Γνωμοδότηση της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής με θέματα «Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014 και (ΕΕ) αριθ. 909/2014»

[COM(2020) 595 final — 2020/0266 (COD)]

και «Πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την τροποποίηση των οδηγιών 2006/43/ΕΚ, 2009/65/ΕΚ, 2009/138/ΕΚ, 2011/61/ΕΕ, 2013/36/ΕΕ, 2014/65/ΕΕ, (ΕΕ) 2015/2366 και (ΕΕ) 2016/2341»

[COM(2020) 596 final — 2020/0268 (COD)]

(2021/C 155/06)

Εισηγητής:

ο κ. Antonio GARCÍA DEL RIEGO

Αίτηση γνωμοδότησης	Ευρωπαϊκό Κοινοβούλιο, 17.12.2020 Συμβούλιο της Ευρωπαϊκής Ένωσης, 22.12.2020
Νομική βάση	Άρθρα 53 παρ. 1, 114 παρ. 1 και 304 της ΣΛΕΕ
Αρμόδιο τμήμα	Οικονομική και νομισματική ένωση, οικονομική και κοινωνική συνοχή
Υιοθετήθηκε από το τμήμα	12.2.2021
Υιοθετήθηκε από την ολομέλεια	24.2.2021
Σύνοδος ολομέλειας αριθ.	558
Αποτέλεσμα της ψηφοφορίας (υπέρ/κατά/αποχές)	243/1/4

1. Συμπεράσματα και συστάσεις

1.1.

Η ΕΟΚΕ χαιρετίζει την πρόταση της Ευρωπαϊκής Επιτροπής για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) καθώς αποσκοπεί στην εξασφάλιση νομικής σαφήνειας όσον αφορά τις προβλέψεις για κινδύνους ΤΠΕ, στη μείωση της πολυπλοκότητας του κανονιστικού πλαισίου, στη θέσπιση ενός κοινού συνόλου προτύπων για τον μετριασμό των κινδύνων ΤΠΕ και στη διευκόλυνση μιας εναρμονισμένης εποπτικής προσέγγισης, εξασφαλίζοντας παράλληλα ασφάλεια δικαίου και τις απαραίτητες διασφαλίσεις για τις χρηματοπιστωτικές επιχειρήσεις και τους παρόχους υπηρεσιών ΤΠΕ. Ο κανονισμός για την ψηφιακή επιχειρησιακή ανθεκτικότητα δεν ενισχύει απλώς την ανθεκτικότητα του κλάδου στους κινδύνους ΤΠΕ, αλλά είναι επίσης προς όφελος πολλών ενδιαφερόμενων μερών, όπως πελάτες, επενδυτές και εργαζόμενοι, και συμβάλλει στην υλοποίηση της βιώσιμης ανάπτυξης.

1.2.

Η ΕΟΚΕ συνιστά να ενισχυθεί η αποτελεσματικότητα της πρότασης κανονισμού σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα ακολουθώντας τα παρακάτω βήματα:

1.2.1.

Συμπερίληψη στο πεδίο εφαρμογής του DORA κάθε παρόχου κρίσιμων χρηματοπιστωτικών υπηρεσιών που αναπτύσσει χρηματοπιστωτικές δραστηριότητες και αποτροπή της χρήσης υπηρεσιών ΤΠΕ για μη κρίσιμες λειτουργίες.

1.2.2.

Εξασφάλιση της συνοχής όσον αφορά τον ορισμό και το πεδίο εφαρμογής μεταξύ του DORA και των απαιτήσεων που ορίζονται στις υφιστάμενες κατευθυντήριες γραμμές που έχουν εκδοθεί από τις Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ).

1.2.3.

Όσον αφορά τη διαχείριση ΤΠΕ, προώθηση ενός πλαισίου που θα εστιάζει σε μια προσέγγιση βασισμένη σε αρχές και κινδύνους και θα διευκολύνει τη διενέργεια μακροπρόθεσμα βιώσιμων, ευέλικτων και αναλογικών προς τους κινδύνους ελέγχων.

1.2.4.

Όσον αφορά τα συμβάντα που σχετίζονται με τις ΤΠΕ, πλήρης ευθυγράμμιση με την εργαλειοθήκη του Συμβουλίου χρηματοπιστωτικής σταθερότητας για την αντιμετώπιση και αποκατάσταση κυβερνοπεριστατικών (Cyber Incident Response and Recovery).

1.2.5.

Όσον αφορά τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, παροχή έμφασης όχι μόνο στο μέγεθος του χρηματοπιστωτικού ιδρύματος, αλλά και στην πολυπλοκότητα και στην κρίσιμη σημασία της υπηρεσίας· αποφυγή της υποχρεωτικής εξωτερικής ανάθεσης των δοκιμών οι οποίες θα διενεργούνται από περιορισμένο αριθμό εξωτερικών ελεγκτών και διευκόλυνση της αμοιβαίας αναγνώρισης των αποτελεσμάτων των δοκιμών.

1.2.6.

Ενοποίηση των απαιτήσεων σχετικά με την εξωτερική ανάθεση σε έναν ενιαίο οδηγό, προκειμένου να ενισχυθεί το επίπεδο ασφάλειας δικαίου για όλους τους συμμετέχοντες στην αγορά και να επιτευχθεί αξιόπιστη συμμόρφωση με τις εποπτικές προσδοκίες.

1.2.7.

Πλήρης εφαρμογή των συστάσεων των κύριων εποπτικών φορέων και σαφής διαχωρισμός ρόλων και αρμοδιοτήτων για τις διάφορες αρχές που είναι αρμόδιες για την εποπτεία των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ.

1.2.8.

Διασφάλιση της πρόσβασης τρίτων παρόχων υπηρεσιών που είναι εγκατεστημένοι σε τρίτες χώρες σε εξωτερικά ανατεθειμένες υπηρεσίες που θεωρούνται κρίσιμες, ούτως ώστε να μην περιορίζεται η συμβατική ελευθερία των επιχειρήσεων και η ικανότητα πρόσβασης σε υπηρεσίες παρόχων υψηλής προστιθέμενης αξίας.

