7.10.2014   

RO

Jurnalul Oficial al Uniunii Europene

C 352/4

AVIZUL BĂNCII CENTRALE EUROPENE

din 25 iulie 2014

cu privire la o propunere de directivă a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel ridicat de securitate a rețelelor și a informației în Uniune

(CON/2014/58)

2014/C 352/04

Introducere și temei juridic

La 7 februarie 2013, Comisia Europeană a publicat o propunere de directivă privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informațiilor în Uniune (1) (denumită în continuare „directiva propusă”).

Banca Centrală Europeană (BCE) a decis să emită un aviz din proprie inițiativă cu privire la directiva propusă, deoarece nu a fost consultată în mod oficial de către legiuitori. Competența BCE de a emite un aviz se întemeiază pe articolul 127 alineatul (4) și pe articolul 282 alineatul (5) din Tratatul privind funcționarea Uniunii Europene, deoarece directiva propusă cuprinde dispoziții care afectează misiunea Sistemului European al Băncilor Centrale (SEBC) de a promova buna funcționare a sistemelor de plăţi menționată la articolul 127 alineatul (2) a patra liniuță din tratat. În plus, articolul 22 din Statutul Sistemului European al Băncilor Centrale și al Băncii Centrale Europene (denumit în continuare „Statutul SEBC”) prevede că BCE și băncile centrale naționale pot acorda facilități, iar BCE poate adopta regulamente în vederea asigurării eficienței și solidității sistemelor de compensare și de plăți în cadrul Uniunii și în raporturile cu țările terțe. În conformitate cu articolul 17.5 prima teză din Regulamentul de procedură al Băncii Centrale Europene, Consiliul guvernatorilor adoptă prezentul aviz.

1.   Scopul directivei propuse

1.1

Directiva propusă urmărește să asigure un nivel comun ridicat de securitate a rețelelor și a informațiilor (network and information security – NIS) prin îmbunătățirea securității internetului și a rețelelor și sistemelor informatice pe care se bazează funcționarea societății și economiei noastre. Prezenta propunere constituie acțiunea principală în cadrul strategiei europene de securitate cibernetică (2).

1.2

Rețelele și sistemele informatice au un rol esențial în facilitarea circulației transfrontaliere a mărfurilor, serviciilor și persoanelor. Ca urmare a acestei dimensiuni transnaționale intrinseci, o perturbare care are loc într-un stat membru poate afecta, de asemenea, alte state membre și Uniunea în ansamblul său. În plus, probabilitatea că incidentele vor avea loc în mod frecvent și incapacitatea de a asigura o protecție eficientă subminează încrederea publicului în NIS. Prin urmare, reziliența și stabilitatea NIS sunt critice pentru buna funcționare a pieței interne.

1.3

Directiva propusă se bazează pe inițiativele anterioare din acest domeniu (3). În acest context, directiva propusă recunoaște necesitatea armonizării regulilor privind NIS și creării unor mecanisme eficace de cooperare între statele membre.

1.4

Directiva propusă stabilește un cadru juridic comun la nivelul Uniunii pentru NIS în ceea ce privește capacitățile statelor membre, mecanismele de cooperare la nivelul Uniunii și cerințele aplicate administrațiilor publice și, de asemenea, entităților din sectorul privat în anumite sectoare critice. Acest lucru ar trebui să asigure un grad adecvat de pregătire la nivel național și să contribuie la promovarea unui climat de încredere reciprocă, care reprezintă o condiție prealabilă pentru o cooperare efectivă la nivelul Uniunii. Instituirea de mecanisme de cooperare la nivelul Uniunii prin intermediul rețelei va asigura acțiuni coerente și coordonate de prevenire și răspuns la incidentele și riscurile transfrontaliere în materie de NIS.

