EU-certifiering av statlig kontroll av kritisk digital infrastruktur

Initiativets mål

Vi uppmanar kommissionen att föreslå eller stödja lagstiftning inom EU:s ram för cybersäkerhetscertifiering, inbegripet förordning (EU) 2019/881 eller en efterföljande akt, för att skapa en frivillig, riskbaserad och differentierad EU-certifieringskomponent för statlig kontroll för kritiska digitala infrastrukturtjänster.

Komponenten bör skilja sig från och komplettera cybersäkerhetscertifiering som endast omfattar molntjänster, entitetscertifiering av cyberbefattningar, leverantörsbegränsningar med hög risk och allmänna verktyg för risk i leveranskedjan. Den bör ge en frivillig och kontrollerbar servicenivåsignal om motståndskraften hos suveräna kontroller.

Den bör bedöma det faktiska ägandet och den materiella kontrollen. EU:s jurisdiktion och operativa kontroll över kritiska funktioner. Rättsliga risker eller risker i samband med företagskontroller i tredjeländer. Väsentliga kritiska beroenden. Skyddsåtgärder mot olagligt tillträde eller inblandning från tredjeländer. oberoende revisioner, säkerhetsnivåer och förnyad bedömning efter väsentliga ändringar.

Certifierad status bör kunna användas som ett objektivt upphandlings- eller transparenskriterium när det är motiverat av cybersäkerhet, resiliens, dataskydd, tjänstekontinuitet eller användarnas lagliga val.

Bestämmelser i fördragen som du anser vara relevanta för den föreslagna åtgärden

Artiklarna 114 och 16 i EUF-fördraget. I förekommande fall, artiklarna 53.1, 62 och 173 i EUF-fördraget, för harmonisering av den inre marknaden, dataskydd, cybersäkerhetscertifiering, handel med tjänster, resiliens och EU:s industriella konkurrenskraft.

Bilaga om initiativets ämne, mål och bakgrund

Detta initiativ gäller en frivillig, riskbaserad och stegvis EU-certifieringskomponent för statlig kontroll av kritiska digitala infrastrukturtjänster, inom EU:s ram för cybersäkerhetscertifiering enligt förordning (EU) 2019/881 eller en efterföljande akt.
 

Det innehåller inga krav på förbud mot utländska leverantörer, obligatorisk EU-användning, censur, fördragsändringar eller digital isolering. Kommittén efterlyser en laglig, frivillig och kontrollerbar EU-mekanism så att medborgare, företag, offentliga myndigheter och EU-institutioner kan identifiera tjänster som erbjuder starkare motståndskraft mot kontroll utanför EU, utländska rättsliga påtryckningar, oklara kritiska beroendeförhållanden och olagligt tillträde för tredjeländer.
 

Detta initiativ bygger på, men skiljer sig från, debatten om EUCS-molncertifiering. EUCS rör cybersäkerhetscertifiering i molnet. I detta initiativ efterfrågas en bredare rättslig grund för en profil för suverän kontroll på tjänstenivå som omfattar kritisk digital infrastruktur, inbegripet molntjänster, värdtjänster, DNS, CDN, certifikatutfärdare, identitet och autentisering, hanterad cybersäkerhet och andra kritiska IKT-tjänster.
 

Behov och rättslig lucka

EU-lagstiftningen tar redan upp viktiga delar av problemet. GDPR skyddar personuppgifter. NIS2 stärker cybersäkerhetsuppgifterna för väsentliga och viktiga entiteter. Dataakten behandlar olaglig statlig åtkomst från tredjeländer till icke-personuppgifter som innehas i unionen av leverantörer av databehandlingstjänster. Cybersäkerhetsakten skapar en EU-ram för cybersäkerhetscertifiering.
 

Befintliga och föreslagna verktyg ger dock inte nödvändigtvis en tydlig, frivillig, offentlig och serviceinriktad EU-certifieringssignal för motståndskraft mot suverän kontroll. Teknisk cybersäkerhetscertifiering, entitetscertifiering av cyberposter, verktyg för risk i leveranskedjan, leverantörsbegränsningar med hög risk och system med enbart molntjänster ger inte i sig vanliga användare och upphandlare ett jämförbart sätt att bedöma vem som kontrollerar en kritisk tjänst, vilken lagstiftning som kan nå dess kritiska funktioner och vilka beroenden som kan påverka kontinuitet, konfidentialitet, integritet eller laglig tillgång.
 

