This document is an excerpt from the EUR-Lex website
Document 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Parecer do Banco Central Europeu, de 25 de julho de 2014 , sobre uma proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (CON/2014/58)
Parecer do Banco Central Europeu, de 25 de julho de 2014 , sobre uma proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (CON/2014/58)
JO C 352 de 7.10.2014, p. 4–11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
PT |
Jornal Oficial da União Europeia |
C 352/4 |
PARECER DO BANCO CENTRAL EUROPEU
de 25 de julho de 2014
sobre uma proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União
(CON/2014/58)
2014/C 352/04
Introdução e base jurídica
Em 7 de fevereiro de 2013, a Comissão Europeia publicou uma proposta de diretiva relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (1) (a seguir «diretiva proposta»).
O Banco Central Europeu (BCE) decidiu emitir um parecer por sua própria iniciativa sobre a diretiva proposta, uma vez que não foi formalmente consultado pelos legisladores. A competência do BCE para emitir este parecer resulta do disposto no artigo 127.o, n.o 4, e no artigo 282.o, n.o 5, do Tratado sobre o Funcionamento da União Europeia, uma vez que a diretiva proposta contém disposições que influenciam a função do Sistema Europeu de Bancos Centrais (SEBC) de promover o bom funcionamento dos sistemas de pagamentos, conforme previsto no quarto travessão do artigo 127.o, n.o 2, do Tratado. Além disso, o artigo 22.o dos Estatutos do Sistema Europeu de Bancos Centrais e do Banco Central Europeu (a seguir «Estatutos do SEBC») prevê que o BCE e os bancos centrais nacionais (BCN) podem conceder facilidades e o BCE pode adotar regulamentos, a fim de assegurar a eficiência e a solidez dos sistemas de compensação e de pagamentos no interior da União e com países terceiros. O presente parecer foi aprovado pelo Conselho do BCE, nos termos do artigo 17.o -5, primeiro período, do Regulamento Interno do BCE.
1. Finalidade da diretiva proposta
1.1 |
A diretiva proposta tem por objetivo assegurar um elevado nível comum de segurança das redes e da informação (SRI) aumentando a segurança da Internet e das redes e sistemas de informação que sustentam a sociedade e a economia. A presente proposta consiste na principal medida a adotar de acordo com a Estratégia da União Europeia para a Cibersegurança (2). |
1.2 |
As redes e os sistemas de informação desempenham um papel essencial em facilitar a movimentação transfronteiriça de bens, serviços e pessoas. Em virtude desta dimensão transnacional intrínseca, uma perturbação num Estado-Membro poderá igualmente afetar outro Estado-Membro e a União como um todo. Além disso, a probabilidade de ocorrência frequente de incidentes e a incapacidade de oferecer proteção suficiente prejudicam a confiança do público na SRI. A flexibilidade e a estabilidade da SRI são, portanto, essenciais para o bom funcionamento do mercado interno. |
1.3 |
A diretiva proposta tem por base iniciativas anteriores neste domínio. Neste contexto, a diretiva proposta reconhece a necessidade de harmonizar regras sobre a SRI e de criar mecanismos de cooperação efetiva entre os Estados-Membros (3). |
1.4 |
A diretiva proposta estabelece um regime jurídico comum na União para a SRI no que respeita às capacidades dos Estados-Membros, aos mecanismos para uma cooperação ao nível da União e aos requisitos para as administrações públicas e, ainda, para entidades do setor privado em setores críticos específicos. Estas medidas deverão assegurar uma preparação adequada a nível nacional e ajudar a criar um clima de confiança mútua, que é uma condição prévia para uma efetiva cooperação ao nível da União. A criação de mecanismos para uma cooperação ao nível da União através da rede pode oferecer meios coerentes e coordenados para prevenir e responder a riscos e incidentes transfronteiriços respeitantes à SRI. |
