EUR-Lex Dostop do prava EU
Dokument je izvleček s spletišča EUR-Lex.
Dokument 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Mnenje Evropske centralne banke z dne 25. julija 2014 o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacij v Uniji (CON/2014/58)
Mnenje Evropske centralne banke z dne 25. julija 2014 o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacij v Uniji (CON/2014/58)
UL C 352, 7.10.2014, str. 4–11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
SL |
Uradni list Evropske unije |
C 352/4 |
MNENJE EVROPSKE CENTRALNE BANKE
z dne 25. julija 2014
o predlogu direktive Evropskega parlamenta in Sveta o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacij v Uniji
(CON/2014/58)
2014/C 352/04
Uvod in pravna podlaga
Evropska komisija je dne 7. februarja 2013 objavila predlog direktive o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacij v Uniji (1) (v nadaljnjem besedilu: predlagana direktiva).
Ker zakonodajalci Evropsko centralno banko (ECB) niso formalno zaprosili za mnenje o predlagani direktivi, se je ECB odločila podati mnenje na lastno pobudo. Pristojnost ECB, da poda mnenje, izhaja iz členov 127(4) in 282(5) Pogodbe o delovanju Evropske unije, saj predlagana direktiva vsebuje določbe, ki vplivajo na nalogo Evropskega sistema centralnih bank (ESCB), da podpira nemoteno delovanje plačilnih sistemov, kakor je navedena v četrti alinei člena 127(2) Pogodbe. Poleg tega člen 22 Statuta Evropskega sistema centralnih bank in Evropske centralne banke (v nadaljnjem besedilu: Statut ESCB) določa, da ECB in nacionalne centralne banke (NCB) lahko ustvarijo možnosti in ECB lahko sprejme predpise za zagotovitev učinkovitih in zanesljivih klirinških in plačilnih sistemov znotraj Unije in z drugimi državami. V skladu s prvim stavkom člena 17.5 Poslovnika Evropske centralne banke je to mnenje sprejel Svet ECB.
1. Namen predlagane direktive
1.1 |
Cilj predlagane direktive je zagotoviti visoko skupno raven varnosti omrežij in informacij (VOI) z izboljšanjem varnosti interneta ter omrežij in informacijskih sistemov, ki podpirajo našo družbo in gospodarstvo. Ta predlog je glavni ukrep evropske strategije za kibernetsko varnost (2). |
1.2 |
Omrežja in informacijski sistemi imajo ključno vlogo pri čezmejnem pretoku blaga, storitev in oseb. Zaradi te čeznacionalne razsežnosti lahko prekinitev v eni državi članici vpliva tudi na druge države članice in na Unijo kot celoto. Poleg tega verjetnost pogostega nastanka incidentov in nezmožnost zagotavljanja učinkovite zaščite zmanjšujeta zaupanje javnosti v VOI. Odpornost in stabilnost VOI je zato ključnega pomena za nemoteno delovanje notranjega trga. |
1.3 |
Predlagana direktiva temelji na prejšnjih pobudah s tega področja (3). Tako potrjuje potrebo po uskladitvi pravil o VOI in vzpostavitvi učinkovitih mehanizmov za sodelovanje med državami članicami. |
1.4 |
Predlagana direktiva vzpostavlja skupni pravni okvir Unije za VOI za zmogljivosti držav članic, mehanizme za sodelovanje na ravni Unije in zahteve za javne uprave ter tudi subjekte zasebnega sektorja iz določenih ključnih sektorjev. To bi moralo zagotoviti ustrezno pripravljenost na nacionalni ravni ter biti v pomoč pri spodbujanju medsebojnega zaupanja, kar je predpogoj za učinkovito sodelovanje na ravni Unije. Mehanizmi za sodelovanje na ravni Unije prek mreže bodo zagotovili dosledno in usklajeno preprečevanje čezmejnih incidentov in tveganj VOI ter odzivanje nanje. |
