Certificiranje EU suverenega nadzora za kritično digitalno infrastrukturo

Cilji pobude

Evropsko komisijo pozivamo, naj predlaga zakonodajo, ki bo spremenila ali dopolnila Uredbo (EU) 2019/881, tj. akt o kibernetski varnosti, da bi se vzpostavila neobvezna certifikacijska komponenta EU za suveren nadzor za storitve kritične digitalne infrastrukture.

Komponenta bi morala oceniti:

1. učinkovito lastništvo in nadzor, vključno z dejanskim lastništvom, nadrejeno družbo, glasovalno pravico, upravnim odborom, pogodbenim ali drugim pomembnim vplivom;

2. pristojnost EU za kritične operacije, vključno z obdelavo podatkov, upravljanjem ključev, avtentikacijo, beleženjem, odzivanjem na incidente in upravljanjem na daljavo;

3. pravne obveznosti tretjih držav, ki lahko povzročijo tveganja pri dostopu do osebnih podatkov, metapodatkov, operativnih podatkov, dnevnikov ali upravnih sistemov;

4. kritične odvisnosti zunaj EU, vključno z oblakom, gostovanjem, DNS, CDN, overiteljem potrdil, identiteto, programsko opremo, podizvajalcem in storitvami upravljanja na daljavo;

5. neodvisne redne revizije in zaščitni ukrepi proti nezakonitemu dostopu tretjih držav.

Certificirani status bi moral biti uporaben kot objektivno merilo za javno naročanje, kadar to upravičujejo kibernetska varnost, odpornost, varstvo podatkov, neprekinjenost storitev, strateška avtonomija ali zakonita izbira uporabnikov.

Določbe Pogodb, za katere menite, da so pomembne za predlagani ukrep

člena 114 in 16 PDEU; po potrebi člen 173 PDEU za harmonizacijo notranjega trga, varstvo podatkov, certificiranje kibernetske varnosti in industrijsko konkurenčnost EU.

Priloga o vsebini, ciljih in ozadju pobude

Zadeva

Ta pobuda se nanaša na neobvezno certifikacijsko komponento EU za suveren nadzor za storitve kritične digitalne infrastrukture s spremembo ali dopolnitvijo Uredbe (EU) 2019/881, tj. akta o kibernetski varnosti.

Ne zahteva prepovedi tujih ponudnikov, obvezne uporabe samo v EU, cenzure, spremembe Pogodbe ali digitalne izolacije. Poziva k zakonitemu, prostovoljnemu in preverljivemu mehanizmu EU, da bodo lahko državljani, podjetja, javni organi in institucije EU opredelili storitve, ki zagotavljajo večjo odpornost proti nadzoru zunaj EU, tujemu pravnemu pritisku, nepreglednim odvisnostim in nezakonitemu dostopu tretjih držav.

Potrebe in pravna vrzel v pravu

EU že obravnavajo pomembne dele problema. GDPR varuje osebne podatke. Direktiva NIS 2 krepi naloge na področju kibernetske varnosti za bistvene in pomembne subjekte. Akt o podatkih vključuje pravila proti nezakonitemu vladnemu dostopu tretjih držav do neosebnih podatkov, ki jih v Uniji hranijo ponudniki storitev obdelave podatkov. Akt o kibernetski varnosti vzpostavlja okvir EU za certificiranje proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev na področju kibernetske varnosti.

Vendar ti instrumenti ne ustvarjajo jasnega vseevropskega certifikacijskega signala za odpornost suverenega nadzora v kritični digitalni infrastrukturi. Storitev je lahko tehnično varna in pravno skladna, vendar je še vedno odvisna od nadzornih ravnin zunaj EU, vpliva matičnega podjetja, pravnih obveznosti tretje države, upravljanja na daljavo, beleženja, telemetrije, DNS, CDN, certifikacijskega organa, identitete, oblaka ali odvisnosti podizvajalcev, ki jih običajni uporabniki in naročniki dejansko ne morejo pregledati.

