Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Dictamen del Banco Central Europeo, de 25 de julio de 2014 , sobre una propuesta de directiva del Parlamento Europeo y del Consejo relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

ES

Diario Oficial de la Unión Europea

C 352/4


DICTAMEN DEL BANCO CENTRAL EUROPEO

de 25 de julio de 2014

sobre una propuesta de directiva del Parlamento Europeo y del Consejo relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión

(CON/2014/58)

2014/C 352/04

Introducción y fundamento jurídico

El 7 de febrero de 2013, la Comisión Europea publicó una propuesta de directiva relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión (1) (en adelante, «la directiva propuesta»).

El Banco Central Europeo (BCE) no ha sido consultado oficialmente, por lo que ha decidido emitir un dictamen por propia iniciativa. La competencia consultiva del BCE se basa en el artículo 127, apartado 4, y el artículo 282, apartado 5, del Tratado de Funcionamiento de la Unión Europea, pues la directiva propuesta contiene disposiciones que afectan a la función del Sistema Europeo de Bancos Centrales (SEBC), establecida en el artículo 127, apartado 2, cuarto guion, del Tratado, de promover el buen funcionamiento de los sistemas de pago. Además, el artículo 22 de los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo (en adelante, «los Estatutos del SEBC») establece que el BCE y los bancos centrales nacionales (BCN) podrán proporcionar medios, y el BCE dictar reglamentos, destinados a garantizar unos sistemas de compensación y liquidación eficientes y solventes dentro de la Unión, así como con otros países. De acuerdo con la primera frase del artículo 17.5 del Reglamento interno del Banco Central Europeo, el presente dictamen ha sido adoptado por el Consejo de Gobierno.

1.   Objeto de la directiva propuesta

1.1

La directiva propuesta pretende garantizar un elevado nivel común de seguridad de las redes y de la información mejorando la seguridad de internet y de las redes y los sistemas de información que sustentan el funcionamiento de nuestra sociedad y la economía. Esta propuesta es la medida principal de la Estrategia Europea de Ciberseguridad (2).

1.2

Las redes y los sistemas de información desempeñan un papel esencial a la hora de facilitar el movimiento transfronterizo de bienes, servicios y personas. Debido a esta dimensión intrínsecamente transnacional, las perturbaciones en un Estado miembro también pueden afectar a otros Estados miembros y al conjunto de la Unión. Además, la probabilidad de que ocurran incidentes con frecuencia y la imposibilidad de garantizar una protección efectiva minan la confianza del público en la seguridad de las redes y de la información. La capacidad de resistencia y la estabilidad de la seguridad de las redes y de la información son, por tanto, esenciales para el buen funcionamiento del mercado interior.

1.3

La directiva propuesta se fundamenta en iniciativas previas en este campo (3). En este contexto, la directiva propuesta reconoce la necesidad de armonizar las normas sobre la seguridad de las redes y de la información y crear mecanismos de cooperación efectiva entre los Estados miembros.

1.4

La directiva propuesta establece un marco jurídico común de la Unión para la seguridad de las redes y de la información en lo que respecta a la preparación de los Estados miembros, los mecanismos de cooperación a nivel de la Unión y los requisitos aplicables a las administraciones públicas y también a las entidades privadas de determinados sectores críticos. Se trata de garantizar una preparación adecuada a nivel nacional y ayudar a fomentar un clima de confianza mutua que es condición previa para una cooperación efectiva a nivel de la Unión. El establecimiento de mecanismos de cooperación a nivel de la Unión a través de las redes proporcionará un medio coherente y coordinado de responder a los incidentes y riesgos transfronterizos de la seguridad de las redes y de la información y prevenirlos.

