Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Euroopan keskuspankin lausunto, annettu 25 päivänä heinäkuuta 2014 , ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

FI

Euroopan unionin virallinen lehti

C 352/4


EUROOPAN KESKUSPANKIN LAUSUNTO,

annettu 25 päivänä heinäkuuta 2014,

ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa

(CON/2014/58)

2014/C 352/04

Johdanto ja oikeusperusta

Euroopan komissio julkaisi 7 päivänä helmikuuta 2013 ehdotuksen direktiiviksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa (1) (jäljempänä ’ehdotettu direktiivi’ tai ”direktiiviehdotus”).

Koska lainsäätäjät eivät ole virallisesti kuulleet Euroopan keskuspankkia (EKP), EKP on päättänyt antaa direktiiviehdotuksesta lausunnon omasta aloitteestaan. EKP:n toimivalta antaa lausunto perustuu Euroopan unionin toiminnasta tehdyn sopimuksen 127 artiklan 4 kohtaan ja 282 artiklan 5 kohtaan, sillä ehdotettu direktiivi sisältää säännöksiä, jotka vaikuttavat Euroopan keskuspankkijärjestelmän (EKPJ) tehtävään edistää maksujärjestelmien moitteetonta toimintaa sopimuksen 127 artiklan 2 kohdan neljännen luetelmakohdan mukaisesti. Lisäksi Euroopan keskuspankkijärjestelmän perussäännön (jäljempänä ’EKPJ:n perussääntö’) 22 artiklassa määrätään, että EKP ja kansalliset keskuspankit voivat tarjota palveluja ja EKP voi antaa asetuksia selvitys- ja maksujärjestelmien tehokkuuden ja vakauden varmistamiseksi unionissa ja suhteessa muihin maihin. Tämän lausunnon on antanut EKP:n neuvosto Euroopan keskuspankin työjärjestyksen 17.5 artiklan ensimmäisen virkkeen mukaisesti.

1.   Ehdotetun direktiivin tarkoitus

1.1

Ehdotetulla direktiivillä pyritään varmistamaan verkko- ja tietoturvan yhteinen korkea taso parantamalla internetin sekä yhteiskunnan ja talouden toimintaa tukevien verkkojen ja tietojärjestelmien turvallisuutta. Tämä ehdotus on Euroopan unionin kyberturvallisuusstrategian (2) tärkein toimi.

1.2

Verkko- ja tietojärjestelmät helpottavat olennaisella tavalla tavaroiden, palvelujen ja ihmisten liikkumista rajojen yli. Tämän ylikansallisen ulottuvuuden vuoksi häiriö yhdessä jäsenvaltiossa voi vaikuttaa myös muihin jäsenvaltioihin ja koko unioniin. Lisäksi yleisesti tapahtuvien turvapoikkeamisten todennäköisyys sekä kyvyttömyys taata tehokas suoja heikentävät yleisön luottamusta verkko- ja tietopalveluihin. Verkko- ja tietojärjestelmien sietokyky ja vakaus on sen vuoksi olennaisen tärkeää sisämarkkinoiden moitteettomalle toiminnalle.

1.3

Ehdotettu direktiivi perustuu aikaisempiin lakialoitteisiin tällä alalla (3). Näin ollen ehdotetussa direktiivissä tunnustetaan tarve yhdenmukaistaa verkko- ja tietoturvan sääntöjä ja luoda toimiva mekanismi jäsenvaltioiden väliselle yhteistyölle.

1.4

Ehdotetussa direktiivissä perustetaan unionin yhteinen verkko- ja tietoturvan sääntelyjärjestelmä joka koskee jäsenvaltioiden valmiutta, EU-tason yhteistyömekanismeja ja keskeisille yksityissektorin toimijoille ja julkishallinnoille asetettavia vaatimuksia. Tämän odotetaan takaavan riittävän varautumistason kansallisella tasolla ja edistävän keskinäisen luottamuksen ilmapiiriä, joka on edellytys tulokselliselle yhteistyölle EU:n tasolla. Mekanismien luominen verkoston kautta tehtävälle unionin tason yhteistyölle mahdollistaisi johdonmukaisen ja koordinoidun ennaltaehkäisyn ja reagoinnin rajat ylittävien verkko- ja tietoturvapoikkeamien ja -riskien tapauksessa.

