Tento dokument je výňatkem z internetových stránek EUR-Lex
Dokument 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Stanovisko Evropské centrální banky ze dne 25. července 2014 k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii (CON/2014/58)
Stanovisko Evropské centrální banky ze dne 25. července 2014 k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii (CON/2014/58)
Úř. věst. C 352, 7.10.2014, s. 4—11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
CS |
Úřední věstník Evropské unie |
C 352/4 |
STANOVISKO EVROPSKÉ CENTRÁLNÍ BANKY
ze dne 25. července 2014
k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii
(CON/2014/58)
2014/C 352/04
Úvod a právní základ
Dne 7. února 2013 zveřejnila Evropská komise návrh směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii (1) (dále jen „navrhovaná směrnice“).
ECB se rozhodla vydat k navrhované směrnici stanovisko z vlastního podnětu, jelikož normotvůrci Evropskou centrální banku (ECB) formálně nekonzultovali. Pravomoc ECB zaujmout stanovisko je založena na čl. 127 odst. 4 a čl. 282 odst. 5 Smlouvy o fungování Evropské unie, jelikož navrhovaná směrnice obsahuje ustanovení, která mají vliv na úkol Evropského systému centrálních bank (ESCB) podporovat plynulé fungování platebních systémů, jak je uvedeno ve čtvrté odrážce čl. 127 odst. 2 Smlouvy. Článek 22 statutu Evropského systému centrálních bank a Evropské centrální banky (dále jen „statut ESCB“) kromě toho stanoví, že ECB a národní centrální banky mohou poskytovat facility a ECB může vydávat nařízení proto, aby byly zajištěny účinné a spolehlivé zúčtovací a platební mechanismy uvnitř Unie a ve styku se třetími zeměmi. V souladu s čl. 17.5 první větou jednacího řádu Evropské centrální banky přijala toto stanovisko Rada guvernérů.
1. Účel navrhované směrnice
1.1 |
Cílem navrhované směrnice je zajistit vysokou společnou úroveň bezpečnosti sítí a informací zvýšením bezpečnosti internetu a sítí a informačních systémů, na nichž je postaveno fungování naší společnosti a hospodářství. Tento návrh je hlavním opatřením evropské strategie pro kybernetickou bezpečnost (2). |
1.2 |
Sítě a informační systémy hrají zásadní roli při usnadňování přeshraničního pohybu zboží, služeb a osob. Vzhledem k tomuto nadnárodnímu rozměru se může narušení těchto systémů v jednom členském státě dotknout dalších členských států i celé Unie. Pravděpodobnost častého výskytu bezpečnostních incidentů a nemožnost zajistit účinnou ochranu navíc podrývají důvěru veřejnosti v bezpečnost sítí a informací. Odolnost a stabilita sítí a informačních systémů je proto zásadním předpokladem pro hladké fungování vnitřního trhu. |
1.3 |
Navrhovaná směrnice navazuje na předcházející iniciativy v této oblasti (3). V této souvislosti navrhovaná směrnice uznává potřebu harmonizovat pravidla týkající se bezpečnosti sítí a informací a vytvořit účinné mechanismy spolupráce mezi členskými státy. |
1.4 |
Navrhovaná směrnice zavádí společný právní rámec Unie pro bezpečnost sítí a informací, pokud jde o kapacity členských států, mechanismy spolupráce na úrovni Unie a povinnosti orgánů veřejné správy a subjektů soukromého sektoru v konkrétních klíčových odvětvích. To by mělo zajistit odpovídající připravenost na vnitrostátní úrovni a přispět k vytvoření vzájemné důvěry, která je předpokladem efektivní spolupráce na úrovni Unie. Nastavení mechanismů spolupráce na úrovni Unie prostřednictvím sítě umožní předcházet přeshraničním rizikům a narušení bezpečnosti sítí a informací a reagovat na ně jednotným a koordinovaným způsobem. |
