7.10.2014 |
DE |
Amtsblatt der Europäischen Union |
C 352/4 |
STELLUNGNAHME DER EUROPÄISCHEN ZENTRALBANK
vom 25. Juli 2014
zu einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union
(CON/2014/58)
2014/C 352/04
Einleitung und Rechtsgrundlage
Am 7. Februar 2013 veröffentlichte die Europäische Kommission einen Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (1) (nachfolgend der „Richtlinienvorschlag“).
Die Europäische Zentralbank (EZB) hat beschlossen, eine Stellungnahme auf eigene Initiative abzugeben, da sie von den Gesetzgebern nicht formell angehört wurde. Die Zuständigkeit der EZB zur Abgabe einer Stellungnahme beruht auf Artikel 127 Absatz 4 und Artikel 282 Absatz 5 des Vertrags über die Arbeitsweise der Europäischen Union, da der Richtlinienvorschlag Bestimmungen enthält, welche die in Artikel 127 Absatz 2 vierter Gedankenstrich des Vertrags vorgesehene Aufgabe des Europäischen Systems der Zentralbanken (ESZB) betreffen, das reibungslose Funktionieren der Zahlungssysteme zu gewährleisten. Darüber hinaus sieht Artikel 22 der Satzung der Europäischen Zentralbank und des Europäischen Systems der Zentralbanken (nachfolgend die „ESZB-Satzung“) vor, dass die EZB und die nationalen Zentralbanken (NZBen) Einrichtungen zur Verfügung stellen können und die EZB Verordnungen erlassen kann, um effiziente und zuverlässige Verrechnungs- und Zahlungssysteme innerhalb der Union und im Verkehr mit dritten Ländern zu gewährleisten. Diese Stellungnahme wurde gemäß Artikel 17.5 Satz 1 der Geschäftsordnung der Europäischen Zentralbank vom EZB-Rat verabschiedet.
1. Ziel des Richtlinienvorschlags
1.1. |
Ziel des Richtlinienvorschlags ist die Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS) durch die Erhöhung der Sicherheit des Internets sowie der Netze und Informationssysteme, die für unsere Gesellschaft und die Volkswirtschaft unverzichtbar sind. Dieser Vorschlag ist die wichtigste Maßnahme im Rahmen der europäischen Cybersicherheitsstrategie (2). |
1.2. |
Netzen und Informationssystemen kommt eine wesentliche Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs zu. Wegen dieser transnationalen Dimension kann eine Störung in einem Mitgliedstaat auch andere Mitgliedstaaten und die Union insgesamt in Mitleidenschaft ziehen. Zudem wird durch die Wahrscheinlichkeit, dass Sicherheitsvorfälle häufig eintreten, sowie die Unfähigkeit, einen wirksamen Schutz zu gewährleisten, das Vertrauen der Öffentlichkeit in die NIS untergraben. Die Robustheit und Stabilität der NIS ist daher von entscheidender Bedeutung für das reibungslose Funktionieren des Binnenmarkts. |
1.3. |
Der Richtlinienvorschlag beruht auf vorangegangenen Initiativen in diesem Bereich (3). Vor diesem Hintergrund trägt der Richtlinienvorschlag der Notwendigkeit Rechnung, die NIS-Vorschriften zu harmonisieren und Mechanismen für eine wirksame Zusammenarbeit zwischen den Mitgliedstaaten einzurichten. |
1.4. |
Durch den Richtlinienvorschlag wird ein gemeinsamer Unionsrechtsrahmen für die NIS im Hinblick auf die Kapazitäten der Mitgliedstaaten, die Mechanismen für die Zusammenarbeit auf Unionsebene und die Anforderungen an öffentliche Verwaltungen sowie an Unternehmen der Privatwirtschaft in bestimmten kritischen Sektoren geschaffen. Auf diese Weise soll eine ausreichende Abwehrbereitschaft auf nationaler Ebene sichergestellt und zur Schaffung eines Klimas gegenseitigen Vertrauens beigetragen werden, was eine Voraussetzung für die wirksame Zusammenarbeit auf Unionsebene ist. Die Einrichtung von Mechanismen für eine Zusammenarbeit auf Unionsebene über das Netz würde eine kohärente und koordinierte Prävention und Reaktion auf grenzüberschreitende NIS-Vorfälle und -Risiken ermöglichen. |