1.2.9.

Συμπερίληψη της αναλογικότητας στο σύστημα κυρώσεων, αποφεύγοντας τα αντικίνητρα που αποτρέπουν τους παρόχους υπηρεσιών ΤΠΕ από το να εξυπηρετούν τις χρηματοπιστωτικές οντότητες της ΕΕ, και αφαίρεση της τρέχουσας αναφοράς στον παγκόσμιο κύκλο εργασιών.

1.2.10.

Αποσαφήνιση της ικανότητας των επιχειρήσεων να ανταλλάσσουν πληροφορίες σχετικά με κυβερνοαπειλές, εξασφαλίζοντας ότι οι εν λόγω ρυθμίσεις είναι οικειοθελείς και ότι θα συμπεριληφθεί στην πρόταση DORA ρητή διάταξη που θα καθιστά δυνατή την ανταλλαγή δεδομένων προσωπικού χαρακτήρα.

1.2.11.

Εξέταση της δυνατότητας, αφενός, αύξησης του ορίου απαλλαγής που προβλέπεται στην πρόταση για τις πολύ μικρές και τις μικρές επιχειρήσεις, όπως αυτές ορίζονται στο παράρτημα Ι, άρθρο 2 παράγραφος 2, της σύστασης 2003/361/ΕΚ της Επιτροπής (1): επιχειρήσεις οι οποίες απασχολούν λιγότερους από 50 εργαζομένους και των οποίων ο ετήσιος κύκλος εργασιών ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 10 εκατομμύρια ευρώ και, αφετέρου, μείωσης του αριθμού των απαιτήσεων που ισχύουν για τις οντότητες ΜΜΕ αναλογικά με το προφίλ ψηφιακών κινδύνων τους.

1.3.

2. Ιστορικό

2.1.

Οι Ευρωπαίοι καταναλωτές και οι ευρωπαϊκές επιχειρήσεις βασίζονται ολοένα και περισσότερο στις ψηφιακές χρηματοπιστωτικές υπηρεσίες, πράγμα που συνεπάγεται ότι οι συμμετέχοντες στην αγορά εφαρμόζουν ολοένα και περισσότερο καινοτόμες λύσεις που βασίζονται σε νέες τεχνολογίες. Ο ψηφιακός μετασχηματισμός είναι καίριας σημασίας για την ευρωπαϊκή ανάκαμψη και για τη δημιουργία μιας βιώσιμης και ανθεκτικής ευρωπαϊκής οικονομίας.

2.2.

Σύμφωνα με τις προτεραιότητες της Ευρωπαϊκής Επιτροπής για να προετοιμαστεί η Ευρώπη για την ψηφιακή εποχή και για να οικοδομηθεί μια οικονομία έτοιμη για το μέλλον, η οποία θα λειτουργεί υπέρ των πολιτών, η Επιτροπή υπέβαλε μια δέσμη μέτρων για τον ψηφιακό χρηματοοικονομικό τομέα. Η δέσμη αυτή περιγράφει μέτρα για την περαιτέρω διευκόλυνση και στήριξη του δυναμικού των ψηφιακών χρηματοοικονομικών υπηρεσιών όσον αφορά την καινοτομία και τον ανταγωνισμό, και τον παράλληλο μετριασμό των συνεπαγόμενων κινδύνων.

2.3.

Επιπλέον της πρότασης για την ψηφιακή επιχειρησιακή ανθεκτικότητα, η δέσμη μέτρων για τον ψηφιακό χρηματοοικονομικό τομέα περιλαμβάνει μια νέα στρατηγική ψηφιακών χρηματοοικονομικών υπηρεσιών για τον χρηματοπιστωτικό τομέα της ΕΕ (2) και μια πρόταση κανονισμού για τις αγορές κρυπτοστοιχείων, καθώς και μια πρόταση κανονισμού σχετικά με ένα πιλοτικό καθεστώς για τις υποδομές της αγοράς που βασίζονται σε τεχνολογία κατανεμημένου καθολικού (3).

2.4.

Ψηφιακή επιχειρησιακή ανθεκτικότητα είναι η ικανότητα των επιχειρήσεων να διασφαλίζουν ότι μπορούν να αντεπεξέλθουν σε παντός είδους διαταραχές και απειλές που σχετίζονται με τις τεχνολογίες πληροφοριών και επικοινωνιών (ΤΠΕ). Η διαρκώς αυξανόμενη εξάρτηση του χρηματοπιστωτικού τομέα από το λογισμικό και τις ψηφιακές διαδικασίες καθιστά τους κινδύνους ΤΠΕ εγγενείς στον χρηματοπιστωτικό τομέα. Οι χρηματοπιστωτικές επιχειρήσεις έχουν γίνει στόχος κυβερνοεπιθέσεων που προκαλούν σοβαρή οικονομική ζημία στους καταναλωτές και τις επιχειρήσεις και βλάπτουν τη φήμη τους. Οι κίνδυνοι αυτοί πρέπει να αποτελέσουν αντικείμενο ορθής κατανόησης και διαχείρισης, ιδίως σε περιόδους ακραίων συνθηκών.

2.5.

Παρότι η μεταρρύθμιση που ακολούθησε τη χρηματοπιστωτική κρίση του 2008 ενίσχυσε την ανθεκτικότητα του χρηματοπιστωτικού τομέα της ΕΕ, αντιμετώπισε μόνον έμμεσα τους κινδύνους ΤΠΕ. Η απουσία ενός συνεκτικού κανονιστικού πλαισίου για την ψηφιακή επιχειρησιακή ανθεκτικότητα σε επίπεδο ΕΕ οδήγησε σε εξάρτηση από εθνικές ρυθμιστικές πρωτοβουλίες. Το γεγονός αυτό, όμως, περιόρισε τη διασυνοριακή αποτελεσματικότητα και οδήγησε σε κατακερματισμό της ενιαίας αγοράς, υπονομεύοντας τη σταθερότητα και την ακεραιότητα του χρηματοπιστωτικού τομέα της ΕΕ. Στο πλαίσιο αυτό, η Επιτροπή προτείνει τη θέσπιση ενός συνεκτικού πλαισίου για την ψηφιακή επιχειρησιακή ανθεκτικότητα των χρηματοπιστωτικών οντοτήτων της ΕΕ.

