Introducere și temei juridic

La 9 decembrie 2025, Banca Centrală Europeană (BCE) a primit din partea Parlamentului European o solicitare de emitere a unui aviz cu privire la o propunere de regulament al Parlamentului European și al Consiliului de modificare a Regulamentelor (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 și a Directivelor 2002/58/CE, (UE) 2022/2555 și (UE) 2022/2557 în ceea ce privește simplificarea cadrului legislativ în domeniul digital și de abrogare a Regulamentelor (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 și a Directivei (UE) 2019/1024 (Regulamentul omnibus în domeniul digital) (1) (denumită în continuare „regulamentul propus”).

Competența BCE de a emite un aviz se întemeiază pe articolul 127 alineatul (4) și pe articolul 282 alineatul (5) din Tratatul privind funcționarea Uniunii Europene, întrucât regulamentul propus cuprinde dispoziții care intră în sfera de competență a BCE, inclusiv, în special, punerea în aplicare a politicii monetare în conformitate cu articolul 127 alineatul (2) prima liniuță și articolul 282 alineatul (1) din tratat, buna funcționare a sistemelor de plăți în conformitate cu articolul 127 alineatul (2) a patra liniuță și articolul 282 alineatul (1) din tratat, supravegherea prudențială a instituțiilor de credit în conformitate cu articolul 127 alineatul (2) din tratat și misiunile BCE de a colecta informații statistice în conformitate cu articolul 5 din Statutul Sistemului European al Băncilor Centrale și al Băncii Centrale Europene (denumit în continuare „Statutul SEBC”). În conformitate cu articolul 17.5 prima teză din Regulamentul de procedură al Băncii Centrale Europene, Consiliul guvernatorilor adoptă prezentul aviz.

1.   Observații cu caracter general

1.1.

BCE susține regulamentul propus, care este o reformă importantă menită să simplifice și să optimizeze aplicarea cadrului de reglementare în domeniul digital în Uniune. În măsura în care regulamentul propus este eficace în îndeplinirea obiectivelor sale de promovare a politicilor care consolidează competitivitatea Uniunii și de reducere a sarcinii de reglementare pentru populație, întreprinderi și administrații, acesta va elimina obstacolele din calea furnizării de servicii și va sprijini dezvoltarea economiei digitale în Uniune, ținând seama, în același timp, de necesitatea de a menține cele mai înalte standarde în ceea ce privește promovarea valorilor Uniunii, inclusiv respectarea drepturilor fundamentale. Economia digitală este din ce în ce mai importantă și poate avea implicații pentru desfășurarea politicii monetare, deoarece afectează mediul în care funcționează politica monetară prin transformarea eterogenă a modelelor de consum și de producție, a modelelor de afaceri și a prețurilor relative în zona euro și în statele membre. Aceste evoluții au efecte importante asupra variabilelor relevante pentru politica monetară și asupra măsurării acestora, inclusiv ocuparea forței de muncă, productivitatea, producția potențială și inflația. Acestea afectează, de asemenea, modul în care deciziile de politică monetară sunt transmise gospodăriilor și întreprinderilor, sporind incertitudinea și complexitatea cu care se confruntă factorii de decizie.

1.2.

În special, BCE consideră binevenite propunerile de simplificare a modalităților de schimb de date de la administrațiile publice către și invers și a dispozițiilor care reglementează prelucrarea datelor cu caracter personal din Regulamentul (UE) 2023/2854 al Parlamentului European și al Consiliului (2) denumit în continuare „Regulamentul privind datele”). BCE este implicată semnificativ în colectarea, dezvoltarea, producerea și diseminarea datelor pe care le utilizează pentru a îndeplini atribuțiile și activitățile care intră în domeniile sale de competență. Această competență include colectarea de informații statistice, atunci când este necesar, pentru îndeplinirea misiunilor Sistemului European al Băncilor Centrale (SEBC) în temeiul articolului 5 din Statutul SEBC. BCE este, de asemenea, implicată în numeroase inițiative de cooperare care sprijină schimbul de date și colaborarea cu alte instituții, organe, oficii și agenții ale Uniunii, precum și cu autoritățile competente ale statelor membre, cu țări terțe și cu organizații internaționale. Atunci când își îndeplinește atribuțiile, aceasta poate și să prelucreze date cu caracter personal în anumite circumstanțe în conformitate cu Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (3) denumit în continuare „RPDUE”). Din aceste motive, BCE susține măsurile care vor crea un cadru de reglementare coerent și coeziv pentru a sprijini disponibilitatea și utilizarea datelor.

1.3.