1.5

Dispozițiile principale se referă la următoarele:

(a)

o cerință ca toate statele membre să aibă un nivel minim de capacități naționale prin înființarea de autorități competente în materie de NIS, crearea de echipe de intervenție în caz de urgență informatică (Computer Emergency Response Teams – CERT) și adoptarea strategiilor naționale privind NIS și a planurilor naționale de cooperare în domeniul NIS;

(b)

schimbul necesar de informații între statele membre în cadrul unei rețele, precum și crearea unui plan paneuropean de cooperare în domeniul NIS și alerte rapide coordonate pentru incidente de securitate cibernetică;

(c)

pe baza modelului Directivei 2002/21/CE a Parlamentului European și a Consiliului (4), asigurarea dezvoltării unei culturi a gestionării riscurilor și a schimbului de informații de către sectoarele public și privat. Întreprinderilor din anumite sectoare critice și administrațiilor publice li se va solicita să evalueze riscurile cu care se confruntă și să adopte măsuri adecvate și proporționale de asigurare a NIS. De asemenea, acestea vor trebui să raporteze autorităților competente orice incidente care le afectează grav rețelele și sistemele informatice și care au un impact semnificativ asupra continuității serviciilor critice și a aprovizionării cu bunuri.

2.   Observații generale

2.1

BCE susține obiectivul directivei propuse de a asigura un nivel comun ridicat de NIS la nivelul Uniunii și de a realiza o abordare consecventă în acest domeniu între diferitele sectoare de activitate și state membre. Este important să se asigure că piața internă este un spațiu sigur pentru afaceri și că toate statele membre au un anumit nivel minim de pregătire în cazul unui incident de securitate cibernetică.

2.2

Cu toate acestea, BCE consideră că directiva propusă nu ar trebui să aducă atingere regimului existent al monitorizării de către Eurosistem a sistemelor de plăți și decontare (5), care include aranjamente corespunzătoare, printre altele, în domeniul NIS. Ar trebui menționat că BCE are un interes special într-o securitate îmbunătățită a sistemelor de plăți și decontare (6) pentru a promova buna funcționare a sistemelor de plăți și pentru a contribui la menținerea încrederii în euro și funcționarea economiei Uniunii.

2.3

De asemenea, evaluarea măsurilor de securitate și a notificărilor incidentelor în ceea ce privește sistemele de plăți și decontare și prestatorii de servicii de plată (PSP) este una din competențele principale ale autorităților de supraveghere prudențială și ale băncilor centrale. Prin urmare, responsabilitatea pentru elaborarea cerințelor de monitorizare în domeniile menționate mai sus ar trebui să aparțină în continuare acestor autorități, iar sistemele de plăți și decontare și PSP nu ar trebui să facă obiectul unor cerințe în mod potențial contradictorii impuse de alte autorități naționale. De asemenea, gestionarea riscurilor, incluzând cerințele de securitate în ceea ce privește sistemele de plăți și decontare și alte infrastructuri de piață din zona euro, este stabilită de Eurosistem, cuprinzând BCE și BCN din statele membre care au adoptat euro. Prin această funcție de monitorizare, Eurosistemul urmărește să asigure buna funcționare a sistemelor de plăți și decontare prin aplicarea, printre altele, de standarde de monitorizare și cerințe minime corespunzătoare. Directiva propusă ar trebui să țină seama de cadrul de monitorizare deja existent și să asigure o reglementare consecventă la nivelul Uniunii.

3.   Observații specifice

3.1

Considerentul 5 și articolul 1 din directiva propusă prevăd că obligațiile relevante, mecanismul de cooperare și cerințele de securitate se aplică tuturor administraţiilor publice și operatorilor de piață. Formularea actuală a considerentului 5 și a articolului 1 nu ține seama de mandatul Eurosistemului, înscris în tratat, de a monitoriza sistemele de plăți și decontare. Prin urmare, directiva propusă ar trebui modificată pentru a reflecta în mod corespunzător responsabilitățile Eurosistemului din acest domeniu.

3.2

Aranjamentele și procedurile băncilor centrale și ale altor autorități competente de a monitoriza sistemele de plăți și decontare a valorilor mobiliare sunt cuprinse într-o serie de directive și regulamente ale Uniunii, în special:

(a)

Directiva 98/26/CE a Parlamentului European și a Consiliului (denumită în continuare „Directiva privind caracterul definitiv al decontării”) (7), care dă dreptul autorităților competente din statele membre să impună măsuri de supraveghere a sistemelor de plăți și decontare care intră sub jurisdicția lor (8);

(b)

Regulamentul (UE) nr. 648/2012 al Parlamentului European și al Consiliului (9) [denumit în continuare „Regulamentul privind infrastructura pieţei europene” (EMIR)], care recunoaște rolurile Autorității Europene pentru Valori Mobiliare şi Pieţe (ESMA), Autorității Bancare Europene (ABE) și SEBC în stabilirea standardelor de reglementare și în supravegherea contrapărților centrale; și

(c)

propunerea de regulament privind îmbunătățirea decontării instrumentelor financiare în Uniunea Europeană și depozitarii centrali de instrumente financiare (Central Securities Depositories – CSD) și de modificare a Directivei 98/26/CE (10) [denumită în continuare „Regulamentul CSD” (CSDR)], care solicită învestirea autorităților competente cu competențe de supraveghere și investigare, în special articolul 45 din acest regulament, care introduce cerințe prudențiale pentru CSD, inclusiv dispoziții importante privind atenuarea riscului operațional.

