7.10.2014   

PT

Jornal Oficial da União Europeia

C 352/4


PARECER DO BANCO CENTRAL EUROPEU

de 25 de julho de 2014

sobre uma proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União

(CON/2014/58)

2014/C 352/04

Introdução e base jurídica

Em 7 de fevereiro de 2013, a Comissão Europeia publicou uma proposta de diretiva relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (1) (a seguir «diretiva proposta»).

O Banco Central Europeu (BCE) decidiu emitir um parecer por sua própria iniciativa sobre a diretiva proposta, uma vez que não foi formalmente consultado pelos legisladores. A competência do BCE para emitir este parecer resulta do disposto no artigo 127.o, n.o 4, e no artigo 282.o, n.o 5, do Tratado sobre o Funcionamento da União Europeia, uma vez que a diretiva proposta contém disposições que influenciam a função do Sistema Europeu de Bancos Centrais (SEBC) de promover o bom funcionamento dos sistemas de pagamentos, conforme previsto no quarto travessão do artigo 127.o, n.o 2, do Tratado. Além disso, o artigo 22.o dos Estatutos do Sistema Europeu de Bancos Centrais e do Banco Central Europeu (a seguir «Estatutos do SEBC») prevê que o BCE e os bancos centrais nacionais (BCN) podem conceder facilidades e o BCE pode adotar regulamentos, a fim de assegurar a eficiência e a solidez dos sistemas de compensação e de pagamentos no interior da União e com países terceiros. O presente parecer foi aprovado pelo Conselho do BCE, nos termos do artigo 17.o -5, primeiro período, do Regulamento Interno do BCE.

1.   Finalidade da diretiva proposta

1.1

A diretiva proposta tem por objetivo assegurar um elevado nível comum de segurança das redes e da informação (SRI) aumentando a segurança da Internet e das redes e sistemas de informação que sustentam a sociedade e a economia. A presente proposta consiste na principal medida a adotar de acordo com a Estratégia da União Europeia para a Cibersegurança (2).

1.2

As redes e os sistemas de informação desempenham um papel essencial em facilitar a movimentação transfronteiriça de bens, serviços e pessoas. Em virtude desta dimensão transnacional intrínseca, uma perturbação num Estado-Membro poderá igualmente afetar outro Estado-Membro e a União como um todo. Além disso, a probabilidade de ocorrência frequente de incidentes e a incapacidade de oferecer proteção suficiente prejudicam a confiança do público na SRI. A flexibilidade e a estabilidade da SRI são, portanto, essenciais para o bom funcionamento do mercado interno.

1.3

A diretiva proposta tem por base iniciativas anteriores neste domínio. Neste contexto, a diretiva proposta reconhece a necessidade de harmonizar regras sobre a SRI e de criar mecanismos de cooperação efetiva entre os Estados-Membros (3).

1.4

A diretiva proposta estabelece um regime jurídico comum na União para a SRI no que respeita às capacidades dos Estados-Membros, aos mecanismos para uma cooperação ao nível da União e aos requisitos para as administrações públicas e, ainda, para entidades do setor privado em setores críticos específicos. Estas medidas deverão assegurar uma preparação adequada a nível nacional e ajudar a criar um clima de confiança mútua, que é uma condição prévia para uma efetiva cooperação ao nível da União. A criação de mecanismos para uma cooperação ao nível da União através da rede pode oferecer meios coerentes e coordenados para prevenir e responder a riscos e incidentes transfronteiriços respeitantes à SRI.

1.5

As principais disposições respeitam às seguintes matérias:

a)

a obrigação de todos os Estados-Membros possuírem um nível de capacidades mínimas disponível através da designação das autoridades competentes em matéria de SRI; a criação de Equipas de Resposta a Emergências Informáticas (CERT); e a adoção de estratégias nacionais de SRI e planos nacionais de cooperação nessa matéria;

b)

a partilha obrigatória de informação entre Estados-Membros no âmbito de uma rede, bem como a criação de um plano de cooperação para SRI a nível pan-europeu e a coordenação de alertas rápidos de um incidente que possa afetar a cibersegurança;

c)

com base no modelo previsto na Diretiva 2002/21/CE do Parlamento Europeu e do Conselho (4), assegurar o desenvolvimento de uma cultura de gestão de risco e de troca de informações entre o setor privado e o setor público. Às empresas que operem nos setores críticos específicos e às administrações públicas será exigido que avaliem os riscos que enfrentam e que adotem medidas adequadas e proporcionais para assegurar a SRI. Estas entidades serão ainda obrigadas a reportar às autoridades competentes quaisquer incidentes que comprometam seriamente as suas redes e os sistemas de informação e que afetem de forma significativa a continuidade da prestação de serviços críticos e o fornecimento de bens.

