(1)

kaip pažymėta Europos sisteminės rizikos valdybos rekomendacijos ESRV/2013/1 (4) 4 konstatuojamojoje dalyje, galutinis makroprudencinės politikos tikslas yra prisidėti prie visos finansų sistemos stabilumo apsaugos, įskaitant finansų sistemos atsparumo stiprinimą ir sisteminės rizikos susidarymo mažinimą, taip užtikrinant tvarų finansų sektoriaus įnašą į ekonomikos augimą. Europos sisteminės rizikos valdyba (ESRV) yra atsakinga už Sąjungos finansų sistemos makroprudencinę priežiūrą. Vykdydama savo įgaliojimus, ESRV turėtų prisidėti prie sisteminės rizikos finansiniam stabilumui, įskaitant riziką, susijusią su kibernetiniais incidentais, prevencijos ir mažinimo, ir pasiūlyti šios rizikos mažinimo būdus;

(2)

dideli kibernetiniai incidentai, atsižvelgiant į jų potencialą sutrikdant ypatingos svarbos finansinių paslaugų teikimą ir operacijų vykdymą, gali kelti sisteminę riziką finansų sistemai. Pirminis sukrėtimas gali sustiprėti dėl veiklos arba finansinio neigiamo poveikio plitimo arba dėl sumažėjusio pasitikėjimo finansų sistema. Jeigu finansų sistema negali absorbuoti šių sukrėtimų, finansiniam stabilumui kyla rizika ir šioje situacijoje gali kilti sisteminė kibernetinė krizė (5);

(3)

nuolat kintanti kibernetinių grėsmių padėtis ir neseniai padidėjęs didelių kibernetinių incidentų skaičius yra padidėjusios rizikos Sąjungos finansiniam stabilumui rodikliai. Per COVID-19 pandemiją išryškėjo svarbus technologijų vaidmuo, kurį jos atlieka sudarant sąlygas veikti finansų sistemai. Atitinkamos institucijos ir įstaigos savo techninę infrastruktūrą ir rizikos valdymo sistemas turi pritaikyti prie staiga padidėjusio nuotolinio darbo masto, dėl kurio finansų sistema apskritai tapo paveikesnė kibernetinėms grėsmėms, o nusikaltėliams atsirado galimybės kurti naujus veikimo būdus ir esamus veikimo būdus pritaikyti siekiant pasinaudoti susidariusia situacija (6). Atsižvelgiant į šias aplinkybes, kibernetinių incidentų, apie kuriuos pranešta ECB bankų priežiūros srityje, skaičius 2020 m. padidėjo 54 %, palyginti su 2019 m (7).;

(4)

įvykus dideliam, galbūt plataus masto, dideliu greičiu ir tempais plintančiam kibernetiniam incidentui, reikia, kad atitinkamos institucijos veiksmingai reaguotų, siekdamos sušvelninti galimas neigiamas pasekmes finansiniam stabilumui. Operatyvus atitinkamų institucijų veiksmų koordinavimas ir komunikacija Sąjungos lygmeniu gali padėti anksti nustatyti didelio kibernetinio incidento poveikį finansiniam stabilumui, išlaikyti pasitikėjimą finansų sistema ir apriboti neigiamų pasekmių išplitimą į kitas finansų įstaigas ir taip padėti užkirsti kelią tam, kad didelis kibernetinis incidentas nekeltų rizikos finansiniam stabilumui;

(5)

pagrindinis sukrėtimas atsiranda dėl naujoviškumo, palyginti su įprastomis finansų ir likvidumo krizėmis, su kuriomis paprastai susiduria atitinkamos institucijos. Bendrame rizikos vertinime, be finansinių aspektų, būtina aptarti veiklos sutrikimų mastą ir poveikį, nes jie gali turėti įtakos pasirenkant makroprudencines priemones. Be to, finansinis stabilumas taip pat gali turėti įtakos kibernetikos ekspertų sprendimui, susijusiam su poveikio veiklai mažinimo priemonėmis. Šiuo atveju reikalingas glaudus ir greitas koordinavimas ir atvira komunikacija inter alia siekiant gauti informacijos apie padėtį;