1.5 |
Glavne določbe zadevajo naslednje:
|
2. Splošne pripombe
2.1 |
ECB podpira cilj predlagane direktive, ki je zagotoviti visoko skupno raven VOI v Uniji ter v poslovnih sektorjih in državah članicah doseči skladen pristop na tem področju. Pomembno je zagotoviti, da je notranji trg varno okolje za poslovanje in da imajo države članice v primeru incidenta na področju kibernetske varnosti zagotovljeno določeno minimalno raven pripravljenosti. |
2.2 |
Toda ECB meni, da predlagana direktiva ne bi smela posegati v obstoječi sistem pregleda Eurosistema nad plačilnimi in poravnalnimi sistemi (5), ki vključuje primerne ureditve, med drugim na področju VOI. Velja izpostaviti, da je ECB zaradi podpiranja nemotenega delovanja plačilnih sistemov in pomoči pri ohranjanju zaupanja v euro in delovanja gospodarstva v Uniji še posebej zainteresirana za okrepljeno varnost plačilnih in poravnalnih (6) sistemov. |
2.3 |
Nadalje, ocena varnostnih ureditev in priglasitev incidentov v zvezi s plačilnimi in poravnalnimi sistemi ter ponudniki plačilnih storitev je ena od temeljnih pristojnosti bonitetnih nadzornikov in centralnih bank. Odgovornost za oblikovanje pregledniških zahtev na zgoraj omenjenih področjih bi zato morali ohraniti ti organi, plačilni in poravnalni sistemi ter ponudniki plačilnih storitev pa ne bi smeli biti podvrženi potencialno nasprotnim zahtevam drugih nacionalnih organov. Dalje, obvladovanje tveganja, vključno z varnostnimi zahtevami za plačilne in poravnalne sisteme ter druge tržne infrastrukture v euroobmočju, določa Eurosistem, ki ga sestavljajo ECB in NCB držav članic, ki so sprejele euro. Prek te pregledniške funkcije, med drugim s primernimi pregledniškimi standardi in minimalnimi zahtevami, Eurosistem želi zagotoviti nemoteno delovanje plačilnih in poravnalnih sistemov. Predlagana direktiva bi že vzpostavljeni okvir za pregled morala upoštevati in zagotoviti bi morala regulativno doslednost v Uniji. |
3. Posamezne pripombe
3.1 |
Uvodna izjava 5 in člen 1 predlagane direktive določata, da se zadevne obveznosti, mehanizem za sodelovanje in varnostne zahteve uporabljajo za vse javne uprave in tržne udeležence. Trenutno besedilo uvodne izjave 5 in člena 1 ne upošteva v Pogodbi opredeljenega mandata Eurosistema, da podpira nemoteno delovanje plačilnih sistemov. Predlagano direktivo bi bilo zato treba spremeniti, tako da bi se ustrezno odrazile pristojnosti Eurosistema na tem področju. |
3.2 |
Ureditve in postopke, ki jih centralne banke in drugi pristojni organi uporabljajo pri pregledu plačilnih sistemov in sistemov poravnave vrednostnih papirjev, vsebujejo številne direktive in uredbe Unije, zlasti tudi:
|
3.3 |
Poleg tega velja izpostaviti, da je za izvajanje pregleda Eurosistema nad vsemi vrstami infrastruktur finančnega trga Svet ECB 3. junija 2013 sprejel „načela za infrastrukture finančnega trga“, ki sta jih aprila 2012 izdala Odbor za plačilne in poravnalne sisteme (CPSS) Banke za mednarodne poravnave in tehnični odbor Mednarodnega združenja nadzornikov trga vrednostnih papirjev (IOSCO) (11). Temu je sledilo javno posvetovanje o osnutku uredbe o pregledniških zahtevah za sistemsko pomembne plačilne sisteme (v nadaljnjem besedilu: uredba o SPPS) (12). Uredba o SPPS izvaja načela CPSS-IOSCO na pravno zavezujoč način in zajema tako sisteme za plačila velikih vrednosti kot sisteme za plačila malih vrednosti, ki so sistemsko pomembni, ki jih upravljajo NCB Eurosistema ali zasebni subjekti. |