2.   Observações gerais

2.1

O BCE apoia o objetivo da diretiva proposta de assegurar um elevado nível comum de SRI em toda a União e de atingir uma abordagem consistente nesta matéria nos diversos setores de atividade e nos Estados-Membros. É importante assegurar que o mercado interno é um espaço seguro para o mundo empresarial e que todos os Estados-Membros possuem níveis mínimos de preparação em caso de ocorrência de um incidente que coloque em causa a cibersegurança.

2.2

Contudo, o BCE considera que a diretiva proposta não deverá prejudicar o regime existente no Eurosistema relativo à superintendência dos sistemas de pagamentos e de liquidação (5), que inclui mecanismos apropriados, entre outros, em matéria de SRI. Deverá ter-se em atenção que o BCE tem especial interesse em manter elevados padrões de segurança nos sistemas de pagamentos e de liquidação (6), de modo a promover um bom funcionamento dos sistemas de pagamentos e ajudar a manter a confiança no euro e no funcionamento da economia na União.

2.3

Por outro lado, a avaliação dos mecanismos de segurança e notificações de incidentes referentes aos sistemas de pagamentos e de liquidação e aos prestadores de serviços de pagamento (PSP) é uma das principais competências das autoridades de supervisão prudencial e dos bancos centrais. A responsabilidade pelo desenvolvimento de requisitos de superintendência nas áreas acima mencionadas deverá, portanto, permanecer com essas autoridades e não deverá ser objeto de requisitos potencialmente contraditórios impostos por outras autoridades nacionais. Além disso, a gestão do risco, incluindo dos requisitos de segurança relativos aos sistemas de pagamentos e de liquidação e de outras infraestruturas de mercado na área do euro, é definida pelo Eurosistema, composto pelo BCE e pelos BCN dos Estados-Membros que adotaram o euro. Através desta função de superintendência, o Eurosistema tem por objetivo assegurar o bom funcionamento dos sistemas de pagamentos e de liquidação, ao aplicar, entre outras medidas, padrões de superintendência apropriados e requisitos mínimos. A diretiva proposta deverá ter em consideração o regime de superintendência já em vigor e assegurar uma coerência regulamentar em toda a União.

3.   Observações específicas

3.1

O considerando 5 e o artigo 1.o da diretiva proposta determinam que as obrigações em causa, os mecanismos de cooperação e os requisitos de segurança são aplicáveis a todas as administrações públicas e operadores do mercado. A atual redação do considerando 5 e do artigo 1.o não considera o mandato do Eurosistema, resultante do Tratado, de superintender os sistemas de pagamentos e de liquidação. A diretiva proposta deve, portanto, ser revista de modo a refletir corretamente as responsabilidades do Eurosistema nesta matéria.

3.2

Os mecanismos e os procedimentos, para os bancos centrais e outras autoridades competentes superintenderem os sistemas de pagamentos e de liquidação de valores mobiliários, encontram-se previstos numa série de diretivas e regulamentos da União, em particular:

a)

a Diretiva 98/26/CE do Parlamento Europeu e do Conselho (doravante «Diretiva relativa ao carácter definitivo da liquidação») (7), que confere poderes às autoridades competentes dos Estados-Membros para impor mecanismos de supervisão relativos aos sistemas de pagamentos e de liquidação nas respetivas jurisdições (8);

b)

o Regulamento (UE) n.o 648/2012 do Parlamento Europeu e do Conselho (9) (doravante «Regulamento da Infraestrutura do Mercado Europeu» (RIME), o qual reconhece o papel da Autoridade Europeia dos Valores Mobiliários e dos Mercados (AEVMM), da Autoridade Bancária Europeia (ABE) e do Sistema Europeu de Bancos Centrais (SEBC) na definição de padrões de regulação e na supervisão das contrapartes centrais; e

c)

a proposta de Regulamento relativo à melhoria do processo de liquidação de valores mobiliários na União Europeia e às Centrais de Depósito de Títulos (CDT) e que altera a Diretiva 98/26/CE (10) [doravante «Regulamento CDT» (RCDT)], a qual identifica as autoridades competentes a quem serão atribuídos poderes de supervisão e de investigação, e em particular o artigo 45.o do referido regulamento, que estabelece requisitos prudenciais aplicáveis aos CDT, incluindo disposições importantes relativas à mitigação do risco operacional.

