Certificiranje EU suverenega nadzora za kritično digitalno infrastrukturo

Cilji pobude

Evropsko komisijo pozivamo, naj predlaga ali podpre zakonodajo v okviru certifikacijskega okvira EU za kibernetsko varnost, vključno z Uredbo (EU) 2019/881 ali katerim koli aktom, ki jo bo nasledil, da se za storitve kritične digitalne infrastrukture vzpostavi neobvezna, na tveganju temelječa in večstopenjska certifikacijska komponenta EU za državni nadzor.

Komponenta bi se morala razlikovati od certificiranja kibernetske varnosti samo v oblaku, certificiranja subjektov za kibernetsko varnost, omejitev dobaviteljev z visokim tveganjem in orodij za splošno tveganje v dobavni verigi ter jih dopolnjevati. Zagotoviti bi moral prostovoljni signal na ravni storitev, ki bi ga bilo mogoče revidirati, o odpornosti državnega nadzora.

Oceniti bi morala dejansko lastništvo in materialni nadzor; pristojnost EU in operativni nadzor nad kritičnimi funkcijami; tveganja v zvezi s pravnim nadzorom ali nadzorom podjetij iz tretjih držav; pomembne kritične odvisnosti; zaščitni ukrepi proti nezakonitemu dostopu ali vmešavanju tretjih držav; neodvisnimi revizijami, ravnmi zanesljivosti in ponovno oceno po pomembnih spremembah.

Certificirani status bi moral biti uporaben kot objektivno merilo za javno naročanje ali preglednost, kadar to upravičujejo kibernetska varnost, odpornost, varstvo podatkov, neprekinjenost storitev ali zakonita izbira uporabnikov.

Določbe Pogodb, za katere menite, da so pomembne za predlagani ukrep

člena 114 in 16 PDEU; po potrebi členi 53(1), 62 in 173 PDEU za harmonizacijo notranjega trga, varstvo podatkov, certificiranje kibernetske varnosti, trgovino s storitvami, odpornost in industrijsko konkurenčnost EU.

Priloga o vsebini, ciljih in ozadju pobude

Zadeva

Ta pobuda se nanaša na neobvezno, na tveganju temelječo in stopenjsko certifikacijsko komponento EU za suveren nadzor za storitve kritične digitalne infrastrukture v okviru certifikacijskega okvira EU za kibernetsko varnost v skladu z Uredbo (EU) 2019/881 ali katerim koli poznejšim aktom.
 

Ne zahteva prepovedi tujih ponudnikov, obvezne uporabe samo v EU, cenzure, spremembe Pogodbe ali digitalne izolacije. Poziva k zakonitemu, prostovoljnemu in preverljivemu mehanizmu EU, da bodo lahko državljani, podjetja, javni organi in institucije EU opredelili storitve, ki zagotavljajo večjo odpornost proti nadzoru zunaj EU, tujemu pravnemu pritisku, nepreglednim kritičnim odvisnostim in nezakonitemu dostopu tretjih držav.
 

Ta pobuda temelji na razpravi o certificiranju oblaka v sistemu EUCS, vendar se od nje razlikuje. Sistem EUCS se nanaša na certificiranje kibernetske varnosti v oblaku. Ta pobuda zahteva širšo zakonodajno podlago za profil državnega nadzora na ravni storitev, ki zajema kritično digitalno infrastrukturo, vključno z oblakom, gostovanjem, DNS, CDN, overiteljem potrdil, identiteto in avtentikacijo, upravljano kibernetsko varnostjo in drugimi kritičnimi storitvami IKT.
 

Potreba in pravna vrzel

Zakonodaja
EU že obravnava pomembne dele problema. GDPR varuje osebne podatke. Direktiva NIS 2 krepi naloge na področju kibernetske varnosti za bistvene in pomembne subjekte. Akt o podatkih obravnava nezakonit dostop vlad tretjih držav do neosebnih podatkov, ki jih v Uniji hranijo ponudniki storitev obdelave podatkov. Akt o kibernetski varnosti vzpostavlja okvir EU za certificiranje kibernetske varnosti.
 

Vendar obstoječa in predlagana orodja ne zagotavljajo nujno jasnega, prostovoljnega, javnega in storitvenega certifikacijskega signala EU za odpornost državnega nadzora. Tehnično certificiranje kibernetske varnosti, certificiranje subjektov za kibernetsko varnost, orodja za tveganje v dobavni verigi, omejitve za dobavitelje z visokim tveganjem in sheme, ki se uporabljajo samo v oblaku, sami po sebi običajnim uporabnikom in naročnikom ne omogočajo primerljivega načina za oceno, kdo nadzoruje kritično storitev, katero pravo lahko doseže njene kritične funkcije in katere odvisnosti lahko vplivajo na kontinuiteto, zaupnost, celovitost ali zakonit dostop.
 

