EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Mišljenje Europske središnje banke od 25. srpnja 2014. o Prijedlogu direktive Europskog parlamenta i Vijeća o mjerama za osiguravanje visoke zajedničke razine mrežne i informacijske sigurnosti u Uniji (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

HR

Službeni list Europske unije

C 352/4


MIŠLJENJE EUROPSKE SREDIŠNJE BANKE

od 25. srpnja 2014.

o Prijedlogu direktive Europskog parlamenta i Vijeća o mjerama za osiguravanje visoke zajedničke razine mrežne i informacijske sigurnosti u Uniji

(CON/2014/58)

2014/C 352/04

Uvod i pravna osnova

Europska komisija objavila je 7. veljače 2013. Prijedlog direktive o mjerama za osiguravanje visoke zajedničke razine mrežne i informacijske sigurnsoti u Uniji (1) (dalje u tekstu „Prijedlog direktive”).

Europska središnja banka (ESB) odlučila je dati mišljenje o Prijedlogu direktive na vlastitu inicijativu, budući da zakonodavci nisu formalno zatražili davanje mišljenja. Nadležnost ESB-a za davanje mišljenja utemeljena je na članku 127. stavku 4. i članku 282. stavku 5. Ugovora o funkcioniranju Europske unije budući da Prijedlog direktive sadrži odredbe koje utječu na zadaću Europskog sustava središnjih banaka (ESSB) promicati nesmetano funkcioniranja platnih sustava u skladu s četvrtom alinejom članka 127. stavka 2. Ugovora. Osim toga, članak 22. Statuta Europskog sustava središnjih banaka i Europske središnje banke (dalje u tekstu „Statut ESSB-a”) propisuje da ESB i nacionalne središnje banke mogu stvoriti mogućnosti, a ESB može donositi propise radi osiguravanja učinkovitog i pouzdanog klirinškog i platnog sustava unutar Unije i s drugim zemljama. U skladu s prvom rečenicom članka 17. stavka 5. Poslovnika Europske središnje banke, Upravno vijeće donijelo je ovo Mišljenje.

1.   Svrha Prijedloga direktive

1.1.

Prijedlog direktive ima za cilj osigurati visoku zajedničku razinu mrežne i informacijske sigurnosti (NIS) poboljšavanjem sigurnosti interneta i mrežnih i informacijskih sustava koji čine temelj našeg društva i gospodarstva. Ovaj Prijedlog direktive glavna je mjera Strategije kibernetičke sigurnost EU-a (European Cybersecurity Strategy) (2).

1.2.

Mrežni i informacijski sustavi imaju ključnu ulogu u olakšavanju prekograničnog kretanja robe, usluga i osoba. S obzirom na tu unutarnju transnacionalnu dimenziju, poremećaj u jednoj državi članici može utjecati na druge države članice i Uniju u cjelini. Povrh toga, vjerojatnost česte pojave incidenata i nemogućnost osiguranja učinkovite zaštite narušava povjerenje javnosti u NIS. Otpornost i stabilnost NIS-a stoga je ključna za nesmetano funkcioniranje unutarnjeg tržišta.

1.3.

Prijedlog direktive temelji se na prethodnim inicijativama u tom području (3). S tobzirom na navedeno, Prijedlog direktive prepoznaje potrebu za usklađivanjem pravila o NIS-u i za stvaranjem učinkovitih mehanizama suradnje među državama članicama.

1.4.

Prijedlog direktive uspostavlja zajednički pravni okvir Unije za NIS koji se odnosi na mogućnosti država članica, mehanizme suradnje na razini Unije te zahtjeve za javnu upravu i subjekte privatnog sektora u određenim ključnim sektorima. To bi trebalo osigurati odgovarajuću pripravnost na nacionalnoj razini i pomoći stvoriti ozračje međusobnog povjerenja, što je preduvjet učinkovite suradnje na razini Unije. Uspostavljanje mehanizama suradnje na razini Unije putem mreže stvorit će dosljedna i koordinirana sredstva za sprječavanje i reagiranje na prekogranične incidente i rizike NIS-a.