3.3

În plus, ar trebui menționat că, la 3 iunie 2013, Consiliul guvernatorilor BCE a adoptat „Principiile pentru infrastructurile piețelor financiare”, introduse în aprilie 2012 de către Comitetul pentru sisteme de plăţi şi decontare (Committee on Payment and Settlement Systems – CPSS) al Băncii Reglementelor Internaţionale și Comitetul tehnic al Organizației Internaționale a Comisiilor de Valori Mobiliare (International Organization of Securities Commissions – IOSCO) (11), pentru efectuarea monitorizării Eurosistemului în raport cu toate tipurile de infrastructuri ale piețelor financiare. Acestea au fost urmate de o consultare publică cu privire la un proiect de regulament privind cerințele de monitorizare pentru sistemele de plăți de importanță sistemică (denumit în continuare „Regulamentul SIPS”) (12). Regulamentul SIPS pune în aplicare principiile CPSS-IOSCO într-o formă obligatorie din punct de vedere juridic și acoperă atât sisteme de plăți de mare valoare, cât și de mică valoare, indiferent dacă sunt operate de BCN din Eurosistem sau de entități private.

3.4

Aranjamentele existente de monitorizare (13) în ceea ce privește sistemele de plăți și PSP cuprind deja proceduri pentru alerte rapide (14) și răspunsuri coordonate (15) în cadrul și în afara Eurosistemului pentru a face față unor posibile amenințări la adresa securității cibernetice, care sunt echivalente celor stabilite la articolele 10 și 11 din directiva propusă.

3.5

SEBC a stabilit standarde privind obligațiile de raportare și de gestionare a riscurilor pentru sistemele de plăți. În plus, BCE evaluează periodic sistemele de decontare a valorilor mobiliare, pentru a determina eligibilitatea acestora pentru utilizarea în operațiunile de creditare din Eurosistem. Prin urmare, BCE consideră necesar ca cerințele din directiva propusă care afectează infrastructurile de piață critice și operatorii acestora (16) să nu aducă atingere standardelor din Regulamentul SIPS, cadrului politicii de monitorizare a Eurosistemului sau altor regulamente ale Uniunii, în special EMIR și viitorul CSDR. În plus, acestea nu ar trebui să interfereze cu sarcinile ABE sau ESMA sau ale altor autorități de supraveghere prudențială (17).

3.6

Cu toate acestea, BCE consideră că există argumente puternice ca Eurosistemul să facă schimb de informații relevante cu Comitetul NIS care urmează a fi înființat în conformitate cu articolul 19 din directiva propusă. În scopul schimbului eficient de informații care poate deveni necesar, BCE, ABE și ESMA ar trebui invitate să trimită reprezentanți la reuniunile Comitetului NIS pentru punctele de pe ordinea de zi care ar putea prezenta interes la îndeplinirea mandatelor acestora.

Adoptat la Frankfurt pe Main, 25 iulie 2014.

Preşedintele BCE

Mario DRAGHI

(1)  COM(2013) 48 final.

(2)  A se vedea Comunicarea comună către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor, „Strategia de securitate cibernetică a Uniunii Europene: un spațiu cibernetic deschis, sigur și securizat”, JOIN(2013) 1 final.

(3)  Acestea includ următoarele comunicări: „Network and Information Security: Proposal for a European Policy Approach” (Securitatea rețelelor și a informațiilor: propunere pentru o abordare de politică europeană) COM(2001) 298 final; „A strategy for a Secure Information Society: «Dialogue, partnership and empowerment»” (O strategie pentru o societate informațională sigură: „Dialog, parteneriat și responsabilizare”) COM(2006) 251 final; „Protecţia infrastructurilor critice de informaţie – «Protejarea Europei de atacuri cibernetice şi perturbaţii de amploare: ameliorarea gradului de pregătire, a securităţii şi a rezilienţei»” COM(2009) 149 final; „O Agendă digitală pentru Europa” COM(2010) 245 final; și „Protecția infrastructurilor critice de informație – «Realizări și etape următoare: către un context global de securitate cibernetică»” COM(2011) 163 final.