2.6.

Η νομοθετική πρόταση για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) (4) θα ενισχύσει και θα εξορθολογίσει την άσκηση της διαχείρισης κινδύνων ΤΠΕ από τις χρηματοπιστωτικές οντότητες, θα καθιερώσει διεξοδικές δοκιμές ανθεκτικότητας των συστημάτων ΤΠΕ, θα ενθαρρύνει την ανταλλαγή πληροφοριών και θα αυξήσει την ευαισθητοποίηση των εποπτικών αρχών όσον αφορά κινδύνους στον κυβερνοχώρο και τα συμβάντα που σχετίζονται με τις ΤΠΕ, τα οποία αντιμετωπίζουν οι χρηματοπιστωτικές οντότητες, ενώ θα θεσπίσει επίσης εξουσίες για τις αρχές χρηματοπιστωτικής εποπτείας ώστε να παρακολουθούν τους κινδύνους που οφείλονται στην εξάρτηση των χρηματοπιστωτικών οντοτήτων από τρίτους παρόχους υπηρεσιών ΤΠΕ. Η πρόταση αποβλέπει επίσης στη δημιουργία ενός συνεκτικού μηχανισμού αναφοράς συμβάντων που θα μπορούσε να συμβάλει στη μείωση του διοικητικού φόρτου των χρηματοπιστωτικών οντοτήτων και στην ενίσχυση της αποτελεσματικότητας της εποπτείας.

2.7.

Η Επιτροπή υπέβαλε επίσης μια πρόταση οδηγίας (5) καθώς είναι απαραίτητο να θεσπιστεί προσωρινή εξαίρεση για πολυμερείς μηχανισμούς διαπραγμάτευσης και να τροποποιηθούν ή να αποσαφηνιστούν ορισμένες διατάξεις των υφιστάμενων οδηγιών της ΕΕ για τις χρηματοπιστωτικές υπηρεσίες προκειμένου να επιτευχθούν οι στόχοι της πρότασης για την ψηφιακή επιχειρησιακή ανθεκτικότητα.

2.8.

Σύμφωνα με εκτιμήσεις, η αξία της αγοράς ΤΠΕ, μίας από τις μεγαλύτερες βιομηχανίες στον κόσμο, υπολογίστηκε το 2019 σε πάνω από πέντε τρισεκατομμύρια δολάρια ΗΠΑ, ποσό που αναμένεται να αγγίξει τα έξι και πλέον τρισεκατομμύρια μέχρι το 2022. Αυτή η συνεχής ανάπτυξη αποδεικνύει τη διαρκώς αυξανόμενη κυριαρχία και σημασία της τεχνολογίας στη σημερινή κοινωνία. Ο χρηματοπιστωτικός τομέας είναι ο μεγαλύτερος χρήστης ΤΠΕ στον κόσμο, ο οποίος αντιπροσωπεύει σχεδόν το 20 % των συνολικών δαπανών ΤΠΕ, σύμφωνα με την εκτίμηση επιπτώσεων της νομοθετικής πρότασης.

2.9.

Η χρήση ψηφιακών χρηματοπιστωτικών υπηρεσιών πολλαπλασιάστηκε λόγω της κρίσης COVID-19, δεδομένου ότι τα δίκτυα καταστημάτων των χρηματοπιστωτικών ιδρυμάτων υπολειτουργούν. Εξαιτίας του γεγονότος αυτού, αναμένεται τόνωση των επενδύσεων σε ψηφιακά εργαλεία αυτοεξυπηρέτησης, εφαρμογές ανοικτής χρηματοδότησης και υπηρεσίες προστιθέμενης αξίας. Σε γενικές γραμμές, η τρέχουσα κατάσταση θα αναγκάσει τα χρηματοπιστωτικά ιδρύματα να επενδύσουν περισσότερο σε υποδομές ΤΠ, να θέσουν σε προτεραιότητα τη μεταφορά του κρίσιμης σημασίας φόρτου εργασίας και να επικαιροποιήσουν τις υφιστάμενες εφαρμογές. Ο ευρωπαϊκός χρηματοπιστωτικός τομέας υφίσταται ήδη εκτενή ψηφιακό μετασχηματισμό και η ικανότητα του κλάδου να ανταγωνίζεται σε παγκόσμια κλίμακα θα εξαρτηθεί σε μεγάλο βαθμό από την ικανότητα των ευρωπαϊκών ιδρυμάτων να αξιοποιήσουν τις πιο προηγμένες τεχνολογίες.

3. Γενικές παρατηρήσεις

3.1.

Η ΕΟΚΕ χαιρετίζει την πρόταση της Ευρωπαϊκής Επιτροπής σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) η οποία ασχολείται με πολλές από τις αξιώσεις του χρηματοπιστωτικού τομέα και αποσκοπεί στην εξασφάλιση νομικής σαφήνειας όσον αφορά τις προβλέψεις για κινδύνους ΤΠΕ, στον περιορισμό της κανονιστικής πολυπλοκότητας και στη μείωση της διοικητικής επιβάρυνσης που προκύπτει από τους διάφορους κανόνες που ισχύουν για τις χρηματοπιστωτικές οντότητες σε ολόκληρη την ΕΕ. Ο κανονισμός για την ψηφιακή επιχειρησιακή ανθεκτικότητα δεν ενισχύει απλώς την ανθεκτικότητα του κλάδου στους κινδύνους ΤΠΕ, αλλά είναι επίσης προς όφελος πολλών ενδιαφερόμενων μερών, όπως πελάτες, επενδυτές και εργαζόμενοι, και συμβάλλει στην υλοποίηση της βιώσιμης ανάπτυξης.

3.2.