1.5

Keskeiset säännökset koskevat

a)

kaikkia jäsenvaltioita koskevaa velvollisuutta varmistaa kansallisten valmiuksien vähimmäistaso nimeämällä toimivaltaiset viranomaiset verkko- ja tietoturvaa varten, perustamalla tietotekniikan kriisiryhmiä (CERT) ja vahvistamalla kansallisia verkko- ja tietoturvastrategioita ja kansallisia verkko- ja tietoturvan yhteistyösuunnitelmia,

b)

Vaadittua tietojenvaihtoa jäsenvaltioiden välillä verkon sisällä sekä euroopanlaajuisen verkko- ja tietoturvan yhteistyösuunnitelman luomista ja koordinoituja varhaisvaroituksia verkkoturvapoikkeamistapauksissa,

c)

sen varmistamista, että riskinhallintakulttuuri kehittyy ja tiedonvaihto toimii yksityisen ja julkisen sektorin välillä Euroopan parlamentin ja neuvoston direktiivin 2002/21/EY (4) mallin mukaisesti. Kriittisillä sektoreilla toimivat yritykset ja julkishallinto velvoitetaan arvioimaan niihin kohdistuvat turvariskit ja toteuttamaan asianmukaiset ja oikeasuhteiset toimenpiteet verkko- ja tietoturvan varmistamiseksi. Ne velvoitetaan raportoimaan toimivaltaisille viranomaisille kaikista turvapoikkeamista, jotka vaarantavat vakavasti niiden verkkoja ja tietojärjestelmiä ja vaikuttavat merkittävästi kriittisten palvelujen ja hyödykkeiden toimitukseen jatkuvuuteen.

2.   Yleiset huomautukset

2.1

EKP kannattaa ehdotetun direktiivin tavoitetta varmistaa verkko- ja tietoturvan yhteinen korkea taso unionissa ja luoda yhteiset käytännöt eri toimialoilla ja jäsenvaltioissa. On tärkeää varmistaa, että liiketoiminta sisämarkkinoilla on turvallista ja että kaikilla jäsenvaltioilla on verkkoturvapoikkeamien varalta tietty varautumisen vähimmäistaso.

2.2

EKP katso kuitenkin, että ehdotettu direktiivi ei saisi vaikuttaa eurojärjestelmän harjoittamaan maksu- ja selvitysjärjestelmien yleisvalvontaan (5), joka kattaa asianmukaiset järjestelyt mm. verkko- ja tietoturvan alalla. On todettava, että EKP:llä on erityinen intressi vahvistaa maksu- ja selvitysjärjestelmien (6) turvallisuutta maksujärjestelmien moitteettoman toiminnan edistämiseksi sekä luottamuksen säilyttämiseksi euroon ja toimivaan talouteen unionissa.

2.3

Lisäksi turvallisuusvaatimusten arviointi sekä turvapoikkeaminen ilmoittaminen maksu- ja selvitysjärjestelmien ja maksupalveluntarjoajien osalta kuuluu vakautta valvovien viranomaisten ja keskuspankkien ydintehtäviin. Tästä syystä näillä viranomaisilla tulisi olla vastuu yleisvalvontavaatimusten laatimisesta kyseisillä aloilla eikä maksu- ja selvitysjärjestelmiin sekä maksupalveluntarjoajiin tulisi soveltaa näiden vaatimusten kanssa mahdollisesti ristiriidassa olevia muiden kansallisten viranomaisten asettamia vaatimuksia. Lisäksi EKP:stä ja euroon käyttöönottaneiden jäsenmaiden kansallisista keskuspankeista koostuva eurojärjestelmä vahvistaa euroalueen maksu- ja selvitysjärjestelmien ja muiden markkinainfrastruktuurien riskinhallinnan, mukaan lukien turvavaatimukset. Tämän yleisvalvontatehtävän tarkoituksena on varmistaa maksu- ja selvitysjärjestelmien moitteeton toiminta soveltamalla mm. asianmukaisia yleisvalvontastandardeja ja vähimmäisvaatimuksia. Sääntelyn yhdenmukaisuuden varmistamiseksi unionissa ehdotetussa direktiivissä olisi otettava huomioon jo voimassa oleva yleisvalvontajärjestelmä.

3.   Erityiset huomautukset

3.1

Ehdotetun direktiivin johdanto-osan 5 kappaleessa ja 1 artiklassa säädetään, että asiaankuuluvia velvoitteita, yhteistyömekanismeja ja turvavaatimuksia sovelletaan kaikkiin julkishallintoihin ja markkinatoimijoihin. Johdanto-osan 5 kappaleessa ja 1 artiklassa ei oteta huomioon eurojärjestelmän perussopimuksen mukaista tehtävää huolehtia maksu- ja selvitysjärjestelmien yleisvalvonnasta. Näin ollen ehdotettu direktiivi olisi muutettava siten, että siinä otetaan huomioon eurojärjestelmän tehtävät tällä alalla.

