Jaga mõtteid, kuidas vähendada Euroopa Liidu sõltuvust liiduvälisest pilve- ja tehisarutaristust
Mis on plaanitavate muudatuste eesmärk?
Plaanitavate muudatuste eesmärk on tugevdada Euroopa tehnoloogilist iseseisvust ja konkurentsivõimet pilveandmetöötluse ja tehisaru ökosüsteemis ning vähendada sõltuvust ELi-välistest tehnoloogiaettevõtetest.
Keda mõjutab?
- Pilveteenuse pakkujaid;
- andmekeskuste arendajaid;
- avaliku sektoriga hankelepinguid sõlmivaid ettevõtteid.
Mis on olulisemad plaanitavad muudatused?
- Andmekeskuse arendajal tekib eelnõu kohaselt edaspidi õigus taotluse korral saada abi ühtselt infopunktilt kogu loamenetluse ehk projekti elutsükli vältel, kuid see õigus kehtib ainult liikmesriigi määratud kiirendustsoonis ehk andmekeskuste rajamiseks eelnevalt kokkulepitud aladel asuvate projektide puhul. Infopunkt aitab koordineerida ruumilise planeerimise, keskkonnamõju hindamise, vee- ja heitveelubade ning võrku ühendamise küsimustes ning peab looma väikestele ja keskmise suurusega ettevõtetele eraldi kontaktikanali (eelnõu artikkel 12).
- Andmekeskuse arendajal tekib eelnõu kohaselt õigus, et kiirendustsoonis, kus liikmesriik on juba väljastanud koondatud baasloa, ei pea ta enam eraldi taotlema kõiki neid lube, mis tsooni tasandil on juba tervikuna kinnitatud. Arendaja peab taotlema ainult neid lisalube, mis baasloaga kaetud ei ole. Nende lisalubade menetlemine ei tohi kesta kauem kui 12 kuud alates tervikliku taotluse esitamisest, mis annab arendajale suurema õiguskindluse ja prognoositavuse (eelnõu artikkel 13).
- Eelnõu kohaselt saavad ettevõtted tulevikus taotleda Euroopa komisjonilt oma andmekeskuse projektile „strateegilise projekti“ staatust avatud konkursikutse kaudu. Staatuse kestus sõltub projekti eeldatavast elueast ning komisjon võib staatuse tühistada, kui kriteeriumid ei ole enam täidetud või taotlus sisaldas ebaõiget infot. Staatuse saamisel võimaldatakse nendel ettevõtetel kasutada keskkonnamõju hindamise ja loamenetluse erisusi, mis kehtivad eelpool toodud kiirendustsoonis asuvatele projektidele, isegi kui staatuse saanud ettevõte ise ei asu kiirendustsoonis. Need erisused on loamenetlusele kehtestatav maksimaalne tähtaeg 12 kuud ja tuginemine koondatud baasloale, mis katab suurema osa vajalikest lubadest korraga. Lisaks toetatakse ettevõtteid liidu programmide, fondide ja rahastamisvahendite kaudu ning neile antakse konkurentsivõime märgis, mis lihtsustab veelgi enam juurdepääsu rahastamisele. Staatuse saamiseks peab projekt täitma vähemalt kaks viiest kriteeriumist:
- avaliku sektori kriitiliste funktsioonide toetamine;
- kõrge jätkusuutlikkuse/innovaatilisuse tase;
- elektrivõrgu stabiilsuse tugi;
- ELi kiibitootmise integreerimine andmekeskuse süsteemi
- olulise arvutusvõimsuse puuduse leevendamine piirkonnas (eelnõu artikkel 14).