BCE este, de asemenea, responsabilă de asigurarea respectării Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului (4)(denumit în continuare „DORA”) în cazul instituțiilor de credit clasificate ca semnificative în temeiul articolului 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013 al Consiliului (5),în conformitate cu competențele și atribuțiile de supraveghere prudențială conferite prin regulamentul respectiv (6). În această calitate, BCE primește rapoarte de la instituțiile de credit semnificative către autoritățile lor naționale competente cu privire la incidentele majore legate de tehnologia informației și comunicațiilor (denumite în continuare „incidente legate de TIC”) și la amenințările cibernetice semnificative. În plus, una dintre misiunile fundamentale ale SEBC este de a promova buna funcționare a sistemelor de plăți, în conformitate cu articolul 127 alineatul (2) a patra liniuță din tratat, astfel cum este reflectat în articolul 3.1 din Statutul SEBC. În acest context, BCE primește rapoarte privind incidentele de la instituțiile de plăți și instituțiile emitente de monedă electronică, precum și de la instituțiile de credit, în temeiul DORA. Având în vedere aceste responsabilități și atribuții, BCE consideră binevenite, în general, eforturile de a simplifica și armoniza mai mult cadrul de raportare a incidentelor legate de TIC în cadrul Uniunii și de a pune în aplicare raportarea centralizată a incidentelor majore legate de TIC. Întrucât sectorul financiar a fost printre primele în care s-a pus în aplicare un cadru armonizat, cuprinzător și eficace pentru raportarea incidentelor, BCE susține măsurile care simplifică respectarea cerințelor de raportare a incidentelor, pe baza experienței dobândite în sectorul financiar.

1.4.

Cu toate acestea, BCE își exprimă îngrijorarea cu privire la măsura în care regulamentul propus ar contribui la îndeplinirea obiectivului de simplificare în cazuri specifice în care nu reduce sarcina respectării reglementărilor cu care se confruntă întreprinderile și autoritățile publice. În consecință, BCE oferă în prezentul aviz câteva observații și sugestii tehnice specifice cu privire la regulamentul propus.

1.5.

Din cauza acestor preocupări, BCE consideră binevenită și evaluarea pe care o va efectua Comisia cu privire la principalele capitole ale Regulamentului privind datele până la 12 septembrie 2028 și a noilor capitole în termen de cinci ani de la intrarea în vigoare a regulamentului propus (7). Totodată, este important ca clauza de verificare din DORA (8) să rămână neschimbată, și să continue să impună Comisiei să efectueze o revizuire și să prezinte un raport privind funcționarea multor aspecte ale DORA. Acest proces de verificare ar trebui să asigure faptul că reglementările în cauză continuă să funcționeze în mod eficace pentru a-și îndeplini obiectivele, sprijinind astfel dezvoltarea economiei digitale în Uniune.

2.   Norme în domeniul digital

2.1.

BCE susține pe deplin regulamentul propus ca un prim pas în direcția simplificării cadrului de reglementare în domeniul digital și a optimizării aplicării acestuia. Corpusul de norme din domeniul digital care a fost elaborat de-a lungul timpului în domeniul datelor, al inteligenței artificiale, al platformelor online, al protecției datelor și al securității cibernetice a devenit complex și conține în prezent dispoziții fragmentate și care se suprapun, ceea ce creează incertitudine atât pentru autoritățile publice, cât și pentru întreprinderi.

2.2.

Consolidarea prin Regulamentul privind datele a normelor din Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului (9) referitoare la reutilizarea datelor protejate deținute de organismele din sectorul public din statele membre cu normele din Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului (10) referitoare la reutilizarea documentelor deținute de organismele din sectorul public ale statelor membre sau de întreprinderile publice stabilește o structură mai coerentă și definiții mai consecvente ale termenilor-cheie, facilitând aplicarea normelor privind schimbul de date. Acest lucru este susținut de abrogarea normelor depășite, în special a celor din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului (11).

2.3.

Pentru băncile centrale naționale (BCN), care sunt în mod obișnuit organisme din sectorul public din statele membre și, prin urmare, fac obiectul unor norme care vizează facilitarea reutilizării datelor, acest lucru oferă o claritate binevenită. BCE și BCN vor beneficia, de asemenea, de mecanisme mai clare privind disponibilitatea datelor, în special a surselor de date deschise care au fost clasificate drept seturi de date cu valoare ridicată (12). Aceste seturi de date sunt utilizate pe scară largă de BCE în îndeplinirea misiunii sale prevăzute la articolul 5 alineatul (1) din Statutul SEBC de colectare a informațiilor statistice necesare pentru îndeplinirea misiunilor SEBC.

2.4.

