EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Den Europæiske Centralbanks udtalelse af 25. juli 2014 om et forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

DA

Den Europæiske Unions Tidende

C 352/4


DEN EUROPÆISKE CENTRALBANKS UDTALELSE

af 25. juli 2014

om et forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU

(CON/2014/58)

2014/C 352/04

Indledning og retsgrundlag

Europa-Kommissionen offentliggjorde den 7. februar 2013 et forslag til et direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (1) (herefter »direktivforslaget«).

Den Europæiske Centralbank (ECB) har besluttet at afgive en initiativudtalelse om direktivforslaget, da lovgiver ikke formelt har sendt forslaget i høring hos ECB. ECB's kompetence til at afgive udtalelse fremgår af artikel 127, stk. 4, og 282, stk. 5, i traktaten om Den Europæiske Unions funktionsmåde, da direktivforslaget indeholder bestemmelser, der påvirker Det Europæiske System af Centralbankers (ESCB) grundlæggende opgave, som er at fremme betalingssystemernes smidige funktion, som anført i traktatens artikel 127, stk. 2, fjerde led. Det fremgår endvidere af artikel 22 i statutten for Det Europæiske System af Centralbanker og Den Europæiske Centralbank (herefter »ESCB-statutten«), at ECB og de nationale centralbanker kan tilbyde faciliteter, og ECB kan udstede forordninger, med henblik på at sikre effektive og pålidelige clearing- og betalingssystemer inden for Unionen og over for tredjelande. I overensstemmelse med artikel 17.5, første punktum, i forretningsordenen for Den Europæiske Centralbank er denne udtalelse vedtaget af ECB's Styrelsesråd.

1.   Direktivforslagets formål

1.1.

Direktivforslaget skal sikre et højt fælles niveau for net- og informationssikkerhed ved at forbedre sikkerheden i internettet, netværket og informationssystemerne, der er grundstenen i vores samfund og økonomien. Dette forslag er det vigtigste skridt i den europæiske strategi for cybersikkerhed (2).

1.2.

Netværk og informationssystemer spiller en vigtig rolle i forbindelse med fremme af grænseoverskridende bevægelighed for varer, tjenesteydelser og personer. Denne givne transnationale dimension betyder, at en forstyrrelse af disse systemer i én medlemsstat kan berøre andre medlemsstater og EU som helhed. Sandsynligheden for at hændelser hyppigt vil opstå og den manglende evne til at sikre en effektiv beskyttelse underminerer endvidere offentlighedens tillid til net- og informationssikkerheden. Net- og informationssikkerhedens robusthed og stabilitet er derfor afgørende for at opnå et velfungerende indre marked.

1.3.

Direktivforslaget bygger på tidligere initiativer inden for dette område (3). På baggrund heraf erkendes det med direktivforslaget, at der er et behov for at harmonisere reglerne for net- og informationssikkerhed og for at skabe effektive samarbejdsmekanismer blandt medlemsstaterne.

1.4.

Med direktivforslaget fastsættes fælles EU-regler for net- og informationssikkerhed hvad angår medlemsstaternes kapaciteter, mekanismer for samarbejde på EU-plan og krav til offentlige myndigheder og også private enheder i særlige kritiske sektorer. Dette bør sikre tilstrækkeligt beredskab på nationalt plan og fremme et klima af gensidig tillid, som er en forudsætning for effektivt samarbejde på EU-plan. Oprettelsen af samarbejdsmekanismer på EU-plan via netværket vil give en sammenhængende og koordineret måde at forebygge og reagere på grænseoverskridende hændelser og risici inden for net- og informationssikkerhed.

1.5.

