(1)

Euroopa Süsteemsete Riskide Nõukogu soovituse ESRN/2013/1 (4) põhjenduse 4 kohaselt on makrotasandi usaldatavusjärelevalve poliitika lõppeesmärk finantssüsteemi kui terviku stabiilsuse tagamisele kaasa aitamine finantssüsteemi vastupanuvõime suurendamise ja süsteemsete riskide kuhjumise vähendamise kaudu, mis tagab finantssektori jätkusuutliku panuse majanduskasvu. Euroopa Süsteemsete Riskide Nõukogu (ESRN) vastutab makrotasandi finantsjärelevalve teostamise eest liidus. Oma pädevuse täitmiseks peab ESRN kaasa aitama finantsstabiilsuse süsteemsete riskide, sh küberintsidentidega seotud riskide, ärahoidmisele ja leevendamisele ning tegema ettepanekuid asjaomaste riskide maandamiseks.

(2)

Kuna olulised küberintsidendid võivad kahjustada kriitilise tähtsusega finantsteenuseid ja -operatsioone, võivad nad põhjustada süsteemset riski finantssüsteemis. Esialgne šokk võib võimenduda läbi äritegevusega seotud negatiivse mõju või finantsstressi ülekandumise, samuti läbi usalduse õõnestamise finantssüsteemi vastu. Kui finantssüsteem ei suuda sellistele šokkidele vastu seista, seab see ohtu finantsstabiilsuse ning võib põhjustada süsteemse küberkriisi (5).

(3)

Pidevalt muutuv küberohtude maastik ja oluliste küberintsidentide arvu kasv näitab, et risk liidu finantsstabiilsusele on suurenenud. COVID-19 pandeemia on näidanud, kui olulist rolli mängib tehnoloogia finantssüsteemi toimimisel. Kaugtöö vajaduse suurenemise tõttu pidid kõik asjaomased asutused oma tehnilist taristut ja riskiohjeraamistikku kohandama, mis on omakorda suurendanud finantssüsteemi küberriske ning andnud kurjategijatele võimaluse rakendada uusi ja täiendada varem kasutatud meetodeid olukorra enda huvides ära kasutamiseks (6). EKP pangandusjärelevalve andmetel on küberintsidentide arv 2020. aastal kasvanud 54 %, võrreldes 2019. aastaga (7).

(4)

Olulise küberintsidendi potentsiaalselt laiaulatusliku mõju ning levimise kiiruse ja ulatuse tõttu on asjaomastel asutustel vaja tõhusalt reageerida, et leevendada võimalikku negatiivset mõju finantsstabiilsusele. Asjaomaste asutuste vaheline sujuv koostöö ja teabevahetus liidu tasandil aitab varakult hinnata olulise küberintsidendi mõju finantsstabiilsusele, säilitada usaldust finantssüsteemi vastu ning piirata teiste finantseerimisasutuste nakatamise ohtu, aidates vältida küberintsidendist põhjustatud riski finantsstabiilsusele.

(5)

Algne šokk tekib teistmoodi kui traditsiooniline finants- ja likviidsuskriis, millega asjaomased asutused tavapäraselt kokku puutuvad. Lisaks finantsküsimustele peab riskihinnang hõlmama ka äritegevuse katkestuste ulatust ja mõju, kuna need võivad mõjutada makrotasandi usaldatavusjärelevalve vahendite valikut. Samuti võib finantsstabiilsus mõjutada äritegevuse riske maandavate tegurite valikut küberekspertide poolt. Selleks on vaja tihedat ja sujuvat koostööd ning avatud suhtlemist, et muu hulgas suurendada olukorrateadlikkust.

(6)

Riski, et asutuste töö koordineerimine võib olla puudulik, tuleb teadvustada ja seda maandada. Liidu asjaomased asutused peavad tööd koordineerima nii omavahel kui muude asutustega, kellega nad tavapäraselt kokku ei puutu, nt Euroopa Liidu Küberturvalisuse Ametiga (ENISA). Kuna märkimisväärne arv liidu finantseerimisasutusi tegutseb globaalsel tasandil, ei pruugi võimalik oluline küberintsident olla piiratud liidu territooriumiga ning võib algselt tekkida väljaspool liitu, ning vajab globaalset koordineerimist.

(7)

Asjaomased asutused peavad olema selliseks koostööks valmis. Vastasel juhul võib vastuoluline tegevus kahjustada teiste asutuste reageerimistegevust. Tegevuse kooskõlastamata jätmine võib finantssüsteemi šokki võimendada ning õõnestada usaldust finantssüsteemi toimimise vastu, mis võib halvimal juhul ohustada finantsstabiilsust (8). Seetõttu tuleb astuda vajalikke samme, et käsitleda riske, mida olulise küberintsidendiga seotud tegevuse kooskõlastamata jätmine võib finantssüsteemis tekitada.

