7.10.2014   

LT

Europos Sąjungos oficialusis leidinys

C 352/4


EUROPOS CENTRINIO BANKO NUOMONĖ

2014 m. liepos 25 d.

dėl pasiūlymo dėl Europos Parlamento ir Tarybos direktyvos dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti

(CON/2014/58)

2014/C 352/04

Įžanga ir teisinis pagrindas

2013 m. vasario 7 d. Europos Komisija paskelbė pasiūlymą dėl direktyvos dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (1) (toliau – pasiūlyta direktyva).

Europos Centrinis Bankas (ECB) nusprendė savo iniciatyva pateikti nuomonę dėl pasiūlytos direktyvos, kadangi teisės akto leidėjai formaliai dėl jos nesikreipė. ECB kompetencija teikti nuomonę grindžiama Sutarties dėl Europos Sąjungos veikimo 127 straipsnio 4 dalimi ir 282 straipsnio 5 dalimi, nes pasiūlytoje direktyvoje yra nuostatų, darančių poveikį Europos centrinių bankų sistemos (ECBS) uždaviniui skatinti sklandų mokėjimo sistemų veikimą, kaip nurodyta Sutarties 127 straipsnio 2 dalies ketvirtojoje įtraukoje. Be to, Europos centrinių bankų sistemos ir Europos Centrinio Banko statuto (toliau – ECBS statutas) 22 straipsnis numato, kad ECB ir nacionaliniai centriniai bankai (NCB) gali sudaryti sąlygas, o ECB gali priimti reglamentus, kad būtų užtikrintas kliringo ir mokėjimo sistemų veiksmingumas ir patikimumas Sąjungoje ir su kitomis šalimis. Vadovaudamasi Europos Centrinio Banko darbo reglamento 17 straipsnio 5 dalies pirmuoju sakiniu, Valdančioji taryba priėmė šią nuomonę.

1.   Pasiūlytos direktyvos tikslas

1.1.

Pasiūlyta direktyva siekiama užtikrinti aukštą bendrą tinklų ir informacijos saugumo (TIS) lygį, didinant interneto ir tinklų bei informacinių sistemų, palaikančių mūsų visuomenę ir ekonomiką, saugumą. Šis pasiūlymas yra pagrindinis veiksmas pagal Europos kibernetinio saugumo strategiją (2).

1.2.

Tinklai ir informacinės sistemos vaidina labai svarbų vaidmenį skatinant tarpvalstybinį prekių, paslaugų ir asmenų judėjimą. Atsižvelgiant į šį būdingą viršnacionalinį aspektą, sutrikimas vienoje valstybėje narėje taip pat gali turėti neigiamo poveikio kitoms valstybėms narėms ir visai Sąjungai. Be to, dažnų incidentų tikimybė ir nesugebėjimas užtikrinti veiksmingos apsaugos kenkia visuomenės pasitikėjimui TIS. Todėl TIS atsparumas ir stabilumas yra labai svarbūs sklandžiam vidaus rinkos veikimui.

1.3.

Pasiūlyta direktyva remiasi ankstesnėmis iniciatyvomis šioje srityje. Tokiame kontekste pasiūlyta direktyva pripažįsta poreikį suderinti TIS taisykles ir sukurti veiksmingus bendradarbiavimo tarp valstybių narių mechanizmus (3).

1.4.

Pasiūlyta direktyva įkuriama bendra Sąjungos teisinė sistema, skirta TIS, atsižvelgiant į valstybių narių gebėjimus, nustatomi bendradarbiavimo Sąjungos lygmeniu mechanizmai ir reikalavimai, taikomi viešojo administravimo institucijoms bei privačiojo sektoriaus subjektams konkrečiuose ypatingos svarbos sektoriuose. Tai turėtų užtikrinti deramą parengtį nacionaliniu lygmeniu ir padėtų sustiprinti abipusį pasitikėjimą, kuris yra būtina veiksmingo bendradarbiavimo Sąjungos lygmeniu sąlyga. Sukūrus bendradarbiavimo Sąjungos lygmeniu mechanizmus pasinaudojant tinklu būtų užtikrinta nuosekli ir koordinuota apsauga ir atsakomieji veiksmai į tarpvalstybinius TIS incidentus ir riziką.

1.5.