1.5 |
Předmětem hlavních ustanovení je:
|
2. Obecné připomínky
2.1 |
ECB podporuje cíl navrhované směrnice, kterým je zajistit vysokou společnou úroveň bezpečnosti sítí a informací v Unii a dosáhnout v této oblasti jednotný přístup v různých odvětvích a členských státech. Je důležité zajistit, aby vnitřní trh byl bezpečným prostorem pro podnikání a aby všechny členské státy zabezpečily určitou minimální míru připravenosti pro případ incidentů v oblasti kybernetické bezpečnosti. |
2.2 |
ECB má však za to, že navrhovanou směrnicí by neměl být dotčen stávající režim dozoru Eurosystému nad platebními a vypořádacími systémy (5), jenž zahrnuje příslušná opatření mimo jiné v oblasti bezpečnosti sítí a informací. Je třeba poznamenat, že v zájmu podpory plynulého fungování platebních systémů a s cílem přispět k zachování důvěry v euro a fungování hospodářství Unie má ECB zvláštní zájem na zvýšené bezpečnosti platebních a vypořádacích (6) systémů. |
2.3 |
Hodnocení bezpečnostních opatření a oznamování incidentů ve vztahu k platebním a vypořádacím systémům a poskytovatelům platebních služeb je jednou z hlavních kompetencí orgánů obezřetnostního dohledu a centrálních bank. Odpovědnost za vytváření dozorových požadavků ve výše uvedených oblastech by proto měly mít i nadále tyto orgány a platební a vypořádací systémy a poskytovatelé platebních služeb by neměly podléhat potenciálně protichůdným požadavkům ukládaným jinými vnitrostátními orgány. Navíc požadavky na řízení rizik včetně bezpečnostních požadavků ve vztahu k platebním a vypořádacím systémům a ostatním tržním infrastrukturám eurozóny stanoví Eurosystém, který sestává z ECB a národních centrálních bank těch členských států, které přijaly euro. Prostřednictvím této dozorové funkce Eurosystém usiluje o zajištění plynulého fungování platebních a vypořádacích systémů, mj. uplatňováním příslušných standardů dozoru a minimálních požadavků. Navrhovaná směrnice by měla zohledňovat již zavedený dozorový rámec a zajistit konzistentnost regulace v Unii. |
3. Konkrétní připomínky
3.1 |
Podle 5. bodu odůvodnění a článku 1 navrhované směrnice se příslušné povinnosti, mechanismus spolupráce a bezpečnostní požadavky vztahují na všechny orgány veřejné správy a hospodářské subjekty. Stávající znění 5. bodu odůvodnění a článku 1 nezohledňuje mandát Eurosystému k výkonu dozoru nad platebními a vypořádacími systémy, který je zakotven ve Smlouvě. Navrhovaná směrnice by proto měla být změněna tak, aby náležitě odrážela úkoly Eurosystému v této oblasti. |
3.2 |
Opatření a postupy, na základě kterých centrální banky a další příslušné orgány vykonávají dozor nad platebními systémy a systémy vypořádání obchodů s cennými papíry, jsou obsaženy v řadě směrnic a nařízení Unie, zejména:
|
3.3 |
Dále je třeba poznamenat, že pro účely výkonu dozoru Eurosystému nad všemi druhy infrastruktur finančního trhu Rada guvernérů ECB dne 3. června 2013 přijala zásady pro infrastruktury finančního trhu, které v dubnu 2012 vydal Výbor pro platební a zúčtovací systémy (CPSS) Banky pro mezinárodní platby (BIS) a technický výbor Mezinárodní organizace komisí pro cenné papíry (IOSCO) (11). Následně na to proběhla veřejná konzultace k návrhu nařízení o požadavcích v oblasti dozoru nad systémově významnými platebními systémy (12). Nařízení o požadavcích v oblasti dozoru nad systémově významnými platebními systémy provádí právně závazným způsobem zásady CPSS-IOSCO a vztahuje se na systémově významné platební systémy pro velké i malé platby, ať už jsou provozovány národními centrálními bankami Eurosystému nebo soukromými subjekty. |