1.5. |
Die wichtigsten Bestimmungen sehen Folgendes vor:
|
2. Allgemeine Anmerkungen
2.1. |
Die EZB befürwortet das Ziel des Richtlinienvorschlags, eine hohe gemeinsame Netz- und Informationssicherheit in der Union zu gewährleisten und in diesem Bereich in allen Unternehmenssektoren und Mitgliedstaaten einen einheitlichen Ansatz zu verwirklichen. Es ist wichtig sicherzustellen, dass der Binnenmarkt ein sicherer Wirtschaftsstandort ist und dass alle Mitgliedstaaten im Fall eines Netzsicherheitsvorfalls über ein bestimmtes Mindestniveau an Abwehrbereitschaft verfügen. |
2.2. |
Nach Auffassung der EZB sollte der Richtlinienvorschlag die bestehenden Bestimmungen zur Überwachung von Zahlungsverkehrs- und Abwicklungssystemen (5) durch das Eurosystem, die angemessene Regelungen u. a. im Bereich der NIS enthalten, jedoch unberührt lassen. Es ist darauf hinzuweisen, dass die EZB ein besonderes Interesse an einer erhöhten Sicherheit der Zahlungsverkehrs- und Abwicklungssysteme (6) hat, um das reibungslose Funktionieren der Zahlungsverkehrssysteme zu fördern und dazu beizutragen, das Vertrauen in den Euro und das Funktionieren der Wirtschaft in der Union aufrechtzuerhalten. |
2.3. |
Darüber hinaus gehört die Beurteilung von Sicherheitsvorkehrungen und Meldungen von Sicherheitsvorfällen für Zahlungsverkehrs- und Abwicklungssysteme sowie für Zahlungsdienstleister zu den zentralen Kompetenzen von Aufsichtsbehörden und Zentralbanken. Die Verantwortung für die Entwicklung von Überwachungsanforderungen in den oben genannten Bereichen sollte daher bei diesen Stellen verbleiben, und Zahlungsverkehrs- und Abwicklungssysteme sowie Zahlungsdienstleister sollten nicht potenziell entgegenstehenden Anforderungen unterliegen, die von anderen nationalen Behörden auferlegt werden. Zudem wird das Risikomanagement, wozu Sicherheitsanforderungen in Bezug auf Zahlungsverkehrs- und Abwicklungssysteme sowie sonstige Marktinfrastrukturen innerhalb des Eurosystems gehören, durch das Eurosystem bestimmt, das die EZB und die NZBen der Mitgliedstaaten umfasst, die den Euro eingeführt haben. Das Eurosystem ist bestrebt, mittels dieser Überwachungsfunktion das reibungslose Funktionieren der Zahlungsverkehrs- und Abwicklungssysteme zu gewährleisten, zum Beispiel durch Anwendung angemessener Überwachungsstandards und Mindestanforderungen. Der Richtlinienvorschlag sollte dem bereits bestehenden Überwachungsrahmen Rechnung tragen und die Einheitlichkeit der Regulierung innerhalb der Union sicherstellen. |
3. Spezifische Anmerkungen
3.1. |
Erwägungsgrund 5 und Artikel 1 des Richtlinienvorschlags sehen vor, dass die einschlägigen Verpflichtungen, Kooperationsmechanismen und Sicherheitsanforderungen auf alle öffentlichen Verwaltungen und Marktteilnehmer Anwendung finden. Der gegenwärtige Wortlaut von Erwägungsgrund 5 und Artikel 1 berücksichtigt das im Vertrag verankerte Mandat des Eurosystems der Überwachung der Zahlungsverkehrs- und Abwicklungssysteme nicht. Der Richtlinienvorschlag sollte daher geändert werden, um den Aufgaben des Eurosystems in diesem Bereich gebührend Rechnung zu tragen. |