Pagrindinės nuostatos numato:

a)

reikalavimą, kad visos valstybės narės užtikrintų minimalų nacionalinių pajėgumų lygį, įsteigdamos kompetentingas TIS institucijas, sukurdamos kompiuterinių incidentų tyrimo tarnybas (CERT) ir priimdamos nacionalines TIS strategijas bei nacionalinius TIS bendradarbiavimo planus;

b)

reikalavimą keistis informacija tarp valstybių narių tinklo viduje, taip pat visos Europos TIS bendradarbiavimo plano sukūrimą ir koordinuotus išankstinius perspėjimus apie kibernetinio saugumo incidentus;

c)

kad, remiantis Europos Parlamento ir Tarybos direktyvos 2002/21/EB (4) pavyzdžiu, būtų užtikrinta, kad būtų plėtojama rizikos valdymo kultūra ir kad privatusis ir viešasis sektoriai keistųsi informacija. Konkrečių ypatingos svarbos sektorių įmonės ir viešojo administravimo institucijos turės įvertinti joms kylančią riziką ir priimti atitinkamas ir proporcingas priemones TIS užtikrinti. Jos taip pat privalės pranešti kompetentingoms institucijoms apie visus incidentus, kurie kelia didelę grėsmę jų tinklų ir informacinėms sistemoms ir turi didelės neigiamos įtakos jų ypatingos svarbos paslaugų ir prekių tiekimo tęstinumui.

2.   Bendros pastabos

2.1.

ECB pritaria pasiūlytos direktyvos tikslui užtikrinti aukštą bendrą TIS saugumo lygį Sąjungoje ir pasiekti, kad verslo sektoriuose ir valstybėse narėse šioje srityje būtų laikomasi nuoseklaus požiūrio. Svarbu užtikrinti, kad vidaus rinka būtų saugi vieta vykdyti verslą ir kad visos valstybės narės turėtų būtinąjį parengties lygį kibernetinio saugumo incidento atveju.

2.2.

Tačiau ECB mano, kad pasiūlyta direktyva turėtų nepažeisti dabartinio Eurosistemos vykdomos mokėjimo ir atsiskaitymo sistemų priežiūros režimo (5), kuris apima atitinkamą tvarką, inter alia, TIS srityje. Pažymėtina, kad ECB yra ypač suinteresuotas sustiprintu Eurosistemos mokėjimo ir atsiskaitymo sistemų saugumu (6), siekiant užtikrinti sklandų mokėjimo sistemų veikimą ir padedant išsaugoti pasitikėjimą euru ir Sąjungos ekonomikos veikimą.

2.3.

Be to, mokėjimo ir atsiskaitymo sistemų ir mokėjimo paslaugų teikėjų (MPT) saugumo tvarkos ir pranešimų apie incidentus vertinimas yra viena iš esminių rizikos ribojimo priežiūros institucijų ir centrinių bankų funkcijų. Todėl šios institucijos turėtų išlikti atsakingos už priežiūros reikalavimų formulavimą pirmiau minėtose srityse, bei mokėjimo ir atsiskaitymo sistemoms ir MPT neturėtų būti taikomi potencialiai prieštaringi reikalavimai, kuriuos nustatytų kitos nacionalinės institucijos. Be to, rizikos valdymą, įskaitant saugumo reikalavimus, taikomus mokėjimo ir atsiskaitymo sistemoms ir kitoms rinkos infrastruktūroms euro zonoje, nustato Eurosistema, kurią sudaro ECB ir valstybių narių, kurių valiuta yra euro, NCB. Vykdydama šią priežiūros funkciją, Eurosistema siekia užtikrinti sklandų mokėjimo ir atsiskaitymo sistemų veikimą taikant, inter alia, atitinkamus priežiūros standartus ir būtinuosius reikalavimus. Pasiūlyta direktyva turėtų atsižvelgti į dabartinę priežiūros sistemą ir užtikrinti reglamentavimo nuoseklumą Sąjungoje.

3.   Konkrečios pastabos

3.1.

Pasiūlytos direktyvos 5 konstatuojamojoje dalyje ir 1 straipsnyje numatyta, kad atitinkami įsipareigojimai, bendradarbiavimo mechanizmas ir saugumo reikalavimai taikomi visoms viešojo administravimo institucijoms ir rinkos dalyviams. Dabartinė 5 konstatuojamosios dalies ir 1 straipsnio formuluotė neatsižvelgia į Sutartyje įtvirtintus Eurosistemos įgaliojimus prižiūrėti mokėjimo ir atsiskaitymo sistemas. Dėl to pasiūlyta direktyva turėtų būti pakeista siekiant tinkamai atspindėti Eurosistemos įsipareigojimus šioje srityje.

