(1)

Astfel cum se menționează în considerentul (4) al Recomandării CERS/2013/1 a Comitetului european pentru risc sistemic (4), obiectivul final al politicii macroprudențiale este de a contribui la salvgardarea stabilității sistemului financiar în ansamblu, inclusiv prin consolidarea rezilienței sistemului financiar și prin diminuarea acumulării de riscuri sistemice, asigurând pe această cale o contribuție sustenabilă a sectorului financiar la creșterea economică. Comitetul european pentru risc sistemic (CERS) răspunde de supravegherea macroprudențială a sistemului financiar în Uniune. În îndeplinirea mandatului său, CERS ar trebui să contribuie la prevenirea și atenuarea riscurilor sistemice la adresa stabilității financiare, inclusiv a celor legate de incidentele cibernetice, și să propună modalități de atenuare a acestor riscuri.

(2)

Incidentele cibernetice majore pot prezenta un risc sistemic pentru sistemul financiar, având în vedere potențialul lor de a perturba serviciile și operațiunile financiare critice. Amplificarea unui șoc inițial poate avea loc fie prin contagiune operațională sau financiară, fie printr-o erodare a încrederii în sistemul financiar. Dacă sistemul financiar nu este în măsură să absoarbă aceste șocuri, stabilitatea financiară va fi în pericol, iar această situație poate duce la o criză cibernetică sistemică (5).

(3)

Evoluția constantă a sferei amenințărilor cibernetice și creșterea recentă a numărului incidentelor cibernetice majore sunt indicatori ai unui risc mai mare la adresa stabilității financiare în Uniune. Pandemia de COVID-19 a evidențiat importanța rolului pe care îl joacă tehnologia în facilitarea funcționării sistemului financiar. Autoritățile și instituțiile relevante au trebuit să își adapteze infrastructura tehnică și cadrele de gestionare a riscurilor la o creștere bruscă a lucrului la distanță, ceea ce a sporit expunerea generală a sistemului financiar la amenințările cibernetice și a permis infractorilor atât să conceapă noi moduri de operare, cât și să le adapteze pe cele existente pentru a exploata situația (6). În acest context, numărul incidentelor cibernetice raportate către Supravegherea Bancară a BCE în anul 2020 a crescut cu 54 % față de anul 2019 (7).

(4)

Un eventual incident cibernetic major pe scară largă, cu viteză și rată de propagare sporite necesită un răspuns eficace din partea autorităților relevante pentru a atenua potențialele efecte negative asupra stabilității financiare. Coordonarea și comunicarea rapidă între autoritățile relevante la nivelul Uniunii pot contribui la evaluarea din timp a impactului unui incident cibernetic major asupra stabilității financiare, menținând încrederea în sistemul financiar și limitând contagiunea la alte instituții financiare, contribuind astfel la prevenirea transformării unui incident cibernetic major într-un risc la adresa stabilității financiare.

(5)

Șocul subiacent are o origine inedită față de crizele financiare și de lichiditate tradiționale cu care se confruntă, de obicei, autoritățile relevante. Pe lângă aspectele financiare, evaluarea globală a riscurilor trebuie să includă amploarea și impactul perturbărilor operaționale, deoarece acestea ar putea influența alegerea instrumentelor macroprudențiale. În mod similar, stabilitatea financiară ar putea influența, de asemenea, alegerea de către experții cibernetici a factorilor operaționali de atenuare. Acest lucru necesită o coordonare strânsă și rapidă și o comunicare deschisă, pentru a putea, printre altele, consolida conștientizarea situației.

(6)

Riscul unui eșec în coordonarea autorităților există și trebuie abordat. Autoritățile relevante din Uniune vor trebui să se coordoneze între ele și cu alte autorități, cum ar fi Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), cu care de obicei nu interacționează. Întrucât un număr semnificativ de instituții financiare din Uniune își desfășoară activitatea la nivel mondial, este posibil ca un incident cibernetic major să nu fie limitat la Uniune sau să fie declanșat din afara Uniunii și ar putea necesita coordonarea la nivel mondial a răspunsului.

(7)

Autoritățile relevante trebuie să fie pregătite pentru aceste interacțiuni. În caz contrar, ar exista riscul ca acestea să ia măsuri inconsecvente care contrazic sau periclitează răspunsurile altor autorități. Un astfel de eșec în materie de coordonare ar putea amplifica șocul pentru sistemul financiar, ducând la o erodare a încrederii în funcționarea sistemului financiar care, în cel mai rău caz, ar reprezenta un risc pentru stabilitatea financiară (8). Prin urmare, ar trebui luate măsurile necesare pentru a aborda riscul la adresa stabilității financiare care decurge dintr-un eșec de coordonare în cazul unui incident cibernetic major.

