ΓΝΩΜΗ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΚΕΝΤΡΙΚΗΣ ΤΡΑΠΕΖΑΣ

της 11ης Απριλίου 2022

όσον αφορά πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148

(CON/2022/14)

(2022/C 233/03)

Εισαγωγή και νομική βάση

Στις 16 Δεκεμβρίου 2020 η Ευρωπαϊκή Επιτροπή εξέδωσε πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (1) (εφεξής η «προτεινόμενη οδηγία»). Στις 3 Δεκεμβρίου 2021 το Συμβούλιο της Ευρωπαϊκής Ένωσης συμφώνησε επί της γενικής προσέγγισής του όσον αφορά την προτεινόμενη οδηγία (2). Η γνωμοδοτική αρμοδιότητα της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΚΤ) βασίζεται στο άρθρο 127 παράγραφος 4 δεύτερη περίπτωση της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, δεδομένου ότι η προτεινόμενη οδηγία περιέχει διατάξεις που εμπίπτουν στο πεδίο αρμοδιότητας της ΕΚΤ και αφορούν ειδικότερα, την προώθηση της ομαλής λειτουργίας των συστημάτων πληρωμών, τη συμβολή στην εκ μέρους των αρμόδιων αρχών ομαλή άσκηση πολιτικών που αφορούν τη σταθερότητα του χρηματοπιστωτικού συστήματος και τα καθήκοντα της ΕΚΤ σχετικά με την προληπτική εποπτεία των πιστωτικών ιδρυμάτων, κατά το άρθρο 127 παράγραφος 2 τέταρτη περίπτωση και το άρθρο 127 παράγραφοι 5 και 6 της Συνθήκης. Η παρούσα γνώμη εκδόθηκε από το διοικητικό συμβούλιο, σύμφωνα με το άρθρο 17.5 πρώτη πρόταση του εσωτερικού κανονισμού της Ευρωπαϊκής Κεντρικής Τράπεζας.

Γενικές παρατηρήσεις

Η ΕΚΤ υποστηρίζει σθεναρά τους σκοπούς της προτεινόμενης οδηγίας για την αύξηση του επιπέδου κυβερνοανθεκτικότητας σε όλους τους σχετικούς τομείς, τη μείωση των ασυνεπειών εντός της εσωτερικής αγοράς και τη βελτίωση του επιπέδου κοινής επίγνωσης της κατάστασης και της συλλογικής ικανότητας προετοιμασίας και αντίδρασης μέσω της διασφάλισης αποτελεσματικής συνεργασίας στην Ένωση.

Η ΕΚΤ αναγνωρίζει τη σημασία της διατήρησης ισχυρών δεσμών μεταξύ της προτεινόμενης οδηγίας και του χρηματοοικονομικού τομέα, που θα πρέπει να παραμείνει στοιχείο του οικοσυστήματος δικτυακών και πληροφοριακών συστημάτων (NIS) για την προώθηση της συνεπούς εκτίμησης των κινδύνων που σχετίζονται με την τεχνολογία πληροφοριών και επικοινωνιών (ΤΠΕ) σε ολόκληρη την Ένωση και την ενίσχυση αποτελεσματικής διατομεακής ανταλλαγής πληροφοριών και συνεργασίας κατά την αντιμετώπιση κυβερνοαπειλών. Θα πρέπει ενόψει τούτου οι αρμόδιες αρχές κατά τον προτεινόμενο κανονισμό του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα (3) (εφεξής ο «DORA») να μπορούν να μετέχουν στις συζητήσεις στρατηγικής πολιτικής και στις τεχνικές εργασίες της ομάδας συνεργασίας NIS, καθώς επίσης να ανταλλάσσουν πληροφορίες και να συνεργάζονται περαιτέρω με τα ενιαία κέντρα επαφής και τις εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές που αναφέρονται στην προτεινόμενη οδηγία (4).