1.5 |
As principais disposições respeitam às seguintes matérias:
|
2. Observações gerais
2.1 |
O BCE apoia o objetivo da diretiva proposta de assegurar um elevado nível comum de SRI em toda a União e de atingir uma abordagem consistente nesta matéria nos diversos setores de atividade e nos Estados-Membros. É importante assegurar que o mercado interno é um espaço seguro para o mundo empresarial e que todos os Estados-Membros possuem níveis mínimos de preparação em caso de ocorrência de um incidente que coloque em causa a cibersegurança. |
2.2 |
Contudo, o BCE considera que a diretiva proposta não deverá prejudicar o regime existente no Eurosistema relativo à superintendência dos sistemas de pagamentos e de liquidação (5), que inclui mecanismos apropriados, entre outros, em matéria de SRI. Deverá ter-se em atenção que o BCE tem especial interesse em manter elevados padrões de segurança nos sistemas de pagamentos e de liquidação (6), de modo a promover um bom funcionamento dos sistemas de pagamentos e ajudar a manter a confiança no euro e no funcionamento da economia na União. |
2.3 |
Por outro lado, a avaliação dos mecanismos de segurança e notificações de incidentes referentes aos sistemas de pagamentos e de liquidação e aos prestadores de serviços de pagamento (PSP) é uma das principais competências das autoridades de supervisão prudencial e dos bancos centrais. A responsabilidade pelo desenvolvimento de requisitos de superintendência nas áreas acima mencionadas deverá, portanto, permanecer com essas autoridades e não deverá ser objeto de requisitos potencialmente contraditórios impostos por outras autoridades nacionais. Além disso, a gestão do risco, incluindo dos requisitos de segurança relativos aos sistemas de pagamentos e de liquidação e de outras infraestruturas de mercado na área do euro, é definida pelo Eurosistema, composto pelo BCE e pelos BCN dos Estados-Membros que adotaram o euro. Através desta função de superintendência, o Eurosistema tem por objetivo assegurar o bom funcionamento dos sistemas de pagamentos e de liquidação, ao aplicar, entre outras medidas, padrões de superintendência apropriados e requisitos mínimos. A diretiva proposta deverá ter em consideração o regime de superintendência já em vigor e assegurar uma coerência regulamentar em toda a União. |
3. Observações específicas
3.1 |
O considerando 5 e o artigo 1.o da diretiva proposta determinam que as obrigações em causa, os mecanismos de cooperação e os requisitos de segurança são aplicáveis a todas as administrações públicas e operadores do mercado. A atual redação do considerando 5 e do artigo 1.o não considera o mandato do Eurosistema, resultante do Tratado, de superintender os sistemas de pagamentos e de liquidação. A diretiva proposta deve, portanto, ser revista de modo a refletir corretamente as responsabilidades do Eurosistema nesta matéria. |
3.2 |
Os mecanismos e os procedimentos, para os bancos centrais e outras autoridades competentes superintenderem os sistemas de pagamentos e de liquidação de valores mobiliários, encontram-se previstos numa série de diretivas e regulamentos da União, em particular:
|
3.3 |
Por outro lado, deverá ter-se em consideração que, em 3 de junho de 2013, o Conselho do BCE adotou os «Princípios para as infraestruturas do mercado financeiro», introduzidos em abril de 2012 pelo Comité de Sistemas de Pagamentos e de Liquidação (Committee on Payment and Settlement Systems — CPSS) do Banco de Pagamentos Internacionais e do comité técnico da Organização Internacional das Comissões de Valores Mobiliários (IOSCO) (11), relativos à condução da superintendência pelo Eurosistema em relação a todos os tipos de infraestruturas do mercado financeiro. Seguiu-se uma consulta pública respeitante a uma proposta de regulamento relativo aos requisitos de superintendência para os sistemas de pagamentos sistemicamente importantes (doravante «Regulamento SIPS») (12). O regulamento SIPS implementa os princípios do CPSS-IOSCO de forma juridicamente vinculativa e abrange os sistemas de pagamentos de grande montante e os sistemas de pagamentos de retalho de importância sistémica, quer sejam operados pelos BCN do Eurosistema, quer por entidades privadas. |
