EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Europeiska centralbankens yttrande av den 25 juli 2014 om ett förslag till Europaparlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

SV

Europeiska unionens officiella tidning

C 352/4


EUROPEISKA CENTRALBANKENS YTTRANDE

av den 25 juli 2014

om ett förslag till Europaparlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen

(CON/2014/58)

2014/C 352/04

Inledning och rättslig grund

Den 7 februari 2013 lade Europeiska kommissionen fram ett förslag till direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen (1) (nedan kallat direktivförslaget).

Europeiska centralbanken (ECB) har beslutat att avge ett yttrande på eget initiativ över direktivförslaget eftersom ECB inte formellt har rådfrågats. ECB:s behörighet att avge ett yttrande grundas på artiklarna 127.4 och 282.5 i fördraget om Europeiska unionens funktionssätt eftersom direktivförslaget innehåller bestämmelser som berör Europeiska centralbankssystemets (ECBS) uppgift att främja väl fungerande betalningssystem i enlighet med artikel 127.2 fjärde strecksatsen i fördraget. Enligt artikel 22 i stadgan för Europeiska centralbankssystemet och Europeiska centralbanken (nedan kallad ECBS-stadgan) får ECB och de nationella centralbankerna ställa anordningar till förfogande, och ECB får anta förordningar för att säkerställa effektiva och sunda clearing- och betalningssystem inom gemenskapen och i förbindelser med tredje land. I enlighet med artikel 17.5 första meningen i arbetsordningen för Europeiska centralbanken har detta yttrande antagits av ECB-rådet.

1.   Direktivförslagets syfte

1.1

Syftet med direktivförslaget är att säkerställa en hög gemensam nivå av nät- och informationssäkerhet genom att förbättra säkerheten för internet och de nät- och informationssystem som behövs för att våra samhällen och ekonomier ska fungera. Detta förslag är den viktigaste åtgärden inom den europeiska strategin för it-säkerhet (2).

1.2

Nät- och informationssystem är viktiga för att främja den gränsöverskridande rörligheten för varor, tjänster och personer. I och med denna inneboende transnationella dimension kan störningar i en medlemsstat även påverka andra medlemsstater och unionen som helhet. Sannolikheten för att incidenter ofta kan uppstå och oförmågan att garantera ett effektivt skydd kan också undergräva allmänhetens förtroende för och tillit till näten och informationstjänsterna. Nät- och informationssystemens motståndskraft och stabilitet är därför viktiga för att den inre marknaden ska fungera smidigt.

1.3

Direktivförslaget bygger på tidigare initiativ inom det här området (3). I detta direktivförslag konstateras därför att det finns ett behov av att harmonisera reglerna för nät- och informationssäkerhet och skapa effektiva samarbetsmekanismer mellan medlemsstaterna.

1.4

Genom direktivförslaget fastställs en gemensam unionsrättslig ram för nät- och informationssäkerhet när det gäller medlemsstaternas kapacitet, mekanismer för unionssamarbete och krav som ska gälla för offentliga förvaltningar samt för enheter inom den offentliga sektorn inom specifika kritiska sektorer. Detta bör säkerställa tillräcklig beredskap på nationell nivå och bidra till ett klimat av ömsesidigt förtroende, vilket är en förutsättning för effektivt samarbete på unionsnivå. Inrättandet av samarbetsmekanismer på unionsnivå via nätverket kommer att ge sammanhållna och samordnade förebyggande åtgärder och svarsåtgärder vid gränsöverskridande incidenter och risker som rör nät- och informationssäkerhet.