1.5

Las disposiciones principales hacen referencia a lo siguiente:

a)

la exigencia de que todos los Estados miembros aseguren un nivel mínimo de preparación nacional mediante la designación de autoridades competentes en seguridad de las redes y de la información, la creación de equipos de respuesta a emergencias informáticas (CERT) y la adopción de estrategias nacionales de seguridad de las redes y de la información y planes de cooperación nacionales en este ámbito;

b)

el intercambio obligatorio de información entre los Estados miembros dentro de una red, así como el establecimiento de un plan paneuropeo de cooperación en seguridad de las redes y de la información y alertas tempranas coordinadas sobre incidentes de ciberseguridad;

c)

conforme al modelo de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo (4), velar por que se implante una cultura de gestión de riesgos y se intercambie información entre los sectores público y privado. Las empresas de determinados sectores críticos y las administraciones públicas deberán evaluar los riesgos a que se enfrentan y adoptar medidas adecuadas y proporcionadas para garantizar la seguridad de las redes y de la información. Deberán además notificar a las autoridades competentes todos los incidentes que supongan un peligro grave para el funcionamiento de sus redes y sistemas de información y afecten de forma significativa a la continuidad de servicios críticos y del suministro de mercancías.

2.   Observaciones generales

2.1

El BCE apoya el objetivo de la directiva propuesta de garantizar un alto nivel común de seguridad de las redes y de la información en la Unión y de conseguir que este campo se aborde de modo coherente en todos los sectores económicos y todos los Estados miembros. Es importante garantizar que el mercado interior sea un lugar seguro para hacer negocios y que todos los Estados miembros tengan un cierto nivel mínimo de preparación frente a incidentes de ciberseguridad.

2.2

No obstante, el BCE considera que la directiva propuesta debe entenderse sin perjuicio del régimen existente de supervisión de los sistemas de pago y liquidación por el Eurosistema (5), que incluye medidas adecuadas, entre otros campos, en el de la seguridad de las redes y de la información. Debe observarse que el BCE tiene especial interés en la mejora de la seguridad de los sistemas de pago y liquidación (6) a fin de promover el buen funcionamiento de los sistemas de pago y contribuir a mantener la confianza en el euro y el funcionamiento de la economía de la Unión.

2.3

Además, la evaluación de las medidas de seguridad y de las notificaciones de incidentes de los sistemas de pago y liquidación y de los proveedores de servicios de pago es una de las competencias esenciales de los supervisores prudenciales y los bancos centrales. La responsabilidad de establecer requisitos de vigilancia en el ámbito mencionado debe por tanto seguir correspondiendo a estas autoridades, y los sistemas de pago y liquidación y los proveedores de servicios de pago no deben estar sujetos a requisitos potencialmente contradictorios impuestos por otras autoridades nacionales. Asimismo, el Eurosistema, que comprende al BCE y los BCN de los Estados miembros que han adoptado el euro, establece la gestión de riesgos, incluidos los requisitos de seguridad, de los sistemas de pago y liquidación y de otras infraestructuras de mercados de la zona del euro. Mediante esta función de vigilancia, el Eurosistema pretende velar por el buen funcionamiento de los sistemas de pago y liquidación, aplicando entre otras cosas normas de vigilancia y requisitos mínimos adecuados. La directiva propuesta debe tener en cuenta el marco de vigilancia existente y garantizar la coherencia normativa en toda la Unión.

3.   Observaciones particulares

3.1

Conforme al considerando 5 y al artículo 1 de la directiva propuesta, las obligaciones pertinentes, el mecanismo de cooperación y los requisitos de seguridad se aplicarán a todas las administraciones públicas y todos los operadores del mercado. La actual redacción del considerando 5 y del artículo 1 no tiene en cuenta el mandato del Eurosistema, consagrado en el Tratado, de vigilar los sistemas de pago y liquidación. Por tanto, la directiva propuesta debe modificarse a fin de reflejar adecuadamente la competencia del Eurosistema en este ámbito.