Ta pobuda zato obravnava posebno vrzel: preoblikuje tveganje državnega nadzora iz nejasnih političnih zahtev v prostovoljno, merljivo in neodvisno preverljivo certifikacijsko komponento v skladu s pravom EU.
 

Cilji

Komisija bi morala predlagati zakonodajo, ki spreminja ali dopolnjuje Uredbo (EU) 2019/881, da bi:

1. Vzpostaviti neobvezno certifikacijsko komponento EU za suveren nadzor za storitve kritične digitalne infrastrukture, vključno z oblakom, gostovanjem, DNS, CDN, storitvami overjanja potrdil, storitvami za identifikacijo in avtentikacijo, upravljanimi storitvami kibernetske varnosti in drugimi storitvami IKT, ki jih Komisija ali agencija ENISA imenujeta za kritične.

2. Zahtevati oceno dejanskega lastništva in nadzora, vključno z dejanskim lastništvom, obvladovanjem matičnega podjetja, glasovalnimi pravicami, vplivom upravnega odbora, pogodbenim nadzorom in drugimi oblikami pomembnega vpliva.

3. Zahtevati oceno pristojnosti EU za kritične operacije, vključno z obdelavo podatkov, upravljanjem storitev, upravljanjem ključev, beleženjem, avtentikacijo, odzivanjem na incidente, nadzorom infrastrukture in upravljanjem na daljavo.

4. Zahtevati oceno izpostavljenosti pravnim obveznostim tretjih držav, vključno z zakoni, sodnimi odredbami, upravnimi odredbami, režimi dostopa do obveščevalnih podatkov ali strukturami korporacijskega nadzora, ki bi lahko povzročile tveganja pri dostopu za osebne podatke uporabnikov EU, metapodatke, neosebne operativne podatke, varnostne dnevnike ali sisteme upravnega dostopa.

5. Zahtevati razkritje kritičnih odvisnosti, vključno z ustreznimi odvisnostmi od gostovanja, oblaka, programske opreme, strojne programske opreme, DNS, CDN, overitelja potrdil, dobavne verige strojne opreme, telemetrije, podizvajalcev in daljinske uprave.

6. Zahtevati tehnične, organizacijske in pravne zaščitne ukrepe proti nezakonitemu dostopu tretjih držav, vključno z dokumentacijo o zahtevah tretjih držav za dostop, pravnim izpodbijanjem, kadar je to mogoče, in zbirnim poročanjem o preglednosti, razen če je to prepovedano z zakonom.

7. Zahtevati je treba neodvisne redne revizije, povzetke javnih revizij, merljive ravni certificiranja ter varstvo poslovnih skrivnosti, resnično občutljivih varnostnih podrobnosti in tajnih podatkov.

8. Omogočanje uporabe certificiranega statusa kot objektivnega merila javnega naročanja in preglednosti trga, kadar je to upravičeno s kibernetsko varnostjo, odpornostjo, varstvom podatkov, varstvom podatkov v javnem sektorju, neprekinjenostjo bistvenih storitev, strateško avtonomijo ali zakonito izbiro uporabnikov.

Pomembnost za državljane in subjekte Državljani

EU, javni organi in zasebni subjekti bi morali imeti možnost, da izberejo digitalne storitve z manjšo izpostavljenostjo nadzoru tretjih držav in nezakonitemu dostopu, ne da bi jim bila odvzeta svoboda uporabe storitev zunaj EU. Ta pobuda podpira praktično možnost pod nadzorom EU, kadar to upravičujejo tveganje, pravo, potrebe po javnih naročilih ali demokratična izbira.

Skladnost s pravom in vrednotami EU

Pobuda je prostovoljna, sorazmerna, pregledna in združljiva z odprtimi trgi. Podpira notranji trg, varstvo podatkov, kibernetsko varnost, odpornost in tehnološko suverenost EU ob spoštovanju pristojnosti držav članic, vključno z nacionalno varnostjo, ter svobode državljanov in subjektov, da ohranijo digitalne vezi s tretjimi državami.