(4)  Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind un cadru de reglementare comun pentru rețelele și serviciile de comunicații electronice (JO L 108, 24.4.2002, p. 33).

(5)  Funcțiile de monitorizare ale anumitor membri SEBC se desfășoară în temeiul legislației și reglementărilor naționale, care completează și, în anumite cazuri, constituie dubluri ale dispozițiilor cu privire la competența Eurosistemului.

(6)  Termenul „decontare” utilizat în prezentul aviz include funcția de compensare.

(7)  Directiva 98/26/CE a Parlamentului European și a Consiliului din 19 mai 1998 privind caracterul definitiv al decontării în sistemele de plăți și de decontare a titlurilor de valoare (JO L 166, 11.6.1998, p. 45).

(8)  A se vedea articolul 10 alineatul (1) al treilea paragraf din Directiva privind caracterul definitiv al decontării.

(9)  Regulamentul (UE) nr. 648/2012 al Parlamentului European și al Consiliului din 4 iulie 2012 privind instrumentele financiare derivate extrabursiere, contrapărțile centrale și registrele centrale de tranzacții (JO L 201, 27.7.2012, p. 1).

(10)  COM(2012) 73 final.

(11)  Disponibile pe website-ul Băncii Reglementelor Internaționale la adresa https://www.bis.org/publ/cpss94.pdf

(12)  Disponibil pe website-ul BCE la adresa http://www.ecb.europa.eu

(13)  A se vedea comunicatul de presă al BCE cu privire la memorandumul de înţelegere privind principiile la nivel înalt de cooperare între autoritățile de supraveghere bancară și băncile centrale din Uniunea Europeană în situații de gestionare a crizelor (2003), disponibil pe website-ul BCE la adresa www.ecb.europa.eu

(14)  A se vedea „Recomandarea 3: monitorizarea și raportarea incidentelor” (Recommendation 3: Incident monitoring and reporting) în „Recomandări pentru securitatea plăților pe internet – versiune finală după consultare publică” (Recommendations for the security of internet payments-final version after public consultation), The European Forum on the Security of Retail Payments (SecuRe Pay), ianuarie 2013, disponibil pe website-ul BCE, la adresa www.ecb.europa.eu

(15)  Pe baza principiilor de monitorizare internațională pe bază de cooperare, astfel cum sunt reiterate de raportul de monitorizare al CPSS din 2005, băncile centrale din Eurosistem au participat cu succes la acorduri de cooperare într-o serie de cazuri, după cum se arată, de exemplu, în contextul acordurilor de monitorizare pentru SWIFT (Society for Worldwide Interbank Financial Telecommunications) și pentru Sistemul de decontare continuă interdependentă (Continuous Linked Settlement – CLS).

(16)  De exemplu, cerințele ca operatorii de piață să respecte măsurile tehnice și organizatorice din articolul 14 alineatele (3) și (4) și competența de a emite instrucțiuni obligatorii pentru operatorii de piață din articolul 15 alineatul (3) din directiva propusă.

(17)  A se vedea punctul 2.12 din Avizul CON/2014/9 BCE cu privire la o propunere de directivă a Parlamentului European și a Consiliului privind serviciile de plată în cadrul pieței interne, de modificare a Directivelor 2002/65/CE, 2013/36/UE și 2009/110/CE și de abrogare a Directivei 2007/64/CE (JO C 224, 15.7.2014, p. 1). Toate avizele BCE se publică pe website-ul BCE, la adresa www.ecb.europa.eu

ANEXĂ

Propuneri de redactare

Textul propus de Comisie

Modificările propuse de BCE (1)

Modificarea 1

Considerentul 5

„(5)

Pentru a putea acoperi toate incidentele și riscurile relevante, prezenta directivă trebuie să se aplice tuturor rețelelor și sistemelor informatice. Obligațiile impuse administrațiilor publice și operatorilor de piață nu trebuie să se aplice însă întreprinderilor care furnizează rețele de comunicații publice sau servicii de comunicații electronice accesibile publicului în sensul Directivei 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind un cadru de reglementare comun pentru rețelele și serviciile de comunicații electronice (Directiva-cadru) (2), care sunt supuse cerințelor specifice de securitate și integritate stabilite la articolul 13a din directiva respectivă, și nici furnizorilor de servicii de asigurare a încrederii.”