3.4 |
Obstoječe ureditve za pregled (13) plačilnih sistemov in ponudnikov plačilnih storitev že vsebujejo postopke v zvezi z zgodnjimi opozorili (14) in usklajenim odzivanjem (15) znotraj in zunaj meja Eurosistema, s katerimi se obravnavajo morebitne grožnje na področju kibernetske varnosti in ki so enakovredni tistim iz členov 10 in 11 predlagane direktive. |
3.5 |
ESCB je za plačilne sisteme določil standarde v zvezi s poročanjem in obveznostmi glede obvladovanja tveganj. Nadalje, ECB redno ocenjuje sisteme poravnave vrednostnih papirjev, da bi ugotovila, ali so primerni za uporabo pri kreditnih poslih Eurosistema. ECB zato meni, da zahteve iz predlagane direktive, ki vplivajo na kritične tržne infrastrukture in njihove upravljavce (16), ne smejo posegati v standarde iz uredbe o SPPS, okvir politike pregleda Eurosistema ali druge predpise Unije, zlasti tudi uredbo o infrastrukturi evropskega trga in bodočo uredbo o CDD. Poleg tega ne bi smele posegati v naloge organa EBA ali ESMA in drugih bonitetnih nadzornikov (17). |
3.6 |
Ne glede na zgoraj navedeno ECB meni, da obstajajo dobri razlogi za to, da ECB z odborom za varnost omrežij in informacij, ki se bo oblikoval v skladu s členom 19 predlagane direktive, izmenjuje ustrezne informacije. ECB, EBA in ESMA bi za namene učinkovite izmenjave informacij, ki lahko postane potrebna, morali biti povabljeni, da na seje odbora za varnost omrežij in informacij k točkam dnevnega reda, ki bi lahko bile zanimive za izvajanje njihovih mandatov, pošljejo svoje predstavnike. |
V Frankfurtu na Majni, 25. julija 2014
Predsednik ECB
Mario DRAGHI
(1) COM(2013) 48 final.
(2) Glej skupno sporočilo Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij „Strategija Evropske unije za kibernetsko varnost: odprt, varen in zanesljiv kibernetski prostor“, JOIN(2013) 1 final.
(3) Te vključujejo naslednja sporočila: „Varnost omrežij in informacij: predlog za evropski politični pristop“ COM(2001) 298 final; „Strategija za varno informacijsko družbo – ‚Dialog, partnerstvo ter povečanje vpliva in moči‘“ COM(2006) 251 konč.; sporočilo „o zaščiti kritične informacijske infrastrukture – ‚Kako zaščititi Evropo pred obsežnimi kibernetskimi napadi in prekinitvami: izboljšati pripravljenost, varnost in odpornost‘“ COM(2009) 149 konč.; „Evropska digitalna agenda“ COM(2010) 245 konč.; in sporočilo „o zaščiti kritične informacijske infrastrukture – ‚Dosežki in naslednji koraki: h globalni kibernetski varnosti‘“ COM(2011) 163 konč.
(4) Direktiva 2002/21/ES Evropskega parlamenta in Sveta z dne 7. marca 2002 o skupnem regulativnem okviru za elektronska komunikacijska omrežja in storitve (UL L 108, 24.4.2002, str. 33).
(5) Nekatere članice ESCB funkcijo pregleda izvajajo na podlagi nacionalnih predpisov, ki dopolnjujejo in v nekaterih primerih podvajajo pristojnost Eurosistema.
(6) Pojem „poravnava“, kakor se uporablja v tem mnenju, vključuje funkcijo kliringa.
(7) Direktiva 98/26/ES Evropskega parlamenta in Sveta z dne 19. maja 1998 o dokončnosti poravnave pri plačilih in sistemih poravnave vrednostnih papirjev (UL L 166, 11.6.1998, str. 45).
(8) Glej tretji pododstavek člena 10(1) direktive o dokončnosti poravnave.
(9) Uredba (EU) št. 648/2012 Evropskega parlamenta in Sveta z dne 4. julija 2012 o izvedenih finančnih instrumentih OTC, centralnih nasprotnih strankah in repozitorijih sklenjenih poslov (UL L 201, 27.7.2012, str. 1).
(10) COM(2012) 73 final.
