Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Stanovisko Európskej centrálnej banky z 25. júla 2014 k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

SK

Úradný vestník Európskej únie

C 352/4


STANOVISKO EURÓPSKEJ CENTRÁLNEJ BANKY

z 25. júla 2014

k návrhu smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii

(CON/2014/58)

2014/C 352/04

Úvod a právny základ

Európska komisia uverejnila 7. februára 2013 návrh smernice o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii (1) (ďalej len „navrhovaná smernica“).

Európska centrálna banka (ECB) sa rozhodla vydať k navrhovanej smernici stanovisko z vlastnej iniciatívy, keďže zákonodarcovia ju formálne nepredložili na konzultáciu. Právomoc ECB vydať stanovisko je založená na článku 127 ods. 4 a článku 282 ods. 5 Zmluvy o fungovaní Európskej únie, keďže navrhovaná smernica obsahuje ustanovenia, ktoré majú vplyv na úlohu Európskeho systému centrálnych bánk (ESCB) týkajúcu sa podpory plynulého fungovania platobných systémov, ako sa uvádza v článku 127 ods. 2 štvrtej zarážke zmluvy. Článok 22 Štatútu Európskeho systému centrálnych bank a Európskej centrálnej banky (ďalej len „štatút ESCB“) navyše ustanovuje, že ECB a národné centrálne banky (NCB) môžu poskytovať zariadenia a ECB môže vydávať nariadenia na zabezpečenie účinnosti a spoľahlivosti zúčtovacích a platobných systémov v rámci Únie a voči iným krajinám. V súlade s článkom 17.5 prvou vetou Rokovacieho poriadku Európskej centrálnej banky Rada guvernérov prijala toto stanovisko.

1.   Cieľ navrhovanej smernice

1.1

Cieľom navrhovanej smernice je zabezpečiť vysokú úroveň bezpečnosti sietí a informácií (network and information security - NIS) zvýšením bezpečnosti internetu a sietí a informačných systémov, na ktorých je založená naša spoločnosť a ekonomika. Tento návrh je hlavnou akciou na základe európskej stratégie kybernetickej bezpečnosti (2).

1.2

Siete a informačné systémy zohrávajú dôležitú úlohu pri uľahčovaní cezhraničného pohybu tovaru, služieb a osôb. Vzhľadom na tento skutočne nadnárodný rozmer, narušenie v jednom členskom štáte môže mať vplyv aj na ďalšie členské štáty a Úniu ako celok. Okrem toho pravdepodobnosť častého výskytu incidentov, ako aj neschopnosť zabezpečiť efektívnu ochranu narúša dôveru verejnosti v bezpečnosť sietí a informácií. Preto je pre riadne fungovanie vnútorného trhu nevyhnutná odolnosť a stabilita bezpečnosti sietí a informácií.

1.3

Navrhovaná smernica vychádza z predchádzajúcich iniciatív v tejto oblasti (3). V tejto súvislosti navrhovaná smernica uznáva potrebu zosúladiť pravidlá týkajúce sa bezpečnosti sietí a informácií a vytvoriť účinné mechanizmy spolupráce medzi členskými štátmi.

1.4

Navrhovaná smernica ustanovuje spoločný právny rámec Únie v oblasti bezpečnosti sietí a informácií, pokiaľ ide o schopnosti členských štátov, mechanizmy spolupráce na úrovni Únie a požiadavky na verejnú správu a taktiež na subjekty súkromného sektora v konkrétnych kritických odvetviach. To by malo zabezpečiť zodpovedajúcu pripravenosť na vnútroštátnej úrovni a podporovať atmosféru vzájomnej dôvery, ktorá je základnou podmienkou pre účinnú spoluprácu na úrovni Únie. Vytváranie mechanizmov spolupráce na úrovni Únie prostredníctvom siete prinesie súdržné a koordinované prostriedky predchádzania a reakcie na cezhraničné incidenty a riziká v oblasti bezpečnosti sietí a informácií.