3.2

Las medidas y procedimientos de vigilancia de los sistemas de pago y de liquidación de valores por los bancos centrales y otras autoridades competentes figuran en varios reglamentos y directivas de la Unión, en particular:

a)

la Directiva 98/26/CE del Parlamento Europeo y del Consejo (en adelante, «la Directiva sobre la firmeza de la liquidación») (7), que faculta a las autoridades competentes de los Estados miembros para imponer requisitos de supervisión a los sistemas de pago y liquidación que estén bajo su jurisdicción (8);

b)

el Reglamento (UE) no 648/2012 del Parlamento Europeo y del Consejo (9) [en adelante, «el Reglamento sobre las infraestructuras del mercado europeo» (EMIR)], que reconoce la función de la Autoridad Europea de Valores y Mercados (AEVM), la Autoridad Bancaria Europea (ABE) y el SEBC en cuanto al establecimiento de normas reguladoras y la supervisión de las entidades de contrapartida central;

c)

la propuesta de reglamento del Parlamento Europeo y del Consejo sobre la mejora de la liquidación de valores en la Unión Europea y los depositarios centrales de valores (DCV) y por el que se modifica la Directiva 98/26/CE (10) (en adelante, «el Reglamento sobre DCV»), que exige que se confieran a las autoridades competentes facultades de supervisión e investigación, en particular el artículo 45 del reglamento propuesto, que introduce requisitos prudenciales para los DCV, incluidas importantes disposiciones destinadas a mitigar el riesgo operacional.

3.3

Además, debe tenerse en cuenta que el 3 de junio de 2013 el Consejo de Gobierno del BCE adoptó los «Principios aplicables a las infraestructuras del mercado financiero» aprobados en abril de 2012 por el Comité de Sistemas de Pago y Liquidación (CPSS) del Banco de Pagos Internacionales y por el Comité Técnico de la Organización Internacional de Comisiones de Valores (IOSCO) (11), para la vigilancia por el Eurosistema de todo tipo de infraestructuras del mercado financiero. A esto siguió la consulta pública de un proyecto de reglamento sobre los requisitos de vigilancia de los sistemas de pago de importancia sistémica (en adelante, «el Reglamento sobre los SIPS») (12). El Reglamento sobre los SIPS incorpora los principios CPSS-IOSCO de manera jurídicamente vinculante y abarca los sistemas de importancia sistémica tanto de grandes como de pequeños pagos, ya los gestionen BCN del Eurosistema o entidades privadas.

3.4

Las actuales medidas de vigilancia (13) de sistemas de pago y proveedores de servicios de pago ya incluyen procedimientos de alerta temprana (14) y respuesta coordinada (15) dentro y fuera del Eurosistema para abordar posibles amenazas a la ciberseguridad que equivalen a los establecidos en los artículos 10 y 11 de la directiva propuesta.

3.5

El SEBC ha establecido normas sobre las obligaciones de presentación de información y gestión de riesgos de los sistemas de pago. Asimismo, el BCE evalúa periódicamente los sistemas de liquidación de valores para determinar la admisibilidad de su uso en las operaciones de crédito del Eurosistema. Por ello, el BCE considera necesario que los requisitos de la directiva propuesta que afecten a las infraestructuras esenciales del mercado y sus operadores (16) no menoscaben las normas contenidas en el Reglamento sobre los SIPS, el régimen de vigilancia del Eurosistema u otros reglamentos de la Unión, en particular el EMIR y el futuro reglamento sobre DCV. Además, dichos requisitos no deben obstaculizar las funciones de la ABE o la AEVM y otros supervisores prudenciales (17).

3.6

Sin perjuicio de lo expuesto, el BCE considera que hay razones de peso para que el Eurosistema comparta información pertinente con el comité de seguridad de las redes y de la información que ha de crearse conforme al artículo 19 de la directiva propuesta. A efectos de un intercambio eficaz de información que puede hacerse necesario, debería solicitarse al BCE, la ABE y la AEVM que enviaran representantes a las reuniones de dicho comité para intervenir en puntos del orden del día que pudieran ser de interés para el desempeño de sus mandatos respectivos.

Hecho en Fráncfort del Meno, el 25 de julio de 2014.

El Presidente del BCE

Mario DRAGHI


(1)  COM(2013) 48 final.

(2)  Véase la Comunicación conjunta al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones titulada «Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace», JOIN(2013) 1 final.