(11) Dostopno na spletni strani Banke za mednarodne poravnave na naslovu https://www.bis.org/publ/cpss94.pdf
(12) Dostopno na spletni strani ECB na naslovu http://www.ecb.europa.eu
(13) Glej sporočilo za javnost ECB v zvezi z memorandumom o soglasju o glavnih načelih sodelovanja med bančnimi nadzorniki in centralnimi bankami v Evropski uniji v razmerah kriznega upravljanja (Memorandum of Understanding (MoU) on high-level principles of co-operation between the banking supervisors and central banks of the European Union in crisis management situations) (2003), dostopno na spletni strani ECB na naslovu www.ecb.europa.eu
(14) Glej priporočilo 3: spremljanje in poročanje incidentov v dokumentu „Recommendations for the security of internet payments-final version after public consultation“, Evropski forum za varnost plačil malih vrednosti (forum SecuRe Pay), januar 2013, dostopno na spletni strani ECB na naslovu www.ecb.europa.eu
(15) Na podlagi načel za skupni mednarodni pregled, kakor so ponovljena v poročilu CPSS o pregledu iz leta 2005, so centralne banke Eurosistema uspešno sodelovale v dogovorih o skupnem pregledu v številnih primerih, kot na primer v okviru dogovorov o pregledu SWIFT (Združenje za svetovne finančne telekomunikacije med bankami – Society for Worldwide Interbank Financial Telecommunications) in Continuous Linked Settlement (mednarodni poravnalni sistem za poravnavo valutnih poslov) (CLS).
(16) Na primer zahteve, da morajo tržni udeleženci upoštevati tehnične in organizacijske ukrepe iz člena 14(3) in (4), ter pooblastilo iz člena 15(3) predlagane direktive za izdajanje zavezujočih navodil tržnim udeležencem.
(17) Glej odstavek 2.12 Mnenja CON/2014/9 o predlogu direktive Evropskega parlamenta in Sveta o plačilnih storitvah na notranjem trgu, o spremembah direktiv 2002/65/ES, 2013/36/EU in 2009/110/ES ter o razveljavitvi Direktive 2007/64/ES (UL C 224, 15.7.2014, str. 1). Vsa mnenja ECB so dostopna na spletni strani ECB na naslovu www.ecb.europa.eu
PRILOGA
Predlagane spremembe besedila
Besedilo, ki ga predlaga Komisija |
Spremembe, ki jih predlaga ECB (1) |
||||||||||||||||||||||||||||||||||||||||||
Sprememba 1 |
|||||||||||||||||||||||||||||||||||||||||||
Uvodna izjava 5 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Uvodno izjavo 5 bi bilo treba spremeniti, da se odrazijo obveznosti ECB in NCB pri pregledu in reguliranju plačilnih in poravnalnih sistemov. V skladu s četrto alineo člena 127(2) Pogodbe je ena od temeljnih nalog ESCB podpirati nemoteno delovanje plačilnih sistemov. Člen 22 Statuta ESCB pooblašča ECB tudi za sprejetje predpisov za zagotovitev učinkovitih in zanesljivih klirinških in plačilnih sistemov. Upoštevati je treba tudi, da ESCB po členu 127(5) Pogodbe prispeva k nemotenemu vodenju politik glede stabilnosti finančnega sistema. Nadalje, skladno z okvirom politike pregleda Eurosistema iz julija 2011 (2) „je pregled plačilnih in poravnalnih sistemov centralnobančna funkcija, prek katere se spodbujata njihova varnost in učinkovitost kot cilja, in sicer s spremljanjem obstoječih in načrtovanih sistemov, ocenjevanjem teh sistemov glede na navedena cilja ter sprožanjem sprememb, kjer je potrebno.“ Z drugimi besedami to pomeni, da je zagotavljanje, da so sistemi varni in učinkoviti, pomemben predpogoj za to, da lahko Eurosistem prispeva k finančni stabilnosti, izvaja denarno politiko in ohranja zaupanje javnosti v euro. Poleg tega in v skladu s pripombami ECB na predlagano revizijo direktive o plačilnih storitvah je treba izpostaviti, da so nacionalni nadzorniki in centralne banke pristojni organi za izdajanje smernic glede upravljanja in priglasitev incidentov za ponudnike plačilnih storitev ter za izdajanje smernic o izmenjavi obvestil o incidentih med ustreznimi organi. Uvodna izjava bi morala ustrezno upoštevati tudi naloge, prenesene na ECB z Uredbo (EU) št. 1024/2013. In, kadar članice ESCB zunaj euroobmočja po njihovih nacionalnih določbah izvajajo funkcije, enake tistim iz Pogodbe in Statuta ESCB, se v te funkcije prav tako ne bi smelo posegati. |