De vigtigste bestemmelser omhandler følgende:

a)

et krav om at alle medlemsstaterne råder over et minimum af national kapacitet ved at oprette kompetente myndigheder for net- og informationssikkerhed, etablere IT-beredskabsenheder (Computer Emergency Response Teams, CERT) og vedtage nationale strategier og samarbejdsplaner for net- og informationssikkerhed

b)

et krav om udveksling af informationer mellem medlemsstaterne inden for et netværk samt oprettelse af en paneuropæisk samarbejdsplan for net-og informationssikkerhed og koordineret tidlig varsling om hændelser vedrørende cybersikkerhed

c)

med Europa-Parlamentets og Rådets direktiv 2002/21/EF (4) som forlæg at sikre, at der udvikles en risikostyringskultur, og at der udveksles informationer mellem den private og offentlige sektor. Virksomheder i de særlig kritiske sektorer og offentlige myndigheder vil blive forpligtet til at foretage en vurdering af de risici, de står overfor, og til at vedtage passende og forholdsmæssige foranstaltninger til at sikre net- og informationssikkerheden. De vil også skulle underrette de kompetente myndigheder om enhver hændelse, som i alvorlig grad truer deres net- og informationssystemer, og som har væsentlig indvirkning på kritiske tjenesters kontinuitet og levering af varer.

2.   Generelle bemærkninger

2.1.

ECB støtter direktivforslagets mål om at sikre et højt fælles niveau for net- og informationssikkerhed i hele EU og at opnå en konsistent tilgang inden for dette område på tværs af erhvervssektorer og medlemsstater. Det er vigtigt at sikre, at det indre marked er et sikkert sted at handle, og at alle medlemsstater har et vist mindsteniveau af beredskab i tilfælde af en cybersikkerhedshændelse.

2.2.

ECB er imidlertid af den opfattelse, at direktivforslaget ikke bør berøre den eksisterende ordning for Eurosystemets overvågning af betalings- og afviklingssystemer (5), som omfatter passende ordninger inden for bl.a. net- og informationssikkerhed. Det bemærkes, at ECB har en særlig interesse i øget sikkerhed i betalings- og afviklingssystemerne (6), således at betalingssystemernes smidige funktion fremmes og tilliden til euroen og økonomiens funktion i EU bevares.

2.3.

Vurderingen af sikkerhedsordninger og anmeldelser af hændelser vedrørende betalings- og afviklingssystemer og betalingstjenesteudbydere er en af de centrale kompetencer for tilsynsmyndigheder og centralbanker. Ansvaret for at udarbejde overvågningskrav inden for de ovenfor nævnte områder bør derfor forblive hos disse myndigheder, og betalings- og afviklingssystemer og betalingstjenesteudbydere bør ikke være underlagt eventuelle modstridende krav fra andre nationale myndigheder. Risikostyring, herunder sikkerhedskrav i forhold til betalings- og afviklingssystemer og andre markedsinfrastrukturer i euroområdet, fastsættes endvidere af Eurosystemet, som består af ECB og de nationale centralbanker i de medlemsstater, der har indført euroen. Via denne overvågningsfunktion har Eurosystemet som mål at sikre betalings- og afviklingssystemernes smidige funktion ved bl.a. at anvende passende overvågningsstandarder og mindstekrav. Direktivforslaget bør tage højde for de overvågningsrammer, som allerede eksisterer, og sikre reguleringsmæssig konsistens i EU.

3.   Specifikke bemærkninger

3.1.

Direktivforslagets betragtning 5 og artikel 1 indeholder de relevante forpligtelser, samarbejdsmekanismer og sikkerhedskrav, der skal gælde for alle offentlige myndigheder og markedsaktører. Den gældende ordlyd i betragtning 5 og artikel 1 tager ikke højde for Eurosystemets mandat, som nedfældet i traktaten, til at overvåge betalings- og afviklingssystemer. Direktivforslaget bør derfor ændres for korrekt at gengive Eurosystemets ansvar inden for dette område.

3.2.