3.2. |
Die für Zentralbanken und andere zuständige Behörden geltenden Regelungen und Verfahren zur Überwachung von Zahlungsverkehrs-und Wertpapierabwicklungssystemen sind in einer Reihe von Richtlinien und Verordnungen der Union enthalten, insbesondere in:
|
3.3. |
Darüber hinaus ist darauf hinzuweisen, dass der EZB-Rat am 3. Juni 2013 die „Prinzipien für Finanzmarktinfrastrukturen“ verabschiedete, die im April 2012 vom Ausschuss für Zahlungsverkehrs- und Abrechnungssysteme (Committee on Payment and Settlement Systems — CPSS) der Bank für Internationalen Zahlungsausgleich (BIZ) und dem Technischen Ausschuss der Internationalen Organisation der Wertpapieraufsichtsbehörden (International Organization of Securities Commission — IOSCO) (11) zur Durchführung der Überwachung hinsichtlich aller Arten von Finanzmarktinfrastrukturen eingeführt wurden. Anschließend wurde eine öffentliche Konsultation zum Entwurf für eine Verordnung zu den Anforderungen an die Überwachung systemrelevanter Zahlungsverkehrssysteme (nachfolgend die „SIPS-Verordnung“) (12) durchgeführt. Die SIPS-Verordnung setzt die CPSS-IOSCO-Prinzipien rechtsverbindlich um und betrifft sowohl Individual- als auch Massenzahlungsverkehrssysteme mit systemischer Bedeutung, unabhängig davon, ob sie von NZBen des Eurosystems oder von privaten Stellen betrieben werden. |
3.4. |
Die bestehenden Überwachungsregelungen (13) für Zahlungsverkehrssysteme und Zahlungsdienstleister sehen für den Umgang mit möglichen Bedrohungen der Netzsicherheit bereits Frühwarnverfahren (14) und koordinierte Reaktionen (15) innerhalb und außerhalb des Eurosystems vor, die den in den Artikeln 10 und 11 des Richtlinienvorschlags festgelegten Verfahren entsprechen. |
3.5. |
Das ESZB hat Standards im Hinblick auf Melde- und Risikomanagementpflichten für Zahlungsverkehrssysteme festgelegt. Darüber hinaus führt die EZB regelmäßig Bewertungen von Wertpapierabwicklungssystemen durch, um ihre Eignung zur Verwendung für Kreditgeschäfte des Eurosystems zu prüfen. Nach Auffassung der EZB ist es deshalb erforderlich, dass die Anforderungen des Richtlinienvorschlags, die sich auf kritische Marktinfrastrukturen und deren Betreiber (16) auswirken, die in der SIPS-Verordnung, dem Rahmen der Überwachungspolitik des Eurosystems oder sonstigen Verordnungen der Union, insbesondere der EMIR-Verordnung und der künftigen CSDR-Verordnung, vorgesehenen Standards unberührt lassen. Zudem sollten die genannten Anforderungen die Aufgaben der EBA, der ESMA oder sonstiger Aufsichtsbehörden (17) nicht beeinträchtigen. |
3.6. |
Ungeachtet des Vorstehenden ist die EZB der Meinung, dass es wichtige Gründe für einen Austausch relevanter Informationen zwischen dem Eurosystem und dem nach Artikel 19 des Richtlinienvorschlags zu errichtenden NIS-Ausschuss gibt. Für die Zwecke eines effektiven Informationsaustauschs, der gegebenenfalls notwendig ist, sollten die EZB, die EBA und die ESMA ersucht werden, Vertreter zu den Sitzungen des NIS-Ausschusses zu entsenden, wenn diese Tagesordnungspunkte betreffen, die für die Ausübung ihres jeweiligen Mandats von Interesse sein könnten. |
Geschehen zu Frankfurt am Main am 25. Juli 2014.
