7.10.2014 |
HR |
Službeni list Europske unije |
C 352/4 |
MIŠLJENJE EUROPSKE SREDIŠNJE BANKE
od 25. srpnja 2014.
o Prijedlogu direktive Europskog parlamenta i Vijeća o mjerama za osiguravanje visoke zajedničke razine mrežne i informacijske sigurnosti u Uniji
(CON/2014/58)
2014/C 352/04
Uvod i pravna osnova
Europska komisija objavila je 7. veljače 2013. Prijedlog direktive o mjerama za osiguravanje visoke zajedničke razine mrežne i informacijske sigurnsoti u Uniji (1) (dalje u tekstu „Prijedlog direktive”).
Europska središnja banka (ESB) odlučila je dati mišljenje o Prijedlogu direktive na vlastitu inicijativu, budući da zakonodavci nisu formalno zatražili davanje mišljenja. Nadležnost ESB-a za davanje mišljenja utemeljena je na članku 127. stavku 4. i članku 282. stavku 5. Ugovora o funkcioniranju Europske unije budući da Prijedlog direktive sadrži odredbe koje utječu na zadaću Europskog sustava središnjih banaka (ESSB) promicati nesmetano funkcioniranja platnih sustava u skladu s četvrtom alinejom članka 127. stavka 2. Ugovora. Osim toga, članak 22. Statuta Europskog sustava središnjih banaka i Europske središnje banke (dalje u tekstu „Statut ESSB-a”) propisuje da ESB i nacionalne središnje banke mogu stvoriti mogućnosti, a ESB može donositi propise radi osiguravanja učinkovitog i pouzdanog klirinškog i platnog sustava unutar Unije i s drugim zemljama. U skladu s prvom rečenicom članka 17. stavka 5. Poslovnika Europske središnje banke, Upravno vijeće donijelo je ovo Mišljenje.
1. Svrha Prijedloga direktive
1.1. |
Prijedlog direktive ima za cilj osigurati visoku zajedničku razinu mrežne i informacijske sigurnosti (NIS) poboljšavanjem sigurnosti interneta i mrežnih i informacijskih sustava koji čine temelj našeg društva i gospodarstva. Ovaj Prijedlog direktive glavna je mjera Strategije kibernetičke sigurnost EU-a (European Cybersecurity Strategy) (2). |
1.2. |
Mrežni i informacijski sustavi imaju ključnu ulogu u olakšavanju prekograničnog kretanja robe, usluga i osoba. S obzirom na tu unutarnju transnacionalnu dimenziju, poremećaj u jednoj državi članici može utjecati na druge države članice i Uniju u cjelini. Povrh toga, vjerojatnost česte pojave incidenata i nemogućnost osiguranja učinkovite zaštite narušava povjerenje javnosti u NIS. Otpornost i stabilnost NIS-a stoga je ključna za nesmetano funkcioniranje unutarnjeg tržišta. |
1.3. |
Prijedlog direktive temelji se na prethodnim inicijativama u tom području (3). S tobzirom na navedeno, Prijedlog direktive prepoznaje potrebu za usklađivanjem pravila o NIS-u i za stvaranjem učinkovitih mehanizama suradnje među državama članicama. |
1.4. |
Prijedlog direktive uspostavlja zajednički pravni okvir Unije za NIS koji se odnosi na mogućnosti država članica, mehanizme suradnje na razini Unije te zahtjeve za javnu upravu i subjekte privatnog sektora u određenim ključnim sektorima. To bi trebalo osigurati odgovarajuću pripravnost na nacionalnoj razini i pomoći stvoriti ozračje međusobnog povjerenja, što je preduvjet učinkovite suradnje na razini Unije. Uspostavljanje mehanizama suradnje na razini Unije putem mreže stvorit će dosljedna i koordinirana sredstva za sprječavanje i reagiranje na prekogranične incidente i rizike NIS-a. |
1.5. |
Glavne odredbe odnose se na sljedeće:
|
2. Opće napomene
2.1. |