Ordningerne og procedurerne for centralbankernes og andre kompetente myndigheders overvågning af betalings- og værdipapirafviklingssystemer fremgår af en række EU-direktiver og ‐forordninger, herunder navnlig:

a)

Europa-Parlamentets og Rådets direktiv 98/26/EF (herefter »direktivet om endelig afregning«) (7), som berettiger medlemsstaternes kompetente myndigheder til at føre tilsyn med de betalings- og afviklingssystemer, der henhører under deres kompetence (8)

b)

Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 (9) (herefter »forordningen om europæisk markedsinfrastruktur«, »EMIR«), der anerkender de roller, som Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA), Den Europæiske Banktilsynsmyndighed (EBA) og ESCB har i forbindelse med fastsættelsen af reguleringsmæssige standarder og tilsynet med de centrale modparter, og

c)

forslaget til Europa-Parlamentets og Rådets forordning om forbedring af værdipapirafviklingen i Den Europæiske Union og om værdipapircentraler (CSD'er) samt om ændring af direktiv 98/26/EF (10) (herefter »CSD-forordningen«), som kræver, at de kompetente myndigheder bør tildeles tilsyns- og undersøgelsesbeføjelser, og navnlig forordningsforslagets artikel 45, der indfører tilsynskrav for CSD'erne, herunder vigtige bestemmelser om begrænsningen af operationelle risici.

3.3.

Det skal endvidere bemærkes, at ECB's Styrelsesråd den 3. juni 2013 vedtog Principper for infrastrukturerne på de finansielle markeder, som blev indført i april 2012 af Den Internationale Betalingsbanks Komité for betalings- og afviklingssystemer (CPSS) og Den Internationale Organisation for Børstilsynsmyndigheders (IOSCO) Tekniske Komité (11), til udførelsen af Eurosystemets overvågning vedrørende alle typer af infrastrukturer på det finansielle marked. Herefter fulgte en offentlig høring vedrørende et udkast til en forordning om overvågningskrav for systemisk vigtige betalingssystemer (12). Forordningen om systemisk vigtige betalingssystemer gennemfører CPSS-IOSCO-principperne på en retligt bindende måde og dækker både betalingssystemer for store betalinger og detailbetalingssystemer af systemisk betydning, uanset om disse drives af nationale centralbanker i Eurosystemet eller af private enheder.

3.4.

De eksisterende overvågningsordninger (13) for betalingssystemer og betalingstjenesteudbydere indeholder allerede procedurer for tidlig varsling (14) og samordnet indsats (15) inden for og uden for Eurosystemet til håndtering af mulige cybersikkerhedstrusler svarerende til de procedurer og den indsats, der er fastsat i direktivforslagets artikel 10 og 11.

3.5.

ESCB har fastsat standarder vedrørende rapporterings- og risikostyringsforpligtelserne for betalingssystemer. ECB vurderer endvidere regelmæssigt værdipapirafviklingssystemer for at kunne fastslå deres egnethed i forbindelse med Eurosystemets lånetransaktioner. ECB finder derfor, at det er nødvendigt, at de krav i direktivforslaget, der har en indvirkning på de kritiske markedsinfrastrukturer (16) og deres aktører, ikke berører standarderne i forordningen for systemisk vigtige betalingssystemer, Eurosystemets overvågningspolitiske rammer eller andre EU-forordninger, herunder EMIR og den fremtidige CSD-forordning. Kravene bør endvidere ikke påvirke EBA's, ESMA's eller andre tilsynsmyndigheders opgaver (17).

3.6.

Uanset det ovennævnte er ECB af den opfattelse, at der er meget, der taler for, at Eurosystemet udveksler relevante oplysninger med det udvalg for net- og informationssikkerhed, der skal etableres i henhold til direktivforslagets artikel 19. Med henblik på en eventuel nødvendig effektiv udveksling af oplysninger bør ECB, EBA og ESMA inviteres til at sende repræsentanter til udvalgets møder vedrørende de punkter på dagsordenen, som kunne være relevante for udøvelsen af deres respektive mandater.

Udfærdiget i Frankfurt am Main, den 25. juli 2014.

Mario DRAGHI

Formand for ECB


(1)  KOM(2013) 48 endelig.

(2)  Jf. den fælles meddelelse til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget »EU-strategi for cybersikkerhed: et åbent, sikkert og beskyttet cyberspace«, JOIN(2013) 1 final.

