Τον Ιανουάριο του 2026, η Ευρωπαϊκή Επιτροπή παρουσίασε νέα δέσμη μέτρων για την ασφάλεια στον κυβερνοχώρο, προτείνοντας, μεταξύ άλλων, την αναθεώρηση του υφιστάμενου Κανονισμού της Ε.Ε. για την κυβερνοασφάλεια, ο οποίος τέθηκε σε ισχύ το 2019.
Με την πρόταση αυτή, η οποία στη φάση αυτή έχει παραπεμφθεί στην αρμόδια επιτροπή του Ευρωπαϊκού Κοινοβουλίου και συζητείται σε Ομάδα Εργασίας του Συμβουλίου κατά τους κανόνες της συνήθους νομοθετικής διαδικασίας, εισάγεται ένα οριζόντιο κανονιστικό πλαίσιο για την αντιμετώπιση μη τεχνικών παραγόντων κινδύνων κυβερνοασφάλειας στις αλυσίδες εφοδιασμού Τεχνολογιών Πληροφοριών και Επικοινωνιών (ΤΠΕ/ICT).
Κατά τις διατάξεις του Τίτλου IV, δίδεται, μεταξύ άλλων, η εξουσιοδότηση στην Επιτροπή, κατόπιν διενέργειας συντονισμένης εκτίμησης κινδύνου, να χαρακτηρίζει τρίτες χώρες ως εγείρουσες κινδύνους για την κυβερνοασφάλεια, και να συντάσσει κατάλογο προμηθευτών υψηλού κινδύνου, με φορείς που είναι εγκατεστημένοι σε χαρακτηρισμένες τρίτες χώρες ή ελεγχόμενοι από φορείς χαρακτηρισμένων τρίτων χωρών.
Σύμφωνα με την αιτιολογική έκθεση, με την παρέμβαση αυτή επιδιώκεται η ελαχιστοποίηση των κινδύνων από προμηθευτές υψηλού κινδύνου και η μείωση των κρίσιμων εξαρτήσεων. Ως νομική βάση της προτεινόμενης ρύθμισης τίθεται το άρθρο 114 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), το οποίο αφορά την εσωτερική αγορά.
Με αυτή τη νομική βάση, όμως, οι προτεινόμενες διατάξεις του Τίτλου IV δημιουργούν ζήτημα συμβατότητάς τους με την αρχή της δοτής αρμοδιότητας, η οποία, κατά το ΔΕΕ, αποτελεί ιδιαίτερο χαρακτηριστικό της Ένωσης και του δικαίου της. Δυνάμει της εν λόγω αρχής, η Ένωση μπορεί να ενεργεί μόνον εντός των ορίων των αρμοδιοτήτων που τα κράτη-μέλη τής έχουν απονείμει. Στο άρθρο 4 παρ. 2 της Συνθήκης για την Ευρωπαϊκή Ένωση ορίζεται απερίφραστα ότι η εθνική ασφάλεια παραμένει στην ευθύνη κάθε κράτους-μέλους.
Με την Πρόταση Κανονισμού, προκειμένου να αξιολογηθεί το επίπεδο απειλής της εκάστοτε τρίτης χώρας, λαμβάνονται υπόψη:
- η ύπαρξη νόμων ή πρακτικών στην τρίτη χώρα, που υποχρεώνουν τους υπαγόμενους στη δικαιοδοσία της φορείς σε αναφορά των ευπαθειών λογισμικού ή υλισμικού, προτού καταστεί γνωστή τυχόν εκμετάλλευση τους (α. 100§1α και β)
- η απουσία αποτελεσματικών μέσων έννομης προστασίας και ανεξάρτητων και δημοκρατικών μηχανισμών ελέγχου, που να μπορούν να αντιμετωπίσουν ανησυχίες για την ασφάλεια (α. 100§1γ)
- τεκμηριωμένες πληροφορίες σχετικά με περιστατικά παραγόντων απειλής που δραστηριοποιούνται εκτός του εδάφους της εν λόγω χώρας και διεξάγουν κακόβουλες δραστηριότητες ή εκστρατείες στον κυβερνοχώρο και η έλλειψη ικανότητας ή προθυμίας της τρίτης χώρας να συνεργαστεί για την αντιμετώπιση του κινδύνου που απορρέει από τη δραστηριότητα των εν λόγω παραγόντων απειλής (α. 100§1δ)
- πληροφορίες από συντονισμένες εκτιμήσεις κινδύνου της Ένωσης ή από εκθέσεις κρατών-μελών ή διεθνών οργανισμών (α. 100§1ε)
Από την επισκόπηση των κριτηρίων αυτών προκύπτει, αφενός η ευρύτητά τους, αφετέρου η αξιολογική υφή που ενέχουν, παρέχοντας στην Επιτροπή τη δυνατότητα να λαμβάνει αποφάσεις, κατά τρόπο οριζόντιο, για ζητήματα που ανάγονται σε παρακρατημένες αρμοδιότητες των κρατών-μελών. Και αυτό γιατί οι εξωτερικές σχέσεις που αναπτύσσει το ίδιο το κράτος με άλλες χώρες, οι διακυμάνσεις των διακρατικών του σχέσεων και, ακόμη περισσότερο, η πρόσληψη του άλλου ως εχθρού ή μη, ανήκουν στον πυρήνα της εθνικής του ασφάλειας.