Η ΕΟΚΕ εκλαμβάνει τον κανονισμό DORA ως ένα σημαντικό βήμα προς τη θέσπιση ενός κοινού συνόλου προτύπων για τον μετριασμό των κινδύνων ΤΠΕ και τη διευκόλυνση μιας εναρμονισμένης εποπτικής προσέγγισης, ωστόσο, χρειάζεται προσοχή προκειμένου να μην τεθούν εμπόδια τα οποία δεν θα επέτρεπαν στα χρηματοπιστωτικά ιδρύματα της ΕΕ να συμμετέχουν στην παγκόσμια καινοτόμο διαδικασία.

3.3.

Η ΕΟΚΕ πιστεύει πως πρωταρχικός στόχος των αρχών της ΕΕ είναι να επιδιώξουν να πετύχουν ένα αναλογικό και βασισμένο στους κινδύνους καθεστώς το οποίο θα παρέχει στους εποπτικούς φορείς τα εργαλεία που χρειάζονται για να αντιμετωπίσουν τις ανησυχίες τους, εξασφαλίζοντας παράλληλα ασφάλεια δικαίου και τις απαραίτητες διασφαλίσεις για τις χρηματοπιστωτικές επιχειρήσεις και τους παρόχους ΤΠΕ.

4. Ειδικές παρατηρήσεις

4.1. Πεδίο εφαρμογής και κανονιστικά αλληλεπικαλυπτόμενα ζητήματα

4.1.1. Ένταξη περισσότερων σχετικών συμμετεχόντων στις χρηματοπιστωτικές αγορές

Ενώ η ΕΟΚΕ αναγνωρίζει και χαιρετίζει το ευρύ φάσμα συμμετεχόντων στις χρηματοπιστωτικές αγορές στους οποίους απευθύνεται η προτεινόμενη νομοθετική πράξη και οι οποίοι θα εξασφαλίσουν τη συνεπή εφαρμογή των απαιτήσεών της στον χρηματοπιστωτικό τομέα ολόκληρης της ΕΕ, συνιστούμε στους υπεύθυνους χάραξης πολιτικής της ΕΕ να συμπεριλάβουν συμμετέχοντες στις χρηματοπιστωτικές αγορές που δεν εντάσσονται στο πεδίο εφαρμογής της εν λόγω προτεινόμενης νομοθεσίας, όπως τους παρόχους ενυπόθηκης πίστης και τους παρόχους καταναλωτικής πίστης, αναλόγως με τον κίνδυνο που ενδέχεται να ενέχουν για το σύστημα. Κάθε πάροχος χρηματοπιστωτικών υπηρεσιών που επιδίδεται στις ίδιες δραστηριότητες και αναλαμβάνει τους ίδιους κινδύνους θα πρέπει να καλύπτεται από τους ίδιους κανόνες και την ίδια εποπτεία προκειμένου να διασφαλίζεται το ίδιο ελάχιστο πλαίσιο για την ψηφιακή ανθεκτικότητα που προστατεύει τους καταναλωτές και τη χρηματοπιστωτική σταθερότητα.

4.1.2. Συνοχή σε διεθνές και ενωσιακό επίπεδο, καθώς και με τους υφιστάμενους κανονισμούς

Είναι καίριας σημασίας να παρέχεται σαφήνεια στις επιχειρήσεις, ιδίως για εκείνες που δραστηριοποιούνται εκτός συνόρων, διασφαλίζοντας τη συνεκτικότητα των ορισμών και των όρων, καθώς και την αποφυγή των επαναλήψεων, των αλληλεπικαλύψεων και των ποικίλων ερμηνειών σχετικά με τον τρόπο ικανοποίησης παρόμοιων κανονιστικών προσδοκιών σε διαφορετικές δικαιοδοσίες. Η ΕΟΚΕ συνιστά στους υπεύθυνους χάραξης πολιτικής της ΕΕ να τροποποιήσουν τον ορισμό της επιχειρησιακής ανθεκτικότητας, ούτως ώστε να συνάδει με τον ορισμό της Επιτροπής της Βασιλείας για την Τραπεζική Εποπτεία (BCBS) (6), και να διασφαλίσουν ότι αποτελεί το κύριο καθεστώς που εφαρμόζεται στα χρηματοπιστωτικά ιδρύματα της ΕΕ με στόχο την αποφυγή του κινδύνου αντιφάσεων με άλλα καθεστώτα. Εξάλλου, πολλές από τις αρχές και τις απαιτήσεις που περιλαμβάνονται στην πρόταση DORA έχουν ήδη οριστεί στις υφιστάμενες κατευθυντήριες γραμμές σχετικά με την εξωτερική ανάθεση δραστηριοτήτων (7). Οι απαιτήσεις σχετικά με τους κινδύνους ΤΠΕ και τη διαχείριση των κινδύνων ασφαλείας ορίζονται ήδη στις κατευθυντήριες γραμμές της Ευρωπαϊκής Αρχής Τραπεζών (ΕΒΑ). Καίριας σημασίας θα είναι να διασφαλιστεί η συνοχή όσον αφορά τον ορισμό και το πεδίο εφαρμογής μεταξύ της πρότασης κανονισμού σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα και των απαιτήσεων που ορίζονται στις υφιστάμενες κατευθυντήριες γραμμές προκειμένου να επιτευχθεί η εναρμόνιση των κανονιστικών απαιτήσεων της ΕΕ.

4.1.3.

Επίσης, η ΕΟΚΕ συνιστά να βεβαιωθεί η Ευρωπαϊκή Επιτροπή ότι η εν εξελίξει αναθεώρηση της οδηγίας για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (NIS) και η πρόταση για την ψηφιακή επιχειρησιακή ανθεκτικότητα μοιράζονται τους ίδιους ορισμούς και απαιτήσεις σχετικά με την πολιτική αναφοράς συμβάντων ασφαλείας για τις χρηματοπιστωτικές οντότητες.