3.2

Keskuspankkien ja muiden toimivaltaisten viranomaisten suorittamaa maksu- ja selvitysjärjestelmien yleisvalvontaa koskevat järjestelyt ja menettelyt on vahvistettu unionin direktiiveissä ja asetuksissa, näitä ovat erityisesti

a)

Euroopan parlamentin ja neuvoston direktiivi 98/26/EY (7) (jäljempänä ’selvityksen lopullisuudesta annettu direktiivi’), jonka mukaan jäsenvaltioiden toimivaltaiset viranomaiset voivat vaatia, että niiden lainkäyttövallan alaisia maksu- ja selvitysjärjestelmiä valvotaan (8).

b)

Euroopan parlamentin ja neuvoston asetus (EU) N:o 648/2012 (9) (jäljempänä ’EMIR-asetus’), jossa tunnustetaan Euroopan arvopaperimarkkinaviranomaisen (EAMV), Euroopan pankkiviranomaisen (EPV) ja EKPJ:n rooli sääntelystandardien laadinnassa ja keskuspankkien vastapuolten valvonnassa.

c)

ehdotus asetukseksi arvopaperitoimituksen parantamisesta Euroopan unionissa sekä arvopaperikeskuksista ja direktiivin 98/26/EY muuttamisesta (10) (jäljempänä ’CSD-asetus’), jossa vaaditaan valvonta- ja tutkintavaltuuksien antamista toimivaltaisille viranomaisille, ja erityisesti ehdotetun asetuksen 45 artikla, joka koskee arvopaperikeskusten toiminnan vakautta koskevia vaatimuksia ja sisältää myös tärkeitä säännöksiä operatiivisen riskin vähentämisestä.

3.3

Lisäksi EKP:n neuvosto hyväksyi 3 päivänä kesäkuuta 2013 kansainvälisen järjestelypankin maksu- ja selvitysjärjestelmäkomitean sekä kansainvälisen arvopaperimarkkinavalvojien yhteisön (IOSCO) teknisen komitean vuonna 2012 julkistamat rahoitusmarkkinainfrastruktuureja koskevat periaatteet (”Principles for Financial Market Infrastructures”) (11) käytettäviksi eurojärjestelmän suorittamassa rahoitusmarkkinoiden infrastruktuurien yleisvalvonnassa. Tätä seurasi julkinen kuuleminen ehdotuksesta asetukseksi systeemisesti merkittäviä maksujärjestelmiä koskevista yleisvalvontavaatimuksista (jäljempänä ’SIPS-asetus’) (12). SIPS-asetuksessa CPSS-IOSCO-periaatteet pannaan täytäntöön oikeudellisesti sitovalla tavalla ja asetusta sovelletaan sekä suuria maksuja välittäviin järjestelmiin sekä pieniä maksuja välittäviin systeemisesti merkittäviin järjestelmiin, siihen katsomatta onko ylläpitäjänä eurojärjestelmän kansallinen keskuspankki vai yksityiset toimijat.

3.4

Maksujärjestelmien ja maksupalveluntarjoajien nykyisiin yleisvalvontajärjestelyihin (13) sisältyy jo varhaisvaroituksia (14) ja koordinoitua reagointia (15) eurojärjestelmässä ja sen ulkopuolella koskevia menettelyjä, joiden avulla käsitellään mahdollisia verkkoturvallisuusuhkia, ja nämä menettelyt vastaavat ehdotetun direktiivin 10 ja 11 artiklassa vahvistettuja menettelyjä.

3.5

EKPJ on vahvistanut maksujärjestelmien raportointi- ja riskinhallintavaatimuksia koskevat standardit. Lisäksi EKP arvioi säännöllisesti selvitysjärjestelmiä sen vahvistamiseksi, kelpaavatko ne käytettäviksi eurojärjestelmän luotto-operaatioissa. Tästä syystä EKP katsoo olevan tarpeen varmistaa, että elintärkeitä markkinainfrastruktuureja ja niiden ylläpitäjiä (16) koskevat ehdotetun direktiivin vaatimukset eivät vaikuta SIPS-asetuksessa, eurojärjestelmän yleisvalvontapolitiikassa tai muissa unionin asetuksissa, erityisesti EMIR-asetuksessa ja CSD-asetuksesa, vahvistettuihin standardeihin. Lisäksi ne eivät saa vaikuttaa EPV:n tai EAMV:n ja muiden vakautta valvovien viranomaisten tehtäviin (17).