3.2.

Centrinių bankų ir kitų kompetentingų institucijų vykdomos mokėjimo ir atsiskaitymo sistemų priežiūros tvarka ir procedūros yra įtvirtintos kai kuriose Sąjungos direktyvose ir reglamentuose, įskaitant:

a)

Europos Parlamento ir Tarybos direktyvą 98/26/EB (toliau – Atsiskaitymų baigtinumo direktyva) (7), įgalinančią valstybių narių kompetentingas institucijas nustatyti mokėjimo ir atsiskaitymo sistemų, priklausančių jų jurisdikcijai, priežiūros tvarką (8);

b)

Europos Parlamento ir Tarybos reglamentą (ES) Nr. 648/2012 (9) (toliau – Europos rinkos infrastruktūrų reglamentas (ERIR)), pripažįstantį Europos vertybinių popierių ir rinkų institucijos (EVPRI), Europos bankininkystės institucijos (EBI) ir ECBS vaidmenį nustatant reguliavimo standartus ir atliekant pagrindinių sandorio šalių priežiūrą, ir

c)

pasiūlymą dėl Reglamento dėl atsiskaitymo už vertybinius popierius gerinimo Europos Sąjungoje ir centrinių vertybinių popierių depozitoriumų (CVPD), kuriuo iš dalies keičiama Direktyva 98/26/EB (10) (toliau – CVPD reglamentas (CVPDR)), nustatantį reikalavimą, kad kompetentingoms institucijoms būtų suteikti priežiūros ir tyrimo įgaliojimai, ypač to reglamento 45 straipsnį, įtvirtinantį rizikos ribojimo reikalavimus CVPD, įskaitant svarbias nuostatas dėl operacinės rizikos mažinimo.

3.3.

Be to, pažymėtina tai, kad 2013 m. birželio 3 d. ECB valdančioji taryba priėmė „Finansų rinkos infrastruktūrų principus“, kuriuos 2012 m. balandžio mėn. patvirtino Tarptautinių atsiskaitymų banko mokėjimo ir atsiskaitymo sistemų komitetas (CPSS) ir Tarptautinės vertybinių popierių komisijų organizacijos (IOSCO) techninis komitetas (11), skirtus Eurosistemos vykdomai visų rūšių finansų rinkos infrastruktūrų priežiūrai. Po to buvo viešai konsultuojamasi dėl reglamento projekto dėl sistemiškai svarbių mokėjimo sistemų priežiūros reikalavimų (toliau – SSMS reglamentas) (12). SSMS reglamentas įgyvendina CPSS-IOSCO principus teisiškai privalomu būdu ir apima sistemiškai svarbias didelės vertės ir mažmenines mokėjimo sistemas, kurias valdo Eurosistemos NCB arba privatūs subjektai.

3.4.

Dabar galiojanti priežiūros tvarka (13) mokėjimo sistemų ir MPT atžvilgiu jau numato ankstyvų įspėjimų (14) ir koordinuoto atsako (15) procedūras Eurosistemoje ir už jos ribų, skirtas kovoti su galimomis kibernetinio saugumo grėsmėmis, ir šios procedūros yra lygiavertės įtvirtintoms pasiūlytos direktyvos 10 ir 11 straipsniuose.

3.5.

ECBS yra nustačiusi mokėjimo sistemų pranešimo ir rizikos valdymo įsipareigojimų standartus. Be to, ECB reguliariai vertina atsiskaitymo vertybiniais popieriais sistemas siekdamas nustatyti jų tinkamumą Eurosistemos kredito operacijoms. Dėl to, ECB manymu, būtina, kad pasiūlytoje direktyvoje įtvirtinti reikalavimai ypač svarbioms rinkos infrastruktūroms ir jų dalyviams (16) nepažeistų standartų, įtvirtintų SSMS reglamente, Eurosistemos priežiūros politikos sistemoje arba kituose Sąjungos reglamentuose, ypač ERIR ir būsimame CVPDR. Be to, jie neturėtų trukdyti EBI ar EVPRI, taip pat kitų rizikos ribojimo priežiūros institucijų uždaviniams (17).