(8)

Raportul CERS (2021) „Mitigating systemic cyber risk” (Atenuarea riscului cibernetic sistemic) (9) identifică necesitatea de a institui un cadru paneuropean de coordonarea în cazul incidentelor cibernetice sistemice (EU-SCICF) pentru autoritățile relevante din Uniune. Obiectivul EU-SCICF ar fi acela de a crește nivelul de pregătire al autorităților relevante pentru a facilita un răspuns coordonat la un eventual incident cibernetic major. Raportul CERS (2021) „Mitigating systemic cyber risk” oferă evaluarea CERS cu privire la caracteristicile cadrului care ar fi necesare, prima facie, pentru a aborda riscul unui eșec de coordonare.

(9)

Obiectivul principal al prezentei recomandări este de a valorifica unul dintre rolurile avute în vedere pentru autoritățile europene de supraveghere (AES) în propunerea de regulament al Parlamentului European și al Consiliului privind reziliența operațională digitală a sectorului financiar (10) (denumită în continuare „DORA”) de a permite treptat un răspuns coordonat eficace la nivelul Uniunii în cazul unui incident transfrontalier major legat de tehnologiile informației și comunicațiilor (TIC) sau al unei amenințări conexe care ar avea un impact sistemic asupra sectorului financiar al Uniunii în ansamblu. Acest proces va conduce la crearea EU-SCICF pentru autoritățile relevante.

(10)

EU-SCICF nu ar trebui să vizeze înlocuirea cadrelor existente, ci eliminarea oricăror lacune în materie de coordonare și comunicare între autoritățile relevante, precum și cu alte autorități din Uniune și cu alți actori-cheie la nivel internațional. În acest sens, ar trebui luată în considerare poziționarea EU-SCICF în actualul cadru referitor la criza financiară și în cel al Uniunii în materie de incidente cibernetice. În ceea ce privește coordonarea între autoritățile relevante în sine, ar trebui să se ia în considerare, fără a se limita la acestea, rolurile și activitățile Grupului de cooperare pentru rețele și sisteme informatice (NIS) pentru entitățile financiare prevăzute de Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (11) și mecanismele de coordonare avute în vedere prin instituirea unității cibernetice comune, alături de implicarea ENISA.

(11)

În special, propunerea de a lansa pregătirea EU-SCICF urmărește să aprobe rolurile potențiale ale AES, astfel cum sunt prevăzute în propunerea DORA. DORA propune ca „AES, prin intermediul Comitetului comun și în colaborare cu autoritățile competente, Banca Centrală Europeană (BCE) și CERS, să poată stabili mecanisme care să permită schimbul de practici eficace între sectoarele financiare în vederea îmbunătățirii conștientizării situației și a identificării vulnerabilităților și riscurilor cibernetice comune la nivelul tuturor sectoarelor” și „pot elabora exerciții de gestionare a crizelor și pentru situații neprevăzute care implică scenarii de atacuri cibernetice, cu scopul de a dezvolta canale de comunicare și de a permite treptat un răspuns coordonat eficace la nivelul UE în cazul unui incident transfrontalier major legat de TIC sau al unei amenințări conexe cu un impact sistemic asupra sectorului financiar al Uniunii în ansamblu” (12). Un cadru paneuropean, cum ar fi EU-SCICF, nu există încă și ar trebui instituit și dezvoltat în contextul DORA.

(12)

Având în vedere riscul la adresa stabilității financiare din Uniune care decurge din riscul cibernetic, lucrările pregătitoare pentru instituirea treptată a EU-SCICF ar trebui, în măsura posibilului, să înceapă chiar înainte de a fi pe deplin aplicabil cadrul juridic și de politică necesar pentru instituirea sa. Acest cadru juridic și de politică va fi complet finalizat odată ce dispozițiile relevante ale DORA și ale actelor sale delegate vor deveni aplicabile.

(13)

O comunicare eficace contribuie la conștientizarea situației în rândul autorităților relevante și, prin urmare, este o condiție prealabilă indispensabilă pentru coordonarea la nivelul Uniunii în timpul incidentelor cibernetice majore. În acest sens, ar trebui definită infrastructura de comunicații necesară pentru coordonarea răspunsului la un incident cibernetic major. Acest lucru ar implica precizarea tipului de informații care trebuie partajate, a canalelor regulate care trebuie utilizate pentru schimbul de astfel de informații și a punctelor de contact cu care ar trebui să se facă schimb de informații. Schimbul de informații trebuie să respecte cerințele legale existente. În plus, ar putea fi necesar ca autoritățile relevante să definească un plan de acțiune clar și protocoalele care trebuie respectate pentru a asigura o coordonare adecvată între autoritățile implicate în planificarea unui răspuns coordonat la un incident cibernetic major.