3.6

Tästä huolimatta EKP katsoo olevan vahvoja perusteita relevantteja tietoja koskevalle tiedonvaihdolle eurojärjestelmän ja ehdotetun direktiivin 19 artiklan mukaisesti perustettavan verkko- ja tietoturvakomitean välillä. Jotta voidaan vastata mahdollisesti syntyvään tarpeeseen vaihtaa tietoja tehokkaasti, EKP, EPV ja EAMV olisi pyydettävä lähettämään edustajia verkko- ja tietoturvakomitean kokouksiin sellaisia esityslistalla olevia asioita varten, jotka saattavat olla relevantteja niiden tehtävien hoidossa.

Tehty Frankfurt am Mainissa 25 päivänä heinäkuuta 2014.

EKP:n puheenjohtaja

Mario DRAGHI


(1)  COM(2013) 48 final.

(2)  Ks. yhteinen tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle, ”Euroopan unionin kyberturvallisuusstrategia: Avoin, turvallinen ja vakaa verkkoympäristö”, JOIN(2013) 1 final.

(3)  Esim. seuraavat tiedonannot: ”Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi”, COM(2001) 298 final, ”Turvallisen tietoyhteiskunnan strategia: Lisää vuoropuhelua, yhteistyötä ja vaikutusmahdollisuuksia”, COM(2006) 251 final, ”Elintärkeiden tietoinfrastruktuurien suojaamisesta – ’Euroopan suojaaminen laajoilta tietoverkkohyökkäyksiltä ja häiriöiltä: valmiuden, turvallisuuden ja sietokyvyn parantaminen’”COM(2009) 149 final, ”Euroopan digitaalistrategia”, COM(2010) 245 final, ”Saavutukset ja seuraavat vaiheet: kohti maailmanlaajuista verkkoturvallisuutta” COM(2011) 163 final.

(4)  Euroopan parlamentin ja neuvoston direktiivi 2002/21/EY, annettu 7 päivänä maaliskuuta 2002, sähköisten viestintäverkkojen ja -palvelujen yhteisestä sääntelyjärjestelmästä (EYVL L 108, 24.4.2002, s. 33).

(5)  Jotkut EKPJ:n jäsenet suorittavat kansallisten lakien ja asetusten mukaisesti eurojärjestelmän toimivaltaa täydentäviä yleisvalvontatehtäviä tai joissakin tapauksissa samoja valvontatehtäviä.

(6)  Tässä lausunnossa selvityksellä tarkoitetaan sekä velvoitteiden määrittämistä että toteuttamista

(7)  Euroopan parlamentin ja neuvoston direktiivi 98/26/EY, annettu 19 päivänä toukokuuta 1998, selvityksen lopullisuudesta maksujärjestelmissä ja arvopaperien selvitysjärjestelmissä (EUVL L 166, 11.6.1998, s. 45).

(8)  Ks. selvityksen lopullisuudesta annetun direktiivin 10 artiklan 1 kohdan kolmas alakohta.

(9)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 648/2012, annettu 4 päivänä heinäkuuta 2012, OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä (EUVL L 201, 27.7.2012, s. 1).

(10)  COM(2012) 73 final.

(11)  Saatavilla Kansainvälisen järjestelypankin verkkosivuilla https//:www.bis.org/publ/cpss94.pdf

(12)  Saatavilla EKP:n verkkosivuilla http://www.ecb.europa.eu

(13)  Ks. Korkean tason periaatteista pankkivalvontaviranomaisten ja keskuspankkien välisestä yhteistyöstä Euroopan unionissa kriisinhallintatilanteissa tehtyä yhteisymmärryspöytäkirjaa koskeva EKP:n lehdistötiedote (2003), saatavilla EKP:n verkkosivuilla www.ecb.europa.eu.int

(14)  Ks. Turvapoikkeamien seurantaa ja raportointia koskeva suositus 3 julkaisussa ”Recommendations for the security of internet payments – final version after public consultation”, The European Forum on the Security of Retail Payment (SecuRe Pay), tammikuu 2013, saatavilla EKP:n verkkosivuilla www.ecb.europa.eu

(15)  Perustuen yhteistyössä suoritettavaa kansainvälistä yleisvalvontaa koskeviin periaatteisiin, joista CPSS muistutti yleisvalvontaraportissaan vuonna 2005, eurojärjestelmän keskuspankit ovat osallistuneet yhteistyöjärjestelyihin useita kertoja, esim. SWIFTiä (the Society for Worldwide Interbank Financial Telecommunications) ja CLS:ää (Continuous Linked Settlement) koskevat yhteistyöjärjestelyt.

