(1)

Jak je uvedeno ve 4. bodě odůvodnění doporučení Evropské rady pro systémová rizika ESRB/2013/1 (4), konečným cílem makroobezřetnostní politiky je přispět k zajištění stability finančního systému jako celku, mimo jiné posilováním odolnosti finančního systému a omezováním nárůstu systémových rizik, a tím zaručit, že finanční sektor bude v udržitelné míře přispívat k hospodářskému růstu. Evropská rada pro systémová rizika (ESRB) odpovídá za makroobezřetnostní dohled nad finančním systémem v Unii. Při plnění svého mandátu by ESRB měla přispívat k prevenci a zmírňování systémových rizik pro finanční stabilitu, včetně rizik spojených s kybernetickými bezpečnostními incidenty, a navrhovat způsob zmírnění těchto rizik.

(2)

Vzhledem ke svému potenciálu narušit kritické finanční služby a operace mohou závažné kybernetické bezpečnostní incidenty představovat systémové riziko pro finanční systém. K zesílení počátečního šoku může dojít buď šířením provozní nebo finanční nákazy nebo narušením důvěry ve finanční systém. Není-li finanční systém schopen tyto otřesy absorbovat, bude ohrožena finanční stabilita a tato situace může vést k systémové kybernetické krizi (5).

(3)

Neustálý vývoj kybernetických hrozeb a nedávný nárůst závažných kybernetických bezpečnostních incidentů jsou ukazateli zvýšeného rizika pro finanční stabilitu v Unii. Pandemie COVID-19 zdůraznila význam úlohy technologie pro fungování finančního systému. Příslušné orgány a instituce musely přizpůsobit svou technickou infrastrukturu a rámce pro řízení rizik náhlému nárůstu práce na dálku, což zvýšilo celkovou expozici finančního systému vůči kybernetickým hrozbám a umožnilo pachatelům trestné činnosti nalézt nové způsoby fungování a přizpůsobit stávající metody s cílem využít dané situace (6). V této souvislosti je třeba uvést, že počet kybernetických bezpečnostních incidentů oznámených bankovnímu dohledu ECB se v roce 2020 zvýšil o 54 % ve srovnání s rokem 2019 (7).

(4)

Potenciálně velký rozsah, rychlost a míra šíření významného kybernetického bezpečnostního incidentu vyžadují účinnou reakci ze strany příslušných orgánů s cílem zmírnit možné negativní dopady na finanční stabilitu. Rychlá koordinace a komunikace mezi příslušnými orgány na úrovni Unie může pomoci včas posoudit dopad významného kybernetického bezpečnostního incidentu na finanční stabilitu, zachovat důvěru ve finanční systém a omezit rozšíření nákazy na jiné finanční instituce, a přispět tak k tomu, aby se významný kybernetický bezpečnostní incident nestal rizikem pro finanční stabilitu.

(5)

Ve srovnání s tradiční finanční a likviditní krizí, které příslušné orgány obvykle čelí, vzniká výchozí otřes novým způsobem. Kromě finančních aspektů musí celkové posouzení rizik zahrnovat rozsah a dopad narušení provozu, neboť to může ovlivnit výběr makroobezřetnostních nástrojů. Finanční stabilita může rovněž podobně ovlivnit volbu prostředků ke zmírnění operačního rizika ze strany odborníků na kybernetickou bezpečnost. To vyžaduje úzkou a rychlou koordinaci a otevřenou komunikaci s cílem mimo jiné zvýšit informovanost o situaci.

(6)

Selhání koordinace mezi jednotlivými orgány je reálným rizikem, které je třeba řešit. Bude zapotřebí, aby příslušné orgány v Unii spolupracovaly jak navzájem, tak i s jinými orgány, jako je například Agentura Evropské unie pro bezpečnost sítí a informací (ENISA), s níž nemusí běžně komunikovat. Vzhledem k tomu, že značný počet finančních institucí Unie působí globálně, závažný kybernetický bezpečnostní incident se pravděpodobně projeví nejen v Unii, nebo případně může být vyvolán mimo Unii a může vyžadovat koordinaci globální reakce.

(7)

Je zapotřebí, aby příslušné orgány byly na tyto koordinované postupy připraveny. Jinak hrozí, že přijmou nejednotná opatření, která budou v rozporu s reakcí jiných orgánů nebo ohrozí jejich účinek. Uvedené selhání koordinace by mohlo zesílit otřes pro finanční systém tím, že povede k podlomení důvěry ve fungování finančního systému, což by v případě nejhoršího scénáře mohlo představovat riziko pro finanční stabilitu (8). Je proto třeba přijmout nezbytné kroky k řešení rizika pro finanční stabilitu, které vyplývá ze selhání koordinace v případě závažného kybernetického bezpečnostního incidentu.