(3)  Disse omfatter følgende meddelelser: »Net- og informationssikkerhed: Forslag til en europæisk strategi« KOM(2001) 298 endelig, »En strategi for et sikkert informationssamfund: Dialog, partnerskab og myndiggørelse« KOM(2006) 251 endelig, »Beskyttelse af kritisk informationsinfrastruktur — Beskyttelse mod storstilede cyberangreb og sammenbrud: øget beredskab, sikkerhed og robusthed« KOM(2009) 149 endelig, »En digital dagsorden for Europa« KOM(2010) 245 endelig, og »Beskyttelse af kritisk informationsinfrastruktur »Resultater og næste skridt: vejen til global internetsikkerhed«« KOM(2011) 163 endelig.

(4)  Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‐tjenester (EFT L 108 af 24.4.2002, s. 33).

(5)  Nogle medlemmer af ESCB udøver deres overvågningsaktiviteter på grundlag af nationale love og regler, som supplerer og i visse tilfælde gentager Eurosystemets kompetence.

(6)  Begrebet »afvikling«, som anvendt i denne udtalelse, omfatter clearingfunktionen.

(7)  Europa-Parlamentets og Rådets direktiv 98/26/EF af 19. maj 1998 om endelig afregning i betalingssystemer og værdipapirafviklingssystemer (EFT L 166 af 11.6.1998, s. 45).

(8)  Jf. artikel 10, stk. 1, tredje led, i direktivet om endelig afregning.

(9)  Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).

(10)  KOM(2012) 73 endelig.

(11)  Findes på Den Internationale Betalingsbanks websted https://www.bis.org/publ/cpss94.pdf

(12)  Findes på ECB's websted www.ecb.europa.eu

(13)  Jf. ECB's pressemeddelelse vedrørende »Memorandum of Understanding (MoU) on high-level principles of co-operation between the banking supervisors and central banks of the European Union in crisis management situations« (2003), som findes på ECB's websted www.ecb.europa.eu

(14)  Jf. »Recommendation 3: incident monitoring and reporting« i »Recommendations for the security of internet payments — final version after public consultation« fra The European Forum on the Security of Retail Payments (SecuRe Pay) fra januar 2013, som findes på ECB's websted www.ecb.europa.eu

(15)  Eurosystemets centralbanker har, baseret på principperne for internationalt samarbejde om overvågning, som gentaget i CPSS's overvågningsrapport fra 2005, med succes deltaget i en række samarbejdsordninger som anført, eksempelvis i forbindelse med overvågningsordningerne for SWIFT (Society for Worldwide Interbank Financial Telecommunications) og Continuous Linked Settlement (CLS).

(16)  F.eks. kravene om at markedsaktører skal overholde tekniske og organisatoriske foranstaltninger i direktivforslagets artikel 14, stk. 3 og 4, og beføjelsen til at udstede bindende instrukser til markedsaktører i artikel 15, stk. 3.

(17)  Jf. afsnit 2.12 i udtalelse CON/2014/9 om et forslag til Europa-Parlamentets og Rådets direktiv om betalingstjenester i det indre marked og om ændring af direktiv 2002/65/EF, 2013/36/EU og 2009/110/EF og om ophævelse af direktiv 2007/64/EF (EUT C 224 af 15.7.2014, s. 1). Alle ECB's udtalelser findes på ECB's websted www.ecb.europa.eu


BILAG

Ændringsforslag

Tekst foreslået af Kommissionen

Ændringer foreslået af ECB (1)

Ændringsforslag 1

Betragtning 5

»(5)

For at dække alle relevante hændelser og risici bør dette direktiv gælde for alle net og informationssystemer. De forpligtelser, der pålægges offentlige myndigheder og markedsaktører bør dog ikke gælde for virksomheder, der udbyder offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, jf. direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‐tjenester (rammedirektivet) (2), og som er undergivet specifikke sikkerheds- og integritetskrav, der er fastlagt i det pågældende direktivs artikel 13a, og de bør heller ikke gælde for tillidstjenesteudbydere.«

»(5)