En tjänst kan vara tekniskt säker och rättsligt förenlig samtidigt som den fortfarande är beroende av kontrollplan utanför EU, moderbolagets inflytande, tredjeländers rättsliga skyldigheter, fjärradministration, loggning, telemetri, DNS, CDN, certifikatutfärdartjänster, identitetssystem, molntjänster, leveranskedjor för programvara eller underleverantörer som användarna inte realistiskt kan inspektera.
 

Mål

Kommissionen bör föreslå eller stödja lagstiftning för att
 

1. Skapa en frivillig, riskbaserad och differentierad EU-certifieringskomponent för statlig kontroll för kritiska digitala infrastrukturtjänster.
 

2. Kräva en bedömning av verkligt ägande och materiell kontroll, inbegripet verkligt ägande, moderföretagets kontroll, rösträtter, styrelseinflytande, avtalsmässig kontroll och annat väsentligt inflytande över säkerhetsrelevanta beslut eller kritisk verksamhet.
 

3. Kräva bedömning av EU:s jurisdiktion och operativ kontroll över kritiska funktioner, inbegripet databehandling, nyckelhantering, loggning, autentisering, incidenthantering, infrastrukturadministration, uppdateringsmekanismer och fjärradministration.
 

4. Kräva en bedömning av tredjeländers rättsliga skyldigheter eller arrangemang för företagskontroll som kan tvinga fram åtkomst, sekretess, röjande, operativ inblandning eller överföring av kontroll över personuppgifter, metadata, icke-personliga operativa uppgifter, säkerhetsloggar, administrativa system eller andra kritiska funktioner.
 

5. Kräva offentliggörande av väsentliga kritiska beroenden, när så är relevant för den certifierade tjänsten, inbegripet beroenden av värdtjänster, molntjänster, programvara, fast programvara, DNS, CDN, certifikatutfärdare, identitet, telemetri, underleverantörer och fjärradministration som kan påverka konfidentialitet, integritet, tillgänglighet, administrativ kontroll, laglig åtkomst eller kontinuitet.
 

6. Kräva tekniska, organisatoriska och rättsliga skyddsåtgärder mot olaglig åtkomst eller inblandning från tredjeländer, inbegripet dokumenterad hantering av begäranden om åtkomst, rättslig prövning när så är möjligt, kontroller av privilegierad åtkomst, revisionsloggar, åtskillnad mellan uppgifter, transparensrapportering och EU-kontrollerad nyckelhantering i förekommande fall.
 

7. Kräva oberoende periodiska revisioner, sammanfattningar av offentliga revisioner, mätbara säkerhetsnivåer, förnyad bedömning efter väsentliga ändringar och skydd av företagshemligheter, känsliga säkerhetsdetaljer och säkerhetsskyddsklassificerade uppgifter.
 

8. Tillåta att certifierad status används som ett objektivt upphandlings- och marknadstransparenskriterium när detta är motiverat av cybersäkerhet, resiliens, dataskydd, kontinuitet i samhällsviktiga tjänster, den offentliga sektorns behov eller användarnas lagliga val.
 

Relevans och efterlevnad
 

Initiativet är inte en svart lista och inte en stelbent regel för datalokalisering. Det är en mekanism för öppenhet och säkerhet. Den bör komplettera EUCS, NIS2, dataakten, åtgärder för leveranskedjan för cybersäkerhet och den framtida molnpolitiken utan att ersätta dem.
 

Den stöder den inre marknaden, dataskydd, cybersäkerhet, resiliens och EU:s tekniska suveränitet samtidigt som den förblir frivillig, proportionell, riskbaserad och förenlig med öppna marknader. Det respekterar medlemsstaternas befogenheter, inbegripet nationell säkerhet, och medborgarnas och entiteternas frihet att upprätthålla digitala band med tredjeländer.