(3)  Estos incluyen las siguientes comunicaciones: «Seguridad de las redes y de la información: Propuesta para un enfoque político europeo» [COM(2001) 298 final]; «Una estrategia para una sociedad de la información segura: Diálogo, asociación y potenciación» [COM(2006) 251 final]; «Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la preparación, seguridad y resistencia» [COM(2009) 149 final]; «Una Agenda Digital para Europa» [COM(2010) 245 final], y «Logros y próximas etapas: hacia la ciberseguridad global» [COM(2011) 163 final].

(4)  Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (DO L 108 de 24.4.2002, p. 33).

(5)  Las funciones de vigilancia de algunos miembros del SEBC se ejercen en virtud de leyes y reglamentos nacionales que complementan y en algunos casos duplican las competencias del Eurosistema.

(6)  El término «liquidación» en el contexto del presente dictamen comprende la función de compensación.

(7)  Directiva 98/26/CE del Parlamento Europeo y del Consejo, de 19 de mayo de 1998, sobre la firmeza de la liquidación en los sistemas de pagos y de liquidación de valores (DO L 166 de 11.6.1998, p. 45).

(8)  Véase el artículo 10, apartado 1, tercer párrafo, de la Directiva sobre la firmeza de la liquidación.

(9)  Reglamento (UE) no 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).

(10)  COM(2012) 73 final.

(11)  Disponible en la dirección del Banco de Pagos Internacionales en internet: http://www.bis.org/publ/cpss101_es.pdf

(12)  Disponible en la dirección del BCE en internet: http://www.ecb.europa.eu

(13)  Véase la nota de prensa del BCE sobre el Memorándum de entendimiento sobre los principios de alto nivel para la cooperación entre los supervisores bancarios y los bancos centrales de la Unión Europea en situaciones de gestión de crisis (2003), disponible en inglés en la dirección del BCE en internet: www.ecb.europa.eu

(14)  Véase la Recomendación 3, sobre seguimiento y comunicación de incidentes, del documento «Recommendations for the security of internet payments-final version after public consultation», European Forum on the Security of Retail Payments (SecuRe Pay), enero de 2013, disponible en inglés en la dirección del BCE en internet: www.ecb.europa.eu

(15)  Conforme a los principios para una vigilancia internacional basada en la cooperación, reiterados por el CPSS en su informe sobre vigilancia de 2005, los bancos centrales del Eurosistema han participado con éxito en medidas de cooperación en varias ocasiones, como puede observarse, por ejemplo, en el marco de las medidas de vigilancia para los sistemas SWIFT («Society for Worldwide Interbank Financial Telecommunications») y CLS («Continuous Linked Settlement»).

(16)  Por ejemplo, los requisitos de los operadores del mercado de aplicar medidas técnicas y organizativas conforme al artículo 14, apartados 3 y 4, y la facultad de dictar instrucciones vinculantes para los operadores del mercado conforme al artículo 15, apartado 3, de la directiva propuesta.

(17)  Véase el apartado 2.12 del dictamen CON/2014/9 sobre una propuesta de directiva del Parlamento Europeo y del Consejo sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2013/36/UE y 2009/110/CE, y se deroga la Directiva 2007/64/CE (DO C 224 de 15.7.2014, p. 1). Todos los dictámenes del BCE se publican en la dirección del BCE en internet: www.ecb.europa.eu


ANEXO

Propuestas de redacción

Texto que propone la Comisión

Modificaciones que propone el BCE (1)

1a modificación

Considerando 5

«(5)

Para abarcar todos los incidentes y riesgos pertinentes, la presente Directiva debe aplicarse a todas las redes y a todos los sistemas de información. No obstante, las obligaciones impuestas a las administraciones públicas y a los operadores del mercado no deberían ser aplicables a las empresas que suministran redes públicas de comunicaciones o prestan servicios de comunicaciones electrónicas disponibles para el público con arreglo a la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva Marco) (2), que están sujetas a los requisitos específicos de seguridad e integridad establecidos en el artículo 13 bis de dicha Directiva, ni tampoco a los proveedores de servicios de confianza.»