For at dække alle relevante hændelser og risici bør dette direktiv gælde for alle net og informationssystemer. De forpligtelser, der pålægges offentlige myndigheder og markedsaktører bør dog ikke gælde for virksomheder, der udbyder offentlige kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester, jf. direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) (2), og som er undergivet specifikke sikkerheds- og integritetskrav, der er fastlagt i det pågældende direktivs artikel 13a, og de bør heller ikke gælde for tillidstjenesteudbydere. Uanset at dette direktiv gælder for offentlige myndigheder og markedsaktører, berører direktivet ikke de opgaver og forpligtelser, der er pålagt Det Europæiske System af Centralbanker (ESCB) i henhold til traktaten og statutten for Det Europæiske System af Centralbanker og Den Europæiske Centralbank, ej heller tilsvarende funktioner, der udføres af medlemmerne af ESCB i henhold til deres nationale regler, navnlig vedrørende politikker, der angår tilsynet med kreditinstitutter og overvågningen af betalings- og værdipapirafviklingssystemer. Medlemsstaterne skal henholde sig til de tilsyns- og overvågningsfunktioner for sådanne aktører, der udøves af centralbankerne og tilsynsmyndighederne inden for deres kompetenceområder.«

Betragtning 5 bør ændres for at gengive ECB's og de nationale centralbankers ansvarsområder i forbindelse med overvågningen og reguleringen af betalings- og afviklingssystemer. I henhold til traktatens artikel 127, stk. 2, fjerde led, er det en af ESCB's centrale opgaver at fremme betalingssystemerne smidige funktion. I henhold til ESCB-statuttens artikel 22 kan ECB vedtage forordninger med henblik på at sikre effektive og pålidelige clearing- og betalingssystemer. Det bør også tages i betragtning, at ESCB i henhold til traktatens artikel 127, stk. 5, skal bidrage til en smidig gennemførelse af politikker vedrørende det finansielle systems stabilitet. I henhold til Eurosystemets Rammer for overvågningspolitik af juli 2011  (2) er overvågningen af betalings- og afviklingssystemer en centralbankfunktion, hvorved målene om sikkerhed og effektivitet fremmes ved at overvåge eksisterende og planlagte systemer, vurdere disse i forhold til målene, og om nødvendigt foretage ændringer.

Med andre ord er en tilsikring af, at systemerne er sikre og effektive, en vigtig forudsætning for Eurosystemets evne til at bidrage til finansiel stabilitet, gennemføre pengepolitikken og bevare offentlighedens tillid til euroen.

I overensstemmelse med ECB's bemærkninger vedrørende den foreslåede revision af betalingstjenestedirektivet (PSD2) bør det endvidere bemærkes, at de nationale tilsynsmyndigheder og centralbanker er de kompetente myndigheder i forbindelse med udstedelse af retningslinjer om styring og varsling af hændelser for betalingstjenesteudbydere samt udstedelse af retningslinjer om udveksling af hændelsesvarslinger mellem de relevante myndigheder. Betragtningen bør også tage højde for de opgaver, som er overdraget til ECB ved forordning (EU) nr. 1024/2013.

Hvis ESCB-medlemmer uden for euroområdet udfører funktioner, der svarer til opgaver i traktaten og ESCB-statutten, i henhold til deres nationale bestemmelser, bør disse funktioner heller ikke berøres.

Ændringsforslag 2

Artikel 1, stk. 4 og 5 (ny)

»4.

Dette direktiv berører ikke EU's lovgivning om cyberkriminalitet og Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den (9).

5.

Dette direktiv berører heller ikke Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (10) og heller ikke Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og heller ikke Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (11).

6.

Udvekslingen af information inden for samarbejdsnetværket, jf. kapitel III, og anmeldelsen af NIS-hændelser, jf. artikel 14, kan kræve behandling af personoplysninger. En sådan behandling, som er nødvendig for at nå målene i den offentlige interesse, der forfølges ved dette direktiv, godkendes af medlemsstaten i henhold til artikel 7 i direktiv 95/46/EF og direktiv 2002/58/EF som gennemført i den nationale lovgivning.«

»4.

Dette direktiv berører ikke EU's lovgivning om cyberkriminalitet og Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den (9). [Ændring ikke relevant for dansk]

5.