1.   Πεδίο εφαρμογής της προτεινόμενης οδηγίας

1.1

Η ΕΚΤ αντιλαμβάνεται ότι σε σχέση με τις οντότητες του χρηματοπιστωτικού τομέα ο DORA θα θεωρείται τομεακή νομοθεσία που θεσπίζει απαιτήσεις διαχείρισης κινδύνων για την κυβερνοασφάλεια και κοινοποίησης περιστατικών τουλάχιστον ισοδύναμες με εκείνες της προτεινόμενης οδηγίας ως προς το αποτέλεσμα (5). Επομένως, οι διατάξεις της προτεινόμενης οδηγίας που αφορούν τη διαχείριση κινδύνων για την κυβερνοασφάλεια, τις υποχρεώσεις αναφοράς περιστατικών, την ανταλλαγή πληροφοριών καθώς και την εποπτεία και την επιβολή δεν θα εφαρμόζονται σε χρηματοπιστωτικές οντότητες που καλύπτονται από τον DORA (6). Όπως διευκρινίζεται στις αιτιολογικές σκέψεις της προτεινόμενης οδηγίας, οι διατάξεις του DORA σχετικά με τα μέτρα διαχείρισης κινδύνων της ΤΠΕ, τη διαχείριση περιστατικών που σχετίζονται με τις ΤΠΕ και την αναφορά περιστατικών, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, τις ρυθμίσεις ανταλλαγής πληροφοριών και τον κίνδυνο τρίτων παρόχων ΤΠΕ θα πρέπει να εφαρμόζονται αντί των διατάξεων της προτεινόμενης οδηγίας (7).

1.2

Η ΕΚΤ σημειώνει ότι το Συμβούλιο, με τη γενική προσέγγιση που υιοθέτησε ως προς την προτεινόμενη οδηγία, προτείνει τη μη εφαρμογή της σε «οντότητες που εκτελούν δραστηριότητες στους τομείς της δικαστικής εξουσίας, στα κοινοβούλια και σε κεντρικές τράπεζες» (8). Η ΕΚΤ αντιλαμβάνεται ότι η προτεινόμενη τροποποίηση θα επεκταθεί σε όλα τα βασικά καθήκοντα και τις αρμοδιότητες του Ευρωπαϊκού Συστήματος Κεντρικών Τραπεζών (ΕΣΚΤ) κατά το άρθρο 127 παράγραφος 2 της Συνθήκης και στο άρθρο 3.1 του καταστατικού του Ευρωπαϊκού Συστήματος Κεντρικών Τραπεζών και της Ευρωπαϊκής Κεντρικής Τράπεζας (εφεξής το «καταστατικό του ΕΣΚΤ»), όπως η προώθηση της ομαλής λειτουργίας των συστημάτων πληρωμών. Συναφώς θεωρείται ότι οι υποδομές της χρηματοπιστωτικής αγοράς με ιδιοκτήτη και διαχειριστή το Ευρωσύστημα, όπως οι TARGET2 και TARGET2-Securities, εμπίπτουν στην προτεινόμενη από το Συμβούλιο εξαίρεση των κεντρικών τραπεζών από το πεδίο εφαρμογής της προτεινόμενης οδηγίας.

2.   Αρμοδιότητες επίβλεψης του ΕΣΚΤ και του Ευρωσυστήματος

2.1

Παράλληλα με τον πρωταρχικό στόχο της διατήρησης της σταθερότητας των τιμών, και σύμφωνα με το άρθρο 127 παράγραφος 2 της Συνθήκης, ένα από τα βασικά καθήκοντα του ΕΣΚΤ είναι η προώθηση της ομαλής λειτουργίας των συστημάτων πληρωμών (9). Κατά την άσκηση του εν λόγω βασικού καθήκοντος η ΕΚΤ και οι εθνικές κεντρικές τράπεζες μπορούν να παρέχουν διευκολύνσεις και η ΕΚΤ μπορεί να θεσπίζει κανονισμούς με σκοπό την εξασφάλιση αποτελεσματικών και υγιών συστημάτων συμψηφισμού και πληρωμών εντός της Ένωσης και με άλλες χώρες (10). Στο πλαίσιο του ρόλου επίβλεψης που ασκεί η ΕΚΤ εξέδωσε τον κανονισμό της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΕ) αριθ. 795/2014 (ΕΚΤ/2014/28) (11) (εφεξής ο «κανονισμός ΣΣΣΠ»), με τον οποίο οι αρχές που διατύπωσαν η Επιτροπή Συστημάτων Πληρωμών και Διακανονισμού και η τεχνική επιτροπής του Διεθνούς Οργανισμού Επιτροπών Κινητών Αξιών για τις υποδομές χρηματοπιστωτικών αγορών (εφεξής οι «αρχές CPSS-IOSCO») (12) μετουσιώνονται σε άμεσα εφαρμοστέα νομοθεσία. Ο κανονισμός ΣΣΣΠ καθορίζει απαιτήσεις για τα συστημικής σημασίας συστήματα πληρωμών, τόσο μεγάλης όσο και μικρής αξίας και ανεξαρτήτως του δημόσιου ή ιδιωτικού χαρακτήρα τους. Οι απαιτήσεις που προβλέπονται στον κανονισμό ΣΣΣΠ περιλαμβάνουν ήδη, μεταξύ άλλων, τη διαχείριση του λειτουργικού κινδύνου και τη θέσπιση πλαισίου κυβερνοανθεκτικότητας (13).