4.2. Διαχείριση κινδύνων ΤΠΕ

Ορισμένα στοιχεία του πλαισίου εστιάζουν υπερβολικά στη συμμόρφωση αντί για τον τρόπο με τον οποίο οι επιχειρήσεις μπορούν να επιφέρουν αποτελέσματα στο πλαίσιο μιας προσέγγισης βασιζόμενης σε αρχές και κινδύνους. Δεδομένου ότι είναι υπερβολικά περιοριστικά και λεπτομερή, κινδυνεύουν να γίνουν παρωχημένα με την πάροδο του χρόνου, όσο εξελίσσεται το τοπίο κινδύνων στον κυβερνοχώρο και στον τομέα των ΤΠΕ. Η ΕΟΚΕ εισηγείται μια προσέγγιση η οποία θα βασίζεται περισσότερο σε αρχές και κινδύνους και θα διευκολύνει τη διενέργεια μακροπρόθεσμα βιώσιμων, ευέλικτων και αναλογικών προς τους κινδύνους ελέγχων.

4.3. Συμβάντα που σχετίζονται με ΤΠΕ

Η ΕΟΚΕ συνιστά πλήρη ευθυγράμμιση μεταξύ της εργαλειοθήκης του Συμβουλίου Χρηματοπιστωτικής Σταθερότητας (FSB) για την αντιμετώπιση και αποκατάσταση κυβερνοπεριστατικών (CIRR) (8), που δημοσιεύτηκε πρόσφατα και προβλέπει βέλτιστες πρακτικές για την αναφορά συμβάντων, και της προτεινόμενης στην πρόταση DORA διαχείρισης, ταξινόμησης και αναφοράς συμβάντων που σχετίζονται με ΤΠΕ. Υπάρχουν αλληλεπικαλύψεις που δημιουργούν κανονιστική αβεβαιότητα και αυξάνουν τον διοικητικό φόρτο για τις επιχειρήσεις.

4.4. Δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας

4.4.1.

Παρότι η ΕΟΚΕ χαιρετίζει το πανευρωπαϊκό σύστημα δοκιμών διείσδυσης βάσει απειλών (TLPT) σε ολόκληρη την ΕΕ, καθώς θα αυξήσει την αποτελεσματικότητα και θα μειώσει τον κατακερματισμό, η ΕΟΚΕ συνιστά οι αρχές να επικεντρωθούν όχι μόνο στο μέγεθος ή στην κλίμακα του χρηματοπιστωτικού ιδρύματος, αλλά και στην πολυπλοκότητα και στην κρισιμότητα της υπηρεσίας, λαμβάνοντας υπόψη την αρχή της αναλογικότητας, κατά περίπτωση, για την εξάλειψη των διακρίσεων μεταξύ βασικών δοκιμών για όλα τα χρηματοπιστωτικά ιδρύματα και πιο προηγμένων δοκιμών για σημαντικά χρηματοπιστωτικά ιδρύματα, και διασφαλίζοντας ότι οι πελάτες των μικρότερων χρηματοπιστωτικών οντοτήτων προστατεύονται εξίσου και ότι δημιουργούνται ισότιμοι όροι ανταγωνισμού ανάμεσα σε όλες τις χρηματοπιστωτικές οντότητες.

4.4.2.

Η ΕΟΚΕ συνιστά να μην καταστεί υποχρεωτική η εξωτερική ανάθεση των δοκιμών σε εξωτερικούς ελεγκτές, δεδομένου ότι είναι αριθμητικά περιορισμένοι. Ενδέχεται, μάλιστα, κάποιες επιχειρήσεις να έχουν εσωτερικές ομάδες δοκιμών, οι οποίες είναι εξοικειωμένες με το περιβάλλον της επιχείρησης και είναι σε θέση να στραφούν γρήγορα σε πιο προηγμένες και στοχευμένες δοκιμές.

4.4.3.

Θα πρέπει να επανεξεταστεί η συμπερίληψη των τρίτων παρόχων υπηρεσιών ΤΠΕ στη δικαιοδοσία του συστήματος TLPT. Το γεγονός ότι οι τρίτοι πάροχοι υπηρεσιών ΤΠΕ μπορούν να εξυπηρετούν πολλούς πελάτες θα μπορούσε να οδηγήσει σε εκτενή επικάλυψη των δοκιμών, πράγμα που με τη σειρά του θα μπορούσε να δημιουργήσει σχετικούς κινδύνους για τον τρίτο πάροχο υπηρεσιών ΤΠΕ και τους πελάτες που εξυπηρετεί.

4.4.4.

Επιπλέον, η ΕΟΚΕ συνιστά να γίνει σαφής μνεία στην αμοιβαία αναγνώριση των αποτελεσμάτων δοκιμών, δεδομένου του ρόλου που διαδραματίζει στη μείωση των κινδύνων και στη διασφάλιση της ομαλής λειτουργίας της ενιαίας αγοράς, καθώς και στην αποφυγή της αύξησης του κόστους για τις χρηματοπιστωτικές οντότητες που δραστηριοποιούνται εκτός συνόρων.

4.5. Διαχείριση του κινδύνου των τρίτων παρόχων ΤΠΕ και πλαίσιο εποπτείας για τους κρίσιμους τρίτους παρόχους υπηρεσιών

4.5.1. Διασφάλιση της συνοχής με τις υφιστάμενες κατευθυντήριες γραμμές σχετικά με την εξωτερική ανάθεση δραστηριοτήτων

Η ΕΟΚΕ χαιρετίζει το γεγονός ότι η πρόταση κανονισμού για την ψηφιακή επιχειρησιακή ανθεκτικότητα θεσπίζει ένα κοινό κανονιστικό πλαίσιο για την ορθή διαχείριση των κινδύνων των τρίτων παρόχων ΤΠΕ για όλους τους συμμετέχοντες στις χρηματοπιστωτικές αγορές σε ολόκληρη την Ευρώπη. Εντούτοις, θα είναι καίριας σημασίας να διασφαλιστεί η πλήρης ευθυγράμμιση μεταξύ αυτών των κοινών στοιχείων, που ορίζονται στις βασικές αρχές (άρθρα 25, 26 και 27), και των υφιστάμενων κανόνων, όπως οι κατευθυντήριες γραμμές των Ευρωπαϊκών Εποπτικών Αρχών (ΕΕΑ) σχετικά με την εξωτερική ανάθεση δραστηριοτήτων (ήτοι, να επιλυθεί η υφιστάμενη διχοτόμηση του πεδίου εφαρμογής μεταξύ της «εξωτερικής ανάθεσης» και της «παροχής υπηρεσίας από τρίτο» (9)). Επιπλέον, πιστεύουμε ότι είναι μια καλή ευκαιρία οι αρχές της ΕΕ να συγκεντρώσουν τις απαιτήσεις σχετικά με την εξωτερική ανάθεση δραστηριοτήτων σε έναν ενιαίο κανονισμό —με επαρκή βαθμό λεπτομέρειας ώστε να αποφευχθούν οι ποικίλες ερμηνείες— με τον οποίο θα μπορούσε να ενισχυθεί το επίπεδο ασφάλειας δικαίου για όλους τους συμμετέχοντες στην αγορά και να επιτευχθεί αξιόπιστη συμμόρφωση με τις εποπτικές προσδοκίες.