3.4 |
Existující opatření v oblasti dozoru (13) nad platebními systémy a poskytovateli platebních služeb již zahrnují postupy týkající se včasných varování (14) a koordinovaných reakcí (15) v rámci Eurosystému i mimo něj s cílem řešit možné hrozby v oblasti kybernetické bezpečnosti, které jsou rovnocenné postupům stanoveným v článcích 10 a 11 navrhované směrnice. |
3.5 |
ESCB stanovil normy týkající se povinnosti podávání zpráv a řízení rizik pro platební systémy. ECB navíc pravidelně hodnotí systémy vypořádání obchodů s cennými papíry pro účely stanovení jejich způsobilosti pro použití v úvěrových operacích Eurosystému. ECB proto považuje za nezbytné, aby požadavky navrhované směrnice, které se dotýkají klíčových tržních infrastruktur a jejich provozovatelů (16), neměly vliv na standardy v nařízení o požadavcích v oblasti dozoru nad systémově významnými platebními systémy, rámec politiky Eurosystému v oblasti dozoru nebo další nařízení Unie, zejména nařízení o infrastruktuře evropských trhů (EMIR) a budoucí nařízení o centrálních depozitářích cenných papírů. Kromě toho by neměly zasahovat do úkolů orgánu EBA nebo ESMA a ostatních orgánů obezřetnostního dohledu (17). |
3.6 |
Bez ohledu na výše uvedené se ECB domnívá, že existuje závažný důvod pro to, aby si Eurosystém vyměňoval příslušné informace s Výborem pro bezpečnost sítí a informací, který má být zřízen podle článku 19 navrhované směrnice. Pro účely účinné výměny informací, která se může stát nezbytnou, by ECB, EBA a ESMA měly mít možnost vyslat zástupce na zasedání Výboru pro bezpečnost sítí a informací v souvislosti s body programu, které by mohly mít význam pro výkon jejich příslušných mandátů. |
Ve Frankfurtu nad Mohanem dne 25. července 2014.
Prezident ECB
Mario DRAGHI
(1) COM(2013) 48 final.
(2) Viz společné sdělení Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů s názvem „Strategie kybernetické bezpečnosti Evropské unie: otevřený, bezpečný a chráněný kyberprostor“, JOIN(2013) 1 final.
(3) Ty zahrnují následující sdělení: „Bezpečnost sítí a informací – návrh evropského politického přístupu“ COM(2001) 298 final; „Strategie pro bezpečnou informační společnost – ‚Dialog, partnerství a posílení účasti‘“ KOM(2006) 251 v konečném znění; sdělení o ochraně kritické informační infrastruktury – „Ochrana Evropy před rozsáhlými počítačovými útoky a narušením: zvyšujeme připravenost, bezpečnost a odolnost“ KOM(2009) 149 v konečném znění; „Digitální program pro Evropu“ KOM(2010) 245 v konečném znění a sdělení o ochraně kritické informační infrastruktury – „Dosažené výsledky a další kroky: směrem ke globální kybernetické bezpečnosti“ KOM(2011) 163 v konečném znění.
(4) Směrnice Evropského parlamentu a Rady 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (Úř. věst. L 108, 24.4.2002, s. 33).
(5) Někteří členové ESCB vykonávají funkce v oblasti dozoru na základě vnitrostátních právních předpisů, které doplňují a v některých případech duplikují pravomoc Eurosystému.
(6) V kontextu tohoto stanoviska zahrnuje pojem „vypořádání“ funkci clearingu.
(7) Směrnice Evropského parlamentu a Rady 98/26/ES ze dne 19. května 1998 o neodvolatelnosti zúčtování v platebních systémech a v systémech vypořádání obchodů s cennými papíry (Úř. věst. L 166, 11.6.1998, s. 45).