Der Präsident der EZB
Mario DRAGHI
(1) COM(2013) 48 final.
(2) Vgl. die gemeinsame Mitteilung an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, „Cybersicherheitsstrategie der Europäischen Union — ein offener, sicherer und geschützter Cyberraum“, JOIN(2013) 1 final.
(3) Diese umfassen die folgenden Mitteilungen: „Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz“ KOM(2001) 298 endg.; „Eine Strategie für eine sichere Informationsgesellschaft — ‚Dialog, Partnerschaft und Delegation der Verantwortung‘“ KOM(2006) 251 endgültig; „Schutz kritischer Informationsinfrastrukturen — Schutz Europas vor Cyber-Angriffen und Störungen großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität“ KOM(2009) 149 endgültig; „Eine digitale Agenda für Europa“ KOM(2010) 245 endgültig; und „Schutz kritischer Informationsinfrastrukturen — Ergebnisse und nächste Schritte: der Weg zur globalen Netzsicherheit“ KOM(2011) 163 endgültig.
(4) Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (ABl. L 108 vom 24.4.2002, S. 33).
(5) Die Überwachungsaufgaben bestimmter EZSB-Mitglieder werden auf der Grundlage nationaler Rechtsvorschriften ausgeübt, welche die Zuständigkeit des Eurosystems ergänzen und in bestimmten Fällen auch duplizieren.
(6) Der in dieser Stellungnahme verwendete Begriff „Abwicklung“ umfasst die Funktion des Clearings.
(7) Richtlinie 98/26/EG des Europäischen Parlaments und des Rates vom 19. Mai 1998 über die Wirksamkeit von Abrechnungen in Zahlungs- sowie Wertpapierliefer- und -abrechnungssystemen (ABl. L 166 vom 11.6.1998, S. 45).
(8) Vgl. Artikel 10 Absatz 1 Unterabsatz 3 der Finalitätsrichtlinie.
(9) Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates vom 4. Juli 2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (ABl. L 201 vom 27.7.2012, S. 1).
(10) COM(2012) 73 final.
(11) Auf der Website der Bank für Internationalen Zahlungsausgleich unter https://www.bis.org/publ/cpss94.pdf abrufbar.
(12) Auf der Website der EZB unter http://www.ecb.europa.eu abrufbar.
(13) Siehe die Pressemitteilung der EZB zur gemeinsamen Absichtserklärung über wichtige Grundsätze für die Zusammenarbeit zwischen den Bankaufsichtsbehörden und den Zentralbanken (2003), die auf der Website der EZB abrufbar ist.
(14) Siehe Empfehlung 3: Überwachung von Sicherheitsvorfällen und Meldungen in „Empfehlungen für die Sicherheit von Zahlungen im Internet — Endfassung nach öffentlicher Konsultation“, European Forum on the Security of Retail Payments (SecuRe Pay), Januar 2013, abrufbar auf der Website der EZB unter http://www.ecb.europa.eu
(15) Auf der Grundlage der Prinzipien für eine kooperative internationale Überwachung, wie im Überwachungsbericht des CPPS im Jahr 2005 hervorgehoben wurde, haben die Zentralbanken des Eurosystem mehrmals mit Erfolg an Kooperationsvereinbarungen teilgenommen, was z. B. durch die Überwachungsregelungen für SWIFT (Society for Worldwide Interbank Financial Telecommunications) und für Continuous Linked Settlement (CLS) aufgezeigt wird.
(16) Die in Artikel 14 Absätze 3 und 4 vorgesehenen Anforderungen für Marktteilnehmer zur Einhaltung technischer und organisatorischer Maßnahmen und die in Artikel 15 Absatz 3 enthaltene Befugnis, Marktteilnehmern verbindliche Anweisungen zu erteilen.