1.5

Hlavné ustanovenia sa týkajú:

(a)

požiadavky, aby všetky členské štáty zaviedli minimálnu úroveň vnútroštátnej spôsobilosti tým, že určia príslušné orgány zodpovedné za bezpečnosť sietí a informácií, vytvoria tímy reakcie na núdzové počítačové situácie (Computer Emergency Response Teams - CERT) a prijmú vnútroštátne stratégie a plány spolupráce v oblasti bezpečnosti sietí a informácií;

(b)

požadovanej výmeny informácií medzi členskými štátmi v rámci siete, ako aj vytvorenia celoeurópskeho plánu spolupráce v oblasti bezpečnosti sietí a informácií a koordinovaných včasných varovaní pred kybernetickými bezpečnostnými incidentmi;

(c)

zabezpečenia, aby sa vyvíjala kultúra riadenia rizika a aby prebiehala výmena informácií medzi súkromným a verejným sektorom podľa vzoru smernice Európskeho parlamentu a Rady 2002/21/ES (4). Od spoločností v konkrétnych kritických odvetviach a od verejnej správy sa bude vyžadovať, aby posúdili riziká, ktorým čelia, a aby prijali vhodné a primerané opatrenia na zabezpečenie bezpečnosti sietí a informácií. Tiež budú musieť oznamovať príslušným orgánom všetky incidenty, ktoré vážne ohrozujú ich siete a informačné systémy a majú značný vplyv na kontinuitu kritických služieb a dodávku tovaru.

2.   Všeobecné pripomienky

2.1

ECB podporuje cieľ navrhovanej smernice na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii a dosiahnutie jednotného prístupu v tejto oblasti medzi obchodnými sektormi a členskými štátmi. Je dôležité zabezpečiť, aby vnútorný trh bol bezpečným miestom na podnikanie, a aby členské štáty mali určitú minimálnu úroveň pripravenosti v prípade kybernetického bezpečnostného incidentu.

2.2

ECB sa však domnieva, že navrhovaná smernica by sa mala uplatňovať bez toho, aby bol dotknutý existujúci režim pre dohľad Eurosystému nad platobnými a zúčtovacími systémami (5), ktorý okrem iného zahŕňa primerané opatrenia v oblasti bezpečnosti sietí a informácií. Treba poznamenať, že ECB má osobitný záujem o zvýšenú bezpečnosť v platobných a zúčtovacích systémoch (6) s cieľom podporovať plynulé fungovanie platobných systémov a pomáhať zachovať dôveru v euro a fungovanie hospodárstva v Únii.

2.3

Okrem toho posúdenie bezpečnostných opatrení a oznamovanie incidentov pre platobné a zúčtovacie systémy a poskytovateľov platobných služieb (PSP) je jednou z hlavných právomocí orgánov obozretného dohľadu a centrálnych bánk. Zodpovednosť za vypracovanie požiadaviek na dohľad vo vyššie uvedených oblastiach by preto mali mať uvedené orgány a platobné a zúčtovacie systémy a PSP by nemali podliehať potenciálne protichodným požiadavkám uloženým ostatnými vnútroštátnymi orgánmi. Riadenie rizika, vrátane bezpečnostných požiadaviek v súvislosti s platobnými a zúčtovacími systémami a ostatné trhové infraštruktúry v rámci eurozóny navyše stanovuje Eurosystém, ktorý zahŕňa ECB a národné centrálne banky z tých členských štátov, ktoré prijali euro. Prostredníctvom takejto funkcie dohľadu si Eurosystém kladie za cieľ zabezpečiť riadne fungovanie platobných a zúčtovacích systémov uplatňovaním, okrem iného, príslušných noriem dohľadu a minimálnych požiadaviek. Navrhovaná smernica by mala zohľadniť už zavedený rámec dohľadu a zabezpečiť konzistentnosť právnych predpisov v Únii.

3.   Konkrétne pripomienky

3.1

Bod odôvodnenia 5 a článok 1 navrhovanej smernice ustanovujú, že príslušné povinnosti, mechanizmus spolupráce a bezpečnostné požiadavky sa uplatňujú na celú verejnú správu a účastníkov trhu. Súčasné znenie odôvodnenia 5 a článku 1 nezohľadňuje v zmluve zakotvený mandát Eurosystému na dohľad nad platobnými a zúčtovacími systémami. Navrhovaná smernica by sa preto mala zmeniť, aby riadne zohľadnila povinnosti Eurosystému v tejto oblasti.