(6)

nepavykusio institucijų koordinavimo rizika išlieka ir ją reikia pašalinti. Atitinkamos Sąjungos institucijos turės koordinuoti savo veiklą tarpusavyje ir su kitomis institucijomis, pvz., Europos Sąjungos kibernetinio saugumo agentūra (ENISA), su kuriomis jos paprastai nebendrautų. Kadangi nemažai Sąjungos finansų įstaigų veikia pasauliniu mastu, tikėtina, kad didelis kibernetinis incidentas apims ne tik Sąjungos teritoriją arba gali būti pradėtas vykdyti už Sąjungos ribų, todėl atsaką į jį reikėtų koordinuoti pasauliniu mastu;

(7)

atitinkamos institucijos turi būti pasirengusios tokiai sąveikai. Priešingu atveju gali kilti rizika, kad jos imsis nesuderintų veiksmų, kurie prieštarauja arba kenkia kitų institucijų atsakui. Dėl tokio nepavykusio koordinavimo finansų sistema gali patirti dar didesnį sukrėtimą, kuris sumažintų pasitikėjimą finansų sistemos veikimu, o tai blogiausiu atveju keltų riziką finansiniam stabilumui (8). Todėl, siekiant šalinti finansiniam stabilumui dėl nepavykusio koordinavimo įvykus dideliam kibernetiniam incidentui kylančią riziką, reikėtų imtis būtinų veiksmų;

(8)

ESRV (2021) ataskaitoje Mitigating systemic cyber risk (9) nustatytas poreikis sukurti Europos sisteminių kibernetinių incidentų koordinavimo tarp atitinkamų Sąjungos institucijų sistemą (angl. pan-European systemic cyber incident coordination framework, toliau – EU-SCICF). EU-SCICF paskirtis turėtų būti padidinti atitinkamų institucijų parengties lygį, siekiant palengvinti koordinuotą atsaką į galimą didelį kibernetinį incidentą. ESRV (2021) ataskaitoje Mitigating systemic cyber risk numatyta, kad ESRV įvertina sistemos ypatumus, kurių prireiktų prima facie nesėkmingo koordinavimo rizikai pašalinti;

(9)

pagrindinis šios rekomendacijos tikslas – pasinaudoti viena iš Europos Parlamento ir Tarybos pasiūlyme dėl Reglamento dėl skaitmeninės veiklos atsparumo finansų sektoriuje (10) (toliau – DORA) nustatytų Europos priežiūros institucijų (EPI) funkcijų, t. y. palaipsniui sudaryti sąlygas veiksmingam Sąjungos lygmens koordinuotam atsakui įvykus dideliam tarpvalstybiniam informacijos ir ryšių technologijų (IRT) incidentui arba kilus susijusiai grėsmei, kuri daro sisteminį poveikį visam Sąjungos finansų sektoriui. Šio proceso metu bus sukurta atitinkamų institucijų EU-SCICF;

(10)

EU-SCICF turėtų būti siekiama ne pakeisti esamas sistemas, bet pašalinti bet kokias koordinavimo ir komunikavimo spragas tarp pačių atitinkamų institucijų ir su kitomis Sąjungos institucijomis bei kitais pagrindiniais dalyviais tarptautiniu lygmeniu. Šiuo atžvilgiu reikėtų įvertinti EU-SCICF vietą dabartinėje finansų krizės sistemoje ir išsamioje Sąjungos kibernetinių incidentų sistemoje. Dėl pačių atitinkamų institucijų koordinavimo pažymėtina, kad, be kita ko, reikėtų atsižvelgti į finansų sektoriaus subjektų tinklo ir informacinių sistemų (TIS) bendradarbiavimo grupės funkcijas ir veiklą pagal Europos Parlamento ir Tarybos direktyvą (ES) 2016/1148 (11), ir koordinavimo mechanizmus, kuriuos numatyta sukurti įsteigiant Jungtinį kibernetinio saugumo padalinį, įskaitant ENISA dalyvavimą;