3.3

Por outro lado, deverá ter-se em consideração que, em 3 de junho de 2013, o Conselho do BCE adotou os «Princípios para as infraestruturas do mercado financeiro», introduzidos em abril de 2012 pelo Comité de Sistemas de Pagamentos e de Liquidação (Committee on Payment and Settlement Systems — CPSS) do Banco de Pagamentos Internacionais e do comité técnico da Organização Internacional das Comissões de Valores Mobiliários (IOSCO) (11), relativos à condução da superintendência pelo Eurosistema em relação a todos os tipos de infraestruturas do mercado financeiro. Seguiu-se uma consulta pública respeitante a uma proposta de regulamento relativo aos requisitos de superintendência para os sistemas de pagamentos sistemicamente importantes (doravante «Regulamento SIPS») (12). O regulamento SIPS implementa os princípios do CPSS-IOSCO de forma juridicamente vinculativa e abrange os sistemas de pagamentos de grande montante e os sistemas de pagamentos de retalho de importância sistémica, quer sejam operados pelos BCN do Eurosistema, quer por entidades privadas.

3.4

Os mecanismos de superintendência existentes (13) relativos aos sistemas de pagamentos e aos PSP já contêm procedimentos para alertas rápidos (14) e respostas coordenadas (15) no âmbito e para além do Eurosistema para enfrentar possíveis ameaças à cibersegurança, que são equivalentes àqueles que se encontram previstos nos artigos 10.o e 11.o da diretiva proposta.

3.5

O SEBC definiu padrões relativamente a obrigações de reporte e gestão do risco aplicáveis aos sistemas de pagamentos. Além disso, o BCE avalia regularmente os sistemas de liquidação de valores mobiliários, com vista a determinar a elegibilidade para a sua utilização nas operações de crédito do Eurosistema. Por isso, o BCE considera necessário que os requisitos previstos na diretiva proposta que afetem as infraestruturas críticas do mercado e respetivos operadores (16) não prejudiquem as normas previstas no Regulamento SIPS, no regime aplicável à política de superintendência do Eurosistema ou noutros regulamentos da União, em particular o RIME e o futuro RCDT. Acresce que também não deverão interferir com as funções da ABE ou da AEVMM e outros supervisores prudenciais (17).

3.6

Sem prejuízo do exposto, o BCE considera que existem fortes motivos para que o Eurosistema partilhe informação relevante com o Comité de SRI, a ser constituído de acordo com o disposto no artigo 19.o da diretiva proposta. Para efeitos de partilha de informação eficaz que possa vir a ser necessária, o BCE, a ABE e a AEVMM deverão ser convidados a enviar representantes às reuniões do Comité de SRI sempre que alguns dos pontos da respetiva ordem de trabalhos seja relevante para o exercício dos respetivos mandatos.

Feito em Frankfurt am Main, em 25 de julho de 2014.

O Presidente do BCE

Mario DRAGHI


(1)  COM(2013) 48 final.

(2)  Ver a Comunicação Conjunta ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões «Estratégia da União Europeia para a Cibersegurança: Um ciberespaço aberto, seguro e protegido», JOIN(2013) 1 final.

(3)  Estas iniciativas incluem as seguintes comunicações: «Segurança das redes e da informação: Proposta de abordagem de uma política europeia», COM(2001) 298 final; «Estratégia para uma sociedade da informação segura — Diálogo, parcerias e maior poder de intervenção», COM(2006) 251 final; «Proteger a Europa contra os ciberataques e as perturbações em grande escala: melhorar a preparação, a segurança e a resiliência», COM(2009) 149 final; «Uma Agenda Digital para a Europa», COM(2010) 245 final; e «Proteção das infraestruturas críticas da informação — Realizações e próximas etapas: para uma cibersegurança mundial», COM(2011) 163 final.