(8)

Ve zprávě ESRB o zmírňování systémového kybernetického rizika z roku 2021 (9) se konstatuje, že je zapotřebí vytvořit celoevropský rámec pro koordinaci příslušných orgánů v případě systémových kybernetických bezpečnostních incidentů (pan-European systemic cyber incident coordination framework - EU-SCICF). Cílem EU-SCICF by bylo zvýšit míru připravenosti příslušných orgánů s cílem usnadnit koordinovanou reakci na potencionálně závažný kybernetický bezpečnostní incident. Zpráva ESRB o zmírňování systémového kybernetického rizika z roku 2021 obsahuje hodnocení charakteristik, které by měl uvedený rámec nevyhnutelně mít, aby řešil riziko selhání koordinace.

(9)

Hlavním cílem tohoto doporučení je navázat na jednu z předpokládaných úloh evropských orgánů dohledu podle návrhu nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru (10) (dále jen „DORA“), která spočívá v postupném umožnění účinné koordinované reakce na úrovni Unie v případě závažného přeshraničního incidentu souvisejícího s informačními a komunikačními technologiemi (IKT) nebo související hrozby se systémovým dopadem na celý finanční sektor Unie. Tento proces povede k vytvoření rámce EU-SCICF pro příslušné orgány.

(10)

Cílem EU-SCICF by nemělo být nahradit stávající rámce, ale překlenout případné mezery v koordinaci a komunikaci mezi příslušnými orgány navzájem a s ostatními orgány v Unii a dalšími klíčovými subjekty na mezinárodní úrovni. V této souvislosti je třeba zvážit postavení EU-SCICF ve stávajícím rámci pro řešení finančních krizí a rámci Unie pro kybernetické bezpečnostní incidenty. Pokud jde o koordinaci mezi příslušnými orgány navzájem, je vedle zapojení agentury ENISA třeba mimo jiné zvážit úlohy a činnosti skupiny pro spolupráci v oblasti sítí a informačních systémů pro finanční subjekty podle směrnice (EU) Evropského parlamentu a Rady 2016/1148 (11), jakož i mechanismy koordinace, s nimiž se počítá prostřednictvím zřízení Společné kybernetické jednotky.

(11)

Cílem návrhu na zahájení přípravy EU-SCICF je zejména podpořit potenciální úlohy evropských orgánů dohledu ve smyslu návrhu nařízení DORA. V návrhu nařízení DORA se uvádí, že „evropské orgány dohledu mohou prostřednictvím společného výboru a ve spolupráci s příslušnými orgány, Evropskou centrální bankou (ECB) a ESRB vytvářet mechanismy umožňující sdílení osvědčených postupů ve finančních odvětvích, které zlepší znalost situace a identifikují společná kybernetická zranitelná místa a rizika napříč odvětvími“ a „mohou připravovat cvičení v oblastech krizového řízení a reakce na nepředvídané události zahrnující scénáře kybernetického útoku, jejichž cílem bude rozvoj komunikačních kanálů a postupné umožnění účinné koordinované reakce na úrovni EU v případě závažného přeshraničního incidentu souvisejícího s IKT nebo související hrozby se systémovým dopadem na celý finanční sektor Unie“ (12). Celoevropský rámec, jako je EU-SCICF, dosud neexistuje a měl by být vytvořen a rozvíjen v kontextu DORA.

(12)

Vzhledem k riziku pro finanční stabilitu v Unii vyplývajícímu z kybernetického rizika by přípravné práce na postupném vytvoření EU-SCICF měly být v maximálním možném rozsahu zahájeny ještě předtím, než bude požadovaný právní a politický rámec pro jeho vytvoření plně použitelný. Tento právní a politický rámec bude v plném rozsahu dokončen, jakmile začnou platit příslušná ustanovení nařízení DORA a souvisejících aktů v přenesené pravomoci.

(13)

Účinná komunikace přispívá k zajištění informovanosti o situaci mezi příslušnými orgány, a je tudíž nezbytným předpokladem pro celounijní koordinaci během závažných kybernetických bezpečnostních incidentů. V této souvislosti by měla být vymezena komunikační infrastruktura potřebná ke koordinaci reakce na závažný kybernetický bezpečnostní incident. To by znamenalo stanovit druh informací, které je třeba sdílet, obvyklé kanály, které mají být používány ke sdílení těchto informací, a kontaktní místa, s nimiž by měly být informace sdíleny. Sdílení informací musí respektovat stávající právní požadavky. Kromě toho může být nutné, aby příslušné orgány stanovily jasný akční plán a protokoly, které je třeba dodržovat, aby byla zajištěna řádná koordinace mezi orgány zapojenými do přípravy koordinované reakce na závažný kybernetický bezpečnostní incident.