(16)  Esim. ehdotetun direktiivin 14 artiklan 3 ja 4 kohdassa markkinatoimijoiden velvollisuus noudattaa teknisiä ja organisatorisia toimenpiteitä sekä 15 artiklan 3 kohdassa valtuus antaa sitovia ohjeita markkinatoimijoille.

(17)  Ks. EKP:n lausunto (CON/2014/9) ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2013/36/EU ja 2009/110/EY muuttamisesta ja direktiivin 2007/64/EY kumoamisesta, 2.12 kohta (EUVL C 224, 15.7.2014, s. 1). Kaikki EKP:n lausunnot julkaistaan EKP:n verkkosivuilla www.ecb.europa.eu


LIITE

Muutosehdotukset

Komission ehdottama teksti

EKP:n ehdottamat muutokset (1)

Muutos 1

Johdanto-osan 5 kappale

”(5)

Jotta tämä direktiivi kattaisi kaikki merkitykselliset turvapoikkeamat ja -riskit, sitä olisi sovellettava kaikkiin verkko- ja tietojärjestelmiin. Julkishallinnoille ja markkinatoimijoille asetettavia velvoitteita ei kuitenkaan pitäisi soveltaa yrityksiin, jotka tarjoavat käyttöön sähköisten viestintäverkkojen ja -palvelujen yhteisestä sääntelyjärjestelmästä (puitedirektiivi) 7 päivänä maaliskuuta 2002 annetussa Euroopan parlamentin ja neuvoston direktiivissä 2002/21/EY (2) tarkoitettuja yleisiä viestintäverkkoja tai yleisesti saatavilla olevia sähköisiä viestintäpalveluja, joihin sovelletaan mainitun direktiivin 13 a artiklassa vahvistettuja erityisiä turvallisuutta ja eheyttä koskevia vaatimuksia, eikä niitä pitäisi soveltaa luottamuspalvelun tarjoajiin.”

”(5)

Jotta tämä direktiivi kattaisi kaikki merkitykselliset turvapoikkeamat ja -riskit, sitä olisi sovellettava kaikkiin verkko- ja tietojärjestelmiin. Julkishallinnoille ja markkinatoimijoille asetettavia velvoitteita ei kuitenkaan pitäisi soveltaa yrityksiin, jotka tarjoavat käyttöön sähköisten viestintäverkkojen ja -palvelujen yhteisestä sääntelyjärjestelmästä (puitedirektiivi) 7 päivänä maaliskuuta 2002 annetussa Euroopan parlamentin ja neuvoston direktiivissä 2002/21/EY (2) tarkoitettuja yleisiä viestintäverkkoja tai yleisesti saatavilla olevia sähköisiä viestintäpalveluja, joihin sovelletaan mainitun direktiivin 13 a artiklassa vahvistettuja erityisiä turvallisuutta ja eheyttä koskevia vaatimuksia, eikä niitä pitäisi soveltaa luottamuspalvelun tarjoajiin. Sen estämättä että tätä direktiiviä sovelletaan julkishallintoihin ja markkinatoimijoihin, tämä direktiivi ei vaikuta Euroopan keskuspankkijärjestelmälle (EKPJ) perussopimuksessa ja Euroopan keskuspankkijärjestelmän ja Euroopan keskuspankin perussäännössä annettuihin tehtäviin ja velvoitteisiin eikä EKPJ:n jäsenten kansallisten järjestelmiensä mukaisesti suorittamiin vastaaviin tehtäviin; tämä koskee erityisesti luottolaitosten vakavaraisuusvalvontaa sekä maksu- ja selvitysjärjestelmien yleisvalvontaa. Tällaisten markkinatoimijoiden valvonnassa ja yleisvalvonnassa jäsenvaltioiden on turvauduttava keskuspankkien ja valvojien toimivaltansa rajoissa suorittamiin valvontatoimintoihin.