1.5.

Glavne odredbe odnose se na sljedeće:

(a)

zahtjev da sve države članice imaju na raspolaganju minimalnu razinu nacionalnih mogućnosti osnivanjem nadležnih tijela za NIS, osnivanjem timova za hitne računalne intervencije (CERTs) i usvajanjem nacionalnih strategija za NIS i nacionalnih planova suradnje za NIS;

(b)

zahtijevana razmjena informacija između država članica unutar mreže, kao i stvaranje paneuropskog plana suradnje za NIS i koordinirana rana upozorenja za sigurnosno-kibernetičke incidente (cyber-security incidents);

(c)

po uzoru na Direktivu 2002/21/EZ Europskog parlamenta i Vijeća (4), osiguravanje razvoja kulture upravljanja rizicima i razmjene informacija između privatnog i javnog sektora. Društva u određenim ključnim sektorima i javna uprava bit će obvezni procijeniti rizike s kojima se suočavaju i usvojiti prikladne i razmjerne mjere radi osiguravanja NIS-a. Bit će također obvezni izvješćivati nadležna tijela o svim incidentima koji ozbiljno ugrožavaju njihove mrežne i informacijske sustave i znatno utječu na kontinuitet ključnih usluga i isporuka robe.

2.   Opće napomene

2.1.

ESB podupire cilj Prijedloga direktive osiguravanje visoke zajedničke razine NIS-a u Uniji i postizanje dosljednosti pristupa na ovom području u poslovnim sektorima i državama članicama. Važno je osigurati da unutarnje tržište bude sigurno mjesto za poslovanje i da sve države članice imaju određenu minimalnu razinu pripravnosti za slučaj sigurnosno-kibernetičkog incidenta (cyber-security incident).

2.2.

Međutim, ESB smatra da Prijedlog direktive ne smije dovesti u pitanje postojeći režim Eurosustava za nadzor platnih sustava i sustava za namiru (5), koji uključuje odgovarajuće mehanizme, između ostalog, na području NIS-a. Potrebno je uzeti u obzir da ESB ima poseban interes za pojačanu sigurnost u platnim sustavima i sustavima za namiru (6) radi promicanja nesmetanog funkcioniranja platnih sustava i pomaganja zadržavanja povjerenja u euro i funkcioniranje gospodarstva u Uniji.

2.3.

Nadalje, procjena sigurnosnih mjera i obavijesti o incidentima za platne sustave, sustave za namiru i pružatelje platnih usluga (PSPs) jedna je od osnovnih nadležnosti tijela za bonitetni nadzor i središnjih banaka. Stoga odgovornost za razvoj nadzornih zahtjeva u gore navedenim područjima treba ostati u nadležnosti tih tijela te platni sustavi, sustavi za namiru i pružatelji platnih usluga ne bi trebali biti podložni mogućim suprotnim zahtjevima koje određuju druga nacionalna tijela. Nadalje, upravljanje rizicima, uključujući sigurnosne zahtjeve u odnosu na platne sustave i sustave namire i druge tržišne infrastrukture u europodručju utvrđuje Eurosustav, koji se sastoji od ESB-a i nacionalnih središnjih banaka država članica koje su usvojile euro. Preko te nadzorne funkcije, Eurosustav nastoji osigurati nesmetano funkcioniranje platnih sustava i sustava namire primjenjujući, između ostalog, prikladne nadzorne standarde i minimalne zahtjeve. Prijedlog direktive treba uzeti u obzir nadzorni okvir koji se već primjenjuje i osigurati regulatornu dosljednost u Uniji.

3.   Posebne napomene

3.1.