(4)  Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (JO L 108, de 24.4.2002, p. 33).

(5)  As funções de superintendência de alguns membros do SEBC são exercidas com base em regulamentos e leis nacionais, os quais complementam, e em alguns casos duplicam, a competência do Eurosistema.

(6)  O termo «liquidação» utilizado no presente parecer inclui a função de compensação.

(7)  Diretiva 98/26/CE, do Parlamento Europeu e do Conselho, de 19 de maio de 1998, relativa ao caráter definitivo da liquidação nos sistemas de pagamentos e de liquidação de valores mobiliários (JO L 166, de 11.6.1998, p. 45).

(8)  Ver o artigo 10.o, n.o 1, 3.o parágrafo, da Diretiva relativa ao carácter definitivo da liquidação.

(9)  Regulamento (UE) n.o 648/2012, do Parlamento Europeu e do Conselho, de 4 de julho de 2012, relativo aos derivados do mercado de balcão, às contrapartes centrais e aos repositórios de transações (JO L 201, de 27.7.2012, p. 1).

(10)  COM(2012) 73 final.

(11)  Disponível no sítio da Internet do Banco de Pagamentos Internacionais em https://www.bis.org/publ/cpss94.pdf

(12)  Disponível no sítio da Internet do BCE em http://www.ecb.europa.eu

(13)  Ver o comunicado do BCE relativo ao Protocolo de acordo relativo aos princípios fundamentais de cooperação entre os bancos centrais da UE e as autoridades de supervisão em situações de gestão de crises (2003), disponível no sítio da Internet do BCE em http://www.ecb.europa.eu

(14)  Ver a Recomendação 3: monitorização de incidentes e reportes no comunicado «Recomendações para a segurança dos pagamentos efetuados pela Internet — versão final após consulta pública», Fórum Europeu sobre a Segurança dos Pagamento de Retalho (SecuRe Pay), janeiro 2013, disponível no sítio da Internet do BCE em http://www.ecb.europa.eu

(15)  Tendo por base os princípios de cooperação da superintendência internacional, tal como reiterado pelo relatório de superintendência do CPSS de 2005, os bancos centrais do Eurosistema têm participado com sucesso em mecanismos de cooperação em diversos casos, tal como demonstrado, por exemplo, no contexto dos mecanismos de superintendência da SWIFT (Society for Worldwide Interbank Financial Telecommunications/Sociedade de Telecomunicações Financeiras Interbancárias Mundiais) e do Sistema de Liquidação em Contínuo (Continuous Linked Settlement — CLS).

(16)  Por exemplo, as exigências para os operadores do mercado cumprirem requisitos técnicos e organizacionais, conforme previsto no artigo 14.o, n.os 3 e 4, e o poder para emitir instruções vinculativas aos operadores do mercado estabelecido no artigo 15.o, n.o 3, da diretiva proposta.

(17)  Ver o ponto 2.12 do Parecer CON/2014/9 sobre uma proposta de Diretiva do Parlamento Europeu e do Conselho relativa aos serviços de pagamento no mercado interno, que altera as Diretivas 2002/65/CE, 2013/36/CE e 2009/110/CE e revoga a Diretiva 2007/64/CE (JO C 224, 15.7.2014, p. 1). Todos os pareceres do BCE encontram-se publicados no sítio da Internet do BCE em www.ecb.europa.eu


ANEXO

Propostas de redação

Texto proposto pela Comissão

Alterações propostas pelo BCE (1)

Alteração n.o 1

Considerando 5

«(5)

No intuito de cobrir todos os incidentes e riscos pertinentes, a presente diretiva deverá aplicar‐se a todas as redes e sistemas informáticos. As obrigações que recaem sobre as administrações públicas e os operadores de mercado não deverão, no entanto, aplicar‐se às empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, na aceção da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (diretiva‐quadro) (2), que estejam sujeitas aos requisitos específicos de segurança e integridade estabelecidos no artigo 13.o‐A da referida diretiva, nem se devem aplicar aos prestadores de serviços de confiança.»