3.6.

Nepaisant to, kas išdėstyta pirmiau, ECB mano, kad egzistuoja aiškus poreikis, kad Eurosistema keistųsi atitinkama informacija su TIS komitetu, kuris įsteigiamas pagal pasiūlytos direktyvos 19 straipsnį. Tam, kad reikalui esant būtų veiksmingai keičiamasi informacija, ECB, EBI ir EVPRI turėtų būti kviečiami atsiųsti atstovus dalyvauti TIS komiteto posėdžiuose tais darbotvarkės klausimais, kurie gali būti svarbūs atitinkamų jų įgaliojimų vykdymui.

Priimta Frankfurte prie Maino 2014 m. liepos 25 d.

ECB Pirmininkas

Mario DRAGHI


(1)  COM(2013) 48 final.

(2)  Žr. Bendrą komunikatą Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Europos Sąjungos kibernetinio saugumo strategija: Atvira, saugi ir patikima kibernetinė erdvė“, JOIN(2013) 1 final.

(3)  Tai apima šiuos komunikatus: „Tinklų ir informacijos saugumas: pasiūlymas dėl Europos politikos požiūrio“ COM(2001) 298 galutinis; „Saugios informacinės visuomenės strategija: „Dialogas, partnerystė ir teisių suteikimas““ COM(2006) 251 galutinis; „Ypatingos svarbos informacinės infrastruktūros apsauga – „Europos apsauga nuo didelio masto kibernetinių antpuolių ir veiklos sutrukdymo – geresnė parengtis, didesnis saugumas ir atsparumas““ COM(2009) 149 galutinis; „Europos skaitmeninė darbotvarkė“ COM(2010) 245 galutinis; ir „Ypatingos svarbos informacinės infrastruktūros apsauga – „Visuotinio kibernetinio saugumo užtikrinimas. Laimėjimai ir tolesni veiksmai““ COM(2011) 163 galutinis.

(4)  2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyva 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (OL L 108, 2002 4 24, p. 33).

(5)  Kai kurių ECBS narių priežiūros funkcijos vykdomos pagal nacionalinius įstatymus ir taisykles, kurios papildo, o tam tikrais atvejais dubliuoja Eurosistemos kompetenciją.

(6)  Šioje nuomonėje vartojama sąvoka „atsiskaitymas“ apima tarpuskaitos funkciją.

(7)  1998 m. gegužės 19 d. Europos Parlamento ir Tarybos direktyva 98/26/EB dėl atsiskaitymų baigtinumo mokėjimų ir vertybinių popierių atsiskaitymų sistemose (OL L 166, 1998 6 11, p. 45).

(8)  Žr. Atsiskaitymų baigtinumo direktyvos 10 straipsnio 1 dalies trečią pastraipą.

(9)  2012 m. liepos 4 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 648/2012 dėl ne biržos išvestinių finansinių priemonių, pagrindinių sandorio šalių ir sandorių duomenų saugyklų (OL L 201, 2012 7 27, p. 1).

(10)  COM(2012) 73 final.

(11)  Paskelbta Tarptautinių atsiskaitymų banko interneto svetainėje https://www.bis.org/publ/cpss94.pdf

(12)  Paskelbta ECB interneto svetainėje http://www.ecb.europa.eu

(13)  Žr. ECB pranešimą spaudai dėl Susitarimo memorandumo (MoU) dėl aukšto lygio principų, taikomų Europos Sąjungos bankų priežiūros institucijoms ir centriniams bankams bendradarbiaujant krizių valdymo situacijose (2003), paskelbta ECB interneto svetainėje www.ecb.europa.eu

(14)  Žr. 3 rekomendaciją: incidentų stebėsena ir pranešimas „Rekomendacijos dėl internetinių mokėjimų saugumo – galutinė redakcija po viešųjų konsultacijų“, Europos mažmeninių mokėjimų saugumo forumas (SecuRe Pay), 2013 m. sausio mėn., paskelbta ECB interneto svetainėje www.ecb.europa.eu

(15)  Remdamiesi tarptautinės bendradarbiaujant vykdomos priežiūros principais, kaip pabrėžta 2005 m. CPSS priežiūros ataskaitoje, daugeliu atvejų Eurosistemos centriniai bankai sėkmingai dalyvavo bendradarbiavimo susitarimuose, kaip matyti, pavyzdžiui, SWIFT (the Society for Worldwide Interbank Financial Telecommunications) ir Continuous Linked Settlement (CLS) priežiūros susitarimų kontekste.