Uvodna izjava 5. i članak 1. Prijedloga direktive navode da se relevantne obveze, mehanizmi suradnje i sigurnosni zahtjevi primjenjuju na sve javne uprave i sudionike na tržištu. Postojeći tekst uvodne izjave 5. i članka 1. ne uzima u obzir nadležnost Eurosustava, utvrđenu Ugovorom, za nadzor platnih sustava i sustava namire. Stoga Prijedlog direktive treba izmijeniti kako bi ispravno odražavao zadaće Eurosustava na tom području.

3.2.

Mehanizmi i postupci središnjih banaka i drugih nadležnih tijela za nadzor platnih sustava i sustava namire vrijednosnih papira sadržani su u nizu direktiva i uredbi Unije uključujući posebno:

(a)

Direktivu 98/26/EZ Europskog parlamenta i Vijeća (dalje u tekstu: „Direktiva o konačnosti namire”) (7), koja ovlašćuje nadležna tijela država članica na uvođenje nadzornih mehanizama za platne sustave i sustave namire iz područja njihove nadležnosti (8);

(b)

Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća (9) (dalje u tekstu „Uredba o infrastrukturi europskog financijskog tržišta” (EMIR)), koja priznaje uloge Europskog nadzornog tijela za vrijednosne papire i tržište kapitala (ESMA), Europskog nadzornog tijela za bankarstvo (EBA) i ESSB-a u utvrđivanju regulatornih standarda i nadzoru središnjih drugih ugovornih strana; i

(c)

Prijedlog uredbe o poboljšanju namire vrijednosnih papira u Europskoj uniji i o središnjim depozitorijima vrijednosnih papira (CSDs) i o izmjeni Direktive 98/26/EZ (10) (u daljnjem tekstu „Uredba o CSD-u” (CSDR)), koja zahtijeva da nadležnim tijelima budu povjerene nadzorne i istražne ovlasti, a posebno članak 45. te Uredbe, koja uvodi bonitetne zahtjeve za središnje depozitorije vrijednosnih papira, uključujući važne odredbe o smanjenju operativnog rizika.

3.3.

Povrh toga, potrebno je primijetiti da je Upravno vijeće ESB-a 3. lipnja 2013., donijelo „Načela za infrastrukture financijskog tržišta”, koja su u travnju 2012. uveli Odbor za platne sustave i sustave namire (CPSS) Banke za međunarodne namire i Tehnički odbor Međunarodne organizacije nadzornih tijela za vrijednosne papire (IOSCO) (11), za provođenje nadzora Eurosustava u odnosu na sve vrste infrastruktura financijskog tržišta. Zatim je uslijedila javna rasprava o Nacrtu uredbe o nadzornim zahtjevima za sistemski važne platne sustave (dalje u tekstu „Uredba o SIPS-u”) (12). Uredba o SIPS-u uvodi CPSS-IOSCO načela kao pravno obvezujuća i uređuje sistemski važne sustave velikih plaćanja i sustave za mala plaćanja kojima upravljaju nacionalne središnje banke Eurosustava ili privatni subjekti.

3.4.

Postojeći nadzorni mehanizmi (13) koji se odnose na platne sustave i pružatelje platnih usluga već sadrže postupke za rana upozorenja (14) i koordinirane odgovore (15) unutar i izvan Eurosustava za borbu protiv mogućih sigurnosno-kibernetičkih prijetnji (cyber-security threats), koje odgovaraju onima iz članaka 10. i 11. Prijedloga direktive.

3.5.

ESSB utvrdio je standarde koji se odnose na obveze izvještavanja i upravljanja rizicima za platne sustave. Povrh toga, ESB redovito procjenjuje sustave za namiru vrijednosnih papira radi utvrđivanja njihove prihvatljivosti za uporabu u kreditnim operacijama Eurosustava. Stoga ESB smatra potrebnim da zahtjevi iz Prijedloga direktive koji utječu na ključne infrastrukture tržišta i njihove operatere (16) ne dovode u pitanje standarde iz Uredbe o SIPS-u, okvir nadzorne politike Eurosustava i druge propise Unije, a posebno EMIR i budući CSDR. Štoviše, ne smiju se sukobljavati sa zadaćama EBA-e ili ESMA-e i drugih tijela za bonitetni nadzor (17).