1.5

De centrala bestämmelserna gäller följande:

a)

Ett krav på att alla medlemsstater ska ha en miniminivå av nationell kapacitet genom att inrätta behöriga myndigheter för nät- och informationssäkerhet, inrätta incidenthanteringsorganisationer (Cert) och anta nationella strategier för nät- och informationssäkerhet och nationella samarbetsplaner för nät- och informationssäkerhet.

b)

Medlemsstaterna ska få i uppdrag att utbyta information inom ramen för ett nätverk. Det ska också upprättas en europeisk plan för samarbete inom nät- och informationssäkerhet och samordnade tidiga varningar för it-säkerhetsincidenter.

c)

Utifrån Europaparlamentets och rådets direktiv 2002/21/EG (4) ska det säkerställas att det utvecklas en riskhanteringskultur och att information utbyts mellan privat och offentlig sektor. Företag inom specifika kritiska sektorer och offentliga förvaltningar kommer att åläggas att bedöma de risker som de står inför och vidta ändamålsenliga och proportionella åtgärder för att garantera nät- och informationssäkerheten. De kommer också att vara skyldiga att underrätta de behöriga myndigheterna om alla incidenter som utgör ett hot mot deras nät och informationssystem och som på ett allvarligt sätt påverkar kontinuiteten för kritiska tjänster och tillhandahållandet av varor.

2.   Allmänna kommentarer

2.1

ECB stöder direktivförslagets syfte, dvs. att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen samt att åstadkomma en enhetlig strategi inom detta område för olika branscher och medlemsstater. Det är viktigt att se till så att det är säkert att bedriva affärsverksamhet på den inre marknaden och att alla medlemsstater har en viss minimiberedskap om det uppstår en it-säkerhetsincident.

2.2

ECB anser emellertid att direktivförslaget inte ska påverka det nuvarande systemet för Eurosystemets övervakning av betalnings- och avvecklingssystem (5), som inbegriper lämpliga arrangemang bland annat i fråga om nät- och informationssäkerhet. Det bör noteras att ECB har ett särskilt intresse av säkrare betalnings- och avvecklingssystem (6) för att främja väl fungerande betalningssystem och bidra till att upprätthålla förtroendet för euron och en välfungerande ekonomi inom unionen.

2.3

Att bedöma säkerhetsarrangemang och anmäla incidenter för betalnings- och avvecklingssystem och betaltjänstleverantörer hör till tillsynsmyndigheternas och centralbankernas centrala behörighetsområden. Ansvaret för att utarbeta tillsynskrav för ovannämnda områden bör därför ligga kvar hos dessa myndigheter och betalnings- och avvecklingssystem samt betaltjänstleverantörer bör inte utsättas för motstridiga krav av andra nationella myndigheter. Riskhantering, som inbegriper säkerhetskrav för betalnings- och avvecklingssystem och annan marknadsinfrastruktur inom euroområdet, fastställs dessutom av Eurosystemet, vilket omfattar ECB och de nationella centralbankerna i de medlemsstater som har infört euron. Genom denna tillsynsfunktion vill Eurosystemet säkerställa välfungerande betalnings- och avvecklingssystem genom att bland annat tillämpa lämpliga tillsynsregler och minimikrav. Direktivförslaget bör utformas med hänsyn till den befintliga tillsynsramen och säkerställa ett samstämmigt regelverk runtom i unionen.

3.   Specifika kommentarer

3.1

Enligt skäl 5 och artikel 1 i direktivförslaget ska de relevanta skyldigheterna, samarbetsmekanismen och säkerhetskraven gälla för alla offentliga förvaltningar och marknadsoperatörer. Med den nuvarande lydelsen av skäl 5 och artikel 1 beaktas inte Eurosystemets uppdrag att utöva tillsyn över betalnings- och avvecklingssystemen i enlighet med fördraget. Direktivförslaget bör därför ändras för att ge en rättvisande bild av Eurosystemets ansvar inom detta område.