3.4 |
Os mecanismos de superintendência existentes (13) relativos aos sistemas de pagamentos e aos PSP já contêm procedimentos para alertas rápidos (14) e respostas coordenadas (15) no âmbito e para além do Eurosistema para enfrentar possíveis ameaças à cibersegurança, que são equivalentes àqueles que se encontram previstos nos artigos 10.o e 11.o da diretiva proposta. |
3.5 |
O SEBC definiu padrões relativamente a obrigações de reporte e gestão do risco aplicáveis aos sistemas de pagamentos. Além disso, o BCE avalia regularmente os sistemas de liquidação de valores mobiliários, com vista a determinar a elegibilidade para a sua utilização nas operações de crédito do Eurosistema. Por isso, o BCE considera necessário que os requisitos previstos na diretiva proposta que afetem as infraestruturas críticas do mercado e respetivos operadores (16) não prejudiquem as normas previstas no Regulamento SIPS, no regime aplicável à política de superintendência do Eurosistema ou noutros regulamentos da União, em particular o RIME e o futuro RCDT. Acresce que também não deverão interferir com as funções da ABE ou da AEVMM e outros supervisores prudenciais (17). |
3.6 |
Sem prejuízo do exposto, o BCE considera que existem fortes motivos para que o Eurosistema partilhe informação relevante com o Comité de SRI, a ser constituído de acordo com o disposto no artigo 19.o da diretiva proposta. Para efeitos de partilha de informação eficaz que possa vir a ser necessária, o BCE, a ABE e a AEVMM deverão ser convidados a enviar representantes às reuniões do Comité de SRI sempre que alguns dos pontos da respetiva ordem de trabalhos seja relevante para o exercício dos respetivos mandatos. |
Feito em Frankfurt am Main, em 25 de julho de 2014.
O Presidente do BCE
Mario DRAGHI
(1) COM(2013) 48 final.
(2) Ver a Comunicação Conjunta ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões «Estratégia da União Europeia para a Cibersegurança: Um ciberespaço aberto, seguro e protegido», JOIN(2013) 1 final.
(3) Estas iniciativas incluem as seguintes comunicações: «Segurança das redes e da informação: Proposta de abordagem de uma política europeia», COM(2001) 298 final; «Estratégia para uma sociedade da informação segura — Diálogo, parcerias e maior poder de intervenção», COM(2006) 251 final; «Proteger a Europa contra os ciberataques e as perturbações em grande escala: melhorar a preparação, a segurança e a resiliência», COM(2009) 149 final; «Uma Agenda Digital para a Europa», COM(2010) 245 final; e «Proteção das infraestruturas críticas da informação — Realizações e próximas etapas: para uma cibersegurança mundial», COM(2011) 163 final.
(4) Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (JO L 108, de 24.4.2002, p. 33).
(5) As funções de superintendência de alguns membros do SEBC são exercidas com base em regulamentos e leis nacionais, os quais complementam, e em alguns casos duplicam, a competência do Eurosistema.
(6) O termo «liquidação» utilizado no presente parecer inclui a função de compensação.
(7) Diretiva 98/26/CE, do Parlamento Europeu e do Conselho, de 19 de maio de 1998, relativa ao caráter definitivo da liquidação nos sistemas de pagamentos e de liquidação de valores mobiliários (JO L 166, de 11.6.1998, p. 45).
(8) Ver o artigo 10.o, n.o 1, 3.o parágrafo, da Diretiva relativa ao carácter definitivo da liquidação.
(9) Regulamento (UE) n.o 648/2012, do Parlamento Europeu e do Conselho, de 4 de julho de 2012, relativo aos derivados do mercado de balcão, às contrapartes centrais e aos repositórios de transações (JO L 201, de 27.7.2012, p. 1).
(10) COM(2012) 73 final.