ESB podupire cilj Prijedloga direktive osiguravanje visoke zajedničke razine NIS-a u Uniji i postizanje dosljednosti pristupa na ovom području u poslovnim sektorima i državama članicama. Važno je osigurati da unutarnje tržište bude sigurno mjesto za poslovanje i da sve države članice imaju određenu minimalnu razinu pripravnosti za slučaj sigurnosno-kibernetičkog incidenta (cyber-security incident). |
2.2. |
Međutim, ESB smatra da Prijedlog direktive ne smije dovesti u pitanje postojeći režim Eurosustava za nadzor platnih sustava i sustava za namiru (5), koji uključuje odgovarajuće mehanizme, između ostalog, na području NIS-a. Potrebno je uzeti u obzir da ESB ima poseban interes za pojačanu sigurnost u platnim sustavima i sustavima za namiru (6) radi promicanja nesmetanog funkcioniranja platnih sustava i pomaganja zadržavanja povjerenja u euro i funkcioniranje gospodarstva u Uniji. |
2.3. |
Nadalje, procjena sigurnosnih mjera i obavijesti o incidentima za platne sustave, sustave za namiru i pružatelje platnih usluga (PSPs) jedna je od osnovnih nadležnosti tijela za bonitetni nadzor i središnjih banaka. Stoga odgovornost za razvoj nadzornih zahtjeva u gore navedenim područjima treba ostati u nadležnosti tih tijela te platni sustavi, sustavi za namiru i pružatelji platnih usluga ne bi trebali biti podložni mogućim suprotnim zahtjevima koje određuju druga nacionalna tijela. Nadalje, upravljanje rizicima, uključujući sigurnosne zahtjeve u odnosu na platne sustave i sustave namire i druge tržišne infrastrukture u europodručju utvrđuje Eurosustav, koji se sastoji od ESB-a i nacionalnih središnjih banaka država članica koje su usvojile euro. Preko te nadzorne funkcije, Eurosustav nastoji osigurati nesmetano funkcioniranje platnih sustava i sustava namire primjenjujući, između ostalog, prikladne nadzorne standarde i minimalne zahtjeve. Prijedlog direktive treba uzeti u obzir nadzorni okvir koji se već primjenjuje i osigurati regulatornu dosljednost u Uniji. |
3. Posebne napomene
3.1. |
Uvodna izjava 5. i članak 1. Prijedloga direktive navode da se relevantne obveze, mehanizmi suradnje i sigurnosni zahtjevi primjenjuju na sve javne uprave i sudionike na tržištu. Postojeći tekst uvodne izjave 5. i članka 1. ne uzima u obzir nadležnost Eurosustava, utvrđenu Ugovorom, za nadzor platnih sustava i sustava namire. Stoga Prijedlog direktive treba izmijeniti kako bi ispravno odražavao zadaće Eurosustava na tom području. |
3.2. |
Mehanizmi i postupci središnjih banaka i drugih nadležnih tijela za nadzor platnih sustava i sustava namire vrijednosnih papira sadržani su u nizu direktiva i uredbi Unije uključujući posebno:
|
3.3. |
Povrh toga, potrebno je primijetiti da je Upravno vijeće ESB-a 3. lipnja 2013., donijelo „Načela za infrastrukture financijskog tržišta”, koja su u travnju 2012. uveli Odbor za platne sustave i sustave namire (CPSS) Banke za međunarodne namire i Tehnički odbor Međunarodne organizacije nadzornih tijela za vrijednosne papire (IOSCO) (11), za provođenje nadzora Eurosustava u odnosu na sve vrste infrastruktura financijskog tržišta. Zatim je uslijedila javna rasprava o Nacrtu uredbe o nadzornim zahtjevima za sistemski važne platne sustave (dalje u tekstu „Uredba o SIPS-u”) (12). Uredba o SIPS-u uvodi CPSS-IOSCO načela kao pravno obvezujuća i uređuje sistemski važne sustave velikih plaćanja i sustave za mala plaćanja kojima upravljaju nacionalne središnje banke Eurosustava ili privatni subjekti. |
3.4. |