3.2

Arrangemang och förfaranden för centralbankernas och andra behöriga myndigheters övervakning av betalnings- och värdepappersavvecklingssystem fastställs i ett antal olika unionsdirektiv och unionsförordningar, däribland

a)

Europaparlamentets och rådets direktiv 98/26/EG (nedan kallat direktivet om slutgiltig avveckling) (7), som ger de behöriga myndigheterna i medlemsstaterna rätt att införa tillsynsarrangemang för betalnings- och avvecklingssystem som faller under deras jurisdiktion (8).

b)

Europaparlamentets och rådets förordning (EU) nr 648/2012 (9) (nedan kallad förordningen om Europas marknadsinfrastrukturer [EMIR]), som bekräftar vilken roll som Europeiska värdepappers- och marknadsmyndigheten (Esma), Europeiska bankmyndigheten (EBA) och ECBS ska spela för att fastställa tillsynsstandarder och utöva tillsyn över centrala motparter.

c)

Förslaget till förordning om om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG (10) (nedan kallad förordningen om värdepapperscentraler), som anger att de behöriga myndigheterna ska tilldelas tillsyns- och utredningsbefogenheter. I detta sammanhang bör särskilt artikel 45 i den förordningen nämnas, varigenom krav införs på stabilitetstillsyn för värdepapperscentralerna, vilket inbegriper viktiga bestämmelser om reducering av operativa risker.

3.3

Det bör dessutom noteras att ECB-rådet den 3 juni 2013 antog de principer för finansmarknadernas infrastruktur som lagts fram i april 2012 av kommittén för betalnings- och avvecklingssystem (CPSS) inom Banken för internationell betalningsutjämning och tekniska kommittén inom Internationella organisationen för värdepapperstillsyn (Iosco) (11), med avseende på Eurosystemets tillsyn över alla olika former av finansmarknadens infrastruktur. Detta följdes av ett offentligt samråd beträffande ett utkast till förordning om krav på övervakning av systemviktiga betalningssystem (nedan kallad SIPS-förordningen) (12). SIPS-förordningen genomför CPSS-Iosco-principerna så att de blir rättsligt bindande och omfattar systemviktiga betalningssystem såväl för större betalningar som för massbetalningar, oavsett om de utförs av nationella centralbanker i Eurosystemet eller av privata enheter.

3.4

De nuvarande tillsynsarrangemangen (13) för betalningssystem och betaltjänstleverantörer omfattar redan förfaranden för tidiga varningar (14) och samordnade svar (15) i och utanför Eurosystemet för att hantera potentiella hot mot it-säkerheten, motsvarande dem som anges i artiklarna 10 och 11 i direktivförslaget.

3.5

ECBS har fastställt standarderna i fråga om rapporterings- och riskhanteringsskyldigheter för betalningssystem. ECB bedömer dessutom regelbundet värdepappersavvecklingssystem för att fastställa huruvida dessa får användas vid Eurosystemets kreditoperationer. ECB anser därför att direktivförslagets krav som påverkar kritisk marknadsinfrastruktur och deras marknadsoperatörer (16) inte får påverka tillämpningen av standarderna i SIPS-förordningen, Eurosystemets ram för tillsynspolicyn eller andra unionsförordningar, i synnerhet inte förordningen om Europas marknadsinfrastrukturer och den kommande förordningen om värdepapperscentraler. Det ska inte heller inkräkta på EBA:s, Esmas och andra tillsynsmyndigheters uppgifter (17).

3.6

Trots vad som sägs ovan anser ECB att det finns mycket som talar för att Eurosystemet ska utbyta relevant information med den kommitté för nät- och informationssäkerhet som ska inrättas enligt artikel 19 i direktivförslaget. Med tanke på det effektiva informationsutbyte som kan komma att bli nödvändigt bör ECB, EBA och Esma uppmanas att sända representanter till mötena inom kommittén för nät- och informationssäkerhet för de punkter på dagordningen som skulle kunna vara av intresse för de olika uppdrag som de ska utföra.

Utfärdat i Frankfurt am Main den 25 juli 2014.

Mario DRAGHI

Ecb:s ordförande


(1)  COM(2013) 48 final.

(2)  Se det gemensamma meddelandet till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd, JOIN(2013) 1 final.

