(1)

Zoals opgemerkt in overweging 4 van Aanbeveling ESRB/2013/1 van het Europees Comité voor systeemrisico’s (4), is de uiteindelijke doelstelling van macroprudentieel beleid bij te dragen tot het waarborgen van de stabiliteit van het financiële stelsel als geheel, met inbegrip van het versterken van de schokbestendigheid van het financiële stelsel en het verminderen van de opbouw van systeemrisico’s, en daarbij een duurzame bijdrage te verzekeren aan economische groei. Het Europees Comité voor systeemrisico’s (ESRB) is verantwoordelijk voor het macroprudentieel toezicht op het financiële stelsel in de Unie. Bij het vervullen van zijn mandaat dient het ESRB bij te dragen aan het voorkomen en beperken van systeemrisico’s voor de financiële stabiliteit, met inbegrip van de risico’s in verband met cyberincidenten, en aanbevelingen te doen voor risicobeperking.

(2)

Ernstige cyberincidenten kunnen een systeemrisico voor het financiële stelsel opleveren, gelet op hun vermogen kritieke financiële diensten en operaties te verstoren. De versterking van een initiële schok kan, hetzij door een operationele of financiële besmetting, hetzij door een uitholling van het vertrouwen in het financiële stelsel geschieden. Indien het financiële stelsel niet in staat is deze schokken op te vangen, komt de financiële stabiliteit in gevaar en kan deze situatie leiden tot een systemische cybercrisis (5).

(3)

Het voortdurend evoluerende cyberdreigingslandschap en de recente stijging van ernstige cyberincidenten zijn indicatoren voor een groter risico voor de financiële stabiliteit in de Unie. De COVID-19-pandemie heeft het belang van de rol die technologie speelt voor de werking van het financiële stelsel benadrukt. Betrokken autoriteiten en instellingen moesten hun technische infrastructuur en risicobeheersingskaders aanpassen aan een plotselinge toename van werken op afstand, waardoor de algemene blootstelling van het financiële stelsel aan cyberdreigingen is toegenomen en criminelen de mogelijkheid hadden, zowel nieuwe modi operandi te ontwikkelen, als bestaande modi operandi aan te passen om misbruik te maken van de situatie (6). Tegen deze achtergrond is het aantal aan het ECB-Bankentoezicht gemelde cyberincidenten in 2020 met 54 % gestegen ten opzichte van 2019 (7).

(4)

De potentiële grootschaligheid, snelheid en mate van verspreiding van een ernstig cyberincident vereisen een doeltreffende reactie van de betrokken autoriteiten om de mogelijke negatieve gevolgen voor de financiële stabiliteit te beperken. Snelle coördinatie en communicatie tussen de betrokken autoriteiten op Unieniveau kunnen helpen de impact van een ernstig cyberincident voor de financiële stabiliteit vroegtijdig te beoordelen, het vertrouwen in het financiële stelsel te bewaren en de besmetting naar andere financiële instellingen te beperken, en zo te helpen voorkomen dat een ernstig cyberincident een risico vormt voor de financiële stabiliteit.

(5)

De onderliggende schok ontstaat op nieuwe wijze in vergelijking met de traditionele financierings- en liquiditeitscrises waarmee de betrokken autoriteiten gebruikelijk geconfronteerd worden. Afgezien van de financiële aspecten, moet de algehele risicobeoordeling de schaal en impact van operationele verstoringen omvatten, omdat zij de keuze van de macroprudentiële instrumenten kunnen beïnvloeden. Evenzo kan de financiële stabiliteit eveneens van invloed zijn op de keuze van operationele matigingen door cyberexperten. Dit vraagt om nauwe en snelle coördinatie en open communicatie om onder andere het situationeel bewustzijn te versterken.