De exemplu, informațiile privind societățile și proprietarii acestora sunt utilizate pentru baza de date a Registrului de date privind instituțiile și companiile afiliate (Register of Institutions and Affiliates Database) (RIAD), care este setul comun de date de referință privind instituțiile legale și alte instituții statistice, a căror colectare sprijină procesele de afaceri la nivelul Eurosistemului și îndeplinirea misiunilor SEBC și a atribuțiilor Mecanismului unic de supraveghere (MUS) (13). În cazul în care BCE se poate baza pe date deschise, și anume pe date într-un format deschis care pot fi utilizate, reutilizate și pot face obiectul schimbului în mod liber de oricine în orice scop (14), aceasta este în măsură să reducă sarcina de raportare a acestor date de către agenții raportori și să partajeze aceste informații fără restricții în cadrul SEBC și cu alte autorități publice cu care cooperează. BCE apreciază faptul că dispozițiile privind disponibilitatea datelor și a documentelor de la guvern către întreprinderi nu (15) aduc atingere cadrului juridic al Uniunii care exclude accesul la date și documente considerate sensibile din motive de confidențialitate statistică și secret profesional.

2.5.

Regulamentul propus introduce o modificare importantă (16) a obligației deținătorilor de date de a pune date la dispoziția BCE – precum și a altor organisme din sectorul public, a Comisiei și a organelor Uniunii – în cazul în care există o nevoie excepțională de a utiliza datele respective (17). Această dispoziție permite BCE să solicite deținătorilor de date să facă datele disponibile, dacă este necesar, pentru a răspunde unei situații de urgență sau în cazul în care se demonstrează o nevoie excepțională. Întrucât deținătorii de date sunt definiți în sens larg (18), dispoziția permite BCE să colecteze date, în aceste cazuri excepționale, de la o gamă mai largă de persoane decât este permis atunci când BCE colectează informații statistice pe baza competențelor sale existente. BCE poate colecta informații statistice numai de la membrii unităților de observare statistică cu obligații de raportare definite în Regulamentul (CE) nr. 2533/98 al Consiliului (19), care se încadrează în principal în sectorul „societăți financiare”, astfel cum este definit în Sistemul european de conturi (20), sau sunt persoane juridice și fizice care dețin anumite poziții financiare sau se angajează în tranzacții financiare.

2.6.

După cum BCE a susținut anterior, posibilitatea ca autoritățile publice să aibă acces la datele deținătorilor privați de date și să le utilizeze în scopuri definite de interes public aduce beneficii considerabile (21). În îndeplinirea misiunii sale de politică monetară, BCE utilizează extensiv nu numai statisticile oficiale elaborate de BCE, cu ajutorul BCN și al Sistemului Statistic European (SSE), ci și sursele de date neoficiale și netradiționale. Datele netradiționale pot fi obținute, de exemplu, din informații cu frecvență ridicată privind prețurile, din indicatori de mobilitate a populației sau din alte surse de date care nu sunt în mod necesar deținute de societățile financiare. BCE are competența de a solicita aceste date de la deținătorii privați de date numai în cazurile în care există o nevoie excepțională.

2.7.

Principala modificare pe care ar introduce-o regulamentul propus este de a limita cazurile în care această competență poate fi exercitată în cazul urgențelor publice, excluzând alte cazuri în care ar putea exista o nevoie excepțională de utilizare a datelor. BCE ar trebui să demonstreze o nevoie excepțională de a utiliza anumite date pentru a-și îndeplini atribuțiile statutare în interes public ca răspuns la o situație de urgență, pentru a atenua o astfel de situație sau pentru a sprijini redresarea în urma unei astfel de situații.

2.8.

BCE sprijină obiectivele acestor modificări, considerând că este oportun să se simplifice cadrul privind schimbul de informații între întreprinderi și administrațiile publice în temeiul Regulamentului privind datele și să se clarifice orice ambiguități care ar fi putut apărea în impunerea de obligații întreprinderilor. De asemenea, sprijină opinia potrivit căreia este esențial să se mențină rolul statisticilor oficiale prin Regulamentul privind datele, deoarece cadrul actualizat al Uniunii privind statisticile europene prevăzut de Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului (22) nu abordează urgențele publice (23).

2.9.