«(5)

Para abarcar todos los incidentes y riesgos pertinentes, la presente Directiva debe aplicarse a todas las redes y a todos los sistemas de información. No obstante, las obligaciones impuestas a las administraciones públicas y a los operadores del mercado no deberían ser aplicables a las empresas que suministran redes públicas de comunicaciones o prestan servicios de comunicaciones electrónicas disponibles para el público con arreglo a la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva Marco) (2), que están sujetas a los requisitos específicos de seguridad e integridad establecidos en el artículo 13 bis de dicha Directiva, ni tampoco a los proveedores de servicios de confianza. Además, sin perjuicio de su aplicación a las administraciones públicas y a los operadores del mercado, la presente Directiva no afecta a las funciones y deberes asignados al Sistema Europeo de Bancos Centrales (SEBC) por el Tratado y por los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo ni a las funciones análogas desempeñadas por los miembros del SEBC conforme a sus legislaciones respectivas, especialmente en lo referente a las políticas de supervisión prudencial de entidades de crédito y vigilancia de sistemas de pago y liquidación de valores. Los Estados miembros se apoyarán en las funciones de supervisión prudencial y vigilancia desempeñadas por los bancos centrales y supervisores de esos operadores en el ámbito de sus competencias.»

Debe modificarse el considerando 5 a fin de reflejar las competencias del BCE y los BCN en cuanto a la vigilancia y regulación de los sistemas de pago y liquidación. Conforme al artículo 127, apartado 2, cuarto guion, del Tratado, una de las funciones básicas del SEBC es promover el buen funcionamiento de los sistemas de pago. Además, el artículo 22 de los Estatutos del SEBC faculta al BCE para dictar reglamentos destinados a garantizar unos sistemas de compensación y liquidación eficientes y solventes. Téngase también en cuenta que, conforme al artículo 127, apartado 5, del Tratado, el SEBC debe contribuir a la buena gestión de las políticas con respecto a la estabilidad del sistema financiero. Asimismo, conforme al marco de la política de vigilancia del Eurosistema (Eurosystem’s Oversight Policy Framework) de julio de 2011  (2), la vigilancia de los sistemas de pago y liquidación es una función del banco central por la que se promueven los objetivos de seguridad y eficiencia mediante el seguimiento de los sistemas actuales y proyectados, su evaluación respecto de dichos objetivos y, en caso necesario, induciendo al cambio.

Dicho de otro modo, velar por que los sistemas sean seguros y eficientes es condición previa importante de la capacidad del Eurosistema para contribuir a la estabilidad financiera, ejecutar la política monetaria y mantener la confianza pública en el euro.

Obsérvese además, de acuerdo con los comentarios del BCE acerca de la revisión propuesta de la directiva sobre servicios de pago (DSP2), que los supervisores nacionales y bancos centrales son las autoridades competentes para dictar directrices para los proveedores de servicios de pago en materia de gestión y notificación de incidentes, así como para dictar directrices sobre el intercambio de notificaciones de incidentes entre las autoridades competentes. El considerando debe también tener debidamente en cuenta las funciones que el Reglamento (UE) no 1024/2013 confiere al BCE.

Por último, tampoco deben menoscabarse las funciones análogas a las del Tratado y los Estatutos del SEBC que en su caso desempeñen conforme al derecho interno los miembros del SEBC no pertenecientes a la zona del euro.

2a modificación

Apartado 4 y nuevo apartado 5 del artículo 1

«4.

La presente Directiva se entenderá sin perjuicio de la normativa sobre ciberdelincuencia de la UE y de la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (9).

5.

Asimismo, la presente Directiva se entenderá sin perjuicio de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (10), de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, y del Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (11).

6.

El intercambio de información en el marco de la red de cooperación a que se hace referencia en el capítulo III y las notificaciones de incidentes de SRI contempladas en el artículo 14 pueden requerir el tratamiento de datos personales. Dicho tratamiento, que es necesario para alcanzar los objetivos de interés público perseguidos por la presente Directiva, será autorizado por el Estado miembro interesado de acuerdo con el artículo 7 de la Directiva 95/46/CE y con la Directiva 2002/58/CE según su adopción en el Derecho interno.»

«4.