«(5)

No intuito de cobrir todos os incidentes e riscos pertinentes, a presente diretiva deverá aplicar‐se a todas as redes e sistemas informáticos. As obrigações que recaem sobre as administrações públicas e os operadores de mercado não deverão, no entanto, aplicar‐se às empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, na aceção da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (diretiva‐quadro) (2), que estejam sujeitas aos requisitos específicos de segurança e integridade estabelecidos no artigo 13.o‐A da referida diretiva, nem se devem aplicar aos prestadores de serviços de confiança. Por outro lado, sem prejuízo da aplicação da presente diretiva às administrações públicas e operadores do mercado, a presente diretiva não prejudica o exercício das funções e deveres atribuídos ao Sistema Europeu de Bancos Centrais (SEBC) pelo Tratado e pelos Estatutos do Sistema Europeu de Bancos Centrais e do Banco Central Europeu, nem o exercício de funções equivalentes por parte dos membros do SEBC de acordo com o previsto nas respetivas legislações nacionais, nomeadamente no que respeita a políticas relacionadas com a supervisão prudencial das instituições de crédito e com a superintendência dos sistemas de pagamentos e de liquidação de valores mobiliários. Os Estados-Membros deverão confiar nas funções de supervisão prudencial e de superintendência exercidas pelos bancos centrais e pelas autoridades de supervisão de tais operadores no âmbito da sua competência.»

O considerado 5 deverá ser alterado de modo a refletir as responsabilidades do BCE e dos BCN na superintendência e regulação dos sistemas de pagamentos e de liquidação. De acordo com o disposto no 4.o parágrafo do artigo 127.o, n.o 2, do Tratado, uma das atribuições fundamentais cometidas ao SEBC é a promoção do bom funcionamento dos sistemas de pagamentos. O artigo 22.o dos Estatutos do SEBC confere igualmente poderes ao BCE para adotar regulamentos a fim de assegurar a eficiência e a solidez dos sistemas de compensação e de pagamentos. Deverá igualmente ter-se em consideração que, de acordo com o previsto no artigo 127.o, n.o 5, do Tratado, o SEBC contribuirá para a boa condução das políticas relativas à estabilidade do sistema financeiro. Por outro lado, de acordo com o Eurosystem’s Oversight Policy Framework, de julho de 2011  (2) , a «superintendência dos sistemas de pagamentos e de liquidação consiste numa função dos bancos centrais, de acordo com a qual os objetivos da segurança e da eficiência são promovidos pela monitorização dos sistemas existentes e em fase de planeamento, avaliando-os por referência àqueles objetivos e, quando necessário, introduzindo alterações».

Por outras palavras, assegurar que os sistemas são seguros e eficientes é um importante pressuposto da capacidade do Eurosistema para contribuir para a estabilidade financeira, para implementar políticas monetárias e para manter a confiança do público no euro.

Além disso, em consonância com os comentários do BCE sobre a revisão proposta à diretiva dos serviços de pagamento (PSD2), faz-se notar que as autoridades de supervisão nacionais e os bancos centrais são as autoridades competentes para emitir orientações sobre gestão e notificação de incidentes aplicáveis aos PSP, bem como para emitir orientações sobre a partilha de notificações de incidentes entre as autoridades relevantes. O considerando deverá ter em devida consideração as funções conferidas ao BCE pelo Regulamento (UE) n.o 1024/2013.

Por fim, sempre que membros do SEBC não pertencentes à área do euro exerçam funções equivalentes às que se encontram previstas no Tratado e às funções do SEBC previstas nos respetivos Estatutos, de acordo com as respetivas legislações nacionais, tais funções não deverão igualmente ser afetadas.

Alteração n.o 2

Artigo 1.o, n.os 4 e 5 (novo)

«4.

A presente diretiva não prejudica a legislação da UE em matéria de luta contra a criminalidade informática nem a Diretiva 2008/114/CE do Conselho, de 8 de dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção (9).

5.

A presente diretiva também não prejudica a aplicação da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (10), nem da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, nem do Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (11).

6.

A partilha de informações no quadro da rede de cooperação nos termos do capítulo III e as notificações de incidentes que afetam a SRI ao abrigo do artigo 14.o podem requerer o tratamento de dados pessoais. Esse tratamento, que é necessário para alcançar os objetivos de interesse público prosseguidos pela presente diretiva, deve ser autorizado pelo Estado-Membro em conformidade com o artigo 7.o da Diretiva 95/46/CE e com a Diretiva 2002/58/CE, tal como transpostos para o direito nacional.»