Johdanto-osan 5 kappaletta olisi muutettava siten, että siinä otettaisiin huomioon maksu- ja selvitysjärjestelmien yleisvalvontaan ja sääntelyyn liittyvät EKP:n ja kansallisten keskuspankkien tehtävät. Perussopimuksen 127 artiklan 2 kohdan neljännen luetelmakohdan mukaan yksi EKPJ:n perustehtävistä on edistää maksujärjestelmien moitteetonta toimintaa. EKPJ:n perussäännön 22 artiklan mukaan EKP:llä on myös toimivalta antaa asetuksia selvitys- ja maksujärjestelmien tehokkuuden ja vakauden varmistamiseksi. Olisi myös otettava huomioon, että perussopimuksen 127 artiklan 5 kohdan mukaan EKPJ myötävaikuttaa rahoitusjärjestelmän vakauteen liittyvän politiikan moitteettomaan harjoittamiseen. Lisäksi 2 päivänä heinäkuuta 2011 julkaistun eurojärjestelmän yleisvalvontapolitiikan  (2) mukaan: ”maksu- ja selvitysjärjestelmien yleisvalvonta on keskuspankkitehtävä, jossa edistetään luotettavuutta ja tehokkuutta koskevia tavoitteita valvomalla nykyisiä ja tulevia järjestelmiä ja vertaamalla niitä mainittuihin tavoitteisiin sekä sisällyttämällä muutoksia tarvittaessa.”

Toisin sanoen järjestelmien luotettavuuden ja tehokkuuden varmistaminen on tärkeä edellytys eurojärjestelmän kyvylle myötävaikuttaa rahoitusvakauteen, toteuttaa rahapolitiikkaa ja säilyttää yleisön luottamus euroon.

Lisäksi olisi otettava huomioon, että maksupalveluntarjoajien osalta toimivalta antaa turvapoikkeamisten hallintaan ja ilmoittamiseen liittyviä suuntaviivoja sekä turvapoikkeamia koskevien ilmoitusten välittämiseen muille viranomaisille liittyviä suuntaviivoja kuuluu kansallisille valvontaviranomaisille ja kansallisille keskuspankeille; tämä on myös linjassa ehdotetuista maksupalveludirektiivin muutoksista annettujen EKP:n huomautusten kanssa. Tässä kappaleessa tulisi myös ottaa huomioon asetuksessa (EU) N:o 1024/2013 EKPJ:lle annetut tehtävät.

Direktiivi ei myöskään saa vaikuttaa perussopimuksen ja EKPJ:n perussäännön tehtäviä vastaaviin tehtäviin, joita euroalueen ulkopuoliset EKPJ:n jäsenet hoitavat kansallisten järjestelmiensä mukaisesti.

Muutos 2

1 artiklan 4 kohta, 5 kohta (uusi)

”4.

Tämä direktiivi ei rajoita tietoverkkorikollisuutta koskevan EU:n lainsäädännön soveltamista eikä Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä sekä arvioinnista, joka koskee tarvetta parantaa sen suojaamista, annetun neuvoston direktiivin 2008/114/EY soveltamista (9).

5.

Tämä direktiivi ei myöskään rajoita yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (10), henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12 päivänä heinäkuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (11) eikä yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamista.

6.

Tiedon jakaminen yhteistyöverkostossa III luvun mukaisesti ja verkko- ja tietoturvapoikkeamista 14 artiklan mukaisesti tehtävät ilmoitukset voivat edellyttää henkilötietojen käsittelyä. Jäsenvaltion on hyväksyttävä tällainen käsittely, joka on välttämätöntä yleiseen etuun liittyvien tämän direktiivin tavoitteiden kannalta, direktiivin 95/46/EY 7 artiklan ja direktiivin 2002/58/EY, sellaisina kuin ne on pantu täytäntöön kansallisessa lainsäädännössä, mukaisesti.”

”4.

Tämä direktiivi ei rajoita tietoverkkorikollisuutta koskevan EU: unionin lainsäädännön soveltamista eikä Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä sekä arvioinnista, joka koskee tarvetta parantaa sen suojaamista, annetun neuvoston direktiivin 2008/114/EY soveltamista (9).

5.

Tämä direktiivi ei vaikuta yleisvalvontaan eikä EKP:lle ja EKPJ:lle annettuihin luottolaitosten ja maksu- ja selvitysjärjestelmien vakavaraisuusvalvontaan liittyvää politiikkaa koskeviin tehtäviin, joiden osalta EKPJ:n sääntelyjärjestelmässä tai muissa asiaan liittyvissä unionin direktiiveissä ja asetuksissa on vahvistettu erityisiä riskienhallinta- ja turvavaatimuksia. Tämä direktiivi ei myöskään estä EKPJ:n jäseniä suorittamasta vastaavia tehtäviä kansallisten järjestelmiensä mukaisesti.

5 6.

Tämä direktiivi ei myöskään rajoita yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (10), henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12 päivänä heinäkuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (11) eikä yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamista.

6 7.

