This document is an excerpt from the EUR-Lex website
Document 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Stanovisko Európskej centrálnej banky z 25. júla 2014 k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii (CON/2014/58)
Stanovisko Európskej centrálnej banky z 25. júla 2014 k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii (CON/2014/58)
Ú. v. EÚ C 352, 7.10.2014, p. 4–11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
SK |
Úradný vestník Európskej únie |
C 352/4 |
STANOVISKO EURÓPSKEJ CENTRÁLNEJ BANKY
z 25. júla 2014
k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii
(CON/2014/58)
2014/C 352/04
Úvod a právny základ
Európska komisia uverejnila 7. februára 2013 návrh smernice o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii (1) (ďalej len „navrhovaná smernica“).
Európska centrálna banka (ECB) sa rozhodla vydať k navrhovanej smernici stanovisko z vlastnej iniciatívy, keďže zákonodarcovia ju formálne nepredložili na konzultáciu. Právomoc ECB vydať stanovisko je založená na článku 127 ods. 4 a článku 282 ods. 5 Zmluvy o fungovaní Európskej únie, keďže navrhovaná smernica obsahuje ustanovenia, ktoré majú vplyv na úlohu Európskeho systému centrálnych bánk (ESCB) týkajúcu sa podpory plynulého fungovania platobných systémov, ako sa uvádza v článku 127 ods. 2 štvrtej zarážke zmluvy. Článok 22 Štatútu Európskeho systému centrálnych bank a Európskej centrálnej banky (ďalej len „štatút ESCB“) navyše ustanovuje, že ECB a národné centrálne banky (NCB) môžu poskytovať zariadenia a ECB môže vydávať nariadenia na zabezpečenie účinnosti a spoľahlivosti zúčtovacích a platobných systémov v rámci Únie a voči iným krajinám. V súlade s článkom 17.5 prvou vetou Rokovacieho poriadku Európskej centrálnej banky Rada guvernérov prijala toto stanovisko.
1. Cieľ navrhovanej smernice
1.1 |
Cieľom navrhovanej smernice je zabezpečiť vysokú úroveň bezpečnosti sietí a informácií (network and information security - NIS) zvýšením bezpečnosti internetu a sietí a informačných systémov, na ktorých je založená naša spoločnosť a ekonomika. Tento návrh je hlavnou akciou na základe európskej stratégie kybernetickej bezpečnosti (2). |
1.2 |
Siete a informačné systémy zohrávajú dôležitú úlohu pri uľahčovaní cezhraničného pohybu tovaru, služieb a osôb. Vzhľadom na tento skutočne nadnárodný rozmer, narušenie v jednom členskom štáte môže mať vplyv aj na ďalšie členské štáty a Úniu ako celok. Okrem toho pravdepodobnosť častého výskytu incidentov, ako aj neschopnosť zabezpečiť efektívnu ochranu narúša dôveru verejnosti v bezpečnosť sietí a informácií. Preto je pre riadne fungovanie vnútorného trhu nevyhnutná odolnosť a stabilita bezpečnosti sietí a informácií. |
1.3 |
Navrhovaná smernica vychádza z predchádzajúcich iniciatív v tejto oblasti (3). V tejto súvislosti navrhovaná smernica uznáva potrebu zosúladiť pravidlá týkajúce sa bezpečnosti sietí a informácií a vytvoriť účinné mechanizmy spolupráce medzi členskými štátmi. |
1.4 |
Navrhovaná smernica ustanovuje spoločný právny rámec Únie v oblasti bezpečnosti sietí a informácií, pokiaľ ide o schopnosti členských štátov, mechanizmy spolupráce na úrovni Únie a požiadavky na verejnú správu a taktiež na subjekty súkromného sektora v konkrétnych kritických odvetviach. To by malo zabezpečiť zodpovedajúcu pripravenosť na vnútroštátnej úrovni a podporovať atmosféru vzájomnej dôvery, ktorá je základnou podmienkou pre účinnú spoluprácu na úrovni Únie. Vytváranie mechanizmov spolupráce na úrovni Únie prostredníctvom siete prinesie súdržné a koordinované prostriedky predchádzania a reakcie na cezhraničné incidenty a riziká v oblasti bezpečnosti sietí a informácií. |
