EU-certifiering av statlig kontroll av kritisk digital infrastruktur

Initiativets mål

Vi uppmanar kommissionen att föreslå lagstiftning som ändrar eller kompletterar förordning (EU) 2019/881, cybersäkerhetsakten, för att skapa en frivillig EU-certifieringskomponent för statlig kontroll för kritiska digitala infrastrukturtjänster.

Komponenten bör bedöma
följande:
1. faktiskt ägande och kontroll, inklusive verkligt huvudmannaskap, moderbolag, röstning, styrelse, avtalsmässigt eller annat väsentligt inflytande,

2. EU:s jurisdiktion över kritisk verksamhet, inbegripet databehandling, nyckelhantering, autentisering, loggning, incidenthantering och fjärradministration.

Tredjelands rättsliga skyldigheter som kan skapa åtkomstrisker för personuppgifter, metadata, operativa data, loggar eller administrativa system.

4. Kritiska beroenden utanför EU, inbegripet molntjänster, värdtjänster, DNS, CDN, certifikatutfärdare, identitet, programvara, underleverantörer och fjärradministrationstjänster.

5. oberoende periodiska revisioner och skyddsåtgärder mot olagligt tillträde för tredjeländer.

Certifierad status bör kunna användas som ett objektivt upphandlingskriterium när det är motiverat av cybersäkerhet, resiliens, dataskydd, tjänstekontinuitet, strategiskt oberoende eller användarnas lagliga val.

Bestämmelser i fördragen som du anser vara relevanta för den föreslagna åtgärden

Artiklarna 114 och 16 i EUF-fördraget. I förekommande fall, artikel 173 i EUF-fördraget, för harmonisering av den inre marknaden, dataskydd, cybersäkerhetscertifiering och EU:s industriella konkurrenskraft.

Bilaga om ämnet, målen och bakgrunden till initiativet

Ämne

Detta initiativ avser en frivillig EU-certifieringskomponent för statlig kontroll av kritiska digitala infrastrukturtjänster genom ändring eller komplettering av förordning (EU) 2019/881, cybersäkerhetsakten.

Det kräver inte förbud mot utländska leverantörer, obligatorisk EU-användning, censur, fördragsändringar eller digital isolering. Kommittén efterlyser en laglig, frivillig och kontrollerbar EU-mekanism så att medborgare, företag, offentliga myndigheter och EU-institutioner kan identifiera tjänster som erbjuder starkare motståndskraft mot kontroll utanför EU, utländska rättsliga påtryckningar, oklara beroendeförhållanden och olagligt tillträde för tredjeländer.

Behovet och den rättsliga luckan

i EU:s lagstiftning tar redan itu med viktiga delar av problemet. GDPR skyddar personuppgifter. NIS2 stärker cybersäkerhetsuppgifterna för väsentliga och viktiga entiteter. Dataakten innehåller regler mot olaglig statlig åtkomst från tredjeländer till icke-personuppgifter som innehas i unionen av leverantörer av databehandlingstjänster. Cybersäkerhetsakten skapar en EU-ram för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster, IKT-processer och hanterade säkerhetstjänster.
Dessa instrument skapar
dock inte någon tydlig EU-omfattande certifieringssignal för motståndskraft mot suverän kontroll i kritisk digital infrastruktur. En tjänst kan vara tekniskt säker och rättsligt förenlig samtidigt som den fortfarande är beroende av kontrollplan utanför EU, moderbolagets inflytande, tredjeländers rättsliga skyldigheter, fjärradministration, loggning, telemetri, DNS, CDN, certifikatutfärdare, identitets-, moln- eller underleverantörsberoenden som vanliga användare och upphandlare inte realistiskt kan inspektera.

Detta initiativ tar därför itu med en särskild brist: Den omvandlar risken för statlig kontroll från ett vagt politiskt påstående till en frivillig, mätbar och oberoende granskningsbar certifieringskomponent enligt EU-lagstiftningen.
 

Kommissionen

bör föreslå lagstiftning som ändrar eller kompletterar förordning (EU) 2019/881 för att

1. Skapa en frivillig certifieringskomponent för EU:s suveräna kontroll för kritiska digitala infrastrukturtjänster, inbegripet molntjänster, värdtjänster, DNS, CDN, certifikatutfärdartjänster, identitets- och autentiseringstjänster, hanterade cybersäkerhetstjänster och andra IKT-tjänster som kommissionen eller Enisa har betecknat som kritiska.

2. Kräva en bedömning av verkligt ägande och kontroll, inklusive verkligt ägande, moderföretagets kontroll, rösträtter, styrelseinflytande, avtalsmässig kontroll och andra former av materiellt inflytande.

3. Kräva en bedömning av EU:s jurisdiktion över kritisk verksamhet, inbegripet databehandling, tjänsteadministration, nyckelhantering, loggning, autentisering, incidenthantering, infrastrukturkontroll och fjärradministration.

4. Kräva en bedömning av exponeringen för tredjeländers rättsliga skyldigheter, inbegripet lagar, domstolsbeslut, administrativa beslut, system för tillgång till underrättelser eller strukturer för företagskontroll som skulle kunna skapa åtkomstrisker för EU-användarnas personuppgifter, metadata, operativa icke-personuppgifter, säkerhetsloggar eller administrativa åtkomstsystem.

5. Kräva offentliggörande av kritiska beroenden, inbegripet relevant hosting, moln, programvara, fast programvara, DNS, CDN, certifikatutfärdare, leverantörskedja för hårdvara, telemetri, underleverantörs- och fjärradministrationsberoenden.

6. Kräva tekniska, organisatoriska och rättsliga skyddsåtgärder mot olaglig åtkomst från tredjeländer, inbegripet dokumentation av begäranden om åtkomst från tredjeländer, rättslig prövning när så är möjligt och aggregerad transparensrapportering om det inte är förbjudet enligt lag.

7. Kräva oberoende periodiska revisioner, sammanfattningar av offentliga revisioner, mätbara certifieringsnivåer och skydd av företagshemligheter, verkligt känsliga säkerhetsdetaljer och säkerhetsskyddsklassificerade uppgifter.

8. Tillåta att certifierad status används som ett objektivt kriterium för offentlig upphandling och marknadstransparens när detta är motiverat av cybersäkerhet, resiliens, dataskydd, den offentliga sektorns dataskydd, kontinuitet i samhällsviktiga tjänster, strategiskt oberoende eller användarnas lagliga val.

Relevans för medborgare och enheter

EU-medborgare, offentliga myndigheter och privata enheter bör kunna välja digitala tjänster med minskad exponering för tredjeländers kontroll och olaglig åtkomst, utan att deras frihet att använda tjänster utanför EU avskaffas. Detta initiativ stöder ett praktiskt EU-kontrollerat alternativ där risker, lagstiftning, upphandlingsbehov eller demokratiska val motiverar det.

Efterlevnad av EU:s lagstiftning och värderingar

Initiativet är frivilligt, proportionerligt, transparent och förenligt med öppna marknader. Den stöder den inre marknaden, dataskydd, cybersäkerhet, resiliens och EU:s tekniska suveränitet samtidigt som den respekterar medlemsstaternas befogenheter, inbegripet nationell säkerhet, och medborgarnas och entiteternas frihet att upprätthålla digitala band med tredjeländer.