2.2

Επιπλέον των συστημικώς σημαντικών συστημάτων πληρωμών, η επίβλεψη του Ευρωσυστήματος καλύπτει μη συστημικώς σημαντικά συστήματα πληρωμών, μέσα, συστήματα και ρυθμίσεις ηλεκτρονικής πληρωμής καθώς και άλλες υποδομές και παρόχους κρίσιμων υπηρεσιών, όπως περιγράφεται στο πλαίσιο του Ευρωσυστήματος για την πολιτική επίβλεψης (14). Τα συστήματα πληρωμών και άλλες ρυθμίσεις που τελούν υπό την επίβλεψη του Ευρωσυστήματος δεν περιλαμβάνονται ρητά στο πεδίο εφαρμογής της προτεινόμενης οδηγίας (15). Συγχρόνως, δεδομένου ότι η προτεινόμενη οδηγία είναι πράξη ελάχιστης εναρμόνισης (16), η νομοθεσία που θα εκδώσουν τα κράτη μέλη για την εφαρμογή της θα μπορούσε ενδεχομένως να αλληλεπικαλύπτεται με την αρμοδιότητα επίβλεψης του Ευρωσυστήματος. Για την αποφυγή τέτοιου ενδεχομένου θα πρέπει να αναγνωρίζονται ρητά στις αιτιολογικές σκέψεις της προτεινόμενης οδηγίας οι αρμοδιότητες του ΕΣΚΤ βάσει της Συνθήκης και του καταστατικού του ΕΣΚΤ, καθώς και οι αρμοδιότητες του Ευρωσυστήματος βάσει του κανονισμού ΣΣΣΠ, και γενικότερα βάσει του πλαισίου του Ευρωσυστήματος για την πολιτική επίβλεψης.

3.   Κίνδυνος τρίτων παρόχων ΤΠΕ, διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας, ανταλλαγή πληροφοριών και εθνική στρατηγική κυβερνοασφάλειας

3.1   Διαχείριση κινδύνου τρίτων παρόχων ΤΠΕ

3.1.1

Κατά την άσκηση των εξουσιών επιβολής που διαθέτουν οι αρμόδιες αρχές σε σχέση με βασικές οντότητες, η προτεινόμενη οδηγία τις εξουσιοδοτεί να εκδίδουν δεσμευτικές οδηγίες ή διαταγή προς τις εν λόγω οντότητες με σκοπό την αποκατάσταση διαπιστούμενων ελλείψεων ή παραβάσεων των υποχρεώσεων που προβλέπονται στην προτεινόμενη οδηγία (17). Συγχρόνως, ο «κύριος εποπτικός φορέας» που ορίζεται βάσει του DORA μπορεί να διατυπώνει συστάσεις προς κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ για τη διαχείριση των δυνητικών συστημικών κινδύνων που συνεπάγονται οι πρακτικές εξωτερικής ανάθεσης και η συγκέντρωση τρίτων παρόχων ΤΠΕ (18).