- Muudatustega kehtestatakse neljaastmeline „liidu kindlustustaseme“ (union assurance level) raamistik, mida pilveteenuse pakkuja peab täitma, kui ta soovib pakkuda oma teenust ELi asutustele ja avaliku sektori asutustele (eelnõu artikkel 16). Tasemete täpsed kriteeriumid on toodud Lisas 2 ning need muutuvad tasemete kaupa järjest rangemaks:
- tase – pilveteenuse pakkuja peab olema asutatud ELis ja tema ning alltöövõtjate taristu ja varad peavad olema hoitud ELi territooriumil, välja arvatud, kui teenust hankiv avaliku sektori asutus ise sõnaselgelt nõuab teisiti. Kliendiandmed peavad jääma ELi piiresse, välja arvatud kui teenust hankiv avaliku sektori asutus ise sõnaselgelt nõuab teisiti. ELi-välist tehnilist tuge kasutades tuleb tagada jälgitavus ja turvalisus, ilma et see kahjustaks pakkuja tegevusautonoomiat. Pakkuja peab vastama parimatele küberturvalisuse standarditele ja tagama läbipaistvuse ning hoolsuskohustuse alltöövõtjate suhtes. Kui pakkuja on kolmanda riigi kontrolli all, ei tohi selles riigis kehtida seadusi, mis kohustaksid teda teavitama sealseid ametiasutusi avastamata turvaaukudest (Lisa 2, punkt 1).
- tase – pilveteenuse pakkuja ja tema alltöövõtjad peavad olema asutatud ELis ning nende taristu, varad ja personal peab asuma ELi territooriumil ja tehniline tugi toimuma üksnes ELi piires. Kliendiandmed peavad jääma ELi piiresse, välja arvatud kui teenust hankiv avaliku sektori asutus ise sõnaselgelt nõuab teisiti. Kui avaliku sektori asutus peab vajalikuks, peab pakkuja tagama, et tema personal vastaks täiendavatele julgeolekukontrolli ja ELi kodakondsuse nõuetele. Teenus peab omama vähemalt "olulise" taseme küberturvalisuse sertifikaati ning selle andmeid ei tohi kasutada kolmanda riigi tehisaru treenimiseks ega viia ELi-välisele territooriumile. Kolmanda riigi kontrolli all olev pakkuja peab tõendama, et see kontroll ei võimalda juurdepääsu kliendiandmetele ega teenuse katkestamist. Lisaks nõutakse tarkvara tarneahela läbipaistvust (Lisa 2, punkt 2).
- tase – pilveteenuse pakkuja ja tema alltöövõtjad peavad olema asutatud ELis ning nende taristu, varad ja personal peavad asuma ELis. Kliendiandmed peavad jääma ELi piiresse, välja arvatud kui teenust hankiv avaliku sektori asutus ise sõnaselgelt nõuab teisiti. Kogu personal, sh alltöövõtjate oma, peab olema ELi kodanikud ning vajaduse korral omama liikmesriigi väljastatud riiklikku julgeolekuluba. Teenus peab omama vähemalt "olulise" taseme küberturvalisuse sertifikaati ning selle andmeid ei tohi kasutada kolmanda riigi tehisaru treenimiseks. Pakkuja ei tohi olla kolmanda riigi kontrolli all. Erand sellest kehtib vaid komisjoni eraldi heakskiidul, ning ka siis ei tohi see kontroll piirata teenuse osutamist ega võimaldada juurdepääsu kliendiandmetele. Tugi tuleb osutada üksnes ELi residentide poolt ning pakkuja peab tõendama tarkvara tarneahela läbipaistvust (Lisa 2, punkt 3).
- tase – pilveteenuse pakkuja ja tema alltöövõtjad peavad olema asutatud ELis ning nende taristu, varad ja personal peavad asuma ELis. Kliendiandmed peavad jääma eranditult ELi piiresse, kui riskihindamise põhjal on kliendiandmed tunnistatud tundlikuks. Kogu personal, sh alltöövõtjate oma, peab olema ELi kodanikud ning vajaduse korral omama liikmesriigi väljastatud riiklikku julgeolekuluba. Teenus peab omama vähemalt "kõrge" taseme küberturvalisuse sertifikaati, mis on kõrgeim võimalik tase, ning selle andmeid ei tohi kasutada kolmanda riigi tehisaru treenimiseks. Pakkuja ei tohi olla kolmanda riigi kontrolli all ning sellele erandit seatud ei ole. Tugi tuleb osutada üksnes ELi residentide poolt ning pakkuja peab tõendama, et ta säilitab tegeliku kontrolli kõigi tarkvarakomponentide üle (Lisa 2, punkt 4).