La presente Directiva se entenderá sin perjuicio de la normativa sobre ciberdelincuencia de la Unión E y de la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (9).

5.

La presente Directiva se entenderá sin perjuicio de la vigilancia y funciones conferidas al BCE y al SEBC en relación con las políticas de supervisión prudencial de entidades de crédito y sistemas de pago y liquidación para los que se han establecido requisitos específicos de gestión de riesgos y seguridad en el marco regulador del SEBC y de otras directivas y reglamentos conexos de la Unión. Del mismo modo, la presente Directiva se entenderá sin perjuicio de funciones análogas desempeñadas por los miembros del SEBC conforme a sus legislaciones nacionales.

5 6.

Asimismo, la presente Directiva se entenderá sin perjuicio de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (10), de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, y del Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (11).

6 7.

El intercambio de información en el marco de la red de cooperación a que se hace referencia en el capítulo III y las notificaciones de incidentes de SRI contempladas en el artículo 14 pueden requerir el tratamiento de datos personales. Dicho tratamiento, que es necesario para alcanzar los objetivos de interés público perseguidos por la presente Directiva, será autorizado por el Estado miembro interesado de acuerdo con el artículo 7 de la Directiva 95/46/CE y con la Directiva 2002/58/CE según su adopción en el Derecho interno.»

Conforme a lo expuesto, el SEBC tiene un gran interés en asegurar el buen funcionamiento de los sistemas de pago y liquidación que deriva de la importancia de los sistemas de pago, compensación y liquidación para la correcta ejecución de las operaciones de política monetaria y de la función que dichos sistemas desempeñan a la hora de garantizar la estabilidad del sistema financiero en general. Por eso recomienda el BCE que la directiva propuesta tome nota de la función del SEBC en relación con los sistemas de pago y liquidación y del régimen de vigilancia existente. El SEBC tiene instrumentos muy eficaces para determinar el grado de seguridad y eficiencia de estos sistemas. El considerando debe también tomar buena nota de las funciones que el Reglamento (UE) no 1024/2013 confiere al BCE.

Además, la directiva propuesta no debe menoscabar funciones análogas desempeñadas por los miembros del SEBC no pertenecientes a la zona del euro conforme a sus legislaciones nacionales.

3a modificación

Apartado 1 del artículo 6

«1.

Cada Estado miembro designará una autoridad nacional competente en materia de seguridad de las redes y los sistemas de información (“la autoridad competente”).»

«1.

Cada Estado miembro designará una autoridad nacional competente en materia de seguridad de las redes y los sistemas de información (“la autoridad competente”).

Se establecerá una cooperación efectiva entre la autoridad competente y los reguladores europeos y nacionales.»

Explicación

El BCE recomienda que se modifique el apartado 1 del artículo 6 para asegurar un buen grado de cooperación al nivel de la Unión.

4a modificación

Apartado 3 del artículo 8

«3.

En el marco de la red de cooperación, las autoridades competentes:

a)

difundirán alertas tempranas sobre riesgos e incidentes de conformidad con el artículo 10;

b)

ofrecerán una respuesta coordinada de conformidad con el artículo 11;

c)

publicarán periódicamente en un sitio web común información no confidencial sobre las alertas tempranas y las respuestas coordinadas en curso;

d)

examinarán y evaluarán conjuntamente, a petición de un Estado miembro o de la Comisión, uno o varios planes de cooperación nacionales en materia de SRI y estrategias nacionales de SRI, contemplados en el artículo 5, en el marco de la presente Directiva;

e)

examinarán y evaluarán conjuntamente, a petición de un Estado miembro o de la Comisión, la eficacia de los CERT, especialmente cuando los ejercicios de SRI se realicen a escala de la Unión;

f)

cooperarán e intercambiarán información sobre todas las cuestiones pertinentes con el Centro Europeo de Ciberdelincuencia de Europol y con otros organismos europeos pertinentes, en particular en los sectores de la protección de datos, la energía, los transportes, la banca, la bolsa y la sanidad;

g)

intercambiarán información y mejores prácticas entre sí y con la Comisión, y se ayudarán mutuamente con el fin de crear capacidades en materia de SRI;

h)

organizarán revisiones por homólogos periódicas sobre capacidades y preparación;

i)

organizarán ejercicios de SRI a escala de la Unión y participarán, en su caso, en ejercicios de SRI internacionales.»