(17) Siehe Ziffer 2.12 der Stellungnahme CON/2014/9 zu einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2013/36/EU und 2009/110/EG sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. C 224 vom 15.7.2014, S. 1). Alle Stellungnahmen der EZB werden auf der Website der EZB unter www.ecb.europa.eu veröffentlicht.
ANHANG
Redaktionsvorschläge
Kommissionsvorschlag |
Änderungsvorschläge der EZB (1) |
||||||||||||||||||||||||||||||||||||||||||
Änderung 1 |
|||||||||||||||||||||||||||||||||||||||||||
Erwägungsgrund 5 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Erwägungsgrund 5 sollte geändert werden, um den Aufgaben der EZB und der NZBen bei der Überwachung und Regulierung von Zahlungs- und Wertpapierabwicklungssystemen Rechnung zu tragen. Nach Artikel 127 Absatz 2 vierter Gedankenstrich des Vertrags ist die Förderung des reibungsloses Funktionierens der Zahlungssysteme eine der zentralen Aufgaben des ESZB. Artikel 22 der Satzung des ESZB ermächtigt die EZB ferner, Verordnungen zu erlassen, um effiziente und zuverlässige Verrechnungs- und Zahlungssysteme zu gewährleisten. Es sollte ferner berücksichtigt werden, dass das ESZB nach Artikel 127 Absatz 5 des Vertrags zur reibungslosen Durchführung der Maßnahmen auf dem Gebiet der Stabilität des Finanzsystems ergriffenen Maßnahmen beiträgt. Darüber hinaus „[stellt] die Überwachung von Zahlungsverkehrs- und Abwicklungssystemen“ nach dem 2011 veröffentlichten Rahmen der Überwachungspolitik des Eurosystems (2) „eine Aufgabe der Zentralbank [dar], bei der die Ziele der Sicherheit und Effizienz durch die Überwachung von bestehenden und geplanten Systemen gefördert werden, indem sie gemessen an diesen Zielen beurteilt und, falls erforderlich, geändert werden“. Mit anderen Worten, die Gewährleistung sicherer und effizienter Systeme ist eine wichtige Voraussetzung für die Fähigkeit des Eurosystems, zur Stabilität des Finanzsystems beizutragen, die Geldpolitik umzusetzen und das Vertrauen der Öffentlichkeit in den Euro aufrechtzuerhalten. Zudem ist im Einklang mit den Anmerkungen der EZB zur vorgeschlagenen Überarbeitung der Richtlinie über Zahlungsdienstleistungen (PSD2) darauf hinzuweisen, dass die nationalen Aufsichtsbehörden und Zentralbanken die Behörden sind, die für den Erlass von Leitlinien für Zahlungsdienstleister zur Bewältigung und Meldung von Sicherheitsvorfällen sowie zum Erlass von Leitlinien zum Austausch von Meldungen der Sicherheitsvorfälle zwischen den betreffenden Behörden zuständig sind. Dieser Erwägungsgrund sollte den der EZB durch die Verordnung (EU) Nr. 1024/2013 übertragenen Aufgaben gebührend Rechnung tragen. Schließlich sollten, sofern nicht dem Euro-Währungsgebiet angehörende Mitglieder des ESZB im Rahmen ihrer nationalen Rechtsvorschriften Aufgaben wahrnehmen, die den ihnen durch den Vertrag und die Satzung übertragenen Aufgaben entsprechen, diese Aufgaben ebenso wenig beeinträchtigt werden. |
|||||||||||||||||||||||||||||||||||||||||||