Cu toate acestea, spre deosebire de membrii SSE, care pot colecta date de la deținătorii de date privați în anumite condiții pentru a-și îndeplini sarcinile statistice (24), BCE nu are competența de a colecta informații statistice de la deținătorii de date privați care nu sunt agenți raportori, cu excepția cazurilor în care există o nevoie excepțională. BCE se poate baza numai pe mecanisme care permit schimbul de date de la SSE către SEBC pentru a obține astfel de date. În cazul în care domeniul de aplicare al dispoziției relevante este restrâns pentru a acoperi numai o situație de urgență, este extrem de important să se asigure că aceasta poate fi aplicată ușor și fără ambiguitate în situații de urgență în care sunt necesare surse suplimentare de date pentru ca BCE să își îndeplinească fie atribuția de colectare a statisticilor, fie alte atribuții specifice băncilor centrale sau de supraveghere prudențială. Prin urmare, BCE recomandă simplificarea în continuare a condițiilor care trebuie îndeplinite de autoritățile publice pentru a solicita date, deoarece acest lucru ar contribui și la reducerea la minimum a elementelor complexe cu care se confruntă deținătorii de date atunci când verifică dacă aceste condiții sunt îndeplinite.

2.10.

În plus, BCE consideră că ar trebui luate măsuri suplimentare pentru a clarifica definiția „situației de urgență”. Un element al definiției este că aceasta trebuie să fie „stabilită sau declarată în mod oficial în conformitate cu procedurile relevante în temeiul dreptului Uniunii sau al dreptului intern” (25). Dar, întrucât există un set fragmentat de temeiuri juridice în legislația primară și secundară pe baza cărora se poate stabili sau declara o situație de urgență, ar trebui să fie mai clar că, în cazul în care se face o astfel de stabilire sau declarare a stării de urgență, definiția unei „situații de urgență” nu necesită îndeplinirea niciunui alt criteriu suplimentar – având în vedere urgența cu care trebuie abordată o situație de urgență. De exemplu, Regulamentul (UE) 2024/2747 al Parlamentului European și al Consiliului (26) permite Consiliului să activeze un regim de vigilență pe piața internă atunci când există amenințarea unei crize care are potențialul de a se transforma într-o situație de urgență pe piața internă în următoarele șase luni. Ar trebui să fie mai clar faptul că, în cazul în care sarcinile autorității publice includ atenuarea situației de urgență, amenințarea unei situații de urgență ar trebui să justifice necesitatea excepțională de a solicita date. În plus, Decizia 2014/415/UE a Consiliului (27) de instituire a modalităților pentru răspunsul politic integrat într-o situație de criză pentru punerea în aplicare a clauzei de solidaritate (articolul 222 din tratat) nu limitează domeniul de aplicare a circumstanțelor în care decizia se aplică la situații excepționale „limitate în timp (28)”. Prin urmare, ar trebui să fie mai clar că definiția situației de urgență se aliniază pe deplin la situațiile în care sunt invocate mecanisme de urgență în temeiul dreptului Uniunii și al dreptului intern și nu este mai restrictivă decât acestea.

2.11.

În ceea ce privește modalitățile de compensare (29), BCE consideră binevenită cerința de a pune la dispoziție gratuit date pentru a răspunde unei situații de urgență, cu excepția cazului în care deținătorul de date este o microîntreprindere sau o întreprindere mică. Cu toate acestea, consideră că este important să se asigure că, atunci când autorităților publice li se acordă acces la date aflate în proprietate privată, acestea nu ar trebui să suporte costuri nerezonabile. Întrucât fiecare cerere de date servește interesului public, datele ar trebui să fie puse la dispoziție contra cost și fără impunerea unei „marje rezonabile” (30).

3.   Protecția datelor

3.1.

BCE consideră binevenite modificările din regulamentul propus care vizează simplificarea legislației privind protecția datelor. În cadrul domeniilor de competență ale BCE, există mai multe aspecte care merită o analiză suplimentară în vederea atingerii obiectivului de simplificare, atât în ceea ce privește reducerea sarcinii administrative, cât și asigurarea unei raportări eficace, în timp util și sigure a incidentelor.

3.2.

BCE desfășoară o gamă largă de operațiuni de prelucrare a datelor cu caracter personal în cooperare cu BCN. În plus, BCE cooperează cu autoritățile naționale competente (ANC) pentru a desfășura activități de prelucrare a datelor cu caracter personal în domeniul supravegherii bancare. În calitate de instituție a Uniunii, BCE prelucrează date cu caracter personal în conformitate cu RPDUE, în timp ce BCN și ANC prelucrează date cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (31) denumit în continuare „RGPD”).

3.3.

În cazurile în care BCE și BCN și/sau ANC stabilesc în comun scopurile și mijloacele de prelucrare a datelor cu caracter personal, o astfel de prelucrare este efectuată de acestea în calitate de operatori asociați (32). În schimb, în cazul în care o entitate stabilește scopurile și mijloacele prelucrării, iar cealaltă prelucrează date cu caracter personal în numele acelei entități, relația dintre acestea este cea dintre operator și persoana împuternicită de operator (33). În ambele cazuri, BCE prelucrează date cu caracter personal în temeiul RPDUE, în timp ce BCN și ANC prelucrează date cu caracter personal în temeiul RGPD. În consecință, aceeași operațiune de prelucrare este reglementată simultan de două instrumente juridice distincte, dar complementare, ale Uniunii.