Postojeći nadzorni mehanizmi (13) koji se odnose na platne sustave i pružatelje platnih usluga već sadrže postupke za rana upozorenja (14) i koordinirane odgovore (15) unutar i izvan Eurosustava za borbu protiv mogućih sigurnosno-kibernetičkih prijetnji (cyber-security threats), koje odgovaraju onima iz članaka 10. i 11. Prijedloga direktive. |
3.5. |
ESSB utvrdio je standarde koji se odnose na obveze izvještavanja i upravljanja rizicima za platne sustave. Povrh toga, ESB redovito procjenjuje sustave za namiru vrijednosnih papira radi utvrđivanja njihove prihvatljivosti za uporabu u kreditnim operacijama Eurosustava. Stoga ESB smatra potrebnim da zahtjevi iz Prijedloga direktive koji utječu na ključne infrastrukture tržišta i njihove operatere (16) ne dovode u pitanje standarde iz Uredbe o SIPS-u, okvir nadzorne politike Eurosustava i druge propise Unije, a posebno EMIR i budući CSDR. Štoviše, ne smiju se sukobljavati sa zadaćama EBA-e ili ESMA-e i drugih tijela za bonitetni nadzor (17). |
3.6. |
Neovisno o gore navedenom, ESB smatra da postoje valjani razlozi za uvođenje mogućnosti razmjene relevantnih informacija između Eurosustava i Odbora za NIS na temelju članka 19. Prijedloga direktive. Za potrebe učinkovite razmjene informacija za koju se može javiti potreba, potrebno je pozvati ESB, EBA-u i ESMA-u da šalju predstavnike na sastanke Odbora za NIS za točke dnevnog reda koje bi mogle biti od interesa za obavljanje njihovih odnosnih zadaća. |
Sastavljeno u Frankfurtu na Majni 25. srpnja 2014.
Predsjednik ESB-a
Mario DRAGHI
(1) COM(2013) 48 završna verzija.
(2) Vidjeti Zajedničku komunikaciju Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija, „Strategija kibernetičke sigurnosti Europske unije: otvoren, siguran i zaštićen kibernetički prostor”, JOIN(2013) 1 završna verzija.
(3) To uključuje sljedeće komunikacije: „Mrežna i informacijska sigurnost: Prijedlog za strategiju europske politike”, COM(2001) 298 završna verzija; „Strategija za sigurno informacijsko društvo: ‚Dijalog, partnerstvo i osnaživanje’”, COM(2006) 251 završna verzija; „Zaštita ključne informacijske infrastrukture – ‚Zaštita Europe od kibernetičkih napada i poremećaja velikih razmjera: jačanjem pripravnosti, sigurnosti i otpornosti’”, COM(2009) 149 završna verzija; „Digitalni plan za Europu” COM(2010) 245 završna verzija; i „Zaštita ključne informacijske infrastrukture – ‚Postignuća i sljedeći koraci: prema globalnoj kibernetičkoj sigurnosti’”, COM(2011) 163 završna verzija.
(4) Direktiva 2002/21/EZ Europskog parlamenta i Vijeća od 7. ožujka 2002. o zajedničkom regulatornom okviru za elektroničke komunikacijske mreže i usluge (SL L 108, 24.4.2002., str. 33.).
(5) Nadzorne funkcije nekih članova ESSB-a provode se na temelju nacionalnih zakona i propisa koji dopunjuju, a u nekim slučajevima i udvostručavanju nadležnost Eurosustava.
(6) Pojam „namire” u smislu ovog Mišljenja uključuje i klirinšku funkciju.
(7) Direktiva 98/26/EZ Europskog parlamenta i Vijeća od 19. svibnja 1998. o konačnosti namire u platnim sustavima i sustavima za namiru vrijednosnih papira (SL L 166, 11.6.1998., str.45.).
(8) Molimo vidjeti treći podstavak članka 10. stavka 1. Direktive o konačnosti namire.
(9) Uredba (EU) br. 648/2012 Europskog parlamenta i Vijeća od 4. srpnja 2012. o OTC izvedenicama, središnjim drugim ugovornim stranama i trgovinskom repozitoriju (SL L 201, 27.7.2012., str. 1.).
(10) COM(2012) 73 završna verzija.