(3)  Detta omfattar följande meddelanden Nät- och informationssäkerhet: förslag till en europeisk strategi, KOM(2001) 298 slutlig, En strategi för ett säkert informationssamhälle: ”Dialog, partnerskap och användarinflytande”, KOM(2006) 251 slutlig, Skydd av kritisk informationsinfrastruktur – ”Skydd mot storskaliga it-attacker och avbrott: förbättrad beredskap, säkerhet och motståndskraft i Europa”, KOM(2009) 149 slutlig, En digital agenda för Europa, KOM(2010) 245 slutlig, och Skydd av kritisk infrastruktur ”Resultat och kommande åtgärder: vägen mot global it-säkerhet”, KOM(2011) 163 slutlig.

(4)  Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (EGT L 108, 24.4.2002, s. 33).

(5)  Vissa medlemmar av ECBS utför även övervakning på grundval av nationella lagar och andra författningar som kompletterar och i vissa fall duplicerar Eurosystemets behörighet.

(6)  Begreppet avveckling inbegriper i detta yttrande även clearingfunktionen.

(7)  Europaparlamentets och rådets direktiv 98/26/EG av den 19 maj 1998 om slutgiltig avveckling i system för överföring av betalningar och värdepapper (EGT L 166, 11.6.1998, s. 45).

(8)  Se artikel 10.1 tredje stycket i direktivet om slutgiltig avveckling.

(9)  Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 201, 27.7.2012, s. 1).

(10)  COM(2012) 73 final.

(11)  Finns på webbplatsen för Banken för internationell betalningsutjämning https://www.bis.org/cpmi/publ/d94.pdf

(12)  Finns på ECB:s webbplats http://www.ecb.europa.eu

(13)  Se ECB:s pressmeddelande om samförståndsavtalet om övergripande principer för samarbete i krishanteringssituationer mellan banktillsynsmyndigheter och centralbanker i Europeiska unionen (2003), finns på ECB:s webbplats http://www.ecb.europa.eu

(14)  Se rekommendation 3 om övervakning och rapportering av incidenter i Recommendations for the security of internet payments – final version after public consultation, Europeiska forumet för säkra massbetalningar (SecuRe Pay), januari 2013, finns på ECB:s webbplats www.ecb.europa.eu

(15)  På grundval av de principer för en internationell tillsyn baserad på samarbete, som CPSS erinrade om i sin tillsynsrapport från 2005, har centralbankerna i Eurosystemet med framgång deltagit i samarbetsarrangemang vid en rad olika tillfällen, vilket framgår av t.ex. tillsynsarrangemangen för Swift (Society for Worldwide Interbank Financial Telecommunications) och CLS (Continuous Linked Settlement).

(16)  Exempelvis kraven på att marknadsoperatörer ska följa de tekniska och organisatoriska åtgärderna enligt artikel 14.3 och 14.4 samt befogenheten att utfärda bindande anvisningar för marknadsoperatörer enligt artikel 15.3 i direktivförslaget.

(17)  Se punkt 2.12 i ECB:s yttrande CON/2014/9 om ett förslag till Europaparlamentets och rådets direktiv om betaltjänster på den inre marknaden och om ändring av direktiven 2002/65/EG, 2013/36/EU och 2009/110/EG samt upphävande av direktiv 2007/64/EG (EUT C 224, 15.7.2014, s. 1). Alla ECB:s yttranden finns på ECB:s webbplats www.ecb.europa.eu


BILAGA

Ändringsförslag

Kommissionens förslag

ECB:s ändringsförslag (1)

Ändring 1

Skäl 5

”(5)

Detta direktiv bör tillämpas på alla nät- och informationssystem, så att alla relevanta incidenter och risker täcks. De skyldigheter som införs för offentliga förvaltningar och marknadsoperatörer bör dock inte tillämpas på företag som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster enligt Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) (2), som omfattas av de särskilda säkerhets- och integritetskrav som fastställs i artikel 13a i direktivet; direktivet bör inte heller tillämpas på tillhandahållare av betrodda tjänster.”