(16)  Pavyzdžiui, pasiūlytos direktyvos 14 straipsnio 3 ir 4 dalyse numatyti reikalavimai rinkos dalyviams imtis techninių ir organizacinių priemonių bei 15 straipsnio 3 dalyje įtvirtinti įgaliojimai pateikti privalomus nurodymus rinkos dalyviams.

(17)  Žr. Nuomonės CON/2014/9 dėl pasiūlymo dėl Europos Parlamento ir Tarybos direktyvos dėl mokėjimo paslaugų vidaus rinkoje, kuria iš dalies keičiamos Direktyvos 2002/65/EB, 2013/36/ES ir 2009/110/EB ir panaikinama Direktyva 2007/64/EB (OL C 224, 2014 7 15, p. 1), 2.12 punktą. Visos ECB nuomonės skelbiamos ECB interneto svetainėje www.ecb.europa.eu


PRIEDAS

Redagavimo pasiūlymai

Komisijos pasiūlytas tekstas

ECB siūlomi pakeitimai (1)

1 pakeitimas

5 konstatuojamoji dalis

„(5)

siekiant aprėpti visus reikšmingus incidentus ir rizikos rūšis, ši direktyva turėtų būti taikoma visoms tinklų ir informacinėms sistemoms. Tačiau viešojo administravimo institucijoms ir rinkos dalyviams taikomi įpareigojimai neturėtų būti taikomi nei įmonėms, teikiančioms viešųjų ryšių tinklų arba viešai prieinamas elektroninių ryšių paslaugas, apibrėžtas 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvoje 2002/21/EB 2002 dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva) (2), kurioms taikomi specifiniai saugumo ir vientisumo reikalavimai, nustatyti tos direktyvos 13a straipsnyje, nei patikimumo užtikrinimo paslaugų teikėjams.“

„(5)

siekiant aprėpti visus reikšmingus incidentus ir rizikos rūšis, ši direktyva turėtų būti taikoma visoms tinklų ir informacinėms sistemoms. Tačiau viešojo administravimo institucijoms ir rinkos dalyviams taikomi įpareigojimai neturėtų būti taikomi nei įmonėms, teikiančioms viešųjų ryšių tinklų arba viešai prieinamas elektroninių ryšių paslaugas, apibrėžtas 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvoje 2002/21/EB 2002 dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva) (2), kurioms taikomi specifiniai saugumo ir vientisumo reikalavimai, nustatyti tos direktyvos 13a straipsnyje, nei patikimumo užtikrinimo paslaugų teikėjams. Be to, nepaisant to, kad ši direktyva taikoma viešojo administravimo institucijoms ir rinkos dalyviams, ši direktyva neturi poveikio tiems uždaviniams ir įsipareigojimams, kuriuos Europos centrinių bankų sistemai (ECBS) paveda Sutartis ir Europos centrinių bankų sistemos ir Europos Centrinio Banko statutas, taip pat lygiavertėms funkcijoms, kurias vykdo ECBS nariai remdamiesi savo nacionalinėmis sistemomis, ypač dėl politikos, susijusios su kredito įstaigų rizikos ribojimo priežiūra bei mokėjimo ir vertybinių popierių atsiskaitymo sistemų priežiūra. Valstybės narės pasikliauja rizikos ribojimo priežiūros ir priežiūros funkcijomis, kurias savo kompetencijos srityse vykdo centriniai bankai ir tokių dalyvių priežiūros institucijos.