(8) Viz čl. 10 odst. 1 třetí pododstavec směrnice o neodvolatelnosti zúčtování.
(9) Nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů (Úř. věst. L 201, 27.7.2012, s. 1).
(10) COM(2012) 73 final.
(11) K dispozici na internetových stránkách Banky pro mezinárodní platby http://www.bis.org/publ/cpss94.pdf
(12) K dispozici na internetových stránkách ECB http://www.ecb.europa.eu
(13) Viz tisková zpráva ECB týkající se memoranda o porozumění o strategických zásadách spolupráce mezi orgány bankovního dohledu a centrálními bankami Evropské unie v případech řízení krizí (2003), k dispozici na internetových stránkách ECB www.ecb.europa.eu
(14) Viz doporučení č. 3: sledování incidentů a podávání zpráv v dokumentu „Recommendations for the security of internet payments-final version after public consultation“, Evropské fórum pro bezpečnost malých plateb (Secure Pay), leden 2013, k dispozici na internetových stránkách ECB www.ecb.europa.eu
(15) Na základě zásad pro společný mezinárodní dozor, které zdůraznila zpráva CPSS o dozoru z roku 2005, se centrální banky Eurosystému úspěšně účastnily ujednání o spolupráci v řadě případů, např. v rámci ujednání o dozoru v případě systému SWIFT („Society for Worldwide Interbank Financial Telecommunications“) a CLS („Continuous Linked Settlement“).
(16) Např. požadavky, aby hospodářské subjekty dodržovaly technická a organizační opatření v čl. 14 odst. 3 a 4, a pravomoc dávat hospodářským subjektům závazné pokyny upravená v čl. 15 odst. 3 navrhované směrnice.
(17) Viz odstavec 2.12 stanoviska CON/2014/9 k návrhu směrnice Evropského Parlamentu a Rady o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2013/36/EU a 2009/110/ES a zrušuje směrnice 2007/64/ES (Úř. věst. C 224, 15.7.2014, s. 1). Všechna stanoviska ECB jsou zveřejněna na internetových stránkách ECB www.ecb.europa.eu
PŘÍLOHA
Pozměňovací návrhy
Text navrhovaný Komisí |
Změny navrhované ECB (1) |
||||||||||||||||||||||||||||||||||||||||||
Změna č.1 |
|||||||||||||||||||||||||||||||||||||||||||
5. bod odůvodnění |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
5. bod odůvodnění by měl být změněn tak, aby zohledňoval úkoly, které ECB a národní centrální banky plní v oblasti dozoru nad platebními a vypořádacími systémy a jejich regulace. V souladu s čl. 127 odst. 2 čtvrtou odrážkou Smlouvy je jedním ze základních úkolů ESCB podporovat plynulé fungování platebních systémů. Článek 22 statutu ESCB dále opravňuje ECB vydávat nařízení proto, aby byly zajištěny účinné a spolehlivé zúčtovací a platební mechanismy. Rovněž je třeba vzít v úvahu, že podle čl. 127 odst. 5 Smlouvy přispívá ESCB k řádnému provádění opatření v oblasti stability finančního systému. Navíc podle rámce politiky Eurosystému v oblasti dozoru (Oversight Policy Framework) z července 2011 (2) představuje dozor nad platebními a vypořádacími systémy funkci centrální banky, kde cíle bezpečnosti a účinnosti jsou podporovány sledováním existujících a plánovaných systémů, jejich vyhodnocováním podle těchto cílů a, v případě potřeby, vyvoláním změn. Zajišťování bezpečnosti a účinnosti systémů je tedy důležitým předpokladem pro to, aby Eurosystém mohl přispívat k finanční stabilitě, provádět měnovou politiku a udržovat důvěru veřejnosti v euro. V souladu s připomínkami ECB k navrhované revizi směrnice o platebních službách je třeba poznamenat, že vnitrostátní orgány dohledu a centrální banky jsou příslušnými orgány k vydávání obecných pokynů týkajících se řízení a oznamování incidentů ve vztahu k poskytovatelům platebních služeb, jakož i k vydávání obecných pokynů týkajících se sdílení oznámení o incidentech příslušnými orgány. V tomto bodu odůvodnění by měly být též zohledněny úkoly, které jsou ECB svěřeny nařízením (EU) č. 1024/2013. Pokud členové ESCB mimo eurozónu na základě příslušných vnitrostátních předpisů plní funkce obdobné úkolům stanoveným Smlouvou a statutem ESCB, neměly by být ani tyto funkce dotčeny. |