Σύμφωνα με τη νομολογία του ΔΕΕ, η νομική βάση της εσωτερικής αγοράς του άρθρου 114 ΣΛΕΕ δεν δύναται να στηρίξει την ενωσιακή αρμοδιότητα, αν η πράξη μόνον παρεμπιπτόντως έχει ως αποτέλεσμα την εναρμόνιση των όρων της εσωτερικής αγοράς ή εξυπηρετεί κατά τρόπο παρακολουθηματικό τους στόχους της εσωτερικής αγοράς σε σχέση με τον κύριο στόχο (ΔΕΕ, C-155/91, C-271/94). Συνεπώς, η προτεινόμενη ρυθμιστική δράση της Ένωσης στον τομέα της κυβερνοασφάλειας, έχοντας ως έρεισμα αυτή τη νομική βάση, στερείται θεμελίωσης.
Εξάλλου, σύμφωνα με το άρθρο 29 της Συνθήκης για την Ε.Ε., οι αποφάσεις, «οι οποίες καθορίζουν τη στάση της Ένωσης επί συγκεκριμένου ζητήματος γεωγραφικής ή θεματικής φύσεως», εκδίδονται από το Συμβούλιο και όχι κατ’ εξουσιοδότηση από την Επιτροπή. Συνεπώς, στο μέτρο που με τις εν λόγω ρυθμίσεις επιχειρείται να εκφραστεί η θέση της Ένωσης αναφορικά με τους συσχετισμούς δυνάμεων στους οποίους επιθυμεί να προβεί στο πλαίσιο του γεωπολιτικού ανταγωνισμού και της επιδίωξης τεχνολογικής κυριαρχίας, ανακύπτει ασυμφωνία σε σχέση με τις αρμοδιότητες που διατρέχουν οριζοντίως τις εξουσίες των ενωσιακών θεσμικών οργάνων.
Καταληκτικά, οι ανωτέρω σκέψεις δεν αρνούνται συλλήβδην την αρμοδιότητα της Ένωσης να προβεί σε ρύθμιση του κυβερνοχώρου. Από το γεγονός, άλλωστε, ότι η παρούσα πρόταση πρόκειται κατ’ αρχήν για μεταρρύθμιση υφιστάμενου Κανονισμού, προκύπτει ότι η Ένωση δρα ήδη κανονιστικά στο εν λόγω πεδίο. Αντίθετα, το εξεταστέο νομικό ζήτημα αφορά τον έλεγχο του τρόπου (πώς;) και της έκτασης (σε ποιον βαθμό;) άσκησης της ρυθμιστικής αυτής εξουσίας. Και οι διατάξεις του Τίτλου VI βρίσκονται σε μια διελκυστίνδα μεταξύ των παρακρατημένων αρμοδιοτήτων των κρατών-μελών και των δοτών αρμοδιοτήτων της Ένωσης.
*Καθηγητής, Δικηγόρος
Για να εμφανίζονται περισσότερα άρθρα της Ναυτεμπορικής στις αναζητήσεις σας εύκολα και γρήγορα, πρέπει να προσθέσετε το site στις προτιμώμενες πηγές σας. Μπορείτε να το κάνετε πηγαίνοντας εδώ.