Dette direktiv berører ikke den overvågning og de opgaver, der er blevet overdraget til ECB og ESCB i forbindelse med politikker, der vedrører tilsynet med kreditinstitutter og betalings- og afviklingssystemer, for hvilke særlige risikostyrings- og sikkerhedskrav er blevet fastsat i ESCB's retlige rammer og i andre relevante EU-direktiver og -forordninger. Ligeledes berører dette direktiv ikke tilsvarende funktioner, der udføres af medlemmerne af ESCB i henhold til deres nationale regler.

5 6.

Dette direktiv berører heller ikke Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (10) og heller ikke Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og heller ikke Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (11).

6 7.

Udvekslingen af information inden for samarbejdsnetværket, jf. kapitel III, og anmeldelsen af NIS-hændelser, jf. artikel 14, kan kræve behandling af personoplysninger. En sådan behandling, som er nødvendig for at nå målene i den offentlige interesse, der forfølges ved dette direktiv, godkendes af medlemsstaten i henhold til artikel 7 i direktiv 95/46/EF og direktiv 2002/58/EF som gennemført i den nationale lovgivning.«

Som anført ovenfor har ESCB en betydelig interesse i at sikre, at betalings- og afviklingssystemer fungerer korrekt. Dette udspringer af, hvor vigtige betalings-, clearing- og afviklingssystemer er for den smidige udførelse af pengepolitiske operationer, og af den rolle de har i generelt at sikre det finansielle systems stabilitet. ECB henstiller derfor, at direktivforslaget tager højde for ESCB's rolle i forbindelse med betalings- og afviklingssystemer og de overvågningsrammer, der allerede eksisterer. ESCB har meget effektive redskaber til fastsættelse af niveauet for disse systemers sikkerhed og effektivitet. Betragtningen bør også tage højde for de opgaver, som er overdraget til ECB ved forordning (EU) nr. 1024/2013.

Direktivforslaget bør heller ikke berøre tilsvarende funktioner, der udføres af medlemmer af ESCB uden for euroområdet i henhold til deres nationale regler.

Ændringsforslag 3

Artikel 6, stk. 1

»1.

Hver medlemsstat udpeger en national kompetent myndighed for sikkerheden af net og informationssystemer (i det følgende benævnt »kompetent myndighed«).«

»1.

Hver medlemsstat udpeger en national kompetent myndighed for sikkerheden af net og informationssystemer (i det følgende benævnt »kompetent myndighed«).

Der skal etableres et effektivt samarbejde mellem de kompetente myndigheder og de europæiske og nationale lovgivere.«

Begrundelse

ECB anbefaler, at artikel 6, stk. 1, ændres for at sikre et godt samarbejdsniveau på EU-plan.

Ændringsforslag 4

Artikel 8, stk. 3

»3.

Inden for samarbejdsnetværket skal de kompetente myndigheder:

a)

rundsende tidlige varslinger om risici og hændelser, jf. artikel 10

b)

sikre en samordnet reaktion, jf. artikel 11

c)

med jævne mellemrum offentliggøre ikke-fortrolige oplysninger om igangværende tidlige varslinger og samordnede reaktioner på en fælles hjemmeside

d)

på anmodning af en medlemsstat eller Kommissionen i fællesskab drøfte og evaluere en eller flere af de i artikel 5 omhandlede nationale NIS-strategier og nationale NIS-samarbejdsplaner inden for dette direktivs anvendelsesområde

e)

på anmodning af en medlemsstat eller af Kommissionen i fællesskab drøfte og evaluere effektiviteten af IT-beredskabsenhederne, herunder navnlig i forbindelse med gennemførelsen af NIS-øvelser på EU-plan

f)

samarbejde og udveksle oplysninger om alle relevante emner med Europol's europæiske center for bekæmpelse af cyberkriminalitet og med andre relevante europæiske organer, herunder navnlig på områderne databeskyttelse, energi, transport, bankvæsen, børser og sundhed

g)

udveksle oplysninger og bedste praksis med hinanden og Kommissionen og bistå hinanden med at opbygge NIS-kapacitet

h)

gennemføre regelmæssige peer reviews af kapacitet og beredskab

i)

gennemføre NIS-øvelser på EU-plan og deltage i internationale NIS-øvelser i det nødvendige omfang.«

»3.