- Eelnõu kohaselt peab pilveteenuse pakkuja, kes soovib pakkuda oma pilveteenust ELi asutustele ja avaliku sektori asutustele, esitama selleks tunnustustaotluse oma asukohariigi ehk peakontori asukoha pädevale asutusele, et saada tunnustus ühe eelpool toodud nelja kindlustustaseme kohta. Kui tegemist on väikese või keskmise suurusega ettevõttega, kes taotleb esimest kindlustustaset, tunnustatakse tema esitatud vastavusdeklaratsiooni automaatselt kõigis liikmesriikides, ilma et pädev asutus peaks seda eelnevalt kinnitama. Suurematel ettevõtetel ja ettevõtetel, kes taotlevad teist kuni neljandat taset, tuleb läbida asukohariigi asutuse kinnitamismenetlus, mille esimene etapp kestab kuni 60 päeva. Selle aja jooksul võib pädev asutus ühe variandina koostada tunnustuse eelnõu ja saata selle teistele liikmesriikidele omakorda 60-päevaseks läbivaatamiseks, mille jooksul nad võivad esitada vastuväiteid. Teine alternatiiv on küsida taotlejalt lisateavet, mille korral 60-päevane tähtaeg peatub kuni vastuse laekumiseni. Kolmas alternatiiv on tunnustustaotlus tagasi lükata, andes pilveteenuse pakkujale enne seda 30 päeva aega oma seisukohtade esitamiseks (eelnõu artikkel 17).
- Esimese kindlustustaseme taotlemiseks peab pilveteenuse pakkuja eelnõu kohaselt ise läbi viima vastavuse enesehindamise Lisas 2 toodud kriteeriumide alusel ja avaldama tulemusena avalikult kättesaadava ELi vastavusdeklaratsiooni, millega ta võtab endale vastutuse nõuete täitmise eest. Tegemist ei ole ametliku kolmanda osapoole kinnitusega, vaid pakkuja enda kinnitusega (eelnõu artikkel 19).
- Muudatustega kehtestatakse pilveteenuse pakkujale kohustus enne teise kuni neljanda kindlustustaseme tunnustuse taotlemist läbida sõltumatu kolmanda osapoole audit enda kulul. Audit on tunnustuse saamise eeltingimus, mille tulemusel väljastatav auditiaruanne ja positiivne auditiarvamus tuleb seejärel esitada asukohariigi pädevale asutusele tunnustustaotluse osana. Ettevõte peab ise leidma ja tasuma sõltumatule auditeerivale ettevõttele, mis ei tohi olla temaga viimase 10 aasta jooksul auditeerimissuhtes ega viimase 12 kuu jooksul muid teenuseid osutanud, auditi läbiviimise eest. Kõrgema taseme taotlemisel peab ettevõte täitma ka kõik madalama astme kriteeriumid. Eelnõu kohaselt tuleks vastavust igal aastal uuesti kinnitada. Kui aasta pärast läbiviidud audit tuvastab puudujääke, võib auditeeriv ettevõte algse auditiarvamuse tühistada. Sellele järgneb pädeva asutuse poolt ka taotletud tunnustuse tühistamine, mis avaldatakse Euroopa komisjoni loodavas ja hallatavas keskregistris, kuhu kantakse kõik kindlustustasemega tunnustatud pilveteenused, ja jääb seal kättesaadavaks viieks aastaks (eelnõu artiklid 20 ja 22).
- Eelnõu kohaselt tekivad ettevõtte asukohariigi pädevatel asutustel ulatuslikud volitused pilveteenuse pakkuja suhtes, kelle tegevuse üle ta järelevalvet teostab. Pädev asutus võib nõuda pilveteenuse pakkujalt teavet, viia läbi kontrolle ettevõtte ruumides ning küsitleda töötajaid. Rikkumise tuvastamisel võib asutus nõuda rikkumise lõpetamist, määrata trahve või sunniraha (eelnõu artikkel 26).
- Muudatustega lubatakse ettevõtetele edaspidi avalikule sektorile pilveteenust pakkuda ainult siis, kui nende teenus on tunnustatud vastava kindlustustasemega. Avaliku korra kaitsega mitteseotud tegevuse jaoks piisaks eelpool toodud esimese taseme täitmisest, kuid kriitilise tähtsusega tegevuse jaoks, näiteks riigikaitse, sisejulgeolek, piirivalve, õigusemõistmine, peab ettevõte teenus olema tunnustatud teise kuni neljanda taseme järgi. See tähendab, et kui ettevõtte pilveteenus ei ole nõutava taseme järgi tunnustatud, ei saa ta üldse vastavat tüüpi riigihankes osaleda (eelnõu artikkel 30).