„(5)

Pentru a putea acoperi toate incidentele și riscurile relevante, prezenta directivă trebuie să se aplice tuturor rețelelor și sistemelor informatice. Obligațiile impuse administrațiilor publice și operatorilor de piață nu trebuie să se aplice însă întreprinderilor care furnizează rețele de comunicații publice sau servicii de comunicații electronice accesibile publicului în sensul Directivei 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind un cadru de reglementare comun pentru rețelele și serviciile de comunicații electronice (Directiva-cadru) (2), care sunt supuse cerințelor specifice de securitate și integritate stabilite la articolul 13a din directiva respectivă, și nici furnizorilor de servicii de asigurare a încrederii. De asemenea, fără a aduce atingere aplicării prezentei directive asupra administrațiilor publice și operatorilor de piață, prezenta directivă nu afectează misiunile și îndatoririle conferite Sistemului European al Băncilor Centrale (SEBC) prin tratat și prin Statutul Sistemului European al Băncilor Centrale şi al Băncii Centrale Europene, nici funcțiile echivalente îndeplinite de membrii SEBC în baza cadrelor naționale ale acestora, în special în ceea ce privește politicile legate de supravegherea prudențială a instituțiilor de credit și monitorizarea sistemelor de plăți și decontare a valorilor mobiliare. Statele membre se bazează pe funcțiile de supraveghere prudențială și monitorizare exercitate de băncile centrale și autoritățile de supraveghere ale acestor operatori în domeniile de competență ale acestora.

Considerentul 5 ar trebui modificat pentru a reflecta responsabilitățile BCE și ale BCN în monitorizarea și reglementarea sistemelor de plăți și decontare. În conformitate cu articolul 127 alineatul (2) a patra liniuță din tratat, una din misiunile principale ale SEBC este de a promova buna funcționare a sistemelor de plăți. De asemenea, articolul 22 din Statutul SEBC acordă BCE competența de a adopta regulamente în vederea asigurării eficienței și solidității sistemelor de compensare și de plăți. De asemenea, ar trebui luat în considerare faptul că, în temeiul articolului 127 alineatul (5) din tratat, SEBC contribuie la buna desfășurare a politicilor referitoare la stabilitatea sistemul financiar. În plus, în conformitate cu cadrul politicii de monitorizare a Eurosistemului din iulie 2011  (2) , „monitorizarea sistemelor de plăți și decontare este o funcție a băncilor centrale prin care obiectivele siguranței și eficienței sunt promovate prin monitorizarea sistemelor existente și planificate, evaluarea lor în raport cu obiectivele respective și, atunci când este necesar, determinarea de schimbări”.

Cu alte cuvinte, garantarea unor sisteme sigure și eficiente reprezintă o importantă condiție prealabilă pentru capacitatea Eurosistemului de a contribui la stabilitatea financiară, de a pune în aplicare politica monetară și de a menține încrederea publicului în euro.

De asemenea, în conformitate cu observațiile BCE privind revizuirea propusă a directivei privind serviciile de plată (DSP2), ar trebui menționat că autoritățile naționale de supraveghere și băncile centrale sunt autoritățile competente să emită orientări privind gestionarea incidentelor și notificările incidentelor pentru PSP, precum și să emită orientări privind schimbul de notificări ale incidentelor între autoritățile relevante. De asemenea, considerentul ar trebui să țină seama în mod corespunzător de atribuțiile conferite BCE prin Regulamentul (UE) nr. 1024/2013.

În fine, atunci când membrii SEBC din afara zonei euro îndeplinesc funcții echivalente misiunilor din tratat și Statutul SEBC, în baza dispozițiilor naționale ale acestora, nici aceste funcții nu ar trebui afectate.

Modificarea 2

Articolul 1 alineatul (4) și articolul 1 alineatul (5) (nou)

„(4)

Prezenta directivă nu aduce atingere legislației UE privind criminalitatea informatică și nici Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (9).

(5)

De asemenea, prezenta directivă nu aduce atingere Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (10) și nici Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice sau Regulamentului Parlamentului European și Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (11).