|||||||||||||||||||||||||||||||||||||||||||
Změna č. 2 |
|||||||||||||||||||||||||||||||||||||||||||
Čl. 1 odst. 4 a 5 (nový) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Jak bylo uvedeno výše, ECB má značný zájem na řádném fungování platebních a vypořádacích systémů. Důvodem je význam platebních, clearingových a vypořádacích systémů pro řádné provádění operací měnové politiky, jakož i úloha, kterou tyto systémy hrají při zajišťování stability finančního systému obecně. ECB proto doporučuje, aby v navrhované směrnici byla zohledněna úloha ESCB ve vztahu k platebním a vypořádacím systémům a již zavedený dozorový rámec. ESCB má velmi účinné nástroje ke stanovení úrovně bezpečnosti a účinnosti těchto systémů. V tomto bodu odůvodnění by měly být též zohledněny úkoly, které jsou ECB svěřeny nařízením (EU) č. 1024/2013. Navrhovanou směrnicí by též neměly být dotčeny obdobné funkce, které plní členové ESCB mimo eurozónu na základě svých vnitrostátních rámců. |
|||||||||||||||||||||||||||||||||||||||||||
Změna č. 3 |
|||||||||||||||||||||||||||||||||||||||||||
Čl. 6 odst. 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Odůvodnění ECB doporučuje změnit čl. 6 odst. 1 s cílem zajistit dobrou úroveň spolupráce na úrovni Unie. |
|||||||||||||||||||||||||||||||||||||||||||
Změna č. 4 |
|||||||||||||||||||||||||||||||||||||||||||
Čl. 8 odst. 3 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Existují závažné důvody pro sdílení informací s Evropskou agenturou pro bezpečnost sítí a informací nebo s odpovědnými orgány podle navrhované směrnice, jakož i s orgánem EBA nebo ESMA jakožto příslušným orgánem pro koordinaci reakcí na incidenty týkající se poskytovatelů platebních služeb. ECB tedy navrhuje tuto změnu s cílem podpořit sdílení informací a lepší koordinaci na úrovni Unie. |
|||||||||||||||||||||||||||||||||||||||||||
Změna č. 5 |
|||||||||||||||||||||||||||||||||||||||||||
Čl. 19 odst. 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
ECB, EBA a ESMA mohou vyslat svého zástupce na zasedání Výboru pro bezpečnost sítí a informací v souvislosti s body programu, které mohou mít dopad na výkon příslušných mandátů ECB, EBA a ESMA.“ |
||||||||||||||||||||||||||||||||||||||||||
ECB má přímý zájem na zvyšování bezpečnosti platebních a vypořádacích systémů, služeb a nástrojů jako důležité součásti udržování důvěry v jednotnou měnu a řádného fungování hospodářství Unie. ECB proto doporučuje, aby byla zvána na zasedání Výboru pro bezpečnost sítí a informací. V každém případě bude muset být ECB v souladu se Smlouvou formálně konzultována ke všem takovým opatřením týkajícím se platebních systémů a dalších záležitostí spadajících do oblasti působnosti ECB. EBA nebo ESMA by měly být rovněž zapojeny, pokud jde o otázky, které se týkají poskytovatelů platebních služeb. |
(1) Tučně je vyznačen text, který ECB navrhuje doplnit. Přeškrtnut je text, který ECB navrhuje vypustit.
(2) K dispozici na internetových stránkách ECB www.ecb.europa.eu