”(5)

Detta direktiv bör tillämpas på alla nät- och informationssystem, så att alla relevanta incidenter och risker täcks. De skyldigheter som införs för offentliga förvaltningar och marknadsoperatörer bör dock inte tillämpas på företag som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster enligt Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) (2), som omfattas av de särskilda säkerhets- och integritetskrav som fastställs i artikel 13a i direktivet; direktivet bör inte heller tillämpas på tillhandahållare av betrodda tjänster. Utan att detta påverkar hur direktivet tillämpas på offentliga förvaltningar och marknadsoperatörer ska detta direktiv inte påverka de uppgifter och skyldigheter som tilldelats Europeiska centralbankssystemet (ECBS) genom fördraget och stadgan för Europeiska centralbankssystemet och Europeiska centralbanken, eller motsvarande uppgifter som utförs av medlemmar i ECBS inom ramen för deras nationella regelverk, särskilt i fråga om politiken för tillsyn över kreditinstitut och övervakningen av betalnings- och värdepappersavvecklingssystem. Medlemsstaterna ska förlita sig på de tillsyns- och övervakningsuppgifter som utförs av centralbankerna och tillsynsmyndigheterna för dessa operatörer inom deras behörighetsområde.

Skäl 5 bör ändras för att spegla ECB:s och de nationella centralbankernas ansvar för att övervaka och reglera betalnings- och avvecklingssystem. Enligt artikel 127.2 fjärde strecksatsen i fördraget är en av ECBS centrala uppgifter att främja väl fungerande betalningssystem. Enligt artikel 22 i ECBS-stadgan har ECB också befogenhet att anta förordningar för att säkerställa effektiva och sunda clearing- och betalningssystem. Det bör också beaktas att enligt artikel 127.5 i fördraget ska ECBS medverka till ett smidigt genomförande av politiken för det finansiella systemets stabilitet. I Eurosystemets ram för tillsynspolitiken från juli 2011  (2) fastställs också att tillsynen över betalnings- och avvecklingssystem är en centralbanksfunktion som syftar till att främja målen om säkerhet och effektivitet genom att befintliga och planerade system övervakas och bedöms mot dessa mål, och förändringar genomförs vid behov.

Att säkerställa att systemen är säkra och effektiva är med andra ord en viktig förutsättning för att Eurosystemet ska kunna medverka till finansiell stabilitet, genomföra den monetära politiken och upprätthålla allmänhetens förtroende för euron.

I enlighet med ECB:s synpunkter om den föreslagna översynen av direktivet om betaltjänster (PSD2) bör det också noteras att de nationella tillsynsmyndigheterna och centralbankerna är de myndigheter som är behöriga att utfärda riktlinjer om incidenthantering och anmälningar av incidenter för betaltjänstleverantörer samt riktlinjer om vidarebefordran av anmälningar av incidenter mellan relevanta myndigheter. I detta skäl bör också vederbörlig hänsyn tas till de uppgifter som tilldelats ECB genom förordning (EU) nr 1024/2013.

Slutligen ska detta inte heller påverka uppgifter motsvarande dem som fastställs i fördraget och ECBS-stadgan och som utförs av medlemmar i ECBS utanför euroområdet inom ramen för deras nationella bestämmelser.

Ändring 2

Artikel 1.4 och artikel 1.5 (ny)

”4.

Detta direktiv påverkar inte tillämpningen av EU-lagstiftning om it-brottslighet och rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna (9).

5.

Detta direktiv påverkar inte heller tillämpningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (10) och Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation och Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (11).

6.

Informationsutbytet inom samarbetsnätverket enligt kapitel III och anmälan av nät- och informationssäkerhetsincidenter enligt artikel 14 kan förutsätta behandling av personuppgifter. Sådan behandling, som är nödvändig för att tillgodose detta direktivs syfte av allmänintresse ska godkännas av medlemsstaten i enlighet med artikel 7 i direktiv 95/46/EG och direktiv 2002/58/EG, såsom dessa har genomförts i nationell lagstiftning.”