(8)

ESRNi (2021) aruandes Mitigating systemic cyber risk (9) peetakse vajalikuks kehtestada üleeuroopaline süsteemsete küberintsidentide koordineerimisraamistik (EU-SCICF) liidu asjaomastele asutustele. EU-SCICFi eesmärk oleks suurendada asjaomaste asutuste valmisolekut koordineeritult reageerida võimalikele olulistele küberintsidentidele. ESRNi (2021) aruandes Mitigating systemic cyber risk on välja toodud ESRNi esialgne hinnang selle kohta, millised omadused asjaomasel raamistikul peaksid olema, et vältida tegevuse kooskõlastamata jätmisega seonduvaid riske.

(9)

Käesoleva soovituse põhieesmärk on suurendada kavandatava Euroopa Parlamendi ja nõukogu määrusega, mis käsitleb finantssektori digitaalset tegevuskerksust (10) (edaspidi „DORA määrus“), Euroopa järelevalveasutustele ette nähtud rolli, et järk-järgult tõhustada liidu tasandil koordineeritud reageerimist piiriülestele info- ja kommunikatsioonitehnoloogiaga (IKTga) seotud olulistele intsidentidele või nendega seotud ohtudele, millel on süsteemne mõju kogu liidu finantssektorile. Selle protsessi tulemusena luuakse EU-SCICF asjaomastele asutustele.

(10)

EU-SCICFi eesmärk ei ole asendada olemasolevaid raamistikke, vaid täita võimalikud lüngad tegevuse kooskõlastamisel ja teabe vahetamisel asjaomaste asutuste vahel ning teiste liidu asutuste ja oluliste partneritega rahvusvahelisel tasandil. Sellega seoses tuleb kaaluda EU-SCICFi positsiooni olemasolevas finantskriisiraamistikus ning liidu küberintsidentide raamistikus. Asjaomaste asutuste vahelise tegevuse kooskõlastamise osas peab muu hulgas arvestama finantssektori ettevõtjate jaoks Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/1148 (11) alusel moodustatud võrgu- ja infoturbe koostöörühma ning ENISA kaasabil loodava ühise küberüksuse koordineerimismehhanisme.

(11)

Eelkõige on EU-SCICFi moodustamise alustamise ettepaneku eesmärk toetada kavandatavas DORAs ette nähtud Euroopa järelevalveasutuste võimalikku rolli. Olukorrateadlikkuse suurendamiseks ning sektorite ühiste küberhaavatavuste ja -ohtude kindlaks tegemiseks näeb DORA määrus ette, et Euroopa järelevalveasutused võivad „ühiskomitee kaudu ning koostöös pädevate asutuste, Euroopa Keskpanga (EKP) ja ESRNiga luua mehhanisme, mis võimaldavad jagada finantssektorite vahel tõhusaid tavasid“ ning „välja töötada kriisijuhtimis- ja erandolukorra simulatsioone, mis hõlmavad küberrünnete stsenaariume, et töötada välja sidekanalid ja võimaldada järk-järgult tõhusat koordineeritud reageerimist ELi tasandil IKTga seotud olulise piiriülese intsidendi või seonduva ohu korral, millel on süsteemne mõju liidu finantssektorile tervikuna“ (12). EU-SCICFi sarnast üleeuroopalist raamistikku ei ole veel loodud, ning see tuleks DORA määruse alusel luua ja välja arendada.

(12)

Võttes arvesse küberohust tulenevat riski liidu finantsstabiilsusele tuleks ettevalmistustöid EU-SCICFi loomiseks võimalikult suures ulatuses alustada juba enne seda, kui selle loomiseks vajalik õigus- ja poliitikaraamistik on täielikult kohaldatud. Õigus- ja poliitikaraamistik kujundatakse ja viimistletakse pärast seda, kui DORA määruse ja sellega seotud delegeeritud õigusaktide asjaomased sätted on kohaldatud.

(13)

Tulemuslik teabevahetus aitab suurendada asjaomaste asutuste olukorrateadlikkust ning on seetõttu hädavajalik eeltingimus oluliste küberintsidentidega seotud tegevuste liiduülese koordineerimise tagamiseks. Seetõttu tuleb kindlaks määrata olulisele küberintsidendile reageerimise koordineerimiseks vajalik sidetaristu. Selleks tuleb täpsustada, millist liiki teavet jagatakse, milliseid kanaleid selleks tavapäraselt kasutatakse ning milliste kontaktpunktidega teavet jagatakse. Teabe jagamisel tuleb järgida kehtestatud õigusnorme. Lisaks võib asjaomastel asutustel olla vaja kehtestada konkreetne tegevuskava ja protokollid, mida tuleb järgida, et tagada nõuetekohane kooskõlastamine asutustega, kes on kaasatud koordineeritud reageerimisse olulisele küberintsidendile.