3.6.

Neovisno o gore navedenom, ESB smatra da postoje valjani razlozi za uvođenje mogućnosti razmjene relevantnih informacija između Eurosustava i Odbora za NIS na temelju članka 19. Prijedloga direktive. Za potrebe učinkovite razmjene informacija za koju se može javiti potreba, potrebno je pozvati ESB, EBA-u i ESMA-u da šalju predstavnike na sastanke Odbora za NIS za točke dnevnog reda koje bi mogle biti od interesa za obavljanje njihovih odnosnih zadaća.

Sastavljeno u Frankfurtu na Majni 25. srpnja 2014.

Predsjednik ESB-a

Mario DRAGHI


(1)  COM(2013) 48 završna verzija.

(2)  Vidjeti Zajedničku komunikaciju Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija, „Strategija kibernetičke sigurnosti Europske unije: otvoren, siguran i zaštićen kibernetički prostor”, JOIN(2013) 1 završna verzija.

(3)  To uključuje sljedeće komunikacije: „Mrežna i informacijska sigurnost: Prijedlog za strategiju europske politike”, COM(2001) 298 završna verzija; „Strategija za sigurno informacijsko društvo: ‚Dijalog, partnerstvo i osnaživanje’”, COM(2006) 251 završna verzija; „Zaštita ključne informacijske infrastrukture – ‚Zaštita Europe od kibernetičkih napada i poremećaja velikih razmjera: jačanjem pripravnosti, sigurnosti i otpornosti’”, COM(2009) 149 završna verzija; „Digitalni plan za Europu” COM(2010) 245 završna verzija; i „Zaštita ključne informacijske infrastrukture – ‚Postignuća i sljedeći koraci: prema globalnoj kibernetičkoj sigurnosti’”, COM(2011) 163 završna verzija.

(4)  Direktiva 2002/21/EZ Europskog parlamenta i Vijeća od 7. ožujka 2002. o zajedničkom regulatornom okviru za elektroničke komunikacijske mreže i usluge (SL L 108, 24.4.2002., str. 33.).

(5)  Nadzorne funkcije nekih članova ESSB-a provode se na temelju nacionalnih zakona i propisa koji dopunjuju, a u nekim slučajevima i udvostručavanju nadležnost Eurosustava.

(6)  Pojam „namire” u smislu ovog Mišljenja uključuje i klirinšku funkciju.

(7)  Direktiva 98/26/EZ Europskog parlamenta i Vijeća od 19. svibnja 1998. o konačnosti namire u platnim sustavima i sustavima za namiru vrijednosnih papira (SL L 166, 11.6.1998., str.45.).

(8)  Molimo vidjeti treći podstavak članka 10. stavka 1. Direktive o konačnosti namire.

(9)  Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjim drugim ugovornim stranama i trgovinskom repozitoriju (SL L 201, 27.7.2012., str. 1.).

(10)  COM(2012) 73 završna verzija.

(11)  Dostupno na mrežnoj stranici Banke za međunarodne namire, https://www.bis.org/publ/cpss94.pdf

(12)  Dostupno na mrežnoj stranici ESB-a, http://www.ecb.europa.eu

(13)  Vidjeti priopćenje za javnost ESB-a koje se odnosi na Memorandum o razumijevanju (MoU) o krajnjim načelima suradnje između nadzornih tijela za bankarstvo i središnjih banaka Europske Unije u upravljanju kriznim situacijama (2003.), dostupno na mrežnoj stranici ESB-a, www.ecb.europa.eu

(14)  Vidjeti Preporuku 3.: praćenje incidenata i izvješćivanje o incidentima u „Preporuke za sigurnost internetskog plaćanja – konačna verzija nakon javne rasprave”, Europski forum o sigurnosti malih plaćanja (SecuRe Pay), siječanj 2013., dostupno na mrežnoj stranici ESB-a, www.ecb.europa.eu

(15)  Na temelju načela zajedničkog međunarodnog nadzora, koja su ponovno naglašena u izvješću o nadzoru CPSS-a iz 2005., središnje banke Eurosustava uspješno su surađivale u nizu slučajeva, što je vidljivo, na primjer, u kontekstu nadzornih mehanizama za SWIFT (Društvo za svjetsku međubankovnu financijsku telekomunikaciju) i za neprekidnu vezanu namiru (Continuous Linked Settlement (CLS).