(6)

Het risico van een coördinatiefalen door autoriteiten bestaat en moet worden aangepakt. De betrokken autoriteiten in de Unie moeten onderling en met andere autoriteiten, zoals het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), waarmee zij gewoonlijk geen interacties hebben, coördineren. Aangezien een aanzienlijk aantal financiële instellingen van de Unie wereldwijd actief is, zal een ernstig cyberincident waarschijnlijk niet tot de Unie beperkt blijven of buiten de Unie kunnen worden geïnitieerd en kan het nodig zijn om de respons wereldwijd te coördineren.

(7)

De betrokken autoriteiten moeten voorbereid zijn op deze interacties. Anders dreigen zij inconsistente maatregelen te treffen die in tegenspraak zijn met de reacties van andere autoriteiten of deze in gevaar brengen. Een dergelijk coördinatiefalen zou de schok voor het financiële stelsel kunnen versterken door te leiden tot een uitholling van het vertrouwen in de werking van het financiële stelsel, hetgeen in het ergste geval een risico voor de financiële stabiliteit zou vormen (8). Bijgevolg moeten de nodige stappen worden ondernomen om het risico voor de financiële stabiliteit als gevolg van een coördinatiefalen in geval van een ernstig cyberincident aan te pakken.

(8)

In het ESRB-rapport “Mitigating systemic cyber risk” (2021) (9) wordt de noodzaak vastgesteld voor het vaststellen van een pan-Europees kader voor de coördinatie van systemische cyberincidenten (pan-European systemic cyber incident coordination framework – EU-SCICF) voor de betrokken autoriteiten in de Unie. De doelstelling van het EU-SCICF zou zijn om de mate van bereidheid van de betrokken autoriteiten te vergroten voor het faciliteren van een gecoördineerde reactie op een potentieel ernstig cyberincident. Het ESRB-rapport “Mitigating systemic cyber risk” (2021) presenteert de beoordeling van het ESRB van de kaderkenmerken die op het eerste gezicht nodig zouden zijn om het risico van een coördinatiefalen aan te pakken.

(9)

Het hoofddoel van deze aanbeveling is om voort te bouwen op één van de beoogde rollen van de Europese toezichthoudende autoriteiten (ETA’s) in het kader van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende digitale operationele veerkracht voor de financiële sector (10) (hierna “DORA” genoemd), namelijk een doeltreffende gecoördineerde respons op EU-niveau mogelijk te maken in het geval van een ernstig grensoverschrijdend ICT-gerelateerd incident of een gerelateerde dreiging met een systemisch effect op de financiële sector van de Unie in zijn geheel. Dit proces zal leiden tot de vaststelling van het EU-SCICF voor de betrokken autoriteiten.

(10)

Het EU-SCICF mag niet gericht zijn op de vervanging van bestaande kaders, maar op het overbruggen van eventuele coördinatie- en communicatiekloven tussen de betrokken autoriteiten onderling en met andere autoriteiten in de Unie en andere belangrijke actoren op internationaal niveau. In dit verband moet rekening worden gehouden met de positionering van het EU-SCICF binnen het landschap met het bestaande kader voor financiële crises en het Uniekader voor cyberincidenten. Wat de coördinatie tussen de betrokken autoriteiten onderling betreft, moet rekening worden gehouden met onder andere de rollen en activiteiten van de samenwerkingsgroep voor netwerk- en informatiesystemen (NIS) voor financiële entiteiten uit hoofde van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (11), en de met de coördinatiemechanismen die in het kader van de oprichting van de gezamenlijke cybereenheid worden overwogen, naast de betrokkenheid van Enisa.