(14)

Süsteemse küberkriisi korral on vaja teha täielikku koostööd nii riikide kui liidu tasandil. Seetõttu võib olla vaja määrata Euroopa järelevalveasutustele, EKP-le ja igale liikmesriigile asjaomaste riigi ametiasutuste hulgast kontaktpunktid, mis tuleb edastada Euroopa järelevalveasutustele, et määratleda EU-SCICFi koordineerimisskeemi peamised koostööpartnerid, keda olulisest küberintsidendist teavitada. Kontaktpunktide määramise vajadust tuleb hinnata EU-SCICFi välja töötamisel, võttes arvesse direktiivi (EL) 2016/1148 kohaselt määratud ühtseid kontaktpunkte, mille liikmesriigid on nimetanud võrgu- ja infosüsteemide turvalisuse huvides selleks, et tagada piiriülene koostöö teiste liikmesriikide ning võrgu- ja infoturbe koostöörühmaga (13).

(15)

Kriisijuhtimis- ja erandolukorra simulatsioonid aitavad kaasa EU-SCICFi rakendamisele ning võimaldavad asjaomastel asutustel hinnata oma valmisolekut ja ettevalmistust võimalikuks süsteemseks küberkriisiks liidu tasandil. Sellised simulatsioonid on asjaomaste asutuste jaoks võimalus õppida ning EU-SCICIFi pidevalt täiustada ja arendada.

(16)

EU-SCICFi välja töötamiseks on oluline, et Euroopa järelevalveasutused teeksid ühiselt ettevalmistusi raamistiku võimalike oluliste elementide, vajalike ressursside ning arenguvajaduste läbi töötamiseks. Pärast seda saavad Euroopa järelevalveasutused alustada esialgse analüüsi läbiviimist võimalike takistuste osas, millega Euroopa järelevalveasutused ja asjaomased asutused võivad EU-SCICFi loomisel ja vajaliku teabe sidekanalite kaudu jagamisel olulise küberintsidendi korral kokku puutuda. See analüüs on oluline etapp, mis annab sisendi mis tahes edasistele sammudele nii õigusloome kui muude tugitegevuste osas, mida Euroopa Komisjon võib algatada pärast DORA määruse rakendamist.

1.

2.

a)

„küber-“ (cyber) - inimeste, protsesside, andmete ja infosüsteemide vaheliste vastasmõjude ühendatud infotaristuga seotult, selle taristu siseselt või selle taristu abil (14);

b)

„oluline küberintsident“ (major cyber incident) - IKTga seotud oluline intsident, millel võib olla suur negatiivne mõju võrgu- ja infosüsteemidele, mis toetavad finantssektori ettevõtja kriitilise tähtsusega funktsioone (15);

c)

„süsteemne küberkriis“ (systemic cyber crisis) - oluline küberintsident, mis põhjustab liidu finantssüsteemis selliseid häiringuid, millel võivad olla tõsised negatiivsed tagajärjed siseturu tõrgeteta toimimisele ja reaalmajanduse toimimisele. Selline kriis võib tekkida olulise küberintsidendi tagajärjel, mis põhjustab šokke erinevates kanalites, sh seoses äritegevuse, usalduse või rahaliste vahenditega.

d)

„Euroopa järelevalveasutused“ (European Supervisory Authorities, ESAs) - Euroopa Parlamendi ja nõukogu määrusega (EL) nr 1093/2010 (16) asutatud Euroopa Järelevalveasutus (Euroopa Pangandusjärelevalve) koos Euroopa Parlamendi ja nõukogu määrusega (EL) nr 1094/2010 (17) asutatud Euroopa Järelevalveasutuse (Euroopa Kindlustus- ja Tööandjapensionide Järelevalve) ja Euroopa Parlamendi ja nõukogu määrusega (EL) nr 1095/2010 (18) asutatud Euroopa Järelevalveasutusega (Euroopa Väärtpaberiturujärelevalve);

e)

„ühiskomitee“ (Joint Committee) - määruse (EL) nr 1093/2010, määruse (EL) nr 1094/2010 ja määruse (EL) nr 1095/2010 artiklis 54 ette nähtud Euroopa järelevalveasutuste ühiskomitee;

f)

„asjaomane riigi ametiasutus“ (relevant national authority) –

g)

„asjaomane asutus“ (relevant authority) –

a)

kohast tähelepanu tuleb pöörata teadmisvajaduse ja proportsionaalsuse põhimõttele, võttes arvesse iga soovituse eesmärki ja sisu;

b)

lisas sätestatud konkreetsed vastavuskriteeriumid peavad olema täidetud iga soovituse suhtes.

1.

Soovitus A

2.

Soovitus B

Euroopa järelevalveasutused, EKP ja liikmesriigid peavad Euroopa Parlamendile, nõukogule, komisjonile ja ESRNile esitama soovituse B rakendamise aruande 30. juuniks 2023, kuid mitte varem kui kuus kuud pärast DORA määruse jõustumist.

3.

Soovitus C

1.

ESRNi sekretariaat:

2.

Haldusnõukogu hindab adressaatide meetmeid ja põhjendusi ning võib asjakohastel juhtudel otsustada, et käesolevat soovitust ei ole järgitud ning et adressaadi põhjendused tegevusetuse kohta ei ole piisavad.