(11)

visų pirma pasiūlymu pradėti EU-SCICF rengimo darbus siekiama patvirtinti galimas EPI funkcijas, numatytas DORA pasiūlyme. DORA siūloma, kad „EPI, pasitarusios jungtiniame komitete ir bendradarbiaudamos su kompetentingomis institucijomis, Europos Centriniu Banku (ECB) ir ESRV, gali nustatyti mechanizmus, kurie sudarytų sąlygas dalytis veiksminga praktika skirtinguose finansų sektoriuose, kad būtų didinamas informuotumas apie padėtį ir identifikuojami bendri kibernetiniai pažeidžiamumai ir rizika įvairiuose sektoriuose“ ir „gali parengti krizių valdymo ir nenumatytų atvejų užduotis, apimančias kibernetinių išpuolių scenarijus, siekdamos sukurti komunikacijos kanalus ir palaipsniui sudaryti sąlygas veiksmingam ES lygmens koordinuotam atsakui didelio tarpvalstybinio IRT incidento ar susijusios grėsmės, turinčios sisteminį poveikį visam Sąjungos finansų sektoriui, atveju“ (12). Tokios Europos sistemos kaip EU-SCICF dar nėra ir ją reikėtų sukurti ir plėtoti kartu su DORA;

(12)

atsižvelgiant į riziką finansiniam stabilumui Sąjungoje, kurią kelia kibernetinė rizika, parengiamuosius darbus, susijusius su EU-SCICF sukūrimu, reikėtų, kiek tai įmanoma, pradėti net prieš tai, kai bus visapusiškai taikoma jai sukurti reikalinga teisinė ir politinė sistema. Ši teisinė ir politinė sistema turėtų būti visiškai sukurta ir užbaigta pradėjus taikyti atitinkamas DORA nuostatas ir jos deleguotuosius aktus;

(13)

veiksminga komunikacija padeda atitinkamoms institucijoms gauti informacijos apie padėtį, taigi tai yra būtinoji sąlyga Sąjungos lygmens koordinavimui įvykus dideliems kibernetiniams incidentams. Šiuo atžvilgiu reikėtų apibrėžti komunikacijos infrastruktūrą, reikalingą atsakui į didelį kibernetinį incidentą koordinuoti. Tai reikštų poreikį nurodyti informacijos, kuria reikia dalytis, tipą, įprastus kanalus, naudojamus dalijantis tokia informacija, ir informacinius centrus, su kuriais tokia informacija reikėtų dalytis. Dalijantis informacija būtina laikytis galiojančių teisinių reikalavimų. Be to, atitinkamoms institucijoms gali prireikti apibrėžti veiksmų planą ir protokolus, kuriais reikia vadovautis, siekiant užtikrinti tinkamą institucijų, dalyvaujančių planuojant koordinuotą atsaką į didelį kibernetinį incidentą, koordinavimą;

(14)

sisteminės kibernetinės krizės atveju reikės pradėti visapusiškai bendradarbiauti nacionaliniu ir Sąjungos lygmenimis. Todėl EPI ir ECB informacinių centrų paskyrimas ir kiekvienos valstybės narės atitinkamų nacionalinių institucijų kaip informacinių centrų paskyrimas, apie kuriuos reikėtų pranešti EPI, gali būti numatytas siekiant EU-SCICF schemoje sukurti pagrindinius ryšių palaikymo punktus, kuriuos reikia informuoti didelio kibernetinio incidento atveju. Poreikį paskirti informacinius centrus reikėtų įvertinti EU-SCICF kūrimo metu, atsižvelgiant į paskirtą bendrąjį informacinį centrą tinklo ir informacinių sistemų saugumo klausimais pagal Direktyvą (ES) 2016/1148, kurį valstybės narės įsteigė siekdamos užtikrinti tarpvalstybinį bendradarbiavimą su kitomis valstybėmis narėmis ir TIS bendradarbiavimo grupe (13);