3.1.2

Δεδομένου ότι βασική οντότητα βάσει της προτεινόμενης οδηγίας μπορεί επίσης να οριστεί κρίσιμος τρίτος πάροχος υπηρεσιών ΤΠΕ δυνάμει του DORA, η ΕΚΤ επαναλαμβάνει (19) ότι θα πρέπει να αποφεύγεται η έκδοση αντικρουόμενων συστάσεων και δεσμευτικών οδηγιών. Συναφώς, η ΕΚΤ εκφράζει την ικανοποίησή της για τη γενική προσέγγιση του Συμβουλίου όσον αφορά την προτεινόμενη οδηγία. Σύμφωνα με την εν λόγω προσέγγιση, κατά την άσκηση των εξουσιών εποπτείας και επιβολής που διαθέτουν σε σχέση με οντότητα που έχει οριστεί ως κρίσιμος τρίτος πάροχος υπηρεσιών ΤΠΕ βάσει του DORA, οι αρμόδιες αρχές πρέπει να ενημερώνουν το «φόρουμ εποπτείας» που θεσπίζεται βάσει του DORA (20).

3.2   Διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας

3.2.1

Σύμφωνα με την προτεινόμενη οδηγία (21), τα κράτη μέλη πρέπει να ορίζουν μία ή περισσότερες αρμόδιες αρχές ως υπεύθυνες για τη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας. Όπως διευκρινίζεται στις αιτιολογικές σκέψεις της προτεινόμενης οδηγίας, ως περιστατικό μεγάλης κλίμακας θα πρέπει να νοείται εκείνο που έχει ευρείες συνέπειες σε τουλάχιστον δύο κράτη μέλη ή το οποίο προκαλεί διαταραχή που υπερβαίνει την ικανότητα ενός κράτους μέλους να ανταποκριθεί σε αυτή. Τα περιστατικά μεγάλης κλίμακας ενδέχεται να μετατραπούν σε πραγματικές κρίσεις, διαταράσσοντας την ομαλή λειτουργία της εσωτερικής αγοράς (22).

3.2.2

Μολονότι οι αρμόδιες αρχές που ορίζονται βάσει του DORA παραμένουν υπεύθυνες για τη διαχείριση περιστατικών κυβερνοασφάλειας που αφορούν χρηματοπιστωτικές οντότητες, η συνεργασία με τις δομές και τις αρχές που θεσπίζονται βάσει της προτεινόμενη οδηγίας θα είναι καθοριστικής σημασίας για τη διασφάλιση συντονισμένης αντίδρασης σε ολόκληρη την Ένωση. Προς τούτο, η ΕΚΤ θα επιθυμούσε τη συμμετοχή των αρμόδιων αρχών που ορίζονται βάσει του DORA, συμπεριλαμβανομένης της ΕΚΤ, στο ευρωπαϊκό δίκτυο οργανώσεων διασύνδεσης για τις κρίσεις στον κυβερνοχώρο (EU-CyCLONe) (23), όταν περιστατικά και κρίσεις κυβερνοασφάλειας μεγάλης κλίμακας επηρεάζουν τον χρηματοπιστωτικό τομέα.

3.3   Ανταλλαγή πληροφοριών

3.3.1

Όπως προαναφέρθηκε, η ΕΚΤ υποστηρίζει σθεναρά τη συνεργασία μεταξύ των αρμόδιων αρχών που ορίζονται βάσει του DORA και των δομών και αρχών που θεσπίζονται βάσει της προτεινόμενης οδηγίας. Ειδικότερα, η ανταλλαγή πληροφοριών μεταξύ αρχών μπορεί να διευκολύνει τη διατομεακή μάθηση, να συμβάλει στην πρόληψη και στην αποτελεσματική διαχείριση κυβερνοεπιθέσεων και να προαγάγει τη συνεπή εκτίμηση των κινδύνων που σχετίζονται με τις ΤΠΕ σε ολόκληρη την Ένωση. Παρ’ όλα αυτά, η ΕΚΤ υπογραμμίζει ότι η ανταλλαγή πληροφοριών θα πρέπει να πραγματοποιείται όταν υφίστανται σαφώς θεσπισμένοι μηχανισμοί ταξινόμησης και ανταλλαγής πληροφοριών, σε συνδυασμό με επαρκείς εγγυήσεις για την εξασφάλιση της εμπιστευτικότητας (24). Η ΕΚΤ χαιρετίζει τη γενική προσέγγιση του Συμβουλίου όσον αφορά την προτεινόμενη οδηγία, στην οποία προτείνονται η τακτική ανταλλαγή συναφών πληροφοριών μεταξύ αρχών (25), η θέσπιση ρυθμίσεων συνεργασίας για τον καθορισμό μηχανισμού ανταλλαγής πληροφοριών (26), καθώς και η αυτόματη και άμεση διαβίβαση κοινοποιήσεων περιστατικών (27). Συναφώς, θα πρέπει να διασφαλίζεται ότι οι πληροφορίες που είναι εμπιστευτικές δυνάμει των διατάξεων για το επαγγελματικό απόρρητο του DORA (28) ή της σχετικής τομεακής νομοθεσίας (29) μπορούν να ανταλλαγούν με τις αρμόδιες αρχές που αναφέρονται στην προτεινόμενη οδηγία μόνον όταν η ανταλλαγή είναι αναγκαία για την εφαρμογή των διατάξεων της προτεινόμενης οδηγίας από τις αρμόδιες αρχές (30).