(14)

Systémová kybernetická krize bude vyžadovat zahájení plné spolupráce na vnitrostátní úrovni i na úrovni Unie. Proto lze uvažovat o vytvoření kontaktních míst v rámci evropských orgánů dohledu, ECB a příslušných vnitrostátních orgánů každého členského státu, která by měla být oznámena evropským orgánům dohledu, s cílem určit hlavní partnery v koordinačním systému EU-SCICF, kteří by byli informováni v případě závažného kybernetického bezpečnostního incidentu. Potřeba určit kontaktní místa by měla být posouzena během vytváření EU-SCICF, a to s ohledem na určené jednotné kontaktní místo podle směrnice (EU) 2016/1148, které členské státy zřídily pro oblast bezpečnosti sítí a informačních systémů s cílem zajistit přeshraniční spolupráci s ostatními členskými státy a se skupinou pro spolupráci v oblasti bezpečnosti sítí a informací (13).

(15)

Provádění cvičení v oblastech krizového řízení a reakce na nepředvídané události by mohlo usnadnit implementaci EU-SCICF a umožnit orgánům vyhodnotit jejich připravenost na systémovou kybernetickou krizi na úrovni Unie. Tato cvičení by orgánům poskytla poznatky a umožnila by neustálé zlepšování a vývoj EU-SCICF.

(16)

Pro vytvoření EU-SCICF je zásadní, aby evropské orgány dohledu společně provedly příslušné přípravné práce s cílem posoudit potenciální klíčové prvky rámce, jakož i zdroje a potřeby, které jsou nezbytné k jeho dalšímu rozvoji. Poté by evropské orgány dohledu mohly začít pracovat na předběžné analýze případných překážek, které by evropským orgánům dohledu a příslušným orgánům mohly bránit ve vytvoření EU-SCICF a výměně příslušných informací prostřednictvím komunikačních kanálů v případě závažného kybernetického bezpečnostního incidentu. Tato analýza by byla důležitým krokem, od něhož by se odvíjela jakákoli další opatření, ať už legislativní povahy, nebo jiné podpůrné iniciativy, které může Evropská komise přijmout ve fázi po zavedení DORA,

1.

2.

a)

výrazem „kybernetický“ se rozumí týkající se propojené informační infrastruktury interakcí mezi osobami, procesy, daty a informačními systémy, včetně jevů probíhajících uvnitř této infrastruktury nebo jejím prostřednictvím (14)

b)

„závažným kybernetickým bezpečnostním incidentem“ se rozumí incident související s IKT s potenciálně rozsáhlými nepříznivými dopady na síť a informační systémy využívané k zajištění zásadních funkcí finančních subjektů (15);

c)

„systémovou kybernetickou krizi“ se rozumí závažný kybernetický incident, který způsobí takovou míru narušení finančního systému Unie, která by mohla mít závažné negativní důsledky pro hladké fungování vnitřního trhu a fungování reálné ekonomiky. Taková krize by mohla být důsledkem závažného kybernetického incidentu, který způsobuje šoky v řadě kanálů, včetně operačního kanálu, kanálu důvěry a finančního kanálu;

d)

„evropskými orgány dohledu“ se rozumí Evropský orgán dohledu (Evropský orgán pro bankovnictví) zřízený nařízením Evropského parlamentu a Rady (EU) č. 1093/2010 (16), Evropský orgán dohledu (Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění) zřízený nařízením Evropského parlamentu a Rady (EU) č. 1094/2010 (17) a Evropský orgán dohledu (Evropský orgán pro cenné papíry a trhy) zřízený nařízením Evropského parlamentu a Rady (EU) č. 1095/2010 (18).

e)

„společným výborem“ se rozumí společný výbor evropských orgánů dohledu zřízený článkem 54 nařízení (EU) č. 1093/2010, nařízení (EU) č. 1094/2010 a nařízení (EU) č. 1095/2010;

f)

„příslušným vnitrostátním orgánem“ se rozumí:

g)

„relevantním orgánem“ se rozumí:

a)

náležitou pozornost je třeba věnovat zásadě „vědět jen to nejnutnější“ a zásadě proporcionality při současném zohlednění cíle a obsahu každého doporučení;

b)

ve vztahu ke každému doporučení by měla být splněna zvláštní kritéria pro soulad, která jsou stanovena v příloze.

1.

Doporučení A

2.

Doporučení B

Evropské orgány dohledu, ECB a členské státy se vyzývají, aby do 30. června 2023, avšak nejdříve šest měsíců po vstupu nařízení DORA v platnost, předložili Evropskému parlamentu, Radě, Komisi a ESRB zprávu o provádění doporučení B.

3.

Doporučení C

1.

Sekretariát ESRB bude:

2.

Generální rada vyhodnotí přijatá opatření a zdůvodnění oznámená adresáty tohoto doporučení a případně může rozhodnout, že toto doporučení nebylo zohledněno a že adresát řádně neodůvodnil svou nečinnost.