4.5.2. Απαιτήσεις που ισχύουν για κρίσιμες ή σημαντικές εξωτερικά ανατεθειμένες δραστηριότητες

Κατά την εφαρμογή του άρθρου 25.2, προκειμένου να διατηρηθεί ο κίνδυνος ως σημείο εστίασης, ο κανονισμός πρέπει να είναι πιο συγκεκριμένος όσον αφορά τον τρόπο με τον οποίο θα εφαρμοστεί η αρχή της αναλογικότητας, προσδιορίζοντας τις απαιτήσεις που θα ισχύουν για τις κρίσιμες ή σημαντικές εξωτερικά ανατεθειμένες δραστηριότητες και τις απαιτήσεις που θα ισχύουν για τις υπόλοιπες δραστηριότητες (10). Η ΕΟΚΕ συνιστά η χρήση υπηρεσιών ΤΠΕ για μη κρίσιμες λειτουργίες να μην εμπίπτει στο πεδίο εφαρμογής του DORA.

4.5.3. Πλαίσιο άμεσης εποπτείας κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ

Η ΕΟΚΕ χαιρετίζει τη θέσπιση ενός πλαισίου άμεσης εποπτείας που θα επιτρέπει τη διαρκή παρακολούθηση των δραστηριοτήτων των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ από τις χρηματοπιστωτικές αρχές, ελλείψει ενωσιακού οριζόντιου πλαισίου, ανεξαρτήτως τομέα. Στον προτεινόμενο κανονισμό, οι αρχές της ΕΕ θα πρέπει να αναγνωρίζουν ότι όταν ένας κρίσιμος πάροχος υπηρεσιών ΤΠΕ υπόκειται σε άμεση εποπτεία, ο κίνδυνος έκθεσης των χρηματοπιστωτικών ιδρυμάτων μειώνεται λόγω της διαρκούς παρακολούθησης των δραστηριοτήτων του παρόχου. Ως εκ τούτου, αυτό το νέο πλαίσιο εποπτείας θα πρέπει επίσης να συμβάλει στον εξορθολογισμό των διαδικασιών εξωτερικής ανάθεσης των τραπεζών ανακουφίζοντας μέρος του φόρτου που επωμίζονται επί του παρόντος οι χρηματοπιστωτικές οντότητες, παραδείγματος χάρη σε σχέση με τη διενέργεια των διαδικασιών ελέγχου και επιθεώρησης όσον αφορά τους τρίτους παρόχους που θεωρούνται κρίσιμοι.

4.5.4.

Η ΕΟΚΕ υποστηρίζει την εξουσιοδότηση των κύριων εποπτικών φορέων να εκτελούν τις διαδικασίες ελέγχου και επιθεώρησης έναντι των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ, διότι έτσι οι κύριοι εποπτικοί φορείς θα κατανοούσαν καλύτερα τους κινδύνους που ενδέχεται να εγκυμονούν οι κρίσιμοι τρίτοι πάροχοι υπηρεσιών ΤΠΕ γνωρίζοντας από πρώτο χέρι τις διαδικασίες και τις εγκαταστάσεις τους, αντί να βασίζονται στο τρέχον σύστημα υποβολής αναφορών που προβλέπεται από τα εποπτευόμενα χρηματοπιστωτικά ιδρύματα και τις επιθεωρήσεις που διενεργούν οι εθνικές αρμόδιες αρχές. Μολονότι οι πολιτικές μετριασμού των κινδύνων των χρηματοπιστωτικών οντοτήτων θα πρέπει να διατηρηθούν και η νομική υποχρέωση να εξακολουθεί να τις βαρύνει, εάν η επιθεώρηση και οι έλεγχοι εκτελούνται ήδη από τον κύριο εποπτικό φορέα, τα χρηματοπιστωτικά ιδρύματα θα πρέπει να επωφελούνται από αυτό το πρόσθετο επίπεδο ασφάλειας και να μην χρειάζεται να τους εκτελέσουν ξανά.

4.5.5. Κύριος εποπτικός φορέας και αρμόδιες εθνικές αρχές

Μόλις ολοκληρωθεί η διαδικασία εποπτείας, οι αρμόδιες εθνικές αρχές θα παρακολουθούν τις συστάσεις του κύριου εποπτικού φορέα, και μπορεί να εφαρμόσουν τη δική τους προσέγγιση ως προς τον τρόπο εφαρμογής των πορισμάτων του κύριου εποπτικού φορέα για τους καθορισμένους κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ. Η ΕΟΚΕ συνιστά να αποσαφηνιστούν πλήρως οι ρόλοι και οι αρμοδιότητες των διαφόρων αρχών προκειμένου να αποφευχθούν καταστάσεις όπου οι διαφορετικές ερμηνείες επηρεάζουν τους πελάτες των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ με διαφορετικό τρόπο ανάλογα με την αρμόδια αρχή τους, περιορίζοντας κατ’ αυτόν τον τρόπο τον κίνδυνο κατακερματισμού. Οι εν λόγω συστάσεις θα πρέπει επίσης να καταστούν απολύτως εκτελεστές, λαμβάνοντας υπόψη την τρέχουσα αμφισημία του άρθρου 37 ως προς τη δεσμευτική τους φύση.