”4.

Detta direktiv påverkar inte tillämpningen av EU- unionslagstiftning om it-brottslighet och rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna (9).

5.

Detta direktiv påverkar inte övervakningen och de uppgifter som tilldelats ECB och ECBS i fråga om tillsynen av kreditinstitut och betalnings- och avvecklingssystem som omfattas av särskilda riskhanterings- och säkerhetskrav som har fastställts inom ECBS regelverk samt inom andra relaterade unionsdirektiv och unionsförordningar. Detta direktiv ska inte heller påverka motsvarande uppgifter som utförs av medlemmar i ECBS inom ramen för deras nationella regelverk.

5 6.

Detta direktiv påverkar inte heller tillämpningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (10) och Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation och Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (11).

6 7.

Informationsutbytet inom samarbetsnätverket enligt kapitel III och anmälan av nät- och informationssäkerhetsincidenter enligt artikel 14 kan förutsätta behandling av personuppgifter. Sådan behandling, som är nödvändig för att tillgodose detta direktivs syfte av allmänintresse ska godkännas av medlemsstaten i enlighet med artikel 7 i direktiv 95/46/EG och direktiv 2002/58/EG, såsom dessa har genomförts i nationell lagstiftning.”

Som tidigare har konstaterats har ECBS ett stort intresse av att se till att betalnings- och avvecklingssystemen fungerar ordentligt. Skälet till detta är att betalnings-, clearing- och avvecklingssystemen har stor betydelse för välfungerande penningpolitiska transaktioner och bidrar till att säkerställa det finansiella systemets stabilitet i största allmänhet. ECB rekommenderar därför att ECBS roll i samband med betalnings- och avvecklingssystemen och den befintliga tillsynsramen beaktas i direktivförslaget. ECBS har ytterst effektiva verktyg för att fastställa graden av säkerhet och effektivitet i dessa system. I detta skäl bör också vederbörlig hänsyn tas till de uppgifter som tilldelats ECB genom förordning (EU) nr 1024/2013.

Direktivförslaget bör inte heller påverka motsvarande uppgifter som utförs av medlemmar i ECBS utanför euroområdet inom ramen för deras nationella regelverk.

Ändring 3

Artikel 6.1

”1.

Varje medlemsstat ska utse en behörig nationell myndighet för säkerheten i nät- och informationssystem (den behöriga myndigheten).”

”1.

Varje medlemsstat ska utse en behörig nationell myndighet för säkerheten i nät- och informationssystem (den behöriga myndigheten).

Ett effektivt samarbete ska etableras mellan den behöriga myndigheten och de europeiska och nationella tillsynsmyndigheterna.

Förklaring

ECB rekommenderar att artikel 6.1 ändras för att säkerställa en hög grad av samarbete på unionsnivå.

Ändring 4

Artikel 8.3

”3.

Inom samarbetsnätverket ska de behöriga myndigheterna göra följande:

(a)

Sprida tidiga varningar om risker och incidenter i enlighet med artikel 10.

(b)

Säkerställa samordnade svarsåtgärder i enlighet med artikel 11.

(c)

Regelbundet offentliggöra ej konfidentiell information om pågående tidiga varningar och samordnade svarsåtgärder på en gemensam webbplats.

(d)

På en begäran av en medlemsstat eller kommissionen gemensamt diskutera och bedöma en eller flera nationella NIS-strategier och nationella NIS-samarbetsplaner enligt artikel 5, inom detta direktivs räckvidd.

(e)

På begäran av en medlemsstat eller kommissionen gemensamt diskutera och bedöma incidenthanteringsorganisationernas effektivitet, i synnerhet när NIS-övningar genomförs på unionsnivå.