5 konstatuojamoji dalis turi būti iš dalies pakeista, siekiant atspindėti ECB ir NCB įsipareigojimus prižiūrint ir reguliuojant mokėjimo ir atsiskaitymo sistemas. Pagal Sutarties 127 straipsnio 2 dalies ketvirtąją įtrauką, vienas kertinių ECBS uždavinių – skatinti sklandų mokėjimo sistemų veikimą. ECBS statuto 22 straipsnis taip pat įgalina ECB priimti reglamentus, kad būtų užtikrintas kliringo ir mokėjimo sistemų veiksmingumas ir patikimumas. Taip pat turėtų būti atsižvelgiama į tai, kad pagal Sutarties 127 straipsnio 5 dalį ECBS prisideda prie sklandaus politikos, susijusios su finansų sistemos stabilumu, vykdymo. Be to, pagal 2011 m. liepos mėn. Eurosistemos priežiūros politikos pagrindus  (2) „mokėjimo ir atsiskaitymo sistemų priežiūra yra centrinio banko funkcija, o saugumo ir veiksmingumo tikslų siekiama stebint dabartines ir planuojamas sistemas, vertinant jas atsižvelgiant į šiuos tikslus ir, kai būtina, skatinant pokyčius“.

Kitaip tariant, sistemų saugumo ir veiksmingumo užtikrinimas yra svarbi prielaida tam, kad Eurosistema gebėtų prisidėti prie finansų stabilumo, pinigų politikos įgyvendinimo ir visuomenės pasitikėjimo euru išsaugojimo.

Be to, remiantis ECB pastabomis dėl pasiūlymo peržiūrėti mokėjimo paslaugų direktyvą (MPD2), pažymėtina tai, kad nacionalinės priežiūros institucijos ir centriniai bankai yra kompetentingos institucijos priimti MPT skirtas gaires dėl incidentų valdymo ir pranešimo apie incidentus, taip pat gaires dėl atitinkamų institucijų keitimosi pranešimais apie incidentus. Šioje konstatuojamojoje dalyje taip pat turėtų būti tinkamai atsižvelgiama į ECB uždavinius, jam pavestus Reglamentu (ES) Nr. 1024/2013.

Galiausiai, kai ne euro zonos ECBS nariai, remdamiesi savo nacionalinėmis nuostatomis, vykdo funkcijas, lygiavertes įtvirtintoms Sutartyje ir ECBS statute, šioms funkcijoms taip pat neturėtų būti daromas poveikis.

2 pakeitimas

1 straipsnio 4 ir 5 dalis (nauja)

„4.

Šia direktyva nepažeidžiami ES teisės aktai elektroninių nusikaltimų srityje ir 2008 m. gruodžio 8 d. Tarybos direktyva 2008/114/EC dėl Europos ypatingos svarbos infrastruktūros objektų nustatymo ir priskyrimo jiems bei būtinybės gerinti jų apsaugą (9) vertinimo

5.

Be to, šia direktyva nepažeidžiama 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (10) ir 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje ir Europos Parlamento ir Tarybos reglamentas dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (11).

6.

Dalijantis informacija bendradarbiavimo tinkle pagal III skyrių ir teikiant pranešimus apie TIS incidentus pagal 14 straipsnį, gali reikėti tvarkyti asmens duomenis. Pagal Direktyvos 95/46/EB 7 straipsnį ir Direktyvą 2002/58/EB, kaip perkelta į nacionalinę teisę, valstybė narė suteikia įgaliojimus taip tvarkyti duomenis, kai tai reikalinga, kad būtų įgyvendinti bendro intereso tikslai, kurių siekiama šia direktyva.“

„4.

Šia direktyva nepažeidžiami ESąjungos teisės aktai elektroninių nusikaltimų srityje ir 2008 m. gruodžio 8 d. Tarybos direktyva 2008/114/EC dėl Europos ypatingos svarbos infrastruktūros objektų nustatymo ir priskyrimo jiems bei būtinybės gerinti jų apsaugą (9) vertinimo.

5.

Šia direktyva nepažeidžiama priežiūra ir uždaviniai, pavesti ECB ir ECBS dėl politikos, susijusios su kredito įstaigų rizikos ribojimo priežiūra, ir mokėjimo ir atsiskaitymo sistemomis, kurių atžvilgiu ECBS reguliavimo sistemoje ir kitose susijusiose Sąjungos direktyvose ir reglamentuose buvo nustatyti specialūs rizikos valdymo ir saugumo reikalavimai. Ši direktyva taip pat nepažeidžia lygiaverčių funkcijų, kurias vykdo ECBS nariai remdamiesi savo nacionalinėmis sistemomis.

5 6.

Be to, šia direktyva nepažeidžiama 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva (95/46/EB) dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (10) ir 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje ir Europos Parlamento ir Tarybos reglamentas dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (11).

6 7.