Tiedon jakaminen yhteistyöverkostossa III luvun mukaisesti ja verkko- ja tietoturvapoikkeamista 14 artiklan mukaisesti tehtävät ilmoitukset voivat edellyttää henkilötietojen käsittelyä. Jäsenvaltion on hyväksyttävä tällainen käsittely, joka on välttämätöntä yleiseen etuun liittyvien tämän direktiivin tavoitteiden kannalta, direktiivin 95/46/EY 7 artiklan ja direktiivin 2002/58/EY, sellaisina kuin ne on pantu täytäntöön kansallisessa lainsäädännössä, mukaisesti.”

Edellä sanotun mukaisesti EKPJ:n intressissä on maksu- ja selvitysjärjestelmien asianmukaisen toiminnan turvaaminen. Tämä johtuu maksu- ja selvitysjärjestelmien tärkeydestä rahapoliittisten operaatioiden kitkattoman toteuttamisen kannalta sekä niiden yleisestä merkityksestä rahoitusjärjestelmän vakauden varmistamisessa. Tästä syystä EKP suosittaa, että ehdotetussa direktiivissä otetaan huomioon EKPJ:n maksu- ja selvitysjärjestelmiin liittyvä rooli sekä jo voimassa olevat yleisvalvontajärjestelyt. EKPJ:llä on hyvin tehokkaat välineet näiden järjestelmien turvallisuus- ja tehokkuustason määrittelemiseksi. Tässä kohdassa olisi myös otettava asianmukaisella tavalla huomioon EKP:lle asetuksessa (EU) N:o 1024/2013 annetut tehtävät.

Direktiivi ei myöskään saa vaikuttaa vastaaviin tehtäviin, joita euroalueen ulkopuoliset EKPJ:n jäsenet hoitavat kansallisten järjestelmiensä mukaisesti.

Muutos 3

6 artiklan 1 kohta

”1.

Jokaisen jäsenvaltion on nimettävä verkko- ja tietojärjestelmien turvallisuudesta vastaava kansallinen toimivaltainen viranomainen, jäljempänä ’toimivaltainen viranomainen’.”

”1.

Jokaisen jäsenvaltion on nimettävä verkko- ja tietojärjestelmien turvallisuudesta vastaava kansallinen toimivaltainen viranomainen, jäljempänä ’toimivaltainen viranomainen’.

On perustettava tehokas yhteistyö toimivaltaisen viranomaisen sekä eurooppalaisten ja kansallisten sääntelyviranomaisten välillä.

Perustelu

EKP suosittaa 6 artiklan 1 kohdan muuttamista hyvän yhteistyön varmistamiseksi unionin tasolla.

Muutos 4

8 artiklan 3 kohta

”3.

Yhteistyöverkostossa toimivaltaisten viranomaisten on

a)

annettava varhaisvaroituksia turvariskeistä ja -poikkeamista 10 artiklan mukaisesti;

b)

varmistettava koordinoitu reagointi 11 artiklan mukaisesti;

c)

julkaistava yhteisellä verkkosivustolla säännöllisesti ei-luottamukselliset tiedot voimassa olevista varhaisvaroituksista ja meneillään olevasta koordinoidusta reagoinnista;

d)

jäsenvaltion tai komission pyynnöstä yhdessä keskusteltava ja tehtävä arviointi yhdestä tai useammasta 5 artiklassa tarkoitetusta kansallisesta verkko- ja tietoturvastrategiasta ja kansallisesta verkko- ja tietoturvan yhteistyösuunnitelmasta tämän direktiivin soveltamisalan rajoissa;

e)

jäsenvaltion tai komission pyynnöstä yhdessä keskusteltava ja tehtävä arviointi CERT-ryhmien tuloksellisuudesta erityisesti tehtäessä verkko- ja tietoturvaharjoituksia unionin tasolla;

f)

tehtävä yhteistyötä ja vaihdettava tietoa kaikista asiaankuuluvista seikoista Europolin yhteydessä toimivan Euroopan verkkorikostorjuntakeskuksen kanssa ja muiden asianomaisten, erityisesti tietosuojan, energiahuollon, liikenteen, pankkitoimen, pörssitoimen ja terveydenhuollon alan eurooppalaisten elinten kanssa;

g)

vaihdettava tietoa ja parhaita toimintatapoja keskenään ja komission kanssa sekä avustettava toisiaan verkko- ja tietoturvavalmiuksien kehittämisessä,

h)

järjestettävä säännöllisiä vertaisarviointeja valmiuksista ja varautumistasosta;

i)

järjestettävä verkko- ja tietoturvaharjoituksia unionin tasolla ja tarvittaessa osallistuttava kansainvälisiin verkko- ja tietoturvaharjoituksiin.”

”3.