(16)  Na primjer, zahtjevi za sudionike na tržištu za poštivanje tehničkih i organizacijskih mjera iz članka 14. stavaka 3. i 4. i ovlast izdavanja obvezujućih uputa sudionicima na tržištu iz članka 15. stavka 3. Prijedloga direktive.

(17)  Vidjeti stavak 2.12. Mišljenja CON/2014/9 o prijedlogu direktive Europskog parlamenta i Vijeća o platnim uslugama na unutarnjem tržištu i izmjeni direktiva 2002/65/EZ, 2013/36/EU i 2009/110/EZ i o stavljanju izvan snage Direktive 2007/64/EZ (SL C 224, 15.7.2014., str. 1.). Sva mišljenja ESB-a objavljena su na mrežnoj stranici ESB-a, www.ecb.europa.eu


PRILOG

Prijedlozi izmjena

Prijedlog Komisije

Izmjene koje je predložio ESB (1)

Izmjena 1.

Uvodna izjava 5.

„(5)

Radi obuhvaćanja svih relevantnih incidenata i rizikaDirektiva se treba primjenjivati na sve mrežne i informacijske sustave. Obveze javne uprave i subjekata na tržištu ne primjenjuju se na društva koja pružaju usluge javne komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge u smislu Direktive 2002/21/EZ Europskog parlamenta i Vijeća od 7. ožujka 2002. o zajedničkom regulatornom okviru za elektroničke komunikacijske mreže i usluge (Okvirna direktiva) (2) koja su predmet posebnih sigurnosnih zahtjeva i zahtjeva za integritetom iz članka 13. stavka 1. točke (a) te Direktiveniti se primjenjuju na pružatelje usluga povjerenika (trust service providers).”

„(5)

Radi obuhvaćanja svih relevantnih incidenata i rizikaDirektiva se treba primjenjivati na sve mrežne i informacijske sustave. Obveze javne uprave i subjekata na tržištu ne primjenjuju se na društva koja pružaju usluge javne komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge u smislu Direktive 2002/21/EZ Europskog parlamenta i Vijeća od 7. ožujka 2002 o zajedničkom regulatornom okviru za elektroničke komunikacijske mreže i usluge (Okvrina direktiva) (2) koja su predmet posebnih sigurnosnih zahtjeva i zahtjeva za integritetom iz članka 13. stavka 1. točka (a) te Direktiveniti se primjenjuju na pružatelje usluga povjerenika (trust service providers). Nadaljeneovisno o primjeni ove Direktive na javnu upravu i sudionike na tržištuova Direktiva ne utječe na zadaće i dužnosti dodijeljene Europskom sustavu središnjih banaka (ESSB) Ugovorom i Statutom Europskog sustava središnjih banaka i Europske središnje bankeniti na jednakovrijedne funkcije koje obavljaju članovi ESSB-a u skladu s njihovim nacionalnim propisimaa posebno ne utječe na politike bonitetnog nadzora kreditnih institucija i nadzor platnih sustava i sustava namire vrijednosnih papira. Države članice uvažavaju funkcije bonitetnog nadzora i nadzorne funkcije koje obavljaju središnje banke i nadzorna tijela takvih sudionika u okviru svoje nadležnosti.