«4.

A presente diretiva não prejudica a legislação da UniãoE em matéria de luta contra a criminalidade informática nem a Diretiva 2008/114/CE do Conselho, de 8 de dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção (9).

5.

A presente diretiva não prejudica a superintendência e as funções conferidas ao BCE e ao SEBC respeitantes a políticas relacionadas com a supervisão prudencial das instituições de crédito e com os sistemas de pagamentos e de liquidação, para as quais foram estabelecidos requisitos específicos de gestão de risco e de segurança no âmbito do regime jurídico aplicável ao SEBC e noutros regulamentos e diretivas da União relacionados com o tema. De igual modo, a presente diretiva não prejudica o exercício de funções equivalentes por parte dos membros do SEBC de acordo com os respetivos regimes jurídicos nacionais.

5 6.

A presente diretiva também não prejudica a aplicação da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (10), nem da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, nem do Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (11).

6 7.

A partilha de informações no quadro da rede de cooperação nos termos do capítulo III e as notificações de incidentes que afetam a SRI ao abrigo do artigo 14.o podem requerer o tratamento de dados pessoais. Esse tratamento, que é necessário para alcançar os objetivos de interesse público prosseguidos pela presente diretiva, deve ser autorizado pelo Estado-Membro em conformidade com o artigo 7.o da Diretiva 95/46/CE e com a Diretiva 2002/58/CE, tal como transpostos para o direito nacional.»

Conforme acima referido, o SEBC tem um particular interesse em assegurar que os sistemas de pagamentos e de liquidação funcionam corretamente. Tal decorre da importância dos sistemas de pagamentos, compensação e de liquidação para a boa condução das operações de política monetária e do papel que desempenham na preservação da estabilidade do sistema financeiro em geral. Por conseguinte, o BCE recomenda que a diretiva proposta reconheça o papel do SEBC relativamente aos sistemas de pagamentos e de liquidação e ao regime de superintendência em vigor. O SBEC possui mecanismos altamente eficazes para determinar os níveis de segurança e de eficiência destes sistemas. O considerando deverá igualmente ter em consideração as funções conferidas ao BCE pelo Regulamento (UE) n.o 1024/2013.

A diretiva proposta também não deverá prejudicar o exercício de funções equivalentes por parte de membros do SEBC não pertencentes à área do euro, de acordo com os respetivos regimes jurídicos nacionais.

Alteração n.o 3

Artigo 6.o, n.o 1

«1.

Cada Estado-Membro designa uma autoridade nacional competente em matéria de segurança das redes e dos sistemas informáticos (“autoridade competente”).»

«1.

Cada Estado-Membro designa uma autoridade nacional competente em matéria de segurança das redes e dos sistemas informáticos (“autoridade competente”).

Deverá ser estabelecida uma cooperação eficaz entre a autoridade competente e as autoridades reguladoras a nível europeu e nacional.»

Explicação

O BCE recomenda que o artigo 6.o, n.o 1, seja alterado de modo a assegurar um bom nível de cooperação ao nível da União.

Alteração n.o 4

Artigo 8.o, n.o 3

«3.

No âmbito da rede de cooperação, as autoridades competentes devem:

a)

Difundir alertas rápidos sobre os riscos e os incidentes, em conformidade com o artigo 10.o;

b)

Assegurar uma resposta coordenada em conformidade com o artigo 11.o;

c)

Publicar periodicamente num sítio web comum informações não confidenciais sobre alertas rápidos em curso e a resposta coordenada;

d)

Debater e avaliar conjuntamente, a pedido de um Estado-Membro ou da Comissão, uma ou mais estratégias e planos de cooperação nacionais em matéria de SRI referidos no artigo 5.o, no âmbito da presente diretiva.

e)

Debater e avaliar conjuntamente, a pedido de um Estado-Membro ou da Comissão, a eficácia das CERT, em particular aquando da realização de exercícios de SRI a nível da União;

f)

Cooperar e trocar informações sobre todas as questões pertinentes com o Centro Europeu da Cibercriminalidade na Europol e com outros organismos europeus competentes, em especial nos domínios da proteção de dados, energia, transportes, banca, bolsa e saúde;

g)

Proceder ao intercâmbio de informações e de boas práticas entre si e com a Comissão e prestar assistência mútua tendo em vista o desenvolvimento de capacidades em matéria de SRI;

h)

Organizar análises regulares pelos pares das capacidades e do grau de preparação;

i)

Organizar exercícios sobre SRI a nível da União e, se tal se afigurar adequado, participar nesse tipo de exercícios a nível internacional.»