3.4   Εθνική στρατηγική κυβερνοασφάλειας

3.4.1

Βάσει της προτεινόμενης οδηγίας, τα κράτη μέλη υποχρεούνται να θεσπίσουν εθνική στρατηγική κυβερνοασφάλειας, η οποία καθορίζει τους στρατηγικούς στόχους και κατάλληλα μέτρα πολιτικής και κανονιστικά μέτρα, με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας (31). Όπως διευκρινίζεται στις αιτιολογικές σκέψεις της προτεινόμενης οδηγίας, τα κράτη μέλη θα πρέπει να συνεχίσουν να περιλαμβάνουν τον χρηματοπιστωτικό τομέα στις αντίστοιχες στρατηγικές τους για την κυβερνοασφάλεια (32). Ενδεικτικά, στο πλαίσιο των εθνικών στρατηγικών κυβερνοασφάλειας, τα κράτη μέλη θα πρέπει να θεσπίσουν πολιτικές για την αντιμετώπιση της κυβερνοασφάλειας στην αλυσίδα εφοδιασμού προϊόντων και υπηρεσιών ΤΠΕ που οι οντότητες χρησιμοποιούν για την παροχή των υπηρεσιών τους. Όσον αφορά τον χρηματοπιστωτικό τομέα, οι εθνικές στρατηγικές κυβερνοασφάλειας θα πρέπει να είναι συνεπείς με το κανονιστικό πλαίσιο που απορρέει από τον DORA. Συναφώς, η ΕΚΤ θεωρεί ότι απαιτούνται περαιτέρω διευκρινίσεις προκειμένου να διασφαλίζεται ότι οι εθνικές στρατηγικές κυβερνοασφάλειας είναι συνεπείς με την τομεακή νομοθεσία. Στις περιπτώσεις που η ΕΚΤ συνιστά την τροποποίηση της προτεινόμενης οδηγίας, συγκεκριμένη πρόταση διατύπωσης περιλαμβάνεται σε τεχνικό κείμενο εργασίας και συνοδεύονται από τη σχετική αιτιολογία. Το τεχνικό κείμενο εργασίας διατίθεται στην αγγλική γλώσσα στον δικτυακό τόπο EUR-Lex.

---

(1)  COM(2020) 823 final.

(2)  Διατίθεται στον δικτυακό τόπο του Συμβουλίου στη διεύθυνση www.consilium.europa.eu.

(3)  COM(2020) 595 final.

(4)  Βλ. σημείο 1.5 της γνώμης CON/2021/20 της Ευρωπαϊκής Κεντρικής Τράπεζας, της 4 Ιουνίου 2021, όσον αφορά πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα (ΕΕ C 343 της 26.8.2021, σ. 1). Όλες οι γνώμες της ΕΚΤ δημοσιεύονται στον δικτυακό τόπο EUR-Lex. Άρθρο 17 παράγραφος 5 και άρθρο 42 του DORA· άρθρο 11 της προτεινόμενης οδηγίας.

(5)  Άρθρο 2 παράγραφος 6 της προτεινόμενης οδηγίας.

(6)  Αιτιολογική σκέψη 13 και άρθρο 2 παράγραφος 6 της προτεινόμενης οδηγίας.

(7)  Αιτιολογική σκέψη 13 της προτεινόμενης οδηγίας.

(8)  Άρθρο 2 παράγραφος 3α πρώτο εδάφιο στοιχείο β΄ της γενικής προσέγγισης του Συμβουλίου όσον αφορά την προτεινόμενη οδηγία.