Uvodnu izjavu 5. potrebno je izmijeniti kako bi odražavala zadaće ESB-a i nacionalnih središnjih banaka u nadzoru i reguliranju platnih sustava i sustava namire. Sukladno četvrtoj alineji članka 127. stavka 2. Ugovorajedna od temeljnih zadaća ESSB-a je promicanje nesmetanog funkcioniranja platnih sustava. Članak 22. Statuta ESSB-a također ovlašćuje ESB na donošenje propisa radi osiguravanja učinkovitih i pouzdanih klirinških i platnih sustava. Treba također uzeti u obzir da ESSBu skladu s člankom 127. stavkom 5. Ugovoradoprinosi nesmetanom vođenju politika koje se odnose na stabilnost financijskog sustava. Nadaljeprema Okviru nadzorne politike Eurosustava od srpnja 2011.  (2) „nadzor platnih sustava i sustava namire zadaća je središnje bankepri čemu se ciljevi sigurnosti i učinkovitosti promiču praćenjem postojećih i predviđenih sustavanjihovim procjenjivanjem u odnosu na te ciljev igdje je potrebnounošenjem promjena”.

Drugim riječimaosiguranje sigurnosti i učinkovitosti sustava važan je preduvjet mogućnosti doprinošenja Eurosustava financijskoj stabilnostiprovođenja monetarne politike i zadržavanja povjerenja javnosti u euro.

Nadaljeu skladu s primjedbama ESB-a na Prijedlog izmjena direktive o platnim sustavima (PSD2)potrebno je primijetiti da su nacionalna nadzorna tijela i središnje banke nadležna tijela za izdavanje smjernica o upravljanju incidentima i obavijesti o incidentima za pružatelje platnih uslugakao i za izdavanje smjernica o razmjeni obavijesti o incidentima između nadležnih tijela. Uvodna izjava treba također uzeti u obzir zadaće dodijeljene ESB-u Uredbom (EU) br. 1024/2013.

KonačnoDirektiva ne bi trebala utjecati na zadaće jednakovrijedne onima iz Ugovora i Statuta ESSB-a koje članovi ESSB-a koji nisu članovi europodručja obavljaju u skladu sa svojim nacionalnim propisima.

Izmjena 2.

Članak 1. stavak 4. i (novi) stavak 5.

„4.

Ova Direktiva bez utjecaja je na propise EU-a o kibernetičkom kriminalu (cybercrime) i Direktivu Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označivanju europske ključne infrastrukture i procjeni potrebe poboljšanja njezine zaštite (9)

5.

Ova Direktiva također je bez utjecaja na Direktivu 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (10) Direktivu 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija i Uredbu Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (11).

6.

Razmjena informacija u okviru mreže suradnje u skladu s poglavljem III.i obavijesti o incidentima NIS-a u skladu s člankom 14. može zahtijevati obradu osobnih podataka. Takvu obradukoja je potrebna radi postizanja ciljeva od javnog interesa koji su postavljeni u ovoj Direktivimora odobriti država članica u skladu s člankom 7. Direktive 95/46/EZ i Direktivom 2002/58/EZkako su prenesene u nacionalno pravo.”

„4.

Ova Direktiva bez utjecaja je na propise EU-a Unije o kibernetičkom kriminalu (cybercrime) i Direktivu Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označivanju europske ključne infrastrukture i procjeni potrebe poboljšanja njezine zaštite (9).

5.

Ova Direktiva bez utjecaja je na nadzor i zadaće dodijeljenje ESB-u i ESSB-u koje se odnose na politike bonitetnog nadzora kreditnih institucija i platnih sustava i sustava namireza koje su ustanovljeni posebni zahtjevi upravljanja rizicima i sigurnosni zahtjevi unutar regulatornog okvira ESSB-a i drugim povezanim direktivama i uredbama Unije. Isto takoova direktiva ne dovodi u pitanje jednakovrijedne funkcije koje obavljaju članovi ESSB-a u skladu sa svojim nacionalnim propisima.

5 6.

Ova Direktiva također je bez utjecaja na Direktivu 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (10) Direktivu 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija i Uredbu Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (11).

6 7.