3.2

Opatrenia a postupy pre centrálne banky a iné príslušné orgány na dohľad nad platobnými a zúčtovacími systémami cenných papierov sú obsiahnuté v mnohých smerniciach a nariadeniach Únie, najmä vrátane:

(a)

smernice Európskeho parlamentu a Rady 98/26/ES (ďalej len „smernica o konečnom zúčtovaní“) (7), ktorá oprávňuje príslušné orgány členských štátov podriadiť dohľadu platobné a zúčtovacie systémy, ktoré patria do ich právomoci (8);

(b)

nariadenia Európskeho parlamentu a Rady (EÚ) č. 648/2012 (9) (ďalej len „nariadenie o infraštruktúre európskych trhov“(European Market Infrastructure Regulation -EMIR)), ktoré uznáva úlohy Európskeho orgánu pre cenné papiere a trhy (European Securities and Markets Authority - ESMA), Európskeho orgánu pre bankovníctvo (European Banking Authority - EBA) a ESCB pri tvorbe noriem pre reguláciu a dohľade nad centrálnymi protistranami; a

(c)

návrhu nariadenia o zlepšení zúčtovania cenných papierov v Európskej únii a o centrálnych depozitároch cenných papierov (central securities depositories - CSD), ktorým sa mení a dopĺňa smernica 98/26/ES (10) (ďalej len „nariadenie CSD“(CSD Regulation - CSDR)), ktorý vyžaduje, aby sa príslušným orgánom zverili právomoci v oblasti dohľadu a vyšetrovania, a najmä článok 45 tohto nariadenia, ktorý zavádza prudenciálne požiadavky na CSD, vrátane dôležitých ustanovení týkajúcich sa znižovania prevádzkového rizika.

3.3

Je potrebné navyše poznamenať, že Rada Guvernérov ECB prijala 3. júna 2013„Zásady pre infraštruktúry finančného trhu“, ktoré v apríli 2012 vydal Výbor pre platobné a zúčtovacie systémy (Committee on Payment and Settlement Systems - CPSS) Banky pre medzinárodné zúčtovanie a Technický výbor medzinárodnej organizácie komisií pre cenné papiere (International Organization of Securities Commissions - IOSCO)  (11), na účely dohľadu Eurosystému nad všetkými druhmi infraštruktúr finančného trhu. Následne sa otvorila verejná konzultácia k návrhu nariadenia o požiadavkách dohľadu vzťahujúcich sa na systémovo dôležité platobné systémy (ďalej len „nariadenie SIPS“) (12). Nariadenie SIPS zavádza zásady CPSS-IOSCO právne záväzným spôsobom a vzťahuje sa na platobné systémy pre veľké sumy, ako aj na maloobchodné platobné systémy systémového významu bez ohľadu na to, či ich prevádzkujú národné centrálne banky Eurosystému alebo súkromné subjekty.

3.4

Existujúce opatrenia v oblasti dohľadu (13) v súvislosti s platobnými systémami a PSP už obsahujú postupy pre včasné varovania (14) a koordinované reakcie (15) v rámci a nad rámec Eurosystému v snahe riešiť hrozby týkajúce sa kybernetickej bezpečnosti, ktoré zodpovedajú tým, ktoré sú ustanovené v článkoch 10 a 11 navrhovanej smernice.

3.5

ESCB stanovil normy týkajúce sa povinností oznamovania a riadenia rizika pre platobné systémy. Okrem toho ECB pravidelne posudzuje zúčtovacie systémy cenných papierov na určenie ich akceptovateľnosti pre použitie pri úverových operáciách Eurosystému. ECB preto považuje za nevyhnutné, aby požiadavky v navrhovanej smernici, ktoré majú vplyv na kritické trhové infraštruktúry a ich prevádzkovateľov (16), nemali vplyv na normy v nariadení SIPS, rámec politiky dohľadu Eurosystému alebo na budúce CSDR. Okrem toho by nemali zasahovať do úloh EBA alebo ESMA a ostatných orgánov obozretného dohľadu (17).