- Kriitilise tähtsusega sektorites, näiteks tervishoid, energeetika, transport, tegutsevatel erasektori ettevõtetel tekib eelnõu kohaselt õigus viia läbi sarnane pilveteenuse riskihindamine nagu avalikul sektoril, et hinnata oma sõltuvust ja andmete kaitstust. Euroopa komisjon võib selle hiljem delegeeritud õigusaktiga muuta nende jaoks kohustuslikuks (eelnõu artikkel 31).
- Eelnõu kohaselt seatakse kohustus innovatiivsete tehisaru ja pilveteenuste riigihangetes ettevõtte pakkumust hakata hindama lisaks hinnale ja tehnilisele kvaliteedile ka selle järgi, kui palju panustab tema pakutav lahendus Euroopa tehisaru ja pilveteenuste ökosüsteemi arendamisse, näiteks kas kasutatakse ELis toodetud riist- või tarkvara või ELi rahastatud teadus-arendustegevuse tulemusi. See kriteerium peab olema hankedokumentides selgelt välja toodud ja seotud hanke esemega, kuid see peab jääma kõrvaliseks teguriks ega tohi olla hanke võitmisel otsustav. Seega madalama hinna või parema tehnilise lahendusega pakkuja ei jää sellest kriteeriumist tingituna kõrvale (eelnõu artikkel 32).
- Eelnõuga sätestatakse, et iga liikmesriik eraldi peaks püüdma anda vähemalt 25% riigi tehisaru ja pilveteenuste riigihangetest innovatiivsetele väikestele ja keskmise suurusega ettevõtetele, mis annaks neile senisest suurema hankevõimaluse. Tegemist on eesmärgiga, mille poole liikmesriik peab püüdlema, mitte tulemusega, mille saavutamine oleks iseenesest siduv kohustus. Küll aga peab iga liikmesriik lisama oma riiklikusse strateegiase konkreetse plaani, kuidas ta kavatseb 25%-list tulemust saavutada. Samuti peavad liikmesriigid komisjonile igal aastal aru andma hankemenetluses osalevate ettevõtjate arvu kohta, väikeste ja keskmise suurusega ettevõtete osalemise trendide ja sõlmitud lepingute arvude kohta ning selle kohta, mis meetmeid on võetud kasutusele väikeste ja keskmise suurusega ettevõtete juurdepääsu parandamiseks riigihankemenetlusele (eelnõu artikkel 33).
Millal jõustuvad muudatused?
Plaanitavad muudatused jõustuvad ettepaneku kohaselt 20. päeval pärast Euroopa Liidu Teatajas avaldamist. Seega ei ole hetkel täpne jõustumise aeg teada. Määrus hakkab aga kohalduma 12 kuud pärast jõustumist.
Anna teada, mida arvad plaanitavatest muudatustest. Eelkõige ootame vastuseid alltoodud küsimustele, kuid oodatud on ka muud tähelepanekud:
- Kas toetad eelnõus toodud eesmärke ja pakutud lahendusi? Palume tuua välja, milliseid toetad ja miks? Milliseid ettepanekuid ei toeta ja miks?
- Millised aspektid ja ettepanekud vajaksid täpsustamist või lisaselgitusi, et oleksid praktikas rakendatavad?
- Kas on Eesti jaoks spetsiifilisi aspekte, mis mõjutavad valdkonna seniseid praktikaid. Palume tuua konkreetseid näiteid ja viidata võimalusel analüüsidele-raportitele.
- Palume tuua välja muud teemad, mis on eelnõu puhul murekohaks ja mis vajaks eelnõu tekstis muutmist/täiendamist. Samuti palume teha ettepanekuid, kuidas vastavat osa eelnõus muuta.
Tagasisidet ootan hiljemalt 29. juuliks e-posti aadressile sandra@koda.ee. Ettevõtete vastuste põhjal koostan koja seisukoha, mille saadan justiits- ja digiministeeriumile.