(f)

Samarbeta och utbyta information om alla relevanta frågor med Europeiska it-brottscentrumet inom Europol och med andra relevanta europeiska organ, i synnerhet inom områdena dataskydd, energi, transport, bankverksamhet, börs och hälso- och sjukvård.

(g)

Utbyta information och bästa praxis med varandra och med kommissionen och bistå varandra i uppbyggnaden av NIS-kapacitet.

(h)

Anordna regelbundna kollegiala granskningar av kapacitet och beredskap.

(i)

Anordna NIS-övningar på unionsnivå och delta, såsom lämpligt, i internationella NIS-övningar.”

”3.

Inom samarbetsnätverket ska de behöriga myndigheterna göra följande:

(a)

Sprida tidiga varningar om risker och incidenter i enlighet med artikel 10.

(b)

Säkerställa samordnade svarsåtgärder i enlighet med artikel 11.

(c)

Regelbundet offentliggöra ej konfidentiell information om pågående tidiga varningar och samordnade svarsåtgärder på en gemensam webbplats.

(d)

På en begäran av en medlemsstat eller kommissionen gemensamt diskutera och bedöma en eller flera nationella NIS-strategier och nationella NIS-samarbetsplaner enligt artikel 5, inom detta direktivs räckvidd.

(e)

På begäran av en medlemsstat eller kommissionen gemensamt diskutera och bedöma incidenthanteringsorganisationernas effektivitet, i synnerhet när NIS-övningar genomförs på unionsnivå.

(f)

Samarbeta och utbyta information om alla relevanta frågor med Europeiska it-brottscentrumet inom Europol och med andra relevanta europeiska organ, i synnerhet inom områdena dataskydd, energi, transport, bankverksamhet, börs och hälso- och sjukvård.

(g)

Utbyta information och bästa praxis med varandra och med kommissionen och bistå varandra i uppbyggnaden av NIS-kapacitet.

(h)

Anordna regelbundna kollegiala granskningar av kapacitet och beredskap.

(i)

Anordna NIS-övningar på unionsnivå och delta, såsom lämpligt, i internationella NIS-övningar.

(j)

Säkerställa informationsutbyte med europeiska och nationella tillsynsmyndigheter (vilket för finanssektorns del skulle omfatta Europeiska centralbankssystemet (ECBS), Europeiska bankmyndigheten (EBA) och Europeiska värdepappers- och marknadsmyndigheten (Esma), som ska samarbeta när säkerhetsincidenter har identifierats som skulle kunna utgöra ett hinder för välfungerande betalnings- och avvecklingssystem).

Det finns mycket som talar för ett informationsutbyte med Europeiska unionens byrå för nät- och informationssäkerhet eller behöriga myndigheter inom ramen för direktivförslaget samt med EBA eller Esma i egenskap av behörig myndighet. för att samordna incidenter som avser betaltjänstleverantörer.

ECB föreslår därför denna ändring för att främja informationsutbyte och bättre samordning på unionsnivå.

Ändring 5

Artikel 19.1

”1.

Kommissionen ska bistås av en kommitté (kommittén för nät- och informationssäkerhet). Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.”

”1.

Kommissionen ska bistås av en kommitté (kommittén för nät- och informationssäkerhet). Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

ECB, EBA och Esma ska ges möjlighet att sända en representant till mötena inom kommittén för nät- och informationssäkerhet för de punkter på dagordningen som skulle kunna vara av intresse för ECB:s, EBA:s eller Esmas respektive uppdrag.

ECB har ett egenintresse av att höja säkerheten för system, tjänster och instrument i samband med betalning och avveckling, eftersom detta utgör en viktig faktor för att upprätthålla förtroendet för euron och en välfungerande ekonomi inom unionen. ECB rekommenderar därför att ECB bjuds in till mötena inom kommittén för nät- och informationssäkerhet. ECB ska under alla förhållanden formellt konsulteras i enlighet med fördraget om sådana åtgärder som avser betalningssystem och andra frågor som faller inom ECB:s behörighetsområde.

EBA eller Esma bör också involveras