«3.

En el marco de la red de cooperación, las autoridades competentes:

a)

difundirán alertas tempranas sobre riesgos e incidentes de conformidad con el artículo 10;

b)

ofrecerán una respuesta coordinada de conformidad con el artículo 11;

c)

publicarán periódicamente en un sitio web común información no confidencial sobre las alertas tempranas y las respuestas coordinadas en curso;

d)

examinarán y evaluarán conjuntamente, a petición de un Estado miembro o de la Comisión, uno o varios planes de cooperación nacionales en materia de SRI y estrategias nacionales de SRI, contemplados en el artículo 5, en el marco de la presente Directiva;

e)

examinarán y evaluarán conjuntamente, a petición de un Estado miembro o de la Comisión, la eficacia de los CERT, especialmente cuando los ejercicios de SRI se realicen a escala de la Unión;

f)

cooperarán e intercambiarán información sobre todas las cuestiones pertinentes con el Centro Europeo de Ciberdelincuencia de Europol y con otros organismos europeos pertinentes, en particular en los sectores de la protección de datos, la energía, los transportes, la banca, la bolsa y la sanidad;

g)

intercambiarán información y mejores prácticas entre sí y con la Comisión, y se ayudarán mutuamente con el fin de crear capacidades en materia de SRI;

h)

organizarán revisiones por homólogos periódicas sobre capacidades y preparación;

i)

organizarán ejercicios de SRI a escala de la Unión y participarán, en su caso, en ejercicios de SRI internacionales. ;

j)

velarán por el intercambio de información con los reguladores europeos y nacionales (es decir, para el sector financiero: el Sistema Europeo de Bancos Centrales (SEBC), la Autoridad Bancaria Europea (ABE) y la Autoridad Europea de Valores y Mercados (AEVM), que colaborarán estrechamente cuando se descubran incidentes de seguridad que puedan obstaculizar el buen funcionamiento de los sistemas de pago y liquidación).»

Hay razones de peso para intercambiar información con la Agencia Europea de Seguridad de las Redes y de la Información o con las autoridades competentes con arreglo a la directiva propuesta, así como con la ABE o AEVM como autoridad competente para coordinar las respuestas a los incidentes relativos a los proveedores de servicios de pago.

Por ello, el BCE propone esta modificación a fin de fomentar el intercambio de información y una mejor coordinación al nivel de la Unión.

5a modificación

Apartado 1 del artículo 19

«1.

La Comisión estará asistida por un comité (el Comité de Seguridad de las Redes y de la Información). Dicho comité será un comité en la acepción del Reglamento (UE) no 182/2011.»

«1.

La Comisión estará asistida por un comité (el Comité de Seguridad de las Redes y de la Información). Dicho comité será un comité en la acepción del Reglamento (UE) no 182/2011.

Se invitará al BCE, la ABE y la AEVM a enviar representantes a las reuniones del Comité de Seguridad de las Redes y de la Información para intervenir en puntos del orden del día que pudieran afectar al desempeño de sus mandatos respectivos.»

El BCE tiene un interés particular en mejorar la seguridad de los sistemas, servicios e instrumentos de pago y liquidación como factor importante del mantenimiento de la confianza en la moneda única y el buen funcionamiento de la economía de la Unión. Para ello, el BCE recomienda que se le invite a las reuniones del Comité de Seguridad de las Redes y de la Información. En todo caso, habrá que consultar oficialmente al BCE en virtud del Tratado toda medida relativa a los sistemas de pago u otros asuntos del ámbito de competencia del BCE.

Además, la ABE o AEVM deben participar en los asuntos relativos a los proveedores de servicios de pago.


(1)  El texto en negrita indica las novedades que propone el BCE. El texto tachado es lo que el BCE propone suprimir.

(2)  Disponible en inglés en la dirección del BCE en internet: www.ecb.europa.eu


Top