4.5.6. Αναστολή ενός κρίσιμου τρίτου παρόχου υπηρεσιών ΤΠΕ

Η πρόταση κανονισμού σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα δίνει στους εθνικούς κανονιστικούς φορείς του χρηματοπιστωτικού τομέα την εξουσία να απαιτούν από τους πελάτες να αναστείλουν προσωρινά ή να διακόψουν τη χρήση ενός παρόχου ΤΠΕ έως ότου αντιμετωπιστούν οι κίνδυνοι που προσδιορίζονται στις συστάσεις. Οι απαιτήσεις άμεσης διακοπής της συνεργασίας με έναν κρίσιμο τρίτο πάροχο υπηρεσιών ΤΠΕ θα επηρέαζε σίγουρα τη λήψη τωρινών ή μελλοντικών επιχειρηματικών και εμπορικών αποφάσεων (αποτρέποντας, παραδείγματος χάρη, την πραγματοποίηση επενδύσεων στην ΕΕ) και πιθανώς τη χρηματοπιστωτική σταθερότητα. Πριν από τη λήψη αυτής της απόφασης, οι αρμόδιες αρχές θα πρέπει να εξετάζουν προσεκτικά, μεταξύ άλλων, τον πιθανό αρνητικό αντίκτυπο της διακοπής της υπηρεσίας για τις χρηματοπιστωτικές οντότητες που χρησιμοποιούν τον συγκεκριμένο κρίσιμο τρίτο πάροχο υπηρεσιών ΤΠΕ (11), να ορίζουν σαφή κριτήρια για μια τέτοια απαίτηση και να εξετάζουν ενδεχόμενα διορθωτικά μέτρα.

4.5.7.

Επιπλέον, αν τελικά συμβαίνει κάτι τέτοιο, συνιστούμε οι χρηματοπιστωτικές οντότητες να ενημερώνονται σωστά εκ των προτέρων και να τους παρέχεται επαρκής χρόνος να απομακρυνθούν.

4.6. Διατήρηση της παγκόσμιας ανταγωνιστικότητας των ευρωπαϊκών χρηματοπιστωτικών επιχειρήσεων

4.6.1.

Το νέο πλαίσιο πρέπει να διατηρήσει την ικανότητα των ευρωπαϊκών χρηματοπιστωτικών επιχειρήσεων να έχουν πρόσβαση τουλάχιστον στις ίδιες τεχνολογίες με τους ανταγωνιστές τους ανά τον κόσμο. Οι χρηματοπιστωτικές επιχειρήσεις της ΕΕ ανταγωνίζονται σε παγκόσμια κλίμακα και το επερχόμενο κανονιστικό πλαίσιο της ΕΕ δεν θα πρέπει να τις θέτει σε μειονεκτική θέση περιορίζοντας την πρόσβασή τους στις πλέον προηγμένες τεχνολογίες — εφόσον οι πάροχοι των εν λόγω τεχνολογιών πληρούν τα πρότυπα της ΕΕ ως προς την ανθεκτικότητα και την ασφάλεια.

4.6.2. Τρίτοι πάροχοι υπηρεσιών εγκατεστημένοι σε τρίτες χώρες

Ο κανονισμός δεν θα πρέπει να περιορίζει τη δυνατότητα εξωτερικής ανάθεσης υπηρεσιών που θεωρούνται κρίσιμες σε τρίτους παρόχους που είναι εγκατεστημένοι σε τρίτες χώρες. Ο περιορισμός αυτός θα συρρίκνωνε σίγουρα τη συμβατική ελευθερία των επιμέρους οντοτήτων και την ικανότητα των ευρωπαϊκών χρηματοπιστωτικών ιδρυμάτων να έχουν πρόσβαση στις υπηρεσίες παρόχων υψηλής προστιθέμενης αξίας που κατά πάσα πιθανότητα δεν θα υπάρχουν στην Ευρώπη σε επαρκή αριθμό. Αυτό έχει ακόμη μεγαλύτερη σημασία καθώς το προτεινόμενο πλαίσιο εποπτείας περιορίζεται στον χρηματοπιστωτικό τομέα, δημιουργώντας άνισους όρους ανταγωνισμού για άλλους παράγοντες που δεν υπόκεινται στον εν λόγω κανονισμό, και θα μπορούσε εντέλει να αυξήσει τον κίνδυνο συγκέντρωσης, που ο κανονισμός DORA επιδιώκει να αποφύγει.

4.6.3. Ποινικές κυρώσεις βάσει του παγκόσμιου κύκλου εργασιών

Η πρόταση κανονισμού σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα περιλαμβάνει ποινικές κυρώσεις αναφορικά με τον παγκόσμιο κύκλο εργασιών για τους παρόχους ΤΠΕ αν δεν συμμορφωθούν με τα αιτήματα των χρηματοπιστωτικών εποπτικών φορέων της ΕΕ. Η δυσανάλογη εφαρμογή των εν λόγω κυρώσεων θα μπορούσε να αποτρέψει τους παγκόσμιους παρόχους υπηρεσιών ΤΠΕ από το να εξυπηρετούν χρηματοπιστωτικές επιχειρήσεις της ΕΕ, με αποτέλεσμα, εκ των πραγμάτων, να περιοριστεί η επιλογή παρόχων που θα μπορούσαν να έχουν στη διάθεσή τους οι χρηματοπιστωτικές επιχειρήσεις της ΕΕ. Επιπλέον, θα απέτρεπε τους μη κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ από το να συμμετέχουν στο σύστημα εποπτείας φοβούμενοι την επιβολή δυσανάλογων προστίμων, μειώνοντας, κατά συνέπεια, τον ανταγωνισμό στην προηγούμενης βαθμίδας αγορά. Η ΕΟΚΕ προτείνει την εισαγωγή μιας κάποιας αναλογικότητας στο σύστημα κυρώσεων, καθώς αυτό είναι καίριας σημασίας για την αποφυγή των αντικινήτρων για τους παρόχους υπηρεσιών ΤΠΕ που επιδιώκουν να παρέχουν υπηρεσίες σε χρηματοπιστωτικές οντότητες της ΕΕ.