3.6

Bez ohľadu na vyššie uvedené sa ECB domnieva, že existuje závažný dôvod na výmenu príslušných informácií medzi Eurosystémom a Výborom pre bezpečnosť sietí a informácií, ktorý má byť zriadený podľa článku 19 navrhovanej smernice. Na účely efektívnej výmeny informácií, ktorá sa môže stať nevyhnutnou, by ECB, EBA a ESMA mali byť vyzvaní, aby vyslali zástupcov na zasadania Výboru pre bezpečnosť sietí a informácií v súvislosti s bodmi programu, ktoré by mohli byť predmetom záujmu pri výkone ich príslušných mandátov.

Vo Frankfurte nad Mohanom 25. júla 2014

Prezident ECB

Mario DRAGHI


(1)  COM(2013) 48 final.

(2)  Pozri Spoločné oznámenie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov, „Stratégia kybernetickej bezpečnosti Európskej únie: Otvorený, bezpečný a chránený kybernetický priestor“, JOIN(2013) 1 final.

(3)  Tieto zahŕňajú nasledujúce oznámenia: „Bezpečnosť sietí a informácií: Návrh prístupu tvorby Európskej politiky“ KOM(2001) 298 v konečnom znení; „Stratégia pre bezpečnú informačnú spoločnost: Dialóg, partnerstvo a aktívne pôsobenie“ KOM(2006) 251 v konečnom znení; „Ochrana kritických informačných infraštruktúr – Ochrana Európy pred rozsiahlymi kybernetickými útokmi a narušeniami: zvyšovanie pripravenosti, bezpečnosti a odolnosti“ KOM(2009) 149 v konečnom znení; „Digitálna agenda pre Európu“ KOM(2010) 245 v konečnom znení a „Ochrana kritických informačných štruktúr – Dosiahnuté ciele a ďalšie kroky: na ceste ku globálnej kybernetickej bezpečnosti“ KOM(2011) 163 v konečnom znení.

(4)  Smernica Európskeho parlamentu a Rady 2002/21/ES zo 7. marca 2002 o spoločnom regulačnom rámci pre elektronické komunikačné siete a služby (Ú. v. EÚ L 108, 24.4.2002, s. 33).

(5)  Funkcie dohľadu niektorých členov ESCB sa vykonávajú na základe vnútroštátnych zákonov a právnych predpisov, ktoré dopĺňajú a v niektorých prípadoch duplikujú právomoc Eurosystému.

(6)  Pojem „zúčtovanie“ sa používa v celom tomto stanovisku a zahŕňa funkciu clearingu.

(7)  Smernica Európskeho parlamentu a Rady 98/26/ES z 19. mája 1998 o konečnom zúčtovaní v platobných systémoch a zúčtovacích systémoch cenných papierov (Ú. v. EÚ L 166, 11.6.1998, s. 45).

(8)  Pozri článok 10 ods. 1 tretí pododsek smernice o konečnom zúčtovaní.

(9)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 zo 4. júla 2012 o mimoburzových derivátoch, centrálnych protistranách a archívoch obchodných údajov (Ú. v. EÚ L 201, 27.7.2012, s. 1).

(10)  KOM(2012) 73 v konečnom znení.

(11)  Dostupné na internetovej stránke Banky pre medzinárodné zúčtovanie na: https://www.bis.org/publ/cpss94.pdf

(12)  Dostupné na internetovej stránke ECB na: http://www.ecb.europa.eu

(13)  Pozri tlačovú správu ECB týkajúcu sa Memoranda o porozumení (Memorandum of Understanding - MoU) o strategických zásadách spolupráce medzi orgánmi bankového dohľadu a centrálnymi bankami Európskej únie v prípadoch krízového manažmentu (2003), dostupné na internetovej stránke ECB na: www.ecb.europa.eu

(14)  Pozri odporúčanie 3: monitorovanie a oznamovanie incidentov v „Odporúčaniach pre bezpečnosť internetových platieb –konečné znenie po verejnej konzultácii“, Európske fórum o bezpečnosti retailových platieb (SecuRe Pay), január 2013, dostupné na internetovej stránke ECB na: www.ecb.europa.eu

(15)  Na základe zásad pre spoločný medzinárodný dohľad, ako to zdôraznila správa CPSS o dohľade z roku 2005, centrálne banky Eurosystému sa v mnohých prípadoch úspešne zapojili do opatrení na spoluprácu, ako sa uvádza napríklad v súvislosti s opatreniami v oblasti dohľadu pre SWIFT (Spoločnosť pre celosvetovú medzibankovú finančnú telekomunikáciu) a pre Continuous Linked Settlement (CLS).