(11) Dostupno na mrežnoj stranici Banke za međunarodne namire, https://www.bis.org/publ/cpss94.pdf
(12) Dostupno na mrežnoj stranici ESB-a, http://www.ecb.europa.eu
(13) Vidjeti priopćenje za javnost ESB-a koje se odnosi na Memorandum o razumijevanju (MoU) o krajnjim načelima suradnje između nadzornih tijela za bankarstvo i središnjih banaka Europske Unije u upravljanju kriznim situacijama (2003.), dostupno na mrežnoj stranici ESB-a, www.ecb.europa.eu
(14) Vidjeti Preporuku 3.: praćenje incidenata i izvješćivanje o incidentima u „Preporuke za sigurnost internetskog plaćanja – konačna verzija nakon javne rasprave”, Europski forum o sigurnosti malih plaćanja (SecuRe Pay), siječanj 2013., dostupno na mrežnoj stranici ESB-a, www.ecb.europa.eu
(15) Na temelju načela zajedničkog međunarodnog nadzora, koja su ponovno naglašena u izvješću o nadzoru CPSS-a iz 2005., središnje banke Eurosustava uspješno su surađivale u nizu slučajeva, što je vidljivo, na primjer, u kontekstu nadzornih mehanizama za SWIFT (Društvo za svjetsku međubankovnu financijsku telekomunikaciju) i za neprekidnu vezanu namiru (Continuous Linked Settlement (CLS).
(16) Na primjer, zahtjevi za sudionike na tržištu za poštivanje tehničkih i organizacijskih mjera iz članka 14. stavaka 3. i 4. i ovlast izdavanja obvezujućih uputa sudionicima na tržištu iz članka 15. stavka 3. Prijedloga direktive.
(17) Vidjeti stavak 2.12. Mišljenja CON/2014/9 o prijedlogu direktive Europskog parlamenta i Vijeća o platnim uslugama na unutarnjem tržištu i izmjeni direktiva 2002/65/EZ, 2013/36/EU i 2009/110/EZ i o stavljanju izvan snage Direktive 2007/64/EZ (SL C 224, 15.7.2014., str. 1.). Sva mišljenja ESB-a objavljena su na mrežnoj stranici ESB-a, www.ecb.europa.eu
PRILOG
Prijedlozi izmjena
Prijedlog Komisije |
Izmjene koje je predložio ESB (1) |
||||||||||||||||||||||||||||||||||||||||||
Izmjena 1. |
|||||||||||||||||||||||||||||||||||||||||||
Uvodna izjava 5. |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Uvodnu izjavu 5. potrebno je izmijeniti kako bi odražavala zadaće ESB-a i nacionalnih središnjih banaka u nadzoru i reguliranju platnih sustava i sustava namire. Sukladno četvrtoj alineji članka 127. stavka 2. Ugovorajedna od temeljnih zadaća ESSB-a je promicanje nesmetanog funkcioniranja platnih sustava. Članak 22. Statuta ESSB-a također ovlašćuje ESB na donošenje propisa radi osiguravanja učinkovitih i pouzdanih klirinških i platnih sustava. Treba također uzeti u obzir da ESSBu skladu s člankom 127. stavkom 5. Ugovoradoprinosi nesmetanom vođenju politika koje se odnose na stabilnost financijskog sustava. Nadaljeprema Okviru nadzorne politike Eurosustava od srpnja 2011. (2) „nadzor platnih sustava i sustava namire zadaća je središnje bankepri čemu se ciljevi sigurnosti i učinkovitosti promiču praćenjem postojećih i predviđenih sustavanjihovim procjenjivanjem u odnosu na te ciljev igdje je potrebnounošenjem promjena”. Drugim riječimaosiguranje sigurnosti i učinkovitosti sustava važan je preduvjet mogućnosti doprinošenja Eurosustava financijskoj stabilnostiprovođenja monetarne politike i zadržavanja povjerenja javnosti u euro. Nadaljeu skladu s primjedbama ESB-a na Prijedlog izmjena direktive o platnim sustavima (PSD2)potrebno je primijetiti da su nacionalna nadzorna tijela i središnje banke nadležna tijela za izdavanje smjernica o upravljanju incidentima i obavijesti o incidentima za pružatelje platnih uslugakao i za izdavanje smjernica o razmjeni obavijesti o incidentima između nadležnih tijela. Uvodna izjava treba također uzeti u obzir zadaće dodijeljene ESB-u Uredbom (EU) br. 1024/2013. KonačnoDirektiva ne bi trebala utjecati na zadaće jednakovrijedne onima iz Ugovora i Statuta ESSB-a koje članovi ESSB-a koji nisu članovi europodručja obavljaju u skladu sa svojim nacionalnim propisima. |