Dalijantis informacija bendradarbiavimo tinkle pagal III skyrių ir teikiant pranešimus apie TIS incidentus pagal 14 straipsnį, gali reikėti tvarkyti asmens duomenis. Pagal Direktyvos 95/46/EB 7 straipsnį ir Direktyvą 2002/58/EB, kaip perkelta į nacionalinę teisę, valstybė narė suteikia įgaliojimus taip tvarkyti duomenis, kai tai reikalinga, kad būtų įgyvendinti bendro intereso tikslai, kurių siekiama šia direktyva.“

Kaip pažymėta pirmiau, ECBS yra ypač suinteresuota, kad mokėjimo ir atsiskaitymo sistemos veiktų tinkamai. Tai lemia mokėjimo, kliringo ir atsiskaitymo sistemų svarba sklandžiam pinigų politikos operacijų vykdymui ir vaidmuo, kurį jos atlieka užtikrinant visos finansų sistemos stabilumą. Todėl ECB rekomenduoja, kad pasiūlyta direktyva atsižvelgtų į ECBS vaidmenį, kurį ji atlieka mokėjimo ir atsiskaitymo sistemų atžvilgiu, ir į dabartinę priežiūros sistemą. ECBS turi labai veiksmingų įrankių nustatyti šių sistemų saugumo ir veiksmingumo lygius. Konstatuojamojoje dalyje taip pat turėtų būti tinkamai atsižvelgiama į ECB uždavinius, jam pavestus Reglamentu (ES) Nr. 1024/2013.

Pasiūlyta direktyva taip pat neturėtų pažeisti lygiaverčių funkcijų, kurias vykdo ne euro zonos ECBS nariai remdamiesi savo nacionalinėmis sistemomis.

3 pakeitimas

6 straipsnio 1 dalis

„1.

Kiekviena valstybė narė paskiria nacionalinę tinklų ir informacinių sistemų saugumo kompetentingą instituciją („kompetentinga institucija“).“

„1.

Kiekviena valstybė narė paskiria nacionalinę tinklų ir informacinių sistemų saugumo kompetentingą instituciją („kompetentinga institucija“).

Sukuriamas veiksmingas kompetentingos institucijos ir Europos bei nacionalinių reguliavimo institucijų bendradarbiavimas.

Paaiškinimas

ECB rekomenduoja iš dalies pakeisti 6 straipsnio 1 dalį, kad būtų užtikrintas tinkamas bendradarbiavimas Sąjungos lygmeniu.

4 pakeitimas

8 straipsnio 3 dalis

„3.

Bendradarbiavimo tinkle kompetentingos institucijos:

(a)

skelbia išankstinius perspėjimus apie riziką ir incidentus pagal 10 straipsnį;

(b)

užtikrina koordinuotus atsakomuosius veiksmus pagal 11 straipsnį;

(c)

bendroje svetainėje reguliariai skelbia nekonfidencialią informaciją apie nuolat teikiamus išankstinius perspėjimus ir koordinuotus atsakomuosius veiksmus;

(d)

vienos valstybės narės ar Komisijos prašymu pagal šią direktyvą drauge aptaria ir įvertina vieną ar daugiau nacionalinių TIS strategijų ir nacionalinių TIS bendradarbiavimo planų, nurodytų 5 straipsnyje.

(e)

valstybės narės ar Komisijos prašymu drauge aptaria ir įvertina CERT efektyvumą, ypač kai TIS pratybos vykdomos Sąjungos lygmeniu;

(f)

visais aktualiais klausimais bendradarbiauja ir keičiasi informacija su Europolo Europos kovos su elektroniniu nusikalstamumu centru ir su kitomis susijusiomis Europos įstaigomis, ypač duomenų apsaugos, energetikos, transporto, bankininkystės, vertybinių popierių biržų ir sveikatos srityse;

(g)

keičiasi informacija ir geriausia patirtimi tarpusavyje ir su Komisija ir viena kitai padeda didinti su TIS susijusius gebėjimus;

(h)

reguliariai rengia gebėjimų ir pasirengimo tarpusavio vertinimą;

(i)

Sąjungos lygmeniu rengia TIS pratybas ir prireikus dalyvauja tarptautinėse TIS pratybose.“

„3.