1.5 |
Hlavné ustanovenia sa týkajú:
|
2. Všeobecné pripomienky
2.1 |
ECB podporuje cieľ navrhovanej smernice na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii a dosiahnutie jednotného prístupu v tejto oblasti medzi obchodnými sektormi a členskými štátmi. Je dôležité zabezpečiť, aby vnútorný trh bol bezpečným miestom na podnikanie, a aby členské štáty mali určitú minimálnu úroveň pripravenosti v prípade kybernetického bezpečnostného incidentu. |
2.2 |
ECB sa však domnieva, že navrhovaná smernica by sa mala uplatňovať bez toho, aby bol dotknutý existujúci režim pre dohľad Eurosystému nad platobnými a zúčtovacími systémami (5), ktorý okrem iného zahŕňa primerané opatrenia v oblasti bezpečnosti sietí a informácií. Treba poznamenať, že ECB má osobitný záujem o zvýšenú bezpečnosť v platobných a zúčtovacích systémoch (6) s cieľom podporovať plynulé fungovanie platobných systémov a pomáhať zachovať dôveru v euro a fungovanie hospodárstva v Únii. |
2.3 |
Okrem toho posúdenie bezpečnostných opatrení a oznamovanie incidentov pre platobné a zúčtovacie systémy a poskytovateľov platobných služieb (PSP) je jednou z hlavných právomocí orgánov obozretného dohľadu a centrálnych bánk. Zodpovednosť za vypracovanie požiadaviek na dohľad vo vyššie uvedených oblastiach by preto mali mať uvedené orgány a platobné a zúčtovacie systémy a PSP by nemali podliehať potenciálne protichodným požiadavkám uloženým ostatnými vnútroštátnymi orgánmi. Riadenie rizika, vrátane bezpečnostných požiadaviek v súvislosti s platobnými a zúčtovacími systémami a ostatné trhové infraštruktúry v rámci eurozóny navyše stanovuje Eurosystém, ktorý zahŕňa ECB a národné centrálne banky z tých členských štátov, ktoré prijali euro. Prostredníctvom takejto funkcie dohľadu si Eurosystém kladie za cieľ zabezpečiť riadne fungovanie platobných a zúčtovacích systémov uplatňovaním, okrem iného, príslušných noriem dohľadu a minimálnych požiadaviek. Navrhovaná smernica by mala zohľadniť už zavedený rámec dohľadu a zabezpečiť konzistentnosť právnych predpisov v Únii. |
3. Konkrétne pripomienky
3.1 |
Bod odôvodnenia 5 a článok 1 navrhovanej smernice ustanovujú, že príslušné povinnosti, mechanizmus spolupráce a bezpečnostné požiadavky sa uplatňujú na celú verejnú správu a účastníkov trhu. Súčasné znenie odôvodnenia 5 a článku 1 nezohľadňuje v zmluve zakotvený mandát Eurosystému na dohľad nad platobnými a zúčtovacími systémami. Navrhovaná smernica by sa preto mala zmeniť, aby riadne zohľadnila povinnosti Eurosystému v tejto oblasti. |
3.2 |
Opatrenia a postupy pre centrálne banky a iné príslušné orgány na dohľad nad platobnými a zúčtovacími systémami cenných papierov sú obsiahnuté v mnohých smerniciach a nariadeniach Únie, najmä vrátane:
|
3.3 |
Je potrebné navyše poznamenať, že Rada Guvernérov ECB prijala 3. júna 2013„Zásady pre infraštruktúry finančného trhu“, ktoré v apríli 2012 vydal Výbor pre platobné a zúčtovacie systémy (Committee on Payment and Settlement Systems - CPSS) Banky pre medzinárodné zúčtovanie a Technický výbor medzinárodnej organizácie komisií pre cenné papiere (International Organization of Securities Commissions - IOSCO) (11), na účely dohľadu Eurosystému nad všetkými druhmi infraštruktúr finančného trhu. Následne sa otvorila verejná konzultácia k návrhu nariadenia o požiadavkách dohľadu vzťahujúcich sa na systémovo dôležité platobné systémy (ďalej len „nariadenie SIPS“) (12). Nariadenie SIPS zavádza zásady CPSS-IOSCO právne záväzným spôsobom a vzťahuje sa na platobné systémy pre veľké sumy, ako aj na maloobchodné platobné systémy systémového významu bez ohľadu na to, či ich prevádzkujú národné centrálne banky Eurosystému alebo súkromné subjekty. |