Yhteistyöverkostossa toimivaltaisten viranomaisten on

a)

annettava varhaisvaroituksia turvariskeistä ja -poikkeamista 10 artiklan mukaisesti;

b)

varmistettava koordinoitu reagointi 11 artiklan mukaisesti;

c)

julkaistava yhteisellä verkkosivustolla säännöllisesti ei-luottamukselliset tiedot voimassa olevista varhaisvaroituksista ja meneillään olevasta koordinoidusta reagoinnista;

d)

jäsenvaltion tai komission pyynnöstä yhdessä keskusteltava ja tehtävä arviointi yhdestä tai useammasta 5 artiklassa tarkoitetusta kansallisesta verkko- ja tietoturvastrategiasta ja kansallisesta verkko- ja tietoturvan yhteistyösuunnitelmasta tämän direktiivin soveltamisalan rajoissa, ;

e)

jäsenvaltion tai komission pyynnöstä yhdessä keskusteltava ja tehtävä arviointi CERT-ryhmien tuloksellisuudesta erityisesti tehtäessä verkko- ja tietoturvaharjoituksia unionin tasolla;

f)

tehtävä yhteistyötä ja vaihdettava tietoa kaikista asiaankuuluvista seikoista Europolin yhteydessä toimivan Euroopan verkkorikostorjuntakeskuksen kanssa ja muiden asianomaisten, erityisesti tietosuojan, energiahuollon, liikenteen, pankkitoimen, pörssitoimen ja terveydenhuollon alan eurooppalaisten elinten kanssa;

g)

vaihdettava tietoa ja parhaita toimintatapoja keskenään ja komission kanssa sekä avustettava toisiaan verkko- ja tietoturvavalmiuksien kehittämisessä;

h)

järjestettävä säännöllisiä vertaisarviointeja valmiuksista ja varautumistasosta;

i)

järjestettävä verkko- ja tietoturvaharjoituksia unionin tasolla ja tarvittaessa osallistuttava kansainvälisiin verkko- ja tietoturvaharjoituksiin. ;

j)

Euroopan sääntelyviranomaisten sekä kansallisten sääntelyviranomaisten välisen tiedonvaihdon varmistamiseksi (eli rahoitussektorin osalta: Euroopan keskuspankkijärjestelmä (EKPJ), Euroopan pankkiviranomainen (EPV), Euroopan arvopaperimarkkinaviranomainen (EAMV), jotka tekevät tiivistä yhteistyötä sellaisen turvapoikkeaman ilmetessä, joka saattaisi häiritä maksu- ja selvitysjärjestelmien moitteetonta toimintaa).

Painavat syyt puoltavat tiedonvaihtoa Euroopan verkko- ja tietoturvaviraston tai ehdotetussa direktiivissä tarkoitettujen toimivaltaisten viranomaisten sekä maksupalveluntarjoajiin liittyvien turvapoikkeamien koordinoinnista vastaavan EPV:n tai EAMV:n välillä.

Näin ollen EKP suosittaa muutosta tiedonvaihdon ja paremman koordinoinnin edistämiseksi unionin tasolla.

Muutos 5

19 artiklan 1 kohta

”1.

Komissiota avustaa komitea (verkko- ja tietoturvakomitea). Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.”

”1.

Komissiota avustaa komitea (verkko- ja tietoturvakomitea). Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

EKP:tä, EPV:tä ja EAMV:tä olisi pyydettävä lähettämään edustajia verkko- ja tietoturvakomitean kokouksiin sellaisia esityslistalla olevia asioita varten, jotka saattavat olla relevantteja niiden tehtävien hoidossa.

EKP:llä on oikeutettu intressi edistää maksu- ja selvitysjärjestelmien, palvelujen ja instrumenttien turvallisuutta; tämä on tärkeä tekijä, kun pyritään säilyttämään luottamus euroon sekä unionin talouden moitteettoman toimintaan. Tästä syystä EKP suosittelee, että EKP kutsuttaisiin verkko- ja tietoturvakomitean kokouksiin. EKP:tä on joka tapauksessa perussopimuksen mukaisesti kuultava muodollisesti maksujärjestelmiin tai muihin EKP:n toimivaltaan kuuluvissa asioissa.

Maksupalveluntarjoajiin liittyvissä asioissa on otettava mukaan myös EPV ja EAMV.


(1)  Lihavointi tekstissä osoittaa EKP:n lisättäväksi ehdottaman uuden tekstin. Tekstissä oleva yliviivaus osoittaa EKP:n poistettavaksi ehdottaman tekstin.

(2)  Saatavilla EKP:n verkkosivuilla www.ecb.europa.eu


Top