«3.

No âmbito da rede de cooperação, as autoridades competentes devem:

a)

Difundir alertas rápidos sobre os riscos e os incidentes, em conformidade com o artigo 10.o;

b)

Assegurar uma resposta coordenada em conformidade com o artigo 11.o;

c)

Publicar periodicamente num sítio web comum informações não confidenciais sobre alertas rápidos em curso e a resposta coordenada;

d)

Debater e avaliar conjuntamente, a pedido de um Estado-Membro ou da Comissão, uma ou mais estratégias e planos de cooperação nacionais em matéria de SRI referidos no artigo 5.o, no âmbito da presente diretiva. ;

e)

Debater e avaliar conjuntamente, a pedido de um Estado-Membro ou da Comissão, a eficácia das CERT, em particular aquando da realização de exercícios de SRI a nível da União;

f)

Cooperar e trocar informações sobre todas as questões pertinentes com o Centro Europeu da Cibercriminalidade na Europol e com outros organismos europeus competentes, em especial nos domínios da proteção de dados, energia, transportes, banca, bolsa e saúde;

g)

Proceder ao intercâmbio de informações e de boas práticas entre si e com a Comissão e prestar assistência mútua tendo em vista o desenvolvimento de capacidades em matéria de SRI;

h)

Organizar análises regulares pelos pares das capacidades e do grau de preparação;

i)

Organizar exercícios sobre SRI a nível da União e, se tal se afigurar adequado, participar nesse tipo de exercícios a nível internacional. ;

j)

Assegurar a troca de informações com as autoridades de regulação nacionais e europeias (i.e., no setor financeiro: o Sistema Europeu de Bancos Centrais (SEBC), a Autoridade Bancária Europeia (ABE) e a Autoridade Europeia dos Valores Mobiliários e dos Mercados (AEVMM), as quais deverão cooperar de forma estreita sempre que forem identificados incidentes de segurança que possam potencialmente impedir o bom funcionamento dos sistemas de pagamentos e de liquidação).»

Existem fortes motivos para a troca de informações com a Agência da União Europeia para a Segurança das Redes e da Informação ou com as autoridades competentes de acordo com a presente diretiva e com a ABE ou a AEVMM como autoridades competentes para a coordenação de incidentes relacionados com PSP.

Por tal motivo, o BCE propõe a presente alteração com vista a promover a troca de informações e a melhorar a coordenação ao nível da União.

Alteração n.o 5

Artigo 19.o, n.o 1

«1.

A Comissão é assistida por um comité (Comité de Segurança das Redes e da Informação). Esse Comité é um comité na aceção do Regulamento (UE) n.o 182/2011.»

«1.

A Comissão é assistida por um comité (Comité de Segurança das Redes e da Informação). Esse Comité é um comité na aceção do Regulamento (UE) n.o 182/2011.

O BCE, a ABE e a AEVMM deverão ser convidados a enviar representantes às reuniões do Comité de Segurança das Redes e da Informação quando alguns dos pontos da ordem de trabalhos possam ter implicações no exercício dos respetivos mandatos do BCE, da ABE ou da AEVMM.»

O BCE tem um interesse manifesto na melhoria da segurança dos sistemas, serviços e instrumentos de pagamentos e de liquidação como componente importante da manutenção da confiança na moeda única e no bom funcionamento da economia na União. Para esse efeito, o BCE recomenda que seja convidado para as reuniões do Comité de SRI. De todo o modo, o BCE terá de ser formalmente consultado, de acordo com o Tratado, sobre a adoção de quaisquer medidas relativas aos sistemas de pagamentos e sobre quaisquer outras matérias que recaiam no âmbito da competência do BCE.

A ABE ou a AEVMM deverão ser igualmente envolvidas em matérias relacionadas com PSP.


(1)  O texto em negrito indica as passagens a aditar por proposta do BCE. O texto riscado indica as passagens a suprimir por proposta do BCE.

(2)  Disponível (em inglês) no sítio da Internet do BCE em http://www.ecb.europa.eu