(9)  Άρθρο 127 παράγραφος 2 της ΣΛΕΕ, όπως επαναλαμβάνεται στο άρθρο 3.1 του καταστατικού του ΕΣΚΤ.

(10)  Άρθρο 22 του καταστατικού του ΕΣΚΤ.

(11)  Κανονισμός της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΕ) αριθ. 795/2014, της 3ης Ιουλίου 2014, σχετικά με τις απαιτήσεις επίβλεψης για τα συστημικώς σημαντικά συστήματα πληρωμών (ΕΚΤ/2014/28) (ΕΕ L 217 της 23.7.2014, σ. 16).

(12)  Βλ. Committee on Payment and Settlement Systems (CPSS) and Technical Committee of the International Organization of Securities Commissions (IOSCO), Principles for Financial Market Infrastructures, Απρίλιος 2012, διατίθεται στον δικτυακό τόπο της Τράπεζας Διεθνών Διακανονισμών στη διεύθυνση www.bis.org. Σύμφωνα με την Ευθύνη D (Responsibility D) που περιγράφεται στο εν λόγω έγγραφο, όλα τα μέλη της CPSS και της IOSCO θα πρέπει να εφαρμόζουν τις αρχές στις σχετικές υποδομές χρηματοπιστωτικών αγορών εντός των δικαιοδοσιών τους στον μέγιστο επιτρεπόμενο βαθμό βάσει του νομικού πλαισίου που ισχύει στη δικαιοδοσία τους.

(13)  Άρθρο 15 του κανονισμού (ΕΕ) αριθ. 795/2014 (ΕΚΤ/2014/28).

(14)  Eurosystem oversight policy framework, αναθεωρημένο κείμενο (Ιούλιος 2016), διατίθεται στον δικτυακό τόπο της ΕΚΤ στη διεύθυνση www.ecb.europa.eu.

(15)  Άρθρο 2 της προτεινόμενης οδηγίας και παραρτήματα I και II της προτεινόμενης οδηγίας.

(16)  Άρθρο 3 της προτεινόμενης οδηγίας.

(17)  Άρθρο 29 παράγραφος 4 στοιχείο β) της προτεινόμενης οδηγίας.

(18)  Άρθρο 31 του DORA.

(19)  Βλ. σημείο 1.2 της γνώμης CON/2021/20.

(20)  Άρθρο 29 παράγραφος 10 της γενικής προσέγγισης του Συμβουλίου όσον αφορά την προτεινόμενη οδηγία.

(21)  Άρθρο 7 παράγραφος 1 της προτεινόμενης οδηγίας.

(22)  Αιτιολογική σκέψη 27 της προτεινόμενης οδηγίας.

(23)  Άρθρο 14 της προτεινόμενης οδηγίας.

(24)  Βλ. σημείο 1.5 της γνώμης CON/2021/20.

(25)  Άρθρο 11 παράγραφος 5 της γενικής προσέγγισης του Συμβουλίου όσον αφορά την προτεινόμενη οδηγία.

(26)  Αιτιολογική σκέψη 23α της γενικής προσέγγισης του Συμβουλίου όσον αφορά την προτεινόμενη οδηγία.

(27)  Αιτιολογική σκέψη 13 της γενικής προσέγγισης του Συμβουλίου όσον αφορά την προτεινόμενη οδηγία.

(28)  Άρθρο 49 του DORA.

(29)  Άρθρα 53 έως 62 της οδηγίας 2013/36/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Ιουνίου 2013, σχετικά με την πρόσβαση στη δραστηριότητα πιστωτικών ιδρυμάτων και την προληπτική εποπτεία πιστωτικών ιδρυμάτων και επιχειρήσεων επενδύσεων, για την τροποποίηση της οδηγίας 2002/87/ΕΚ και για την κατάργηση των οδηγιών 2006/48/ΕΚ και 2006/49/ΕΚ (ΕΕ L 176 της 27.6.2013, σ. 338).

(30)  Άρθρο 2 παράγραφος 5 και άρθρο 11 παράγραφος 4 της προτεινόμενης οδηγίας.

(31)  Άρθρο 5 της προτεινόμενης οδηγίας.

(32)  Αιτιολογική σκέψη 13 της προτεινόμενης οδηγίας.