3.4.

Un astfel de exemplu este cazul în care atât BCE, cât și BCN participante la platforma TARGET de decontare a plăților instant (TARGET Instant Payment Settlements) (TIPS) prelucrează date cu caracter personal în cadrul sistemului TIPS. În acest caz, a fost încheiat un acord privind exercitarea în comun a competenței de operator. În mod similar, prelucrarea datelor cu caracter personal în contextul viitorului euro digital poate necesita încheierea unui contract sau a unui acord privind protecția datelor între BCE și BCN din zona euro.

3.5.

În îndeplinirea atribuțiilor SEBC și MUS în cooperare cu BCN și ANC, este extrem de important pentru BCE ca actele juridice care guvernează prelucrarea datelor cu caracter personal să fie, în cea mai mare măsură posibilă, aliniate și compatibile. Prin urmare, BCE apreciază faptul că modificările propuse ale RGPD și la RPDUE sunt avansate în paralel, contribuind astfel la instituirea unui cadru juridic coerent și consecvent. Acest lucru asigură faptul că termenele divergente pentru intrarea în vigoare și aplicarea actelor juridice nu generează incertitudine juridică.

3.6.

Prin urmare, având în vedere cooperarea BCE cu BCN și ANC în ceea ce privește prelucrarea datelor cu caracter personal atunci când acest lucru este necesar pentru îndeplinirea misiunilor SEBC și MUS, BCE propune următoarele puncte spre analiză:

3.7.

În ceea ce privește mecanismul punctelor unice de acces, BCE recomandă ca operatorii asociați să fie împuterniciți să notifice cazurile de încălcare a securității datelor cu caracter personal în numele tuturor operatorilor asociați (34). Acest lucru este posibil deoarece regulamentul propus introduce un punct unic de acces armonizat prin care entitățile pot, prin intermediul unei notificări unice, să își respecte simultan obligațiile de raportare a incidentelor care decurg din mai multe acte juridice ale Uniunii. Prin operaționalizarea principiului „raportează o singură dată, transmite multe”, punctul unic de acces este menit să reducă sarcina administrativă a entităților, asigurând în același timp raportarea eficace, în timp util și sigură a incidentelor. În acest scop, punctul unic de acces este destinat să servească drept canal comun pentru transmiterea notificărilor în temeiul mai multor instrumente juridice (35). Astfel cum a arătat în avize anterioare, BCE susține cu convingere schimbul de informații între autorități pentru a permite procesul de învățare transsectorială, pentru a contribui la prevenirea și gestionarea eficace a atacurilor cibernetice și pentru a promova evaluarea consecventă a riscurilor legate de TIC în întreaga Uniune (36). În acest context, BCE sprijină introducerea punctului unic de acces în contextul raportării încălcărilor securității datelor cu caracter personal.

3.8.

Atunci când aplică mecanismul punctului unic de acces în cazul activităților de prelucrare în comun desfășurate de BCE în cooperare cu BCN (și ANC), BCN ar beneficia, conform regulamentului propus, de utilizarea punctului unic de acces pentru primirea notificărilor incidentelor. În schimb, BCE, în calitate de instituție a Uniunii, ar continua să se bazeze, conform regulamentului propus, pe canalul de raportare instituit de RPDUE, prin care notifică incidentele Autorității Europene pentru Protecția Datelor (AEPD) (37).

3.9.

BCE reiterează necesitatea de a raționaliza, accelera și maximiza schimbul de informații privind incidentele și de a asigura coerența între RGPD și RPDUE. Prin urmare, ar fi oportun să se includă RPDUE în actele juridice ale Uniunii pentru care punctul unic de acces trebuie utilizat pentru notificările privind încălcarea securității datelor cu caracter personal.

3.10.

În ceea ce privește raportarea unică a încălcărilor securității datelor în cazurile de exercitare în comun a competenței de operator, BCE susține că operatorii asociați ar trebui să aibă libertatea de a stabili dacă recurg la această posibilitate și în ce condiții. AEPD a confirmat recent că, pentru a stabili dacă BCE trebuie să notifice AEPD o încălcare a securității datelor cu caracter personal, este irelevant dacă BCE, în calitate de operator asociat, este responsabilă de producerea acelei încălcări. Simplul fapt că BCE este operator asociat pentru operațiunea de prelucrare în contextul căreia a avut loc încălcarea securității datelor cu caracter personal este suficient pentru a declanșa obligația acesteia de a notifica AEPD, în cazul în care sunt îndeplinite condițiile relevante prevăzute în RPDUE (38).