(11)

Het voorstel om een begin te maken met de voorbereiding van het EU-SCICF heeft met name tot doel de mogelijke rollen van de ETA’s te bevestigen, zoals beoogd in het DORA-voorstel. In DORA wordt het volgende voorgesteld: “de ETA’s, kunnen via het Gemengd Comité en in samenwerking met de bevoegde autoriteiten, de Europese Centrale Bank (ECB) en het ESRB, mechanismen vaststellen met het oog op het verbeteren van de situatiekennis en de aanwijzing van gemeenschappelijke cyberkwetsbaarheden en sectoroverschrijdende risico’s”, en: “zij kunnen crisisbeheer- en noodoefeningen met cyberaanvalscenario’s ontwikkelen om communicatiekanalen te ontwikkelen en geleidelijk een doeltreffende gecoördineerde respons op EU-niveau mogelijk te maken in geval van een groot grensoverschrijdend ICT-gerelateerd incident of een daarmee samenhangende dreiging die een systemische impact heeft op de financiële sector van de Unie als geheel” (12). Een pan-Europees kader zoals het EU-SCICF bestaat nog niet en moet in het kader van DORA worden vastgesteld en ontwikkeld.

(12)

Gezien het risico dat cyberrisico’s voor de financiële stabiliteit in de Unie kunnen vormen, moeten de voorbereidende werkzaamheden voor de geleidelijke vaststelling van het EU-SCICF, voor zover haalbaar, van start gaan zelfs voordat het voor de vaststelling vereiste juridische en beleidskader voor de vaststelling ervan volledig van toepassing is. Dit juridische en beleidskader zou volledig worden opgezet en voltooid zodra de desbetreffende bepalingen van DORA en de bijbehorende gedelegeerde handelingen van toepassing worden.

(13)

Doeltreffende communicatie draagt bij tot het situationeel bewustzijn onder de betrokken autoriteiten en is dus een onontbeerlijke voorwaarde voor coördinatie in de gehele Unie bij ernstige cyberincidenten. In dit verband is het nodig om de communicatie-infrastructuur te definiëren die nodig is om een respons op een ernstig cyberincident te coördineren. Dit houdt in dat moet worden vastgesteld welke soort informatie moet worden gedeeld, welke reguliere kanalen moeten worden gebruikt om dergelijke informatie te delen en met welke contactpunten informatie moet worden gedeeld. Bij de informatie-uitwisseling moeten de bestaande wettelijke voorschriften in acht worden genomen. Daarnaast moeten mogelijkerwijs een duidelijk actieplan en de te volgen protocollen worden vastgesteld door de betrokken autoriteiten om te zorgen voor een goede coördinatie tussen de autoriteiten die betrokken zijn bij de planning van een gecoördineerde reactie op een ernstig cyberincident.

(14)

Een systemische cybercrisis vereist dat er volledige samenwerking op nationaal en Unieniveau tot stand wordt gebracht. Bijgevolg kunnen de aangewezen contactpunten voor de ETA’s, de ECB en de betrokken nationale autoriteiten van elke lidstaat uit het midden van de bevoegde nationale autoriteiten worden aangewezen en aan de ETA’s worden meegedeeld, teneinde de belangrijkste gesprekspartners in de coördinatieregeling van het EU-SCICF vast te stellen die moeten worden geïnformeerd in geval van een ernstig cyberincident. De noodzaak om contactpunten aan te wijzen moet worden beoordeeld tijdens de ontwikkeling van het EU-SCICF, rekening houdend met het aangewezen centrale contactpunt uit hoofde van Richtlijn (EU) 2016/1148 dat de lidstaten hebben ingesteld met betrekking tot de beveiliging van netwerk- en informatiesystemen om grensoverschrijdende samenwerking met andere lidstaten en de NIS-samenwerkingsgroep te waarborgen (13).

(15)

Het uitvoeren van nood- en crisisbeheersingsoefeningen kan de tenuitvoerlegging van het EU-SCICF vergemakkelijken en de autoriteiten in staat stellen hun gereedheid en paraatheid voor een systemische cybercrisis op Unieniveau te evalueren. Autoriteiten zouden lering kunnen trekken uit dergelijke oefeningen, die eveneens een voortdurende verbetering en ontwikkeling van het EU-SCICF mogelijk maken.