|||||||||||||||||||||||||||||||||||||||||||
Sprememba 2 |
|||||||||||||||||||||||||||||||||||||||||||
Člen 1(4) in (5) (novo) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Kakor je bilo izpostavljeno zgoraj, ESCB močno želi zagotoviti, da plačilni in poravnalni sistemi ustrezno delujejo. Zato, ker so plačilni, klirinški in poravnalni sistemi pomembni za nemoteno izvajanje operacij denarne politike, in zaradi vloge, ki jo imajo pri zagotavljanju stabilnosti finančnega sistema na splošno. Glede na to ECB priporoča, da predlagana direktiva upošteva vlogo ESCB pri plačilnih in poravnalnih sistemih ter že vzpostavljen okvir za pregled. ESCB ima zelo učinkovita orodja za ugotavljanje ravni varnosti in učinkovitosti teh sistemov. Uvodna izjava bi morala ustrezno upoštevati tudi naloge, prenesene na ECB z Uredbo (EU) št. 1024/2013. Predlagana direktiva prav tako ne bi smela posegati v enake funkcije, ki jih po njihovih nacionalnih okvirih izvajajo članice ESCB zunaj euroobmočja. |
|||||||||||||||||||||||||||||||||||||||||||
Sprememba 3 |
|||||||||||||||||||||||||||||||||||||||||||
Člen 6(1) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Pojasnilo ECB priporoča, da se člen 6(1) spremeni tako, da bi se zagotovilo dobro sodelovanje na ravni Unije. |
|||||||||||||||||||||||||||||||||||||||||||
Sprememba 4 |
|||||||||||||||||||||||||||||||||||||||||||
Člen 8(3) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Obstajajo dobri razlogi za izmenjavo informacij z Evropsko agencijo za varnost omrežij in informacij ali pristojnimi organi po predlagani direktivi ter z organom EBA ali ESMA kot pristojnim organom pri usklajevanju odzivov na incidente, povezanih s ponudniki plačilnih storitev. Zato ECB predlaga to spremembo, da bi se na ravni Unije okrepila izmenjava informacij in boljše sodelovanje. |
|||||||||||||||||||||||||||||||||||||||||||
Sprememba 5 |
|||||||||||||||||||||||||||||||||||||||||||
Člen 19(1) |
|||||||||||||||||||||||||||||||||||||||||||
|
ECB, EBA in ESMA so povabljeni, da na seje odbora za varnost omrežij in informacij k točkam dnevnega reda, ki bi lahko vplivale na izvajanje njihovih mandatov, pošljejo svoje predstavnike.“ |
||||||||||||||||||||||||||||||||||||||||||
ECB je zainteresirana za krepitev varnosti plačilnih in poravnalnih sistemov, storitev in instrumentov kot pomembne komponente ohranjanja zaupanja v enotno valuto in nemotenega delovanja gospodarstva v Uniji. V ta namen ECB priporoča, da bi jo bilo treba povabiti na seje odbora za varnost omrežij in informacij. V vsakem primeru pa se bo v skladu s Pogodbo treba z ECB uradno posvetovati o vseh ukrepih, ki se nanašajo na plačilne sisteme, in vseh drugih zadevah, ki sodijo na področja iz pristojnosti ECB. EBA ali ESMA bi prav tako morala sodelovati pri zadevah, ki se nanašajo na ponudnike plačilnih storitev. |
(1) Krepki tisk v besedilu členov označuje, kje ECB predlaga vstavitev novega besedila. Prečrtani tisk v besedilu členov označuje, kje ECB predlaga črtanje besedila.
(2) Dostopno na spletni strani ECB na naslovu www.ecb.europa.eu