Storitev je lahko tehnično varna in pravno skladna, vendar je še vedno odvisna od nadzornih ravnin zunaj EU, vpliva matičnega podjetja, pravnih obveznosti tretje države, upravljanja na daljavo, beleženja, telemetrije, DNS, CDN, storitev overjanja potrdil, sistemov identitete, storitev v oblaku, dobavnih verig programske opreme ali podizvajalcev, ki jih uporabniki dejansko ne morejo pregledati.
 

Cilji

Komisija bi morala predlagati ali podpreti zakonodajo za:
 

1. Oblikovanje neobvezne, na tveganju temelječe in večstopenjske certifikacijske komponente EU za suveren nadzor za storitve kritične digitalne infrastrukture.
 

2. Zahtevati oceno dejanskega lastništva in pomembnega nadzora, vključno z dejanskim lastništvom, nadzorom matičnega podjetja, glasovalnimi pravicami, vplivom v upravnih odborih, pogodbenim nadzorom in drugim pomembnim vplivom na odločitve, pomembne za varnost, ali kritične operacije.
 

3. Zahtevati oceno pristojnosti EU in operativnega nadzora nad kritičnimi funkcijami, vključno z obdelavo podatkov, upravljanjem ključev, beleženjem, avtentikacijo, odzivanjem na incidente, upravljanjem infrastrukture, mehanizmi za posodabljanje in upravljanjem na daljavo.
 

4. Zahtevati oceno pravnih obveznosti tretjih držav ali ureditev korporativnega nadzora, ki lahko zahtevajo dostop, tajnost, razkritje, operativno vmešavanje ali prenos nadzora nad osebnimi podatki, metapodatki, neosebnimi operativnimi podatki, varnostnimi dnevniki, upravnimi sistemi ali drugimi kritičnimi funkcijami.
 

5. Zahtevati razkritje bistvenih kritičnih odvisnosti, kadar so pomembne za certificirano storitev, vključno z odvisnostmi od gostovanja, oblaka, programske opreme, strojne programske opreme, DNS, CDN, certifikacijskega organa, identitete, telemetrije, podizvajalcev in daljinske uprave, ki lahko vplivajo na zaupnost, celovitost, razpoložljivost, upravni nadzor, zakonit dostop ali kontinuiteto.
 

6. Zahtevati tehnične, organizacijske in pravne zaščitne ukrepe proti nezakonitemu dostopu ali vmešavanju tretjih držav, vključno z dokumentirano obravnavo zahtev za dostop, pravnim izpodbijanjem, kadar je to mogoče, nadzorom privilegiranega dostopa, revizijskimi dnevniki, ločitvijo nalog, poročanjem o preglednosti in po potrebi upravljanjem ključev pod nadzorom EU.
 

7. Zahtevati je treba neodvisne redne revizije, povzetke javnih revizij, merljive ravni zagotovila, ponovno oceno po bistvenih spremembah ter varstvo poslovnih skrivnosti, občutljivih varnostnih podrobnosti in tajnih podatkov.
 

8. Omogočanje uporabe certificiranega statusa kot objektivnega merila za javno naročanje in preglednost trga, kadar je to upravičeno zaradi kibernetske varnosti, odpornosti, varstva podatkov, neprekinjenosti bistvenih storitev, potreb javnega sektorja ali zakonite izbire uporabnikov.
 

Ustreznost in skladnost
 

Pobuda ni črni seznam in ne togo pravilo o lokalizaciji podatkov. Gre za mehanizem preglednosti in zagotovil. Dopolnjevati bi moral sistem EUCS, direktivo NIS2, akt o podatkih, ukrepe v zvezi z dobavno verigo kibernetske varnosti in prihodnjo politiko na področju računalništva v oblaku, ne da bi jih nadomestil.
 

Podpira notranji trg, varstvo podatkov, kibernetsko varnost, odpornost in tehnološko suverenost EU, hkrati pa ostaja prostovoljen, sorazmeren, na tveganju temelječ in združljiv z odprtimi trgi. Spoštuje pristojnosti držav članic, vključno z nacionalno varnostjo, ter svobodo državljanov in subjektov, da ohranijo digitalne vezi s tretjimi državami.