(6)

Schimbul de informații în cadrul rețelei de cooperare prevăzut la capitol III și notificarea incidentelor de securitate a rețelelor și a informației prevăzută la articolul 14 pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare, care este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă, trebuie autorizată de statul membru în temeiul articolului 7 din Directiva 95/46/CE și al Directivei 2002/58/CE, astfel cum au fost transpuse în legislația națională.”

„(4)

Prezenta directivă nu aduce atingere legislației Uniunii E privind criminalitatea informatică și nici Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea și desemnarea infrastructurilor critice europene și evaluarea necesității de îmbunătățire a protecției acestora (9).

(5)

Prezenta directivă nu aduce atingere monitorizării și misiunilor conferite BCE și SEBC în ceea ce privește politicile referitoare la supravegherea prudențială a instituțiilor de credit și la sistemele de plăți și decontare, pentru care au fost stabilite cerințe specifice de gestionare a riscurilor și de securitate în cadrul de reglementare al SEBC și în alte directive și regulamente conexe ale Uniunii. De asemenea, prezenta directivă nu aduce atingere funcțiilor echivalente îndeplinite de membrii SEBC în baza cadrelor naționale ale acestora.

(5) (6)

De asemenea, prezenta directivă nu aduce atingere Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (10) și nici Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice sau Regulamentului Parlamentului European și Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (11).

(6) (7)

Schimbul de informații în cadrul rețelei de cooperare prevăzut la capitolul III și notificarea incidentelor de securitate a rețelelor și a informației prevăzută la articolul 14 pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare, care este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă, trebuie autorizată de statul membru în temeiul articolului 7 din Directiva 95/46/CE și al Directivei 2002/58/CE, astfel cum au fost transpuse în legislația națională.”

Astfel cum s-a menționat mai sus, SEBC are un interes deosebit în asigurarea funcționării corespunzătoare a sistemelor de plăți și decontare. Acest interes decurge din importanța sistemelor de plăți, compensare și decontare pentru buna funcționare a operațiunilor de politică monetară și din rolul pe care acestea îl joacă în asigurarea stabilității sistemului financiar în general. Prin urmare, BCE recomandă ca directiva propusă să țină cont de rolul SEBC în ceea ce privește sistemele de plăți și decontare și de cadrul de monitorizare deja existent. SEBC dispune de instrumente foarte eficace pentru a determina nivelurile de siguranță și eficiență ale acestor sisteme. De asemenea, considerentul ar trebui să țină seama în mod corespunzător de atribuțiile conferite BCE prin Regulamentul (UE) nr. 1024/2013.

De asemenea, prezenta directivă nu ar trebui să aducă atingere funcțiilor echivalente îndeplinite de membrii SEBC din afara zonei euro în baza cadrelor naționale ale acestora.

Modificarea 3

Articolul 6 alineatul (1)

„(1)

Fiecare stat membru desemnează o autoritate națională competentă în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare «autoritatea competentă»).”

„(1)

Fiecare stat membru desemnează o autoritate națională competentă în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare «autoritatea competentă»).

Se instituie o cooperare eficace între autoritatea competentă și autoritățile de reglementare europene și naționale.

Explicație

BCE recomandă ca articolul 6 alineatul (1) să fie modificat pentru a se asigura o bună cooperare la nivelul Uniunii.

Modificarea 4

Articolul 8 alineatul (3)

„(3)

În cadrul rețelei de cooperare, autoritățile competente:

(a)

transmit alerte rapide privind riscurile și incidentele în conformitate cu articolul 10;

(b)

asigură un răspuns coordonat în conformitate cu articolul 11;

(c)

publică cu regularitate pe un site web comun informații neconfidențiale privind alertele rapide și răspunsul coordonat în curs;

(d)

la cererea unui stat membru sau a Comisiei, discută și evaluează împreună una sau mai multe strategii naționale privind NIS sau planuri naționale de cooperare în domeniul NIS, menționate la articolul 5, în domeniul de aplicare al prezentei directive;

(e)

la cererea unui stat membru sau a Comisiei, discută și evaluează împreună eficacitatea echipelor CERT, în special atunci când au loc la nivelul Uniunii exerciții de NIS;

(f)

cooperează și fac schimb de informații cu privire la toate aspectele relevante cu Centrul european de combatere a criminalității informatice din cadrul Europol și cu alte organisme europene relevante, în special în domeniile protecției datelor, energiei, transporturilor, serviciilor bancare, burselor și sănătății;

(g)

fac schimb de informații și bune practici între ele și cu Comisia și își acordă reciproc asistență în ceea ce privește crearea capacităților din domeniul NIS;

(h)

organizează cu regularitate evaluări inter pares privind capacitățile și nivelul de pregătire;

(i)

organizează exerciții de NIS la nivelul Uniunii și participă, după caz, la exercițiile internaționale de NIS.”