Razmjena informacija u okviru mreže suradnje u skladu s poglavljem III.i obavijesti o incidentima NIS-a u skladu s člankom 14. može zahtijevati obradu osobnih podataka. Takvu obradukoja je potrebna radi postizanja ciljeva od javnog interesa koji su postavljeni u ovoj Direktivimora odobriti država članica u skladu s člankom 7. Direktive 95/46/EZ i Direktivom 2002/58/EZkako su prenesene u nacionalno pravo.”

Kao što je gore navedenoESSB jako je zainteresiran za osiguravanje pravilnog funkcioniranja platnih sustava i sustava namire. To proizlazi iz važnosti platnih sustavaklirinških sustava i sustava namire za nesmetano vođenje operacija monetarne politike i iz uloge koju općenito imaju u osiguravanju stabilnosti financijskog sustava. StogaESB predlaže da Prijedlog direktive uzme u obzir ulogu ESSB-a u odnosu na platne sustave i sustave namire te nadzorni okvir koji se već primjenjuje. ESSB posjeduje vrlo učinkovite alate za utvrđivanje razina sigurnosti i učinkovitosti tih sustava. Uvodna izjava trebala bi također uzeti u obzir zadaće dodijeljene ESB-u Uredbom (EU) br. 1024/2013.

Prijedlog direktive ne smije dovesti u pitanje jednakovrijedne funkcije koje obavljaju članovi ESSB-a koji nisu iz europodručja u skladu sa svojim nacionalnim propisima.

Izmjena 3.

Članak 6. stavak 1.

„1.

Svaka država članica imenuje nacionalno nadležno tijelo za sigurnost mrežnih i informacijskih sustava (‚nadležno tijelo’).”

„1.

Svaka država članica imenuje nacionalno nadležno tijelo za sigurnost mrežnih i informacijskih sustava (‚nadležno tijelo’).

Između nadležnog tijela i europskih i nacionalnih regulatornih tijela bit će uspostavjena učinkovita suradnja.

Obrazloženje

ESB predlaže izmjenu članka 6. stavka 1. radi osiguranja dobre razine suradnje na razini Unije.

Izmjena 4.

Članak 8. stavak 3.

„3.

Unutar mreže suradnje nadležna tijela:

(a)

prosljeđuju rana upozorenja na rizike i incidente u skladu s člankom 10.;

(b)

osiguravaju koordinirani odgovor u skladu s člankom 11.;

(c)

na zajedničkoj mrežnoj stranici redovno objavljuju informacije koje nisu povjerljive o trenutačnim ranim upozorenjima te koordiniranom odgovoru;

(d)

zajednički raspravljaju te procjenjujuna zahtjev države članice ili Komisijejednu ili više strategija za NIS i nacionalne planove za suradnju za NIS navedene u članku 5. unutar opsega ove Direktive.

(e)

zajednički raspravljaju te procjenjujuna zahtjev države članice ili Komisijeučinkovitost CERT-ovaposebno kad se vježbe za NIS izvode na razini Unije;

(f)

surađuju i razmjenjuju informacije o svim relevantnim temama s Europskim centrom za kibernetički kriminal (EuropeanCybercrime Center) u sklopu Europola i s ostalim relevantnim europskim tijelimaposebno na polju zaštite podatakaenergetikeprijevozabankarstvaburzi i zdravstva;

(g)

razmjenjuju informacije i najbolje prakse međusobno i s Komisijom te si međusobno pomažu u izgradnji kapaciteta za NIS;

(h)

organiziraju redovne stručne preglede sposobnosti i pripravnosti;

(i)

organiziraju vježbe za NIS na razini Unije i sudjelujupo potrebiu međunarodnim vježbama za NIS.”

„3.