Änderung 2 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 1 Absatz 4 und 5 (neu) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Wie oben ausgeführt, hat das ESZB ein eindeutiges Interesse an der Gewährleistung des ordnungsgemäßen Funktionierens der Zahlungsverkehrs- und Wertpapierabwicklungssysteme. Dies ist auf die Bedeutung der Zahlungsverkehrs-, Clearing- und Wertpapierabwicklungssysteme für die reibungslose Durchführung der geldpolitischen Geschäfte sowie auf die Rolle zurückzuführen, die diese Systeme bei der Sicherstellung der Stabilität des Finanzsystems im Allgemeinen spielen. Deshalb empfiehlt die EZB, dass der Richtlinienvorschlag der Aufgabe des ESZB im Zusammenhang mit Zahlungsverkehrs- und Wertpapierabwicklungssystemen und dem bereits bestehenden Überwachungsrahmen Rechnung trägt. Das ESZB verfügt über äußerst wirksame Instrumente zur Festlegung der Sicherheits- und Effizienzniveaus dieser Systeme. Dieser Erwägungsgrund sollte den der EZB durch die Verordnung (EU) Nr. 1024/2013 übertragenen Aufgaben gebührend Rechnung tragen. Der Richtlinienvorschlag sollte zudem entsprechende Aufgaben unberührt lassen, die von den nicht dem Euro-Währungsgebiet angehörenden Mitgliedern des ESZB im Rahmen ihres jeweiligen nationalen Rechtsrahmens wahrgenommen werden. |
|||||||||||||||||||||||||||||||||||||||||||
Änderung 3 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 6 Absatz 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Begründung Die EZB empfiehlt, Artikel 6 Absatz 1 zu ändern, um eine gute Zusammenarbeit auf Unionsebene sicherzustellen |
|||||||||||||||||||||||||||||||||||||||||||
Änderung 4 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 8 Absatz 3 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Es gibt wichtige Gründe für den Austausch von Informationen mit der Europäischen Agentur für Netz- und Informationssicherheit oder den nach dem Richtlinienvorschlag zuständigen Behörden sowie mit der EBA oder ESMA als zuständigen Behörden für die Koordinierung von Reaktionen auf Sicherheitsvorfälle im Zusammenhang mit Zahlungsdienstleistern. Daher schlägt die EZB diese Änderung vor, um den Austausch von Informationen und eine bessere Koordinierung auf Unionsebene zu fördern. |
|||||||||||||||||||||||||||||||||||||||||||
Änderung 5 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 19 Absatz 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
Die EZB, die EBA und die ESMA werden ersucht, einen Vertreter zu den Sitzungen des Ausschusses für Netzwerk- und Informationssicherheit zu entsenden, wenn diese Tagesordnungspunkte betreffen, die Auswirkungen auf die Ausübung des jeweiligen Mandats der EZB, der EBA oder der ESMA haben könnten.“ |
||||||||||||||||||||||||||||||||||||||||||
Die EZB hat ein begründetes Interesse an einer höheren Sicherheit von Zahlungsverkehrs- und Abwicklungssystemen, -dienstleistungen und -instrumenten, da diese ein wichtiger Aspekt der Aufrechterhaltung des Vertrauens in den Euro und das Funktionieren der Wirtschaft in der Union ist. Deshalb empfiehlt die EZB, sie zu den Sitzungen des NIS-Ausschusses einzuladen. In jedem Fall ist die EZB nach dem Vertrag zu allen Maßnahmen im Zusammenhang mit Zahlungsverkehrssystemen und allen sonstigen Angelegenheiten, die in die Zuständigkeitsbereiche der EZB fallen, formell anzuhören. Auch die EBA oder ESMA sollten beteiligt werden, wenn es um Angelegenheiten geht, die Zahlungsdienstleister betreffen. |
(1) Der neue Wortlaut, der nach dem Änderungsvorschlag der EZB eingefügt werden soll, erscheint in Fettschrift. Der Wortlaut, der nach dem Änderungsvorschlag der EZB gestrichen werden soll, erscheint in durchgestrichener Schrift.
(2) Abrufbar auf der Website der EZB unter www.ecb.europa.eu