(16)  Napríklad požiadavky pre účastníkov trhu, aby dodržiavali technické a organizačné opatrenia uvedené v článku 14 ods. 3 a ods. 4 a právomoc vydávať záväzné pokyny pre účastníkov trhu uvedené v článku 15 ods. 3 navrhovanej smernice.

(17)  Pozri odsek 2.12 stanoviska CON/2014/9 k návrhu smernice Európskeho parlamentu a Rady o platobných službách na vnútornom trhu, ktorou sa menia smernice 2002/65/ES, 2013/36/EÚ a 2009/110/ES a ktorou sa zrušuje smernica 2007/64/ES (Ú.v. EÚ C 224, 15.7.2014, p. 1). Všetky stanoviská ECB sú dostupné na internetovej stránke ECB na www.ecb.europa.eu


PRÍLOHA

Pozmeňujúce návrhy

Znenie, ktoré navrhla Komisia

Zmeny a doplnenia, ktoré navrhuje ECB (1)

Zmena 1

Bod 5 odôvodnenia

„(5)

S cieľom pokryť všetky príslušné incidenty a riziká by sa mala táto smernica uplatňovať na všetky siete a informačné systémy. Povinnosti, ktoré má verejná správa a účastníci trhu, by sa však nemali uplatňovať na podniky poskytujúce verejné komunikačné siete alebo verejne dostupné elektronické komunikačné služby v zmysle smernice Európskeho parlamentu a Rady 2002/21/ES zo 7. marca 2002 o spoločnom regulačnom rámci pre elektronické komunikačné siete a služby (rámcová smernica) (2), na ktoré sa vzťahujú osobitné požiadavky, pokiaľ ide o bezpečnosť a integritu, ktoré sú stanovené v článku 13a uvedenej smernice, a nemali by sa uplatňovať ani na poskytovateľov dôveryhodných služieb.“

„(5)

S cieľom pokryť všetky príslušné incidenty a riziká by sa mala táto smernica uplatňovať na všetky siete a informačné systémy. Povinnosti, ktoré má verejná správa a účastníci trhu, by sa však nemali uplatňovať na podniky poskytujúce verejné komunikačné siete alebo verejne dostupné elektronické komunikačné služby v zmysle smernice Európskeho parlamentu a Rady 2002/21/ES zo 7. marca 2002 o spoločnom regulačnom rámci pre elektronické komunikačné siete a služby (rámcová smernica) (2), na ktoré sa vzťahujú osobitné požiadavky, pokiaľ ide o bezpečnosť a integritu, ktoré sú stanovené v článku 13a uvedenej smernice, a nemali by sa uplatňovať ani na poskytovateľov dôveryhodných služieb. Navyše, napriek uplatňovaniu tejto smernice na verejnú správu a účastníkov trhu táto smernica nemá vplyv na úlohy a povinnosti, ktoré Európskemu systému centrálnych bánk (ESCB) ukladá zmluva a Štatút Európskeho systému centrálnych bánk a Európskej centrálnej banky, ani na rovnocenné funkcie vykonávané členmi ESCB v zmysle ich vnútroštátnych rámcov, najmä pokiaľ ide o politiky obozretného dohľadu nad úverovými inštitúciami a dohľad nad platobnými a zúčtovacími systémami cenných papierov. Členské štáty sa spoliehajú na centrálne banky a orgány dohľadu nad takýmito účastníkmi trhu v oblastiach svojej právomoci pri vykonávaní funkcií obozretného dohľadu a dozoru.