(14)

O criză cibernetică sistemică va necesita instituirea unei cooperări depline la nivel național și la nivelul Uniunii. Prin urmare, se poate avea în vedere desemnarea unor puncte de contact pentru AES, BCE și fiecare stat membru dintre autoritățile sale naționale relevante, care ar trebui să fie comunicate AES, pentru a stabili principalii interlocutori ai sistemului de coordonare al EU-SCICF care să fie informați în cazul unui incident cibernetic major. Necesitatea de a desemna puncte de contact ar trebui evaluată în cursul dezvoltării EU-SCICF, ținând seama de punctul unic de contact desemnat în temeiul Directivei (UE) 2016/1148 pe care statele membre l-au stabilit cu privire la securitatea rețelelor și a sistemelor informatice pentru a asigura cooperarea transfrontalieră cu alte state membre și cu Grupul de cooperare NIS (13).

(15)

Desfășurarea de exerciții de gestionare a crizelor și de intervenție în situații de urgență ar putea facilita punerea în aplicare a EU-SCICF și ar permite autorităților să evalueze gradul lor de pregătire pentru o criză cibernetică sistemică la nivelul Uniunii. Astfel de exerciții ar permite autorităților să tragă niște concluzii și ar permite îmbunătățirea și evoluția continuă a EU-SCICF.

(16)

Pentru dezvoltarea EU-SCICF, este esențial ca AES să desfășoare împreună activități pregătitoare relevante pentru a lua în considerare potențialele elemente-cheie ale cadrului, precum și resursele și nevoile necesare pentru a continua dezvoltarea acestuia. Ulterior, AES ar putea începe să lucreze la o analiză preliminară a oricăror obstacole care ar putea afecta capacitatea AES și a autorităților relevante de a înființa EU-SCICF și de a face schimb de informații relevante prin intermediul canalelor de comunicare în cazul unui incident cibernetic major. O astfel de analiză ar constitui un pas important care ar sta la baza oricărei acțiuni ulterioare, fie de natură legislativă fie a altor inițiative de sprijin pe care Comisia Europeană le-ar putea lua în etapa de punere în aplicare post-DORA,

1.

2.

(a)

„cibernetic” înseamnă legat de, din cadrul sau prin intermediul infrastructurii informaționale interconectate a interacțiunilor dintre persoane, procese, date și sisteme de informații (14);

(b)

„incident cibernetic major” înseamnă un incident legat de TIC cu un potențial impact negativ major asupra rețelelor și a sistemelor informatice care sprijină funcțiile critice ale entităților financiare (15);

(c)

„criză cibernetică sistemică” înseamnă un incident cibernetic major care provoacă un nivel de perturbare a sistemului financiar al Uniunii care ar putea avea consecințe negative grave pentru buna funcționare a pieței interne și pentru funcționarea economiei reale. O astfel de criză ar putea rezulta dintr-un incident cibernetic major care cauzează șocuri pe o serie de canale, inclusiv operaționale, de încredere și financiare;

(d)

„autorități europene de supraveghere” sau „AES” înseamnă Autoritatea europeană de supraveghere (Autoritatea bancară europeană), instituită prin Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului (16), împreună cu Autoritatea europeană de supraveghere (Autoritatea europeană pentru asigurări și pensii ocupaționale), instituită prin Regulamentul (UE) nr. 1094/2010 al Parlamentului European și al Consiliului (17) și Autoritatea europeană de supraveghere (Autoritatea europeană pentru valori mobiliare și piețe) instituită prin Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului (denumite, în continuare, în mod colectiv „AES”) (18).

(e)

„comitet comun” înseamnă Comitetul comun al autorităților europene de supraveghere prevăzut la articolul 54 din Regulamentul (UE) nr. 1093/2010, Regulamentul (UE) nr. 1094/2010 și Regulamentul (UE) nr. 1095/2010;

(f)

„autoritate națională relevantă” înseamnă

(g)

„autoritate relevantă” înseamnă

(a)

principiul proporționalității și cel al necesității de a cunoaște ar trebui respectate în mod corespunzător, ținându-se totodată cont de obiectivul și cuprinsul fiecărei recomandări;

(b)

ar trebui îndeplinite criteriile specifice de conformitate stabilite în anexă în legătură cu fiecare recomandare.

1.

Recomandarea A

2.

Recomandarea B

Până la 30 iunie 2023, dar nu mai devreme de șase luni de la intrarea în vigoare a DORA, AES, BCE și statele membre sunt invitate să transmită Parlamentului European, Consiliului, Comisiei și CERS un raport privind punerea în aplicare a Recomandării B.

3.

Recomandarea C

1.

Secretariatul CERS:

2.

Consiliul general va evalua măsurile și justificările raportate de către destinatari și, după caz, va putea decide că prezenta recomandare nu a fost respectată și destinatarul nu a justificat în mod adecvat lipsa de acțiune.