4.7. Σχετικά με τις συμφωνίες ανταλλαγής πληροφοριών

4.7.1.

Δεδομένου ότι η έγκαιρη ανταλλαγή πληροφοριών είναι ζωτικής σημασίας για τον αποτελεσματικό εντοπισμό των φορέων επιθέσεων και για την απομόνωση και την πρόληψη πιθανών απειλών, η ΕΟΚΕ επικροτεί τη διάταξη που προβλέπει τη διευκόλυνση της θέσπισης συμφωνιών ανταλλαγής πληροφοριών για κυβερνοαπειλές μεταξύ χρηματοπιστωτικών ιδρυμάτων σε εθελοντική βάση.

4.7.2.

Η ΕΟΚΕ συνιστά επίσης οι αρχές της ΕΕ να συμπεριλάβουν στους όρους της παρούσας πρότασης μια ρητή βάση που θα επιτρέπει την ανταλλαγή δεδομένων προσωπικού χαρακτήρα (όπως διευθύνσεις IP), καθώς το γεγονός αυτό θα μείωνε την αβεβαιότητα και θα βελτίωνε την ικανότητα των χρηματοπιστωτικών οντοτήτων να ενισχύουν τις αμυντικές τους ικανότητες, να εντοπίζουν καλύτερα απειλές και να μειώνουν τον κίνδυνο μετάδοσης μεταξύ τους. Απαιτείται μεγαλύτερη σαφήνεια λόγω του εμπιστευτικού/ευαίσθητου χαρακτήρα των δεδομένων.

Βρυξέλλες, 24 Φεβρουαρίου 2021.

Η Πρόεδρος της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής

Christa SCHWENG

(1) ΕΕ L 124 της 20.5.2003, σ. 36.

(2) Βλ. γνωμοδότηση ECO/534 της ΕΟΚΕ — Στρατηγική ψηφιακών χρηματοοικονομικών υπηρεσιών (βλ. σελίδα 27 της παρούσας Επίσημης Εφημερίδας).

(3) Βλ. γνωμοδότηση ECO/535 της ΕΟΚΕ — Κρυπτοπεριουσιακά στοιχεία και τεχνολογία κατανεμημένου καθολικού (βλ. σελίδα 31 της παρούσας Επίσημης Εφημερίδας)

(4) COM(2020) 595 final.

(5) COM(2020) 596 final.

(6) Επιτροπή της Βασιλείας για την Τραπεζική Εποπτεία, Principles for operational resilience,6 Νοεμβρίου 2020.

(7) Όπως αυτές που καταρτίστηκαν από την Ευρωπαϊκή Αρχή Τραπεζών (EBA), την Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων (EIOPA), καθώς και το σχέδιο κατευθυντήριων γραμμών της Ευρωπαϊκής Αρχής Κινητών Αξιών και Αγορών (ESMA) που βρίσκονταν στο στάδιο της διαβούλευσης.

(8) Συμβούλιο Χρηματοπιστωτικής Σταθερότητας, Final Report on Effective Practices for Cyber Incident Response and Recovery, 19 Οκτωβρίου 2020.

(9) Η πρόταση για την ψηφιακή επιχειρησιακή ανθεκτικότητα αναφέρεται μόνο σε «τρίτους παρόχους υπηρεσιών ΤΠΕ» όσον αφορά τις βασικές αρχές για την ορθή διαχείριση του κινδύνου τρίτων παρόχων ΤΠΕ (Κεφάλαιο V), ενώ το πεδίο εφαρμογής των κατευθυντήριων γραμμών της EBA σχετικά με τις ρυθμίσεις εξωτερικής ανάθεσης δραστηριοτήτων βασίζεται στον ορισμό της εξωτερικής ανάθεσης που υποδηλώνει ότι η δραστηριότητα εκτελείται επανειλημμένως ή σε διαρκή βάση (παρ. 26). Οι κατευθυντήριες γραμμές της EBA καθορίζουν επίσης έναν κατάλογο εξαιρέσεων που δεν θεωρούνται εξωτερική ανάθεση (παρ. 28).

(10) Για μια ακόμη φορά, είναι καίριας σημασίας να ευθυγραμμιστεί ο ορισμός των «κρίσιμων ή σημαντικών λειτουργιών» μεταξύ του DORA και των κατευθυντήριων γραμμών της EBA σχετικά με την εξωτερική ανάθεση δραστηριοτήτων. Πιο συγκεκριμένα, οι κατευθυντήριες γραμμές της EBA ορίζουν τους παράγοντες που θα πρέπει να λαμβάνουν υπόψη τα χρηματοπιστωτικά ιδρύματα όταν αξιολογούν κατά πόσον μια ρύθμιση εξωτερικής ανάθεσης σχετίζεται με μια λειτουργία που είναι κρίσιμη ή σημαντική (άρθρα 29, 30 και 31).

(11) Ένα από τα κριτήρια για να οριστεί ένας τρίτος πάροχος υπηρεσιών ΤΠΕ ως κρίσιμος θα ήταν η δυνατότητα υποκατάστασης του τρίτου παρόχου υπηρεσιών, λαμβάνοντας υπόψη την έλλειψη πραγματικών εναλλακτικών ή τις δυσκολίες της μερικής ή συνολικής μεταφοράς των υπηρεσιών (άρθρο 28.2). Αν συνέβαινε αυτό, θα ήταν δύσκολο για τα χρηματοπιστωτικά ιδρύματα να μεταφέρουν την υπηρεσία σε άλλον πάροχο. Εκτός αυτού, η απαίτηση να μετακινηθούν τα εκτεθειμένα χρηματοπιστωτικά ιδρύματα σε άλλον πάροχο υπηρεσιών θα συνέβαλε εντέλει σε αύξηση της συγκέντρωσης στην ευρωπαϊκή αγορά, πράγμα που θα ερχόταν σε αντίθεση συγκεκριμένα με την πρόθεση του παρόντος κανονισμού.