|||||||||||||||||||||||||||||||||||||||||||
Izmjena 2. |
|||||||||||||||||||||||||||||||||||||||||||
Članak 1. stavak 4. i (novi) stavak 5. |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Kao što je gore navedenoESSB jako je zainteresiran za osiguravanje pravilnog funkcioniranja platnih sustava i sustava namire. To proizlazi iz važnosti platnih sustavaklirinških sustava i sustava namire za nesmetano vođenje operacija monetarne politike i iz uloge koju općenito imaju u osiguravanju stabilnosti financijskog sustava. StogaESB predlaže da Prijedlog direktive uzme u obzir ulogu ESSB-a u odnosu na platne sustave i sustave namire te nadzorni okvir koji se već primjenjuje. ESSB posjeduje vrlo učinkovite alate za utvrđivanje razina sigurnosti i učinkovitosti tih sustava. Uvodna izjava trebala bi također uzeti u obzir zadaće dodijeljene ESB-u Uredbom (EU) br. 1024/2013. Prijedlog direktive ne smije dovesti u pitanje jednakovrijedne funkcije koje obavljaju članovi ESSB-a koji nisu iz europodručja u skladu sa svojim nacionalnim propisima. |
|||||||||||||||||||||||||||||||||||||||||||
Izmjena 3. |
|||||||||||||||||||||||||||||||||||||||||||
Članak 6. stavak 1. |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Obrazloženje ESB predlaže izmjenu članka 6. stavka 1. radi osiguranja dobre razine suradnje na razini Unije. |
|||||||||||||||||||||||||||||||||||||||||||
Izmjena 4. |
|||||||||||||||||||||||||||||||||||||||||||
Članak 8. stavak 3. |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Postoji opravdanje za razmjenu podataka s Europskom agencijom za sigurnost mreža i podataka ili s nadležnim tijelima u skladu s Prijedlogom direktive te s EBA-om ili ESMA-om kao nadležnim tijelom za koordiniranje odgovora na incidente koji se odnose na pružatelje platnih usluga. StogaESB predlaže ovu izmjenu s ciljem promicanja razmjene podataka i bolje koordinacije na razini Unije. |
|||||||||||||||||||||||||||||||||||||||||||
Izmjena 5. |
|||||||||||||||||||||||||||||||||||||||||||
Članak 19. stavak 1. |
|||||||||||||||||||||||||||||||||||||||||||
|
ESBEBA i ESMA pozvani su slati predstavnike na sastanke Odbora za mrežnu i informacijsku sigurnost za točke dnevnog reda koje mogu imati utjecaja na obavljanje odgovarajućih zadaća ESB-aEBA-e ili ESMA-e.” |
||||||||||||||||||||||||||||||||||||||||||
ESB ima poseban interes za poboljšanje sigurnosti platnih sustava i sustava namireusluga i instrumenata kao važne sastavnice zadržavanja povjerenja u jedinstvenu valutu i nesmetanog funkcioniranja gospodarstva u Uniji. U tu svrhuESB predlaže da ga se poziva na sastanke Odbora za mrežnu i infromacijsku sigurnost. U svakom slučajupotrebno je formalno savjetovati se s ESB-om u skladu s Ugovorom o svim takvim mjerama koje se odnose na platne sustave i ostalim pitanjima iz nadležnosti ESB-a. EBA ili ESMA trebaju također biti uključene u pitanja koja se odnose na pružatelje platnih usluga. |
(1) Podebljano u glavnom tekstu označava mjesta gdje ESB predlaže umetnuti novi tekst. Precrtano u glavnom tekstu označava mjesta gdje ESB predlaže brisati tekst.
(2) Dostupno na mrežnoj stranici ESB-awww.ecb.europa.eu