Bod 5 odôvodnenia by sa mal zmeniť s cieľom zohľadniť zodpovednosti ECB a národných centrálnych bánk v oblasti vykonávania dohľadu a regulácie platobných a zúčtovacích systémov. Podľa štvrtej zarážky článku 127 ods. 2 zmluvy jednou zo základných úloh ESCB je podporovať plynulé fungovanie platobných systémov. Článok 22 štatútu ESCB tiež oprávňuje ECB vydávať nariadenia na zabezpečenie účinnosti a spoľahlivosti zúčtovacích a platobných systémov. Je potrebné ešte zohľadniť skutočnosť, že podľa článku 127 ods. 5 zmluvy ESCB prispieva k hladkému uskutočňovaniu politík, ktoré sa týkajú stability finančného systému. Okrem toho podľa rámca politiky dohľadu Eurosystému z júla 2011  (2) „dohľad nad platobnými a zúčtovacími systémami je úloha centrálnej banky, ktorá má za cieľ podporovať efektívne a bezpečné fungovanie systémov prostredníctvom sledovania existujúcich a naplánovaných systémov, ich hodnotením vzhľadom na tento cieľ, a keď je to potrebné, iniciovať zmeny“.

Inak povedané zabezpečiť, aby systémy boli bezpečné a efektívne, je dôležitým predpokladom pre schopnosť Eurosystému prispieť k finančnej stabilite, uskutočňovať menovú politiku a udržať dôveru verejnosti v euro.

Okrem toho v súlade s poznámkami ECB k navrhovanému preskúmaniu smernice o platobných službách (PSD2) by sa malo poznamenať, že vnútroštátne orgány dohľadu a centrálne banky sú príslušné orgány na vydávanie usmernení týkajúcich sa riadenia a oznamovania incidentov PSP, ak aj na vydávanie usmernení týkajúcich sa výmeny oznámení o incidentoch medzi príslušnými orgánmi. Bod odôvodnenia by mal taktiež náležite zohľadniť úlohy zverené ECB na základe nariadenia (EÚ) č. 1024/2013.

Nakoniec, ak členovia ESCB mimo eurozóny vykonávajú funkcie zodpovedajúce funkciám uvedeným v zmluve a úlohám uvedeným v štatúte ESCB v súlade s ich vnútroštátnym právom, takéto funkcie by mali zostať tiež nedotknuté.

Zmena 2

Článok 1 ods. 4 a 5 (nový)

„4.

Táto smernica sa nedotýka právnych predpisov EÚ o kybernetickej kriminalite ani smernice Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (9)

5.

Táto smernica sa nedotýka ani smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (10), ani smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií, ani nariadenia Európskeho parlamentu a Rady o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov a o voľnom pohybe takýchto údajov (11).

6.

Výmena informácií v rámci siete spolupráce podľa kapitoly III a oznamovanie incidentov v oblasti bezpečnosti sietí a informácií v zmysle článku 14 si môže vyžadovať spracovanie osobných údajov. Členský štát povoľuje takéto spracovanie údajov, ktoré je potrebné v záujme plnenia cieľov verejného záujmu sledovaných v tejto smernici, podľa článku 7 smernice 95/46/EHS a smernice 2002/58/ES, v zmysle ich uplatnenia vo vnútroštátnych právnych predpisoch.“

„4.

Táto smernica sa nedotýka právnych predpisov EÚnie o kybernetickej kriminalite ani smernice Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (9).

5.

Táto smernica sa nedotýka dohľadu a úloh zverených ECB a ESCB v súvislosti s politikami obozretného dohľadu nad úverovými inštitúciami a platobných a zúčtovacích systémov, pre ktoré boli stanovené osobitné opatrenia na riadenie rizika a bezpečnostné opatrenia v rámci regulačného rámca ESCB a iných súvisiacich smerníc a nariadení Únie. Táto smernica sa takisto nedotýka rovnocenných funkcií vykonávaných členmi ESCB v zmysle ich vnútroštátnych rámcov.

5 6.

Táto smernica sa nedotýka ani smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (10), ani smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií, ani nariadenia Európskeho parlamentu a Rady o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov a o voľnom pohybe takýchto údajov (11).

6 7.