(11) Disponível no sítio da Internet do Banco de Pagamentos Internacionais em https://www.bis.org/publ/cpss94.pdf
(12) Disponível no sítio da Internet do BCE em http://www.ecb.europa.eu
(13) Ver o comunicado do BCE relativo ao Protocolo de acordo relativo aos princípios fundamentais de cooperação entre os bancos centrais da UE e as autoridades de supervisão em situações de gestão de crises (2003), disponível no sítio da Internet do BCE em http://www.ecb.europa.eu
(14) Ver a Recomendação 3: monitorização de incidentes e reportes no comunicado «Recomendações para a segurança dos pagamentos efetuados pela Internet — versão final após consulta pública», Fórum Europeu sobre a Segurança dos Pagamento de Retalho (SecuRe Pay), janeiro 2013, disponível no sítio da Internet do BCE em http://www.ecb.europa.eu
(15) Tendo por base os princípios de cooperação da superintendência internacional, tal como reiterado pelo relatório de superintendência do CPSS de 2005, os bancos centrais do Eurosistema têm participado com sucesso em mecanismos de cooperação em diversos casos, tal como demonstrado, por exemplo, no contexto dos mecanismos de superintendência da SWIFT (Society for Worldwide Interbank Financial Telecommunications/Sociedade de Telecomunicações Financeiras Interbancárias Mundiais) e do Sistema de Liquidação em Contínuo (Continuous Linked Settlement — CLS).
(16) Por exemplo, as exigências para os operadores do mercado cumprirem requisitos técnicos e organizacionais, conforme previsto no artigo 14.o, n.os 3 e 4, e o poder para emitir instruções vinculativas aos operadores do mercado estabelecido no artigo 15.o, n.o 3, da diretiva proposta.
(17) Ver o ponto 2.12 do Parecer CON/2014/9 sobre uma proposta de Diretiva do Parlamento Europeu e do Conselho relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2013/36/CE e 2009/110/CE e revoga a Diretiva 2007/64/CE (JO C 224, 15.7.2014, p. 1). Todos os pareceres do BCE encontram-se publicados no sítio da Internet do BCE em www.ecb.europa.eu
ANEXO
Propostas de redação
Texto proposto pela Comissão |
Alterações propostas pelo BCE (1) |
||||||||||||||||||||||||||||||||||||||||||
Alteração n.o 1 |
|||||||||||||||||||||||||||||||||||||||||||
Considerando 5 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
O considerado 5 deverá ser alterado de modo a refletir as responsabilidades do BCE e dos BCN na superintendência e regulação dos sistemas de pagamentos e de liquidação. De acordo com o disposto no 4.o parágrafo do artigo 127.o, n.o 2, do Tratado, uma das atribuições fundamentais cometidas ao SEBC é a promoção do bom funcionamento dos sistemas de pagamentos. O artigo 22.o dos Estatutos do SEBC confere igualmente poderes ao BCE para adotar regulamentos a fim de assegurar a eficiência e a solidez dos sistemas de compensação e de pagamentos. Deverá igualmente ter-se em consideração que, de acordo com o previsto no artigo 127.o, n.o 5, do Tratado, o SEBC contribuirá para a boa condução das políticas relativas à estabilidade do sistema financeiro. Por outro lado, de acordo com o Eurosystem’s Oversight Policy Framework, de julho de 2011 (2) , a «superintendência dos sistemas de pagamentos e de liquidação consiste numa função dos bancos centrais, de acordo com a qual os objetivos da segurança e da eficiência são promovidos pela monitorização dos sistemas existentes e em fase de planeamento, avaliando-os por referência àqueles objetivos e, quando necessário, introduzindo alterações». Por outras palavras, assegurar que os sistemas são seguros e eficientes é um importante pressuposto da capacidade do Eurosistema para contribuir para a estabilidade financeira, para implementar políticas monetárias e para manter a confiança do público no euro. Além disso, em consonância com os comentários do BCE sobre a revisão proposta à diretiva dos serviços de pagamento (PSD2), faz-se notar que as autoridades de supervisão nacionais e os bancos centrais são as autoridades competentes para emitir orientações sobre gestão e notificação de incidentes aplicáveis aos PSP, bem como para emitir orientações sobre a partilha de notificações de incidentes entre as autoridades relevantes. O considerando deverá ter em devida consideração as funções conferidas ao BCE pelo Regulamento (UE) n.o 1024/2013. Por fim, sempre que membros do SEBC não pertencentes à área do euro exerçam funções equivalentes às que se encontram previstas no Tratado e às funções do SEBC previstas nos respetivos Estatutos, de acordo com as respetivas legislações nacionais, tais funções não deverão igualmente ser afetadas. |