Unutar mreže suradnje nadležna tijela:

(a)

prosljeđuju rana upozorenja na rizike i incidente u skladu s člankom 10.;

(b)

osiguravaju koordinirani odgovor u skladu s člankom 11.;

(c)

na zajedničkoj mrežnoj lokaciji redovno objavljuju informacije koje nisu povjerljive o trenutačnim ranim upozorenjima te koordiniranom odgovoru;

(d)

zajednički raspravljaju te procjenjujuna zahtjev države članice ili Komisijejednu ili više državnih strategija za NIS i nacionalne planove za suradnju za NIS navedene u članku 5. unutar opsega ove Direktive. ;

(e)

zajednički raspravljaju te procjenjujuna zahtjev države članice ili Komisijeučinkovitost CERT-ovaposebno kad se vježbe za NIS izvode na razini Unije;

(f)

surađuju i razmjenjuju informacije o svim relevantnim temama s Europskim centrom za kibernetički kriminal (European Cybercrime Centre) u sklopu Europola i s ostalim relevantnim europskim tijelimaposebno na polju zaštite podatakaenergetikeprijevozabankarstvaburzi i zdravstva;

(g)

razmjenjuju informacije i najbolje prakse međusobno i s Komisijom te si međusobno pomažu u izgradnji kapaciteta za NIS;

(h)

organiziraju redovne stručne preglede sposobnosti i pripravnosti;

(i)

organiziraju vježbe za NIS na razini Unije i sudjelujupo potrebiu međunarodnim vježbama za NIS. ;

(j)

osiguravaju razmjenu podataka s europskim i nacionalnim regulatornim tijelima (tj. za financijski sektor: s Europskim sustavom središnjih banaka (ESSB)Europskim nadzornim tijelom za bankarstvo (EBA)Europskim nadzornim tijelom za vrijednosne papire i tržište kapitala (ESMA)koji usko surađuju kada se utvrde sigurnosni incidenti koji bi mogli ometati nesmetano funkcioniranje platnih sustava i sustava namire).

Postoji opravdanje za razmjenu podataka s Europskom agencijom za sigurnost mreža i podataka ili s nadležnim tijelima u skladu s Prijedlogom direktive te s EBA-om ili ESMA-om kao nadležnim tijelom za koordiniranje odgovora na incidente koji se odnose na pružatelje platnih usluga.

StogaESB predlaže ovu izmjenu s ciljem promicanja razmjene podataka i bolje koordinacije na razini Unije.

Izmjena 5.

Članak 19. stavak 1.

„1.

Komisiji pomaže odbor (Odbor za mrežnu i informacijsku sigurnost). Spomenuti odbor je odbor u smislu Uredbe (EU) br. 182/2011.”

„1.

Komisiji pomaže odbor (Odbor za mrežnu i informacijsku sigurnost). Spomenuti odbor je odbor u smislu Uredbe (EU) br. 182/2011.

ESBEBA i ESMA pozvani su slati predstavnike na sastanke Odbora za mrežnu i informacijsku sigurnost za točke dnevnog reda koje mogu imati utjecaja na obavljanje odgovarajućih zadaća ESB-aEBA-e ili ESMA-e.

ESB ima poseban interes za poboljšanje sigurnosti platnih sustava i sustava namireusluga i instrumenata kao važne sastavnice zadržavanja povjerenja u jedinstvenu valutu i nesmetanog funkcioniranja gospodarstva u Uniji. U tu svrhuESB predlaže da ga se poziva na sastanke Odbora za mrežnu i infromacijsku sigurnost. U svakom slučajupotrebno je formalno savjetovati se s ESB-om u skladu s Ugovorom o svim takvim mjerama koje se odnose na platne sustave i ostalim pitanjima iz nadležnosti ESB-a.

EBA ili ESMA trebaju također biti uključene u pitanja koja se odnose na pružatelje platnih usluga.


(1)  Podebljano u glavnom tekstu označava mjesta gdje ESB predlaže umetnuti novi tekst. Precrtano u glavnom tekstu označava mjesta gdje ESB predlaže brisati tekst.

(2)  Dostupno na mrežnoj stranici ESB-awww.ecb.europa.eu


Top