizáciu vnútorného trhu, ochranu údajov, certifikáciu kybernetickej bezpečnosti a konkurencieschopnosť priemyslu EÚ.

Príloha týkajúca sa predmetu, cieľov a kontextu iniciatívy

Predmet

Táto iniciatíva sa týka voliteľného komponentu certifikácie zvrchovanej kontroly EÚ pre služby kritickej digitálnej infraštruktúry zmenou alebo doplnením nariadenia (EÚ) 2019/881, aktu o kybernetickej bezpečnosti.

Nepožaduje zákaz zahraničných poskytovateľov, povinné používanie výlučne v EÚ, cenzúru, zmenu zmluvy alebo digitálnu izoláciu. Požaduje zákonný, dobrovoľný a kontrolovateľný mechanizmus EÚ, aby občania, podniky, verejné orgány a inštitúcie EÚ mohli identifikovať služby, ktoré ponúkajú väčšiu odolnosť voči kontrole mimo EÚ, zahraničnému právnemu tlaku, neprehľadným závislostiam a nezákonnému prístupu tretích krajín.

Potreba a právna medzera Právne predpisy

EÚ už riešia dôležité časti problému. GDPR chráni osobné údaje. Smernicou NIS 2 sa posilňujú povinnosti kľúčových a dôležitých subjektov v oblasti kybernetickej bezpečnosti. Akt o údajoch obsahuje pravidlá proti nezákonnému prístupu vlád tretích krajín k iným ako osobným údajom uchovávaným v Únii poskytovateľmi služieb spracúvania údajov. Aktom o kybernetickej bezpečnosti sa vytvára rámec EÚ pre certifikáciu kybernetickej bezpečnosti produktov IKT, služieb IKT, procesov IKT a riadených bezpečnostných služieb.
Tieto nástroje
však nevytvárajú jasný celoeurópsky certifikačný signál pre odolnosť suverénnej kontroly v kritickej digitálnej infraštruktúre. Služba môže byť technicky bezpečná a v súlade s právnymi predpismi, pričom stále závisí od kontrolných lietadiel mimo EÚ, vplyvu materskej spoločnosti, právnych povinností tretích krajín, vzdialenej správy, protokolovania, telemetrie, DNS, CDN, certifikačnej autority, identity, cloudu alebo závislostí subdodávateľov, ktoré bežní používatelia a obstarávatelia nemôžu realisticky skontrolovať.

Touto iniciatívou sa preto rieši konkrétna medzera: mení riziko štátnej kontroly z nejasného politického tvrdenia na dobrovoľnú, merateľnú a nezávisle kontrolovateľnú certifikačnú zložku podľa práva EÚ.
 

Ciele

Komisia by mala navrhnúť právne predpisy, ktorými sa mení alebo dopĺňa nariadenie (EÚ) 2019/881 s cieľom:

1. Vytvoriť voliteľný komponent certifikácie EÚ suverénnej kontroly pre služby kritickej digitálnej infraštruktúry vrátane cloudu, hostingu, DNS, CDN, služieb certifikačnej autority, služieb identity a autentifikácie, riadených služieb kybernetickej bezpečnosti a iných služieb IKT, ktoré Komisia alebo agentúra ENISA označili za kritické.

2. Vyžadovať posúdenie skutočného vlastníctva a kontroly vrátane skutočného vlastníctva, kontroly medzi materskou spoločnosťou a spoločnosťou, hlasovacích práv, vplyvu na predstavenstvo, zmluvnej kontroly a iných foriem významného vplyvu.

3. Vyžadovať posúdenie jurisdikcie EÚ v súvislosti s kritickými operáciami vrátane spracúvania údajov, správy služieb, správy kľúčov, logovania, autentifikácie, reakcie na incidenty, kontroly infraštruktúry a diaľkovej správy.

4. Vyžadovať posúdenie vystavenia právnym povinnostiam tretích krajín vrátane zákonov, súdnych príkazov, správnych príkazov, režimov prístupu k spravodajským informáciám alebo štruktúr podnikovej kontroly, ktoré by mohli vytvárať riziká prístupu k osobným údajom používateľov z EÚ, metaúdajom, iným ako osobným operačným údajom, bezpečnostným protokolom alebo systémom administratívneho prístupu.

5. Požadovať zverejnenie kritických závislostí vrátane relevantného hostingu, cloudu, softvéru, firmvéru, DNS, CDN, certifikačnej autority, dodávateľského reťazca hardvéru, telemetrie, subdodávateľa a závislostí vzdialenej správy.

6. Vyžadovať technické, organizačné a právne záruky proti nezákonnému prístupu tretích krajín vrátane dokumentácie žiadostí tretích krajín o prístup, právneho napadnutia, ak je to možné, a súhrnného podávania správ o transparentnosti, pokiaľ to zákon nezakazuje.

7. Vyžadovať nezávislé pravidelné audity, zhrnutia verejných auditov, merateľné stupne certifikácie a ochranu obchodného tajomstva, skutočne citlivých bezpečnostných údajov a utajovaných skutočností.

8. Umožniť používanie certifikovaného statusu ako objektívneho kritéria verejného obstarávania a transparentnosti trhu, ak je to odôvodnené kybernetickou bezpečnosťou, odolnosťou, ochranou údajov, ochranou údajov verejného sektora, kontinuitou základných služieb, strategickou autonómiou alebo zákonnou voľbou používateľov.

Relevantnosť pre občanov a subjekty Občania

EÚ, verejné orgány a súkromné subjekty by mali mať možnosť vybrať si digitálne služby so zníženým vystavením kontrole tretích krajín a nezákonnému prístupu bez toho, aby im bola odňatá sloboda využívať služby z krajín mimo EÚ. Táto iniciatíva podporuje praktickú možnosť kontrolovanú EÚ, ak je to odôvodnené rizikom, právom, potrebami verejného obstarávania alebo demokratickou voľbou.

Súlad s právom a hodnotami EÚ

Iniciatíva je dobrovoľná, primeraná, transparentná a zlučiteľná s otvorenými trhmi. Podporuje vnútorný trh, ochranu údajov, kybernetickú bezpečnosť, odolnosť a technologickú suverenitu EÚ pri súčasnom rešpektovaní právomocí členských štátov vrátane národnej bezpečnosti a slobody občanov a subjektov udržiavať digitálne väzby s tretími krajinami.