|||||||||||||||||||||||||||||||||||||||||||
Alteração n.o 2 |
|||||||||||||||||||||||||||||||||||||||||||
Artigo 1.o, n.os 4 e 5 (novo) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Conforme acima referido, o SEBC tem um particular interesse em assegurar que os sistemas de pagamentos e de liquidação funcionam corretamente. Tal decorre da importância dos sistemas de pagamentos, compensação e de liquidação para a boa condução das operações de política monetária e do papel que desempenham na preservação da estabilidade do sistema financeiro em geral. Por conseguinte, o BCE recomenda que a diretiva proposta reconheça o papel do SEBC relativamente aos sistemas de pagamentos e de liquidação e ao regime de superintendência em vigor. O SBEC possui mecanismos altamente eficazes para determinar os níveis de segurança e de eficiência destes sistemas. O considerando deverá igualmente ter em consideração as funções conferidas ao BCE pelo Regulamento (UE) n.o 1024/2013. A diretiva proposta também não deverá prejudicar o exercício de funções equivalentes por parte de membros do SEBC não pertencentes à área do euro, de acordo com os respetivos regimes jurídicos nacionais. |
|||||||||||||||||||||||||||||||||||||||||||
Alteração n.o 3 |
|||||||||||||||||||||||||||||||||||||||||||
Artigo 6.o, n.o 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Explicação O BCE recomenda que o artigo 6.o, n.o 1, seja alterado de modo a assegurar um bom nível de cooperação ao nível da União. |
|||||||||||||||||||||||||||||||||||||||||||
Alteração n.o 4 |
|||||||||||||||||||||||||||||||||||||||||||
Artigo 8.o, n.o 3 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Existem fortes motivos para a troca de informações com a Agência da União Europeia para a Segurança das Redes e da Informação ou com as autoridades competentes de acordo com a presente diretiva e com a ABE ou a AEVMM como autoridades competentes para a coordenação de incidentes relacionados com PSP. Por tal motivo, o BCE propõe a presente alteração com vista a promover a troca de informações e a melhorar a coordenação ao nível da União. |
|||||||||||||||||||||||||||||||||||||||||||
Alteração n.o 5 |
|||||||||||||||||||||||||||||||||||||||||||
Artigo 19.o, n.o 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
O BCE, a ABE e a AEVMM deverão ser convidados a enviar representantes às reuniões do Comité de Segurança das Redes e da Informação quando alguns dos pontos da ordem de trabalhos possam ter implicações no exercício dos respetivos mandatos do BCE, da ABE ou da AEVMM.» |
||||||||||||||||||||||||||||||||||||||||||
O BCE tem um interesse manifesto na melhoria da segurança dos sistemas, serviços e instrumentos de pagamentos e de liquidação como componente importante da manutenção da confiança na moeda única e no bom funcionamento da economia na União. Para esse efeito, o BCE recomenda que seja convidado para as reuniões do Comité de SRI. De todo o modo, o BCE terá de ser formalmente consultado, de acordo com o Tratado, sobre a adoção de quaisquer medidas relativas aos sistemas de pagamentos e sobre quaisquer outras matérias que recaiam no âmbito da competência do BCE. A ABE ou a AEVMM deverão ser igualmente envolvidas em matérias relacionadas com PSP. |
(1) O texto em negrito indica as passagens a aditar por proposta do BCE. O texto riscado indica as passagens a suprimir por proposta do BCE.
(2) Disponível (em inglês) no sítio da Internet do BCE em http://www.ecb.europa.eu