Inden for samarbejdsnetværket skal de kompetente myndigheder:

a)

rundsende tidlige varslinger om risici og hændelser, jf. artikel 10

b)

sikre en samordnet reaktion, jf. artikel 11

c)

med jævne mellemrum offentliggøre ikke-fortrolige oplysninger om igangværende tidlige varslinger og samordnede reaktioner på en fælles hjemmeside

d)

på anmodning af en medlemsstat eller Kommissionen i fællesskab drøfte og evaluere en eller flere af de i artikel 5 omhandlede nationale NIS-strategier og nationale NIS-samarbejdsplaner inden for dette direktivs anvendelsesområde

e)

på anmodning af en medlemsstat eller af Kommissionen i fællesskab drøfte og evaluere effektiviteten af IT-beredskabsenhederne, herunder navnlig i forbindelse med gennemførelsen af NIS-øvelser på EU-plan

f)

samarbejde og udveksle oplysninger om alle relevante emner med Europol's europæiske center for bekæmpelse af cyberkriminalitet og med andre relevante europæiske organer, herunder navnlig på områderne databeskyttelse, energi, transport, bankvæsen, børser og sundhed

g)

udveksle oplysninger og bedste praksis med hinanden og Kommissionen og bistå hinanden med at opbygge NIS-kapacitet

h)

gennemføre regelmæssige peer reviews af kapacitet og beredskab

i)

gennemføre NIS-øvelser på EU-plan og deltage i internationale NIS-øvelser i det nødvendige omfang.

j)

sikre udvekslingen af informationer mellem europæiske og nationale lovgivere (f.eks. vedrørende den finansielle sektor: Det Europæiske System af Centralbanker (ESCB), Den Europæiske Banktilsynsmyndighed (EBA), Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA), som skal samarbejde tæt, når sikkerhedshændelser, der potentielt kan hindre betalings- og afviklingssystemernes smidige funktion, identificeres,).«

Der er meget, der taler for udveksling af oplysninger med Det Europæiske Agentur for Net- og Informationssikkerhed eller de kompetente myndigheder i henhold til direktivforslaget og med EBA eller ESMA som de kompetente myndigheder for samordning af reaktioner på hændelser vedrørende betalingstjenesteudbydere.

ECB foreslår derfor denne ændring med henblik på at fremme udveksling af informationer og bedre samordning på EU-plan.

Ændringsforslag 5

Artikel 19, stk. 1

»1.

Kommissionen bistås af et udvalg (»Udvalget for Net- og Informationssikkerhed«). Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.«

»1.

Kommissionen bistås af et udvalg (»Udvalget for Net- og Informationssikkerhed«). Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

ECB, EBA og ESMA inviteres til at sende en repræsentant til møderne i Udvalget for Net- og Informationssikkerhed vedrørende punkter på dagsordenen, der kan påvirke udførelsen af ECB's, EBA's eller ESMA's respektive mandater.«

ECB har en særlig interesse i øget sikkerhed i betalings- og afviklingssystemer, tjenester og instrumenter, da disse udgør en vigtig del i forbindelse med bevarelse af tilliden til den fælles valuta og til økonomiens funktion i EU. I denne henseende henstiller ECB at blive inviteret med til møderne i NIS-udvalget. ECB skal under alle omstændigheder formelt høres i henhold til traktaten om alle foranstaltninger vedrørende betalingssystemer og andre emner, der hører ind under ECB's kompetenceområder.

EBA og ESMA bør også inddrages i spørgsmål, der vedrører betalingstjenesteudbydere.


(1)  Fed skrift i brødteksten angiver, hvor ECB foreslår, at ny tekst indsættes. Gennemstreget skrift i brødteksten angiver, hvor ECB foreslår, at teksten udgår.

(2)  Findes på ECB's websted www.ecb.europa.eu


Top