Bendradarbiavimo tinkle kompetentingos institucijos:

(a)

skelbia išankstinius perspėjimus apie riziką ir incidentus pagal 10 straipsnį;

(b)

užtikrina koordinuotus atsakomuosius veiksmus pagal 11 straipsnį;

(c)

bendroje svetainėje reguliariai skelbia nekonfidencialią informaciją apie nuolat teikiamus išankstinius perspėjimus ir koordinuotus atsakomuosius veiksmus;

(d)

vienos valstybės narės ar Komisijos prašymu pagal šią direktyvą drauge aptaria ir įvertina vieną ar daugiau nacionalinių TIS strategijų ir nacionalinių TIS bendradarbiavimo planų, nurodytų 5 straipsnyje. ;

(e)

valstybės narės ar Komisijos prašymu drauge aptaria ir įvertina CERT efektyvumą, ypač kai TIS pratybos vykdomos Sąjungos lygmeniu;

(f)

visais aktualiais klausimais bendradarbiauja ir keičiasi informacija su Europolo Europos kovos su elektroniniu nusikalstamumu centru ir su kitomis susijusiomis Europos įstaigomis, ypač duomenų apsaugos, energetikos, transporto, bankininkystės, vertybinių popierių biržų ir sveikatos srityse;

(g)

keičiasi informacija ir geriausia patirtimi tarpusavyje ir su Komisija ir viena kitai padeda didinti su TIS susijusius gebėjimus;

(h)

reguliariai rengia gebėjimų ir pasirengimo tarpusavio vertinimą;

(i)

Sąjungos lygmeniu rengia TIS pratybas ir prireikus dalyvauja tarptautinėse TIS pratybose. ;

(j)

užtikrina keitimąsi informacija su Europos ir nacionalinėmis reguliavimo institucijomis (t. y. finansų sektoriuje: Europos centrinių bankų sistema (ECBS), Europos bankininkystės institucija (EBI) ir Europos vertybinių popierių ir rinkų institucija (EVPRI), kurios glaudžiai bendradarbiauja tarpusavyje, kai nustatomi saugumo incidentai, galintys sutrikdyti sklandų mokėjimo ir atsiskaitymo sistemų veikimą).

Yra didelis poreikis keistis informacija su Europos tinklų ir informacijos apsaugos agentūra arba kompetentingomis institucijomis pagal pasiūlytą direktyvą ir su EBI arba EVPRI, kaip su kompetentinga institucija, koordinuojant atsaką į su MPT susijusius incidentus.

Todėl, siekdamas skatinti keitimąsi informacija ir geresnį koordinavimą Sąjungos lygmeniu, ECB siūlo šį dalinį pakeitimą.

5 pakeitimas

19 straipsnio 1 dalis

„1.

Komisijai padeda komitetas („Tinklų ir informacijos saugumo komitetas“). Tai komitetas, apibrėžtas Reglamente (ES) Nr. 182/2011.“

„1.

Komisijai padeda komitetas („Tinklų ir informacijos saugumo komitetas“). Tai komitetas, apibrėžtas Reglamente (ES) Nr. 182/2011.

ECB, EBI ir EVPRI kviečiami atsiųsti atstovą dalyvauti Tinklų ir informacijos saugumo komiteto posėdžiuose tais darbotvarkės klausimais, kurie gali būti svarbūs atitinkamų ECB, EBI arba EVPRI įgaliojimų vykdymui.

ECB yra suinteresuotas sustiprinti mokėjimo ir atsiskaitymo sistemų, paslaugų ir priemonių saugumą, kuris yra svarbus komponentas išsaugant pasitikėjimą bendra valiuta ir sklandų Sąjungos ekonomikos veikimą. Šiuo tikslu ECB rekomenduoja kviesti jį dalyvauti TIS komiteto posėdžiuose. Bet kuriuo atveju su ECB pagal Sutartį turės būti oficialiai konsultuojamasi visais tokiais su mokėjimo sistemomis susijusiais klausimais ir visais kitais klausimais ECB kompetencijos srityse.

EBI arba EVPRI taip pat turėtų dalyvauti sprendžiant klausimus, susijusius su MPT.


(1)  Pusjuodžiu šriftu pagrindiniame tekste žymimas naujas ECB pasiūlytas tekstas. Perbraukimu pagrindiniame tekste žymimos teksto dalys, kurias ECB siūlo išbraukti.

(2)  Paskelbta ECB interneto svetainėje www.ecb.europa.eu