(15)

elgesys valdant krizę ir nenumatytų atvejų užduotys galėtų palengvinti EU-SCICF įgyvendinimą ir sudaryti sąlygas institucijoms įvertinti jų pasirengimą ir parengtį sisteminei kibernetinei krizei Sąjungos lygmeniu. Tokios užduotys padėtų institucijoms įgyti patirties ir sudarytų sąlygas nuolat tobulinti ir plėsti EU-SCICF;

(16)

kuriant EU-SCICF labai svarbu, kad EPI kartu atliktų susijusius parengiamuosius darbus ir išnagrinėtų galimus pagrindinius sistemos elementus ir reikalingus išteklius bei poreikius, kad sistemą būtų galima plėtoti toliau. Paskui EPI galėtų imtis darbų, susijusių su preliminaria bet kokių kliūčių, dėl kurių galėtų sumažėti EPI ir atitinkamų institucijų gebėjimai sukurti EU-SCICF ir dalytis susijusia informacija per komunikacijos kanalus didelio kibernetinio incidento atveju, analize. Tokia analizė būtų svarbus žingsnis pagrindžiant bet kokius tolesnius veiksmus, susijusius su teisėkūra arba kitomis pagalbinėmis iniciatyvomis, kurių Europos Komisija gali imtis po DORA įgyvendinimo etapo,

1.

2.

a)

kibernetinis – susijęs su tarpusavyje sujungtos informacinės infrastruktūros, kurioje vyksta asmenų, procesų, duomenų ir informacinių sistemų sąveika, laikmena, esantis jos viduje arba perduodamas per ją (14);

b)

didelis kibernetinis incidentas – su IRT susijęs incidentas, galintis turėti didelį neigiamą poveikį tinklui ir informacinėms sistemoms, kurios padeda finansų sektoriaus subjektams vykdyti ypatingos svarbos funkcijas (15);

c)

sisteminė kibernetinė krizė – didelis kibernetinis incidentas, kuris Sąjungos finansų sistemoje sukelia tokio lygmens sutrikimą, dėl kurio gali atsirasti rimtos neigiamos pasekmės sklandžiam vidaus rinkos ir realiosios ekonomikos veikimui. Tokia krizė galėtų atsirasti dėl didelio kibernetinio incidento, kuris sukelia sukrėtimus įvairiuose kanaluose, įskaitant veiklos, konfidencialumo ir finansinį kanalus;

d)

Europos priežiūros institucijos (EPI) – Europos priežiūros institucija (Europos bankininkystės institucija), įsteigta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1093/2010 (16), taip pat Europos priežiūros institucija (Europos draudimo ir profesinių pensijų institucija), įsteigta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1094/2010 (17), ir Europos priežiūros institucija (Europos vertybinių popierių ir rinkų institucija), įsteigta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 1095/2010 (18);

e)

jungtinis komitetas – Europos priežiūros institucijų jungtinis komitetas, įsteigtas pagal Reglamento (ES) Nr. 1093/2010, Reglamento (ES) Nr. 1094/2010 ir Reglamento (ES) Nr. 1095/2010 54 straipsnį;

f)

atitinkamos nacionalinės institucijos –

g)

atitinkama institucija –

a)

tinkamą dėmesį reikėtų skirti poreikiui žinoti ir proporcingumo principui, atsižvelgiant į rekomendacijos tikslą ir turinį;

b)

turėtų būti įvykdyti su kiekviena rekomendacija susiję priede išvardyti konkretūs atitikties kriterijai.

1.

A rekomendacija

2.

B rekomendacija

Iki 2023 m. birželio 30 d., bet ne anksčiau kaip praėjus šešiems mėnesiams nuo DORA įsigaliojimo, EPI, ECB ir valstybių narių prašoma pateikti Europos Parlamentui, Tarybai, Komisijai ir ESRV B rekomendacijos įgyvendinimo ataskaitą.

3.

C rekomendacija

1.

ESRV sekretoriatas:

2.

Bendroji valdyba įvertins adresatų pranešimą apie veiksmus ir pateiktą pagrindimą ir, kai tinkama, gali nuspręsti, kad šios rekomendacijos nebuvo laikomasi ir kad adresatas nesugebėjo tinkamai pagrįsti savo neveikimo.