3.11.

Este important de remarcat faptul că, în numeroasele cazuri în care este în vigoare un acord privind exercitarea în comun a competenței de operator între BCE și toate BCN din Eurosistem, o singură încălcare a securității datelor cu caracter personal ar putea genera până la 22 de notificări, care, după toate probabilitățile, ar avea un conținut similar sau identic. Un astfel de sistem s-ar dovedi contrar obiectivului de simplificare a sarcinii administrative pentru autoritățile publice. Prin urmare, ar fi oportun să se prevadă că operatorii asociați pot notifica încălcările securității datelor cu caracter personal prin intermediul punctului unic de acces o singură dată autorităților de supraveghere competente. În conformitate cu obiectivele de simplificare, un astfel de sistem de raportare nu s-ar aplica atunci când este puțin probabil ca încălcarea securității datelor cu caracter personal în cauză să genereze un risc pentru drepturile și libertățile persoanelor fizice (39).

3.12.

Din aceste motive, BCE recomandă să se lase la latitudinea operatorilor asociați să stabilească dacă doresc să utilizeze posibilitatea de a transmite o singură notificare în numele tuturor operatorilor asociați din cadrul unui acord specific de exercitare în comun a competenței de operator și în ce condiții. O astfel de notificare ar fi transmisă o singură dată prin intermediul punctului unic de acces și, prin urmare, ar fi adresată tuturor autorităților de supraveghere relevante, fără a compromite rolul pe care îl au obligațiile de notificare în asigurarea transparenței depline și a schimbului cuprinzător de informații.

4.   Raportarea incidentelor

4.1.

Astfel cum s-a menționat la punctul 1.3, BCE consideră binevenită inițiativa de simplificare și armonizare a procedurilor de raportare a incidentelor legate de TIC și de implementare a unei raportări centralizate a incidentelor majore legate de TIC. Totuși, acest lucru ar trebui să reducă, în fiecare caz, sarcina administrativă pentru instituțiile de credit supravegheate, instituțiile de plată, instituțiile emitente de monedă electronică și autoritățile publice. În acest sens, este important să se constate faptul că s-a realizat deja un anumit grad de simplificare a procedurilor de raportare prin punerea în aplicare a DORA în sectorul financiar. DORA a înlocuit în fapt diferite cerințe de raportare a incidentelor legate de TIC pentru entitățile financiare (40), realizând o reducere semnificativă a sarcinii de raportare care le revenea acestora și punând în aplicare mecanisme de coordonare eficace și eficiente între diferitele autorități competente (41). DORA a atins acest obiectiv prin definirea unor taxonomii, modele și proceduri de raportare comune și prin identificarea unui punct unic de acces pentru aceste rapoarte.

4.2.

Deși sprijină aceste eforturi de simplificare, BCE are, totuși, rezerve cu privire la anumite aspecte ale măsurilor de raportare a incidentelor legate de TIC din regulamentul propus, din trei motive principale.

4.3.

În primul rând, propunerea privind un punct unic de acces nu este eficace în reducerea sarcinii de raportare pentru entitățile financiare și alte întreprinderi care fac obiectul cerințelor de raportare a incidentelor. Deși punctul unic de acces asigură existența unui portal unic pentru raportarea incidentelor, acesta nu schimbă faptul că există încă taxonomii, modele și proceduri de raportare diferite pentru fiecare raport privind incidentele prevăzute de diferite alte sisteme decât DORA. Pentru a raporta un incident, o entitate financiară trebuie să întocmească diferite rapoarte în conformitate cu diferite reglementări (de exemplu, în temeiul RGPD și al DORA). Simpla autorizare a notificării acestor rapoarte unui singur destinatar nu reduce în mod semnificativ sarcina administrativă. Din acest motiv, ar fi oportun să se țină seama în mod corespunzător de standardele tehnice de reglementare adoptate în temeiul DORA pentru a facilita procese de raportare mai eficiente și mai simplificate (42). BCE ar considera binevenită și alinierea și, după caz, fuzionarea mai sporite ale taxonomiilor, modelelor și procedurilor de raportare a incidentelor în diferitele sisteme, în vederea realizării unei simplificări reale.

4.4.

În al doilea rând, un raport DORA privind incidentele declanșează procese de importanță critică din punctul de vedere al timpului care ar putea implica activarea procedurilor de criză. Includerea unui nou actor și a unui nou sistem în primirea acestor rapoarte privind incidentele implică riscuri suplimentare în ceea ce privește disponibilitatea și raportarea în timp util a informațiilor solicitate. Din acest motiv, opțiunea cea mai eficace și mai rezilientă este ca rapoartele respective să fie trimise direct autorității competente, astfel cum se prevede în DORA (43), pentru a se evita orice întârziere nejustificată a reacției autorităților de supraveghere la o situație potențial critică.