„(3)

În cadrul rețelei de cooperare, autoritățile competente:

(a)

transmit alerte rapide privind riscurile și incidentele în conformitate cu articolul 10;

(b)

asigură un răspuns coordonat în conformitate cu articolul 11;

(c)

publică cu regularitate pe un site web comun informații neconfidențiale privind alertele rapide și răspunsul coordonat în curs;

(d)

la cererea unui stat membru sau a Comisiei, discută și evaluează împreună una sau mai multe strategii naționale privind NIS sau planuri naționale de cooperare în domeniul NIS, menționate la articolul 5, în domeniul de aplicare al prezentei directive;

(e)

la cererea unui stat membru sau a Comisiei, discută și evaluează împreună eficacitatea echipelor CERT, în special atunci când au loc la nivelul Uniunii exerciții de NIS;

(f)

cooperează și fac schimb de informații cu privire la toate aspectele relevante cu Centrul european de combatere a criminalității informatice din cadrul Europol și cu alte organisme europene relevante, în special în domeniile protecției datelor, energiei, transporturilor, serviciilor bancare, burselor și sănătății;

(g)

fac schimb de informații și bune practici între ele și cu Comisia și își acordă reciproc asistență în ceea ce privește crearea capacităților din domeniul NIS;

(h)

organizează cu regularitate evaluări inter pares privind capacitățile și nivelul de pregătire;

(i)

organizează exerciții de NIS la nivelul Uniunii și participă, după caz, la exercițiile internaționale de NIS. ;

(j)

asigură schimbul de informații cu autoritățile de reglementare europene și naționale [respectiv, pentru sectorul financiar: Sistemul European al Băncilor Centrale (SEBC), Autoritatea Bancară Europeană (ABE) și Autoritatea Europeană pentru Valori Mobiliare şi Pieţe (ESMA), care cooperează strâns atunci când sunt identificate incidente de securitate care ar putea afecta în mod potențial buna funcționare a sistemelor de plăți și decontare].

Există argumente puternice pentru schimbul de informații cu Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor sau cu autoritățile competente în temeiul directivei propuse, precum și cu ABE și ESMA ca autoritate competentă pentru coordonarea răspunsurilor la incidentele legate de PSP.

Astfel, BCE propune această modificare în vederea promovării schimbului de informații și a unei mai bune coordonări la nivelul Uniunii.

Modificarea 5

Articolul 19 alineatul (1)

„(1)

Comisia este asistată de un comitet (Comitetul pentru securitatea rețelelor și a informației). Acesta este un comitet în sensul Regulamentului (UE) nr. 182/2011.”

„(1)

Comisia este asistată de un comitet (Comitetul pentru securitatea rețelelor și a informației). Acesta este un comitet în sensul Regulamentului (UE) nr. 182/2011.

BCE, ABE și ESMA sunt invitate să trimită un reprezentant la reuniunile Comitetului pentru securitatea rețelelor și a informației cu privire la punctele de pe ordinea de zi care ar putea avea implicații asupra îndeplinirii mandatelor respective ale BCE, ABE sau ESMA.

BCE are un interes direct în îmbunătățirea securității sistemelor, serviciilor și instrumentelor de plăți și decontare, ca o componentă importantă pentru menținerea încrederii în moneda unică și buna funcționare a economiei Uniunii. În acest scop, BCE recomandă să fie invitată la reuniunile Comitetului NIS. În orice caz, BCE va trebui să fie consultată în mod oficial în temeiul tratatului cu privire la orice astfel de măsuri referitoare la sistemele de plăți și orice alte aspecte care se încadrează în domeniile de competență ale BCE.

ABE sau ESMA ar trebui implicate, de asemenea, în chestiunile referitoare la PSP.

(1)  Scrisul cu caractere aldine în cuprinsul textului arată unde BCE propune inserarea unui text nou. Pasajele tăiate din cuprinsul textului indică unde BCE propune eliminarea textului.

(2)  Disponibil pe website-ul BCE la adresa www.ecb.europa.eu