(16)

Voor de ontwikkeling van het EU-SCICF is het van essentieel belang dat de ETA’s gezamenlijk relevante voorbereidende werkzaamheden verrichten om rekening te houden met de mogelijke essentiële elementen van het kader en de vereiste middelen en behoeften die voor de verdere ontwikkeling ervan noodzakelijk zijn. Daarna zouden de ETA’s kunnen beginnen met het uitvoeren van een voorlopige analyse van eventuele belemmeringen die de ETA’s en de betrokken autoriteiten zouden kunnen beletten om het EU-SCICF op te richten en relevante informatie via communicatiekanalen te delen in geval van een ernstig cyberincident. Een dergelijke analyse zou een belangrijke stap zijn in de richting van verdere maatregelen, hetzij van wetgevende aard, hetzij via andere ondersteunende initiatieven die de Europese Commissie in de uitvoeringsfase na DORA kan nemen,

1.

2.

a)

“cyber”: betrekking hebbend op, binnen of via het medium van de onderling gekoppelde informatie-infrastructuur van interacties tussen personen, processen, gegevens en informatiesystemen (14);

b)

“ernstig cyberincident”: een ICT-gerelateerd incident dat mogelijk ernstige negatieve gevolgen kan hebben voor de netwerk- en informatiesystemen die kritieke functies van financiële entiteiten ondersteunen (15);

c)

“systemische cybercrisis”: een ernstig cyberincident dat een mate van verstoring van het financiële stelsel in de Unie veroorzaakt met mogelijk ernstige negatieve gevolgen voor de goede werking van de interne markt en de functionering van de reële economie. Een dergelijke crisis kan het gevolg zijn van een ernstig cyberincident dat schokken in een aantal kanalen veroorzaakt, met inbegrip van operationele, vertrouwelijke en financiële kanalen;

d)

“Europese toezichthoudende autoriteiten” of “ETA’s”: de krachtens Verordening (EU) nr.1093/2010 van het Europees Parlement en de Raad opgerichte Europese toezichthoudende autoriteit (Europese Bankautoriteit) (16), samen met de krachtens Verordening (EU) nr.1094/2010 van het Europees Parlement en de Raad (17) opgerichte Europese toezichthoudende autoriteit (Europese Autoriteit voor verzekeringen en bedrijfspensioenen) en de krachtens Verordening (EU) nr.1095/2010 van het Europees Parlement en de Raad (18) opgerichte Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten);

e)

“Gemengd Comité”: het Gemengd Comité van de Europese toezichthoudende autoriteiten, opgericht krachtens artikel 54 van Verordening (EU) nr. 1093/2010, Verordening (EU) nr. 1094/2010 en Verordening (EU) nr. 1095/2010;

f)

“betrokken nationale autoriteit”:

g)

“betrokken autoriteit”:

a)

het need-to-know-beginsel en het evenredigheidsbeginsel moeten naar behoren in aanmerking worden genomen, rekening houdend met de doelstelling en de inhoud van elke aanbeveling;

b)

De in de bijlage opgenomen specifieke criteria voor de naleving van elke aanbeveling moeten worden nageleefd.

1.

Aanbeveling A

2.

Aanbeveling B

Uiterlijk op 30 juni 2023, maar niet eerder dan zes maanden na de inwerkingtreding van DORA, worden de ETA’s, de ECB en de lidstaten verzocht aan het Europees Parlement, de Raad, de Commissie en het ESRB een verslag uit te brengen over de uitvoering van aanbeveling B.

3.

Aanbeveling C

1.

Het ESRB-secretariaat zal:

2.

De Algemene Raad zal de door de geadresseerden meegedeelde acties en rechtvaardigingen beoordelen en kan, waar passend, besluiten dat deze aanbeveling niet is opgevolgd en dat een geadresseerde er niet in is geslaagd het niet-ondernemen van actie genoegzaam te rechtvaardigen.