3.4 |
Existujúce opatrenia v oblasti dohľadu (13) v súvislosti s platobnými systémami a PSP už obsahujú postupy pre včasné varovania (14) a koordinované reakcie (15) v rámci a nad rámec Eurosystému v snahe riešiť hrozby týkajúce sa kybernetickej bezpečnosti, ktoré zodpovedajú tým, ktoré sú ustanovené v článkoch 10 a 11 navrhovanej smernice. |
3.5 |
ESCB stanovil normy týkajúce sa povinností oznamovania a riadenia rizika pre platobné systémy. Okrem toho ECB pravidelne posudzuje zúčtovacie systémy cenných papierov na určenie ich akceptovateľnosti pre použitie pri úverových operáciách Eurosystému. ECB preto považuje za nevyhnutné, aby požiadavky v navrhovanej smernici, ktoré majú vplyv na kritické trhové infraštruktúry a ich prevádzkovateľov (16), nemali vplyv na normy v nariadení SIPS, rámec politiky dohľadu Eurosystému alebo na budúce CSDR. Okrem toho by nemali zasahovať do úloh EBA alebo ESMA a ostatných orgánov obozretného dohľadu (17). |
3.6 |
Bez ohľadu na vyššie uvedené sa ECB domnieva, že existuje závažný dôvod na výmenu príslušných informácií medzi Eurosystémom a Výborom pre bezpečnosť sietí a informácií, ktorý má byť zriadený podľa článku 19 navrhovanej smernice. Na účely efektívnej výmeny informácií, ktorá sa môže stať nevyhnutnou, by ECB, EBA a ESMA mali byť vyzvaní, aby vyslali zástupcov na zasadania Výboru pre bezpečnosť sietí a informácií v súvislosti s bodmi programu, ktoré by mohli byť predmetom záujmu pri výkone ich príslušných mandátov. |
Vo Frankfurte nad Mohanom 25. júla 2014
Prezident ECB
Mario DRAGHI
(1) COM(2013) 48 final.
(2) Pozri Spoločné oznámenie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov, „Stratégia kybernetickej bezpečnosti Európskej únie: Otvorený, bezpečný a chránený kybernetický priestor“, JOIN(2013) 1 final.
(3) Tieto zahŕňajú nasledujúce oznámenia: „Bezpečnosť sietí a informácií: Návrh prístupu tvorby Európskej politiky“ KOM(2001) 298 v konečnom znení; „Stratégia pre bezpečnú informačnú spoločnost: Dialóg, partnerstvo a aktívne pôsobenie“ KOM(2006) 251 v konečnom znení; „Ochrana kritických informačných infraštruktúr – Ochrana Európy pred rozsiahlymi kybernetickými útokmi a narušeniami: zvyšovanie pripravenosti, bezpečnosti a odolnosti“ KOM(2009) 149 v konečnom znení; „Digitálna agenda pre Európu“ KOM(2010) 245 v konečnom znení a „Ochrana kritických informačných štruktúr – Dosiahnuté ciele a ďalšie kroky: na ceste ku globálnej kybernetickej bezpečnosti“ KOM(2011) 163 v konečnom znení.
(4) Smernica Európskeho parlamentu a Rady 2002/21/ES zo 7. marca 2002 o spoločnom regulačnom rámci pre elektronické komunikačné siete a služby (Ú. v. EÚ L 108, 24.4.2002, s. 33).
(5) Funkcie dohľadu niektorých členov ESCB sa vykonávajú na základe vnútroštátnych zákonov a právnych predpisov, ktoré dopĺňajú a v niektorých prípadoch duplikujú právomoc Eurosystému.
(6) Pojem „zúčtovanie“ sa používa v celom tomto stanovisku a zahŕňa funkciu clearingu.
(7) Smernica Európskeho parlamentu a Rady 98/26/ES z 19. mája 1998 o konečnom zúčtovaní v platobných systémoch a zúčtovacích systémoch cenných papierov (Ú. v. EÚ L 166, 11.6.1998, s. 45).
(8) Pozri článok 10 ods. 1 tretí pododsek smernice o konečnom zúčtovaní.
(9) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 zo 4. júla 2012 o mimoburzových derivátoch, centrálnych protistranách a archívoch obchodných údajov (Ú. v. EÚ L 201, 27.7.2012, s. 1).
(10) KOM(2012) 73 v konečnom znení.
(11) Dostupné na internetovej stránke Banky pre medzinárodné zúčtovanie na: https://www.bis.org/publ/cpss94.pdf
(12) Dostupné na internetovej stránke ECB na: http://www.ecb.europa.eu
(13) Pozri tlačovú správu ECB týkajúcu sa Memoranda o porozumení (Memorandum of Understanding - MoU) o strategických zásadách spolupráce medzi orgánmi bankového dohľadu a centrálnymi bankami Európskej únie v prípadoch krízového manažmentu (2003), dostupné na internetovej stránke ECB na: www.ecb.europa.eu
(14) Pozri odporúčanie 3: monitorovanie a oznamovanie incidentov v „Odporúčaniach pre bezpečnosť internetových platieb –konečné znenie po verejnej konzultácii“, Európske fórum o bezpečnosti retailových platieb (SecuRe Pay), január 2013, dostupné na internetovej stránke ECB na: www.ecb.europa.eu
(15) Na základe zásad pre spoločný medzinárodný dohľad, ako to zdôraznila správa CPSS o dohľade z roku 2005, centrálne banky Eurosystému sa v mnohých prípadoch úspešne zapojili do opatrení na spoluprácu, ako sa uvádza napríklad v súvislosti s opatreniami v oblasti dohľadu pre SWIFT (Spoločnosť pre celosvetovú medzibankovú finančnú telekomunikáciu) a pre Continuous Linked Settlement (CLS).
(16) Napríklad požiadavky pre účastníkov trhu, aby dodržiavali technické a organizačné opatrenia uvedené v článku 14 ods. 3 a ods. 4 a právomoc vydávať záväzné pokyny pre účastníkov trhu uvedené v článku 15 ods. 3 navrhovanej smernice.
(17) Pozri odsek 2.12 stanoviska CON/2014/9 k návrhu smernice Európskeho parlamentu a Rady o platobných službách na vnútornom trhu, ktorou sa menia smernice 2002/65/ES, 2013/36/EÚ a 2009/110/ES a ktorou sa zrušuje smernica 2007/64/ES (Ú.v. EÚ C 224, 15.7.2014, p. 1). Všetky stanoviská ECB sú dostupné na internetovej stránke ECB na www.ecb.europa.eu
PRÍLOHA
Pozmeňujúce návrhy
Znenie, ktoré navrhla Komisia |
Zmeny a doplnenia, ktoré navrhuje ECB (1) |
||||||||||||||||||||||||||||||||||||||||||
Zmena 1 |
|||||||||||||||||||||||||||||||||||||||||||
Bod 5 odôvodnenia |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Bod 5 odôvodnenia by sa mal zmeniť s cieľom zohľadniť zodpovednosti ECB a národných centrálnych bánk v oblasti vykonávania dohľadu a regulácie platobných a zúčtovacích systémov. Podľa štvrtej zarážky článku 127 ods. 2 zmluvy jednou zo základných úloh ESCB je podporovať plynulé fungovanie platobných systémov. Článok 22 štatútu ESCB tiež oprávňuje ECB vydávať nariadenia na zabezpečenie účinnosti a spoľahlivosti zúčtovacích a platobných systémov. Je potrebné ešte zohľadniť skutočnosť, že podľa článku 127 ods. 5 zmluvy ESCB prispieva k hladkému uskutočňovaniu politík, ktoré sa týkajú stability finančného systému. Okrem toho podľa rámca politiky dohľadu Eurosystému z júla 2011 (2) „dohľad nad platobnými a zúčtovacími systémami je úloha centrálnej banky, ktorá má za cieľ podporovať efektívne a bezpečné fungovanie systémov prostredníctvom sledovania existujúcich a naplánovaných systémov, ich hodnotením vzhľadom na tento cieľ, a keď je to potrebné, iniciovať zmeny“. Inak povedané zabezpečiť, aby systémy boli bezpečné a efektívne, je dôležitým predpokladom pre schopnosť Eurosystému prispieť k finančnej stabilite, uskutočňovať menovú politiku a udržať dôveru verejnosti v euro. Okrem toho v súlade s poznámkami ECB k navrhovanému preskúmaniu smernice o platobných službách (PSD2) by sa malo poznamenať, že vnútroštátne orgány dohľadu a centrálne banky sú príslušné orgány na vydávanie usmernení týkajúcich sa riadenia a oznamovania incidentov PSP, ak aj na vydávanie usmernení týkajúcich sa výmeny oznámení o incidentoch medzi príslušnými orgánmi. Bod odôvodnenia by mal taktiež náležite zohľadniť úlohy zverené ECB na základe nariadenia (EÚ) č. 1024/2013. Nakoniec, ak členovia ESCB mimo eurozóny vykonávajú funkcie zodpovedajúce funkciám uvedeným v zmluve a úlohám uvedeným v štatúte ESCB v súlade s ich vnútroštátnym právom, takéto funkcie by mali zostať tiež nedotknuté. |
|||||||||||||||||||||||||||||||||||||||||||
Zmena 2 |
|||||||||||||||||||||||||||||||||||||||||||
Článok 1 ods. 4 a 5 (nový) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Ako sa už uviedlo, ESCB má eminentný záujem zabezpečiť, aby platobné a zúčtovacie systémy riadne fungovali. To vyplýva z dôležitosti platobných, zúčtovacích systémov a systémov vyrovnania pre plynulé uskutočňovanie operácií menovej politiky a z úlohy, ktorú zohrávajú pri zabezpečení stability finančného systému vo všeobecnosti. ECB preto odporúča, aby navrhovaná smernica venovala pozornosť úlohe ESCB so zreteľom na platobné a zúčtovacie systémy a už zavedený rámec dohľadu. ESCB má veľmi účinné nástroje na stanovenie úrovne bezpečnosti a efektívnosti týchto systémov. Bod odôvodnenia by mal taktiež náležite zohľadniť úlohy zverené ECB na základe nariadenia (EÚ) č. 1024/2013. Navrhovaná smernica by sa takisto nemala dotýkať rovnocenných funkcií vykonávaných členmi ESCB mimo eurozóny v zmysle ich vnútroštátnych rámcov. |
|||||||||||||||||||||||||||||||||||||||||||
Zmena 3 |
|||||||||||||||||||||||||||||||||||||||||||
Článok 6 ods. 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Odôvodnenie ECB odporúča, aby článok 6 ods. 1 bol zmenený na účely zabezpečenia dobrej úrovne spolupráce na úrovni Únie. |
|||||||||||||||||||||||||||||||||||||||||||
Zmena a doplnenie 4 |
|||||||||||||||||||||||||||||||||||||||||||
Článok 8 ods. 3 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Na základe navrhovanej smernice existuje závažný dôvod na výmenu informácií s Európskou agentúrou pre bezpečnosť sietí a informácií alebo príslušnými orgánmi a s EBA alebo ESMA ako príslušným orgánom koordinácie reakcií na incidenty týkajúce sa PSP. ECB teda navrhuje túto zmenu s cieľom podporiť výmenu informácií a so zreteľom na lepšiu koordináciu na úrovni Únie. |
|||||||||||||||||||||||||||||||||||||||||||
Zmena a doplnenie 5 |
|||||||||||||||||||||||||||||||||||||||||||
Článok 19 ods. 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
ECB, EBA and ESMA sú vyzvaní, aby vyslali zástupcu na zasadania Výboru pre bezpečnosť sietí a informácií v súvislosti s bodmi programu, ktoré by mohli byť predmetom záujmu pri výkone príslušných mandátov ECB, EBA alebo ESMA.“ |
||||||||||||||||||||||||||||||||||||||||||
ECB má veľký záujem na zvyšovaní bezpečnosti v platobných a zúčtovacích systémoch, službách a nástrojoch ako dôležitej súčasti zachovania dôvery v jednotnú menu a bezproblémového fungovania ekonomiky v Únii. Na tento účel ECB odporúča, aby ju vyzvali zúčastniť sa na zasadnutiach Výboru pre bezpečnosť sietí a informácií. V každom prípade sa na základe zmluvy bude musieť uskutočniť formálna konzultácia s ECB o akýchkoľvek takýchto opatreniach týkajúcich sa platobných systémov a akýchkoľvek iných záležitostiach, ktoré patria do právomocí ECB. EBA alebo ESMA by sa mali tiež zapojiť v súvislosti so záležitosťami, ktoré sa týkajú PSP. |
(1) Tučným písmom sa označuje nový text, ktorý ECB navrhuje vložiť. Prečiarknutým písmom sa označuje text, ktorý ECB navrhuje vypustiť.
(2) Dostupné na internetovej stránke ECB na: www.ecb.europa.eu