4.5.

În al treilea rând, ar trebui luate în considerare eforturile și cheltuielile deja angajate de sectorul financiar pentru punerea în aplicare a DORA, care s-a aplicat doar de la 17 ianuarie 2025. Instituțiile de credit supravegheate și autoritățile competente au investit resurse semnificative în punerea în aplicare a noului cadru. Din această perspectivă, ar fi benefic să se amâne integrarea raportării incidentelor legate de TIC prin intermediul punctului unic de acces. Acest lucru ar oferi mai mult timp pentru identificarea posibilelor îmbunătățiri și modalități de simplificare suplimentară a sarcinii administrative atât pentru MUS, cât și pentru instituțiile de credit supravegheate.

4.6.

Din aceste motive, BCE propune excluderea DORA din regulamentul propus. Ar fi oportun ca întâi să se acumuleze experiență separat cu noul punct unic de acces (care acoperă celelalte regulamente, inclusiv RPDUE) și cu regimul de raportare DORA recent pus în aplicare, și apoi să se evalueze cele mai bune modalități de integrare a acestora într-o etapă ulterioară. În cazul în care BCE recomandă modificarea regulamentului propus, propunerile de redactare specifice însoțite de o explicație în acest sens se regăsesc într-un document tehnic de lucru separat. Documentul tehnic de lucru este disponibil în limba engleză pe EUR-Lex.

---

(1)  COM (2025) 837 final.

(2)  Regulamentul (UE) 2023/2854 al Parlamentului European și al Consiliului din 13 decembrie 2023 privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora și de modificare a Regulamentului (UE) 2017/2394 și a Directivei (UE) 2020/1828 (Regulamentul privind datele) (JO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(3)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4)  Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (JO L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(5)  Regulamentul (UE) nr. 1024/2013 al Consiliului din 15 octombrie 2013 de conferire a unor atribuții specifice Băncii Centrale Europene în ceea ce privește politicile legate de supravegherea prudențială a instituțiilor de credit (JO L 287, 29.10.2013, p. 63, ELI: http://data.europa.eu/eli/reg/2013/1024/oj).

(6)  Articolul 46 litera (a) din DORA.

(7)  Articolul 1 alineatul (26) din regulamentul propus de modificare a articolului 49 din Regulamentul privind datele. A se vedea punctul 1.2 din Avizul CON/2022/30 al Băncii Centrale Europene din 5 septembrie 2022 cu privire la o propunere de regulament privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora (JO C 402, 19.10.2022, p. 5).

(8)  Articolul 58 din DORA.

(9)  Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).

(10)  Directiva (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(11)  Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (JO L 303, 28.11.2018, p. 59, ELI: http://data.europa.eu/eli/reg/2018/1807/oj).

(12)  Conform articolului 13 alineatul (1) din Directiva privind datele deschise, categoriile tematice de seturi de date cu valoare ridicată sunt domeniul geospațial, domeniul Observarea Pământului și mediu, domeniul meteorologic, domeniul statistic, domeniul Societăți și structura de proprietate a societăților și domeniul Mobilitate. În temeiul articolului 13 alineatul (2), Comisia este împuternicită să adopte acte delegate pentru a modifica anexa I prin adăugarea unor noi categorii tematice de seturi de date cu valoare ridicată, pentru a reflecta evoluțiile tehnologice și ale pieței.

(13)  Orientarea (UE) 2018/876 a Băncii Centrale Europene din 1 iunie 2018 privind Registrul de date privind instituțiile și companiile afiliate (BCE/2018/16) (JO L 154, 18.6.2018, p. 3, ELI: http://data.europa.eu/eli/guideline/2018/876/oj).

(14)  A se vedea considerentul (16) al Directivei (UE) 2019/1024 a Parlamentului European și a Consiliului din 20 iunie 2019 privind datele deschise și reutilizarea informațiilor din sectorul public (JO L 172, 26.6.2019, p. 56, ELI: ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(15)  Articolul 1 alineatul (18) din regulamentul propus, care introduce un nou capitol VIIc în Regulamentul privind datele.

(16)  Articolul 1 alineatul (7) din regulamentul propus, care introduce un nou articol 15a în Regulamentul privind datele.

(17)  A se vedea articolele 14 și 15 din Regulamentul privind datele.

(18)  „Deținătorul de date” este definit la articolul 2 alineatul (13) din Regulamentul privind datele ca fiind „o persoană fizică sau juridică care are dreptul sau obligația, în conformitate cu regulamentul, cu dreptul aplicabil al Uniunii sau cu legislația națională adoptată în conformitate cu dreptul Uniunii, de a utiliza și de a pune la dispoziție date, inclusiv, în cazul în care s-a convenit prin contract, date referitoare la produs sau date referitoare la serviciul conex pe care le-a extras sau generat în timpul furnizării unui serviciu conex”.

(19)  Articolul 2 din Regulamentul (CE) nr. 2533/98 al Consiliului din 23 noiembrie 1998 privind colectarea informațiilor statistice de către Banca Centrală Europeană (JO L 318, 27.11.1998, p. 8, ELI: http://data.europa.eu/eli/reg/1998/2533/oj).

(20)  A se vedea Sistemul european de conturi naționale și regionale (SEC 2010), disponibil pe website-ul Eurostat la adresa https://ec.europa.eu/eurostat.

(21)  Punctul 2.3.1 din Avizul CON/2022/30.

(22)  Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164, ELI: http://data.europa.eu/eli/reg/2009/223/oj).

(23)  Considerentul (15) al regulamentului propus.

(24)  Articolul 17b din Regulamentul (CE) nr. 223/2009.

(25)  Articolul 2 alineatul (29) din Regulamentul (UE) nr. 2023/2854.

(26)  Regulamentul (UE) 2024/2747 al Parlamentului European și al Consiliului din 9 octombrie 2024 de instituire a unui cadru de măsuri privind situațiile de urgență pe piața internă și reziliența pieței interne și de modificare a Regulamentului (CE) nr. 2679/98 al Consiliului (Regulamentul privind situațiile de urgență pe piața internă și reziliența pieței interne) (JO L, 2024/2747, 8.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2747/oj).

(27)  Decizia Consiliului din 24 iunie 2014 privind modalitățile de punere în aplicare de către Uniune a clauzei de solidaritate (JO L 192, 1.7.2014, p. 53, ELI: http://data.europa.eu/eli/dec/2014/415/oj).

(28)  Articolul 2 alineatul (29) din Regulamentul (UE) nr. 2023/2854.

(29)  Articolul 1 alineatul (12) din regulamentul propus de înlocuire a articolului 20 din Regulamentul privind datele.

(30)  A se vedea punctul 2.3.3 din Avizul CON/2022/30.

(31)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(32)  În sensul articolului 26 din RGPD și al articolului 28 din RPDUE.

(33)  În sensul articolului 28 din RGPD și al articolului 29 din RPDUE.

(34)  Astfel cum se prevede la articolul 34 din RPDUE.

(35)  Acestea includ RGPD și Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj); Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (Regulamentul eIDAS) (JO L 257, 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj) (eIDAS Regulation) și Directiva (UE) 2022/2557 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind reziliența entităților critice și de abrogare a Directivei 2008/114/CE a Consiliului (JO L 333, 27.12.2022, p. 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj) (Directiva REC).

(36)  A se vedea punctul 3.3.1 din Avizul Băncii Centrale Europene din 11 aprilie 2022 cu privire la o propunere de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148 (JO C 233, 16.6.2022, p. 22).

(37)  Astfel cum se prevede la articolul 34 din RPDUE.

(38)  Avizul în materie de supraveghere nr. 18/2025 al AEPD privind un proiect de acord de exercitare în comun a competenței de operator între Banca Centrală Europeană și autoritățile naționale competente în contextul mecanismului unic de supraveghere (cazul 2024-1002), disponibil pe website-ul AEPD la adresa www.edps.europa.eu.

(39)  Articolul 34 din RPDUE.

(40)  A se vedea în acest sens considerentele (16), (18), (19) și (23) din DORA.

(41)  Acest lucru a permis abordarea chestiunii transmiterilor paralele în temeiul DORA, al Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului din 25 noiembrie 2015 privind serviciile de plată în cadrul pieței interne, de modificare a Directivelor 2002/65/CE, 2009/110/CE și 2013/36/UE și a Regulamentului (UE) nr. 1093/2010, și de abrogare a Directivei 2007/64/CE (JO L 337, 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj) și al Orientărilor ABE corespunzătoare, astfel cum au fost identificate la punctul 4.2.2 din Avizul CON/2021/20 al Băncii Centrale Europene din 4 iunie 2021 cu privire la o propunere de regulament al Parlamentului European și al Consiliului privind reziliența operațională digitală a sectorului financiar (JO C 343, 26.8.2021, p. 1).

(42)  Astfel cum este prevăzut în considerentul (54) al regulamentului propus.

(43)  Articolul 19 din DORA.