Výmena informácií v rámci siete spolupráce podľa kapitoly III a oznamovanie incidentov v oblasti bezpečnosti sietí a informácií v zmysle článku 14 si môže vyžadovať spracovanie osobných údajov. Členský štát povoľuje takéto spracovanie údajov, ktoré je potrebné v záujme plnenia cieľov verejného záujmu sledovaných v tejto smernici, podľa článku 7 smernice 95/46/EHS a smernice 2002/58/ES, v zmysle ich uplatnenia vo vnútroštátnych právnych predpisoch.“

Ako sa už uviedlo, ESCB má eminentný záujem zabezpečiť, aby platobné a zúčtovacie systémy riadne fungovali. To vyplýva z dôležitosti platobných, zúčtovacích systémov a systémov vyrovnania pre plynulé uskutočňovanie operácií menovej politiky a z úlohy, ktorú zohrávajú pri zabezpečení stability finančného systému vo všeobecnosti. ECB preto odporúča, aby navrhovaná smernica venovala pozornosť úlohe ESCB so zreteľom na platobné a zúčtovacie systémy a už zavedený rámec dohľadu. ESCB má veľmi účinné nástroje na stanovenie úrovne bezpečnosti a efektívnosti týchto systémov. Bod odôvodnenia by mal taktiež náležite zohľadniť úlohy zverené ECB na základe nariadenia (EÚ) č. 1024/2013.

Navrhovaná smernica by sa takisto nemala dotýkať rovnocenných funkcií vykonávaných členmi ESCB mimo eurozóny v zmysle ich vnútroštátnych rámcov.

Zmena 3

Článok 6 ods. 1

„1.

Každý členský štát určí príslušný vnútroštátny orgán pre oblasť bezpečnosti sietí a informačných systémov (ďalej len ‚príslušný orgán‘).“

„1.

Každý členský štát určí príslušný vnútroštátny orgán pre oblasť bezpečnosti sietí a informačných systémov (ďalej len ‚príslušný orgán‘).

Zavedie sa účinná spolupráca medzi príslušným orgánom a európskymi a vnútroštátnymi regulačnými orgánmi.

Odôvodnenie

ECB odporúča, aby článok 6 ods. 1 bol zmenený na účely zabezpečenia dobrej úrovne spolupráce na úrovni Únie.

Zmena a doplnenie 4

Článok 8 ods. 3

„3.

V rámci siete spolupráce príslušné orgány:

(a)

zasielajú včasné varovanie o rizikách a incidentoch v súlade s článkom 10;

(b)

zabezpečujú koordinovanú reakciu v súlade s článkom 11;

(c)

pravidelne zverejňujú na spoločnej webovej lokalite informácie, ktoré nemajú dôverný charakter, o aktuálnych včasných varovaniach a koordinovanej reakcii;

(d)

na žiadosť jedného členského štátu alebo Komisie vedú spoločnú diskusiu a posudzujú jednu alebo viaceré vnútroštátne stratégie pre bezpečnosť sietí a informácií a vnútroštátne plány spolupráce v oblasti bezpečnosti sietí a informácií uvedené v článku 5, v rozsahu pôsobnosti tejto smernice.

(e)

na žiadosť členského štátu alebo Komisie vedú spoločnú diskusiu o účinnosti tímov CERT, a to najmä pri cvičeniach v oblasti bezpečnosti sietí a informácií na úrovni Únie, a posudzujú ju;

(f)

spolupracujú a vymieňajú si informácie o všetkých súvisiacich veciach s Európskym centrom boja proti kybernetickej kriminalite, ktoré je zriadené v rámci Europolu, a s ostatnými príslušnými európskymi orgánmi, najmä čo sa týka ochrany údajov, energetiky, dopravy, bankovníctva, burzy cenných papierov a zdravotníctva;

(g)

vymieňajú si informácie a osvedčené postupy medzi sebou navzájom a s Komisiou, a navzájom si pomáhajú pri budovaní kapacít v oblasti bezpečnosti sietí a informácií;

(h)

organizujú pravidelné partnerské preskúmania schopností a pripravenosti;

(i)

organizujú cvičenia v oblasti bezpečnosti sietí a informácií na úrovni Únie a podľa potreby sa zúčastňujú na medzinárodných cvičeniach v tejto oblasti.“

„3.

V rámci siete spolupráce príslušné orgány:

(a)

zasielajú včasné varovanie o rizikách a incidentoch v súlade s článkom 10;

(b)

zabezpečujú koordinovanú reakciu v súlade s článkom 11;

(c)

pravidelne zverejňujú na spoločnej webovej lokalite informácie, ktoré nemajú dôverný charakter, o aktuálnych včasných varovaniach a koordinovanej reakcii;

(d)

na žiadosť jedného členského štátu alebo Komisie vedú spoločnú diskusiu a posudzujú jednu alebo viaceré vnútroštátne stratégie pre bezpečnosť sietí a informácií a vnútroštátne plány spolupráce v oblasti bezpečnosti sietí a informácií uvedené v článku 5, v rozsahu pôsobnosti tejto smernice. ;

(e)

na žiadosť členského štátu alebo Komisie vedú spoločnú diskusiu o účinnosti tímov CERT, a to najmä pri cvičeniach v oblasti bezpečnosti sietí a informácií na úrovni Únie, a posudzujú ju;

(f)

spolupracujú a vymieňajú si informácie o všetkých súvisiacich veciach s Európskym centrom boja proti kybernetickej kriminalite, ktoré je zriadené v rámci Europolu, a s ostatnými príslušnými európskymi orgánmi, najmä čo sa týka ochrany údajov, energetiky, dopravy, bankovníctva, burzy cenných papierov a zdravotníctva;

(g)

vymieňajú si informácie a osvedčené postupy medzi sebou navzájom a s Komisiou, a navzájom si pomáhajú pri budovaní kapacít v oblasti bezpečnosti sietí a informácií;

(h)

organizujú pravidelné partnerské preskúmania schopností a pripravenosti;

(i)

organizujú cvičenia v oblasti bezpečnosti sietí a informácií na úrovni Únie a podľa potreby sa zúčastňujú na medzinárodných cvičeniach v tejto oblasti. ;

(j)

zabezpečujú výmenu informácií s európskymi a vnútroštátnymi regulačnými orgánmi (t.j. pre finančný sektor: Európsky systém centrálnych bánk (ESCB), Európsky orgán pre bankovníctvo (EBA) a Európsky orgán pre cenné papiere a trhy (ESMA), ktoré úzko spolupracujú, keď dôjde k identifikácii bezpečnostných incidentov, ktoré by potenciálne mohli brániť riadnemu fungovaniu platobných a zúčtovacích systémov).

Na základe navrhovanej smernice existuje závažný dôvod na výmenu informácií s Európskou agentúrou pre bezpečnosť sietí a informácií alebo príslušnými orgánmi a s EBA alebo ESMA ako príslušným orgánom koordinácie reakcií na incidenty týkajúce sa PSP.

ECB teda navrhuje túto zmenu s cieľom podporiť výmenu informácií a so zreteľom na lepšiu koordináciu na úrovni Únie.

Zmena a doplnenie 5

Článok 19 ods. 1

„1.

Komisii bude pomáhať výbor (Výbor pre bezpečnosť sietí a informácií). Uvedeným výborom je výbor v zmysle nariadenia (EÚ) č. 182/2011.“

„1.

Komisii bude pomáhať výbor (Výbor pre bezpečnosť sietí a informácií). Uvedeným výborom je výbor v zmysle nariadenia (EÚ) č. 182/2011.

ECB, EBA and ESMA sú vyzvaní, aby vyslali zástupcu na zasadania Výboru pre bezpečnosť sietí a informácií v súvislosti s bodmi programu, ktoré by mohli byť predmetom záujmu pri výkone príslušných mandátov ECB, EBA alebo ESMA.

ECB má veľký záujem na zvyšovaní bezpečnosti v platobných a zúčtovacích systémoch, službách a nástrojoch ako dôležitej súčasti zachovania dôvery v jednotnú menu a bezproblémového fungovania ekonomiky v Únii. Na tento účel ECB odporúča, aby ju vyzvali zúčastniť sa na zasadnutiach Výboru pre bezpečnosť sietí a informácií. V každom prípade sa na základe zmluvy bude musieť uskutočniť formálna konzultácia s ECB o akýchkoľvek takýchto opatreniach týkajúcich sa platobných systémov a akýchkoľvek iných záležitostiach, ktoré patria do právomocí ECB.

EBA alebo ESMA by sa mali tiež zapojiť v súvislosti so záležitosťami, ktoré sa týkajú PSP.


(1)  Tučným písmom sa označuje nový text, ktorý ECB navrhuje vložiť. Prečiarknutým písmom sa označuje text, ktorý ECB navrhuje vypustiť.

(2)  Dostupné na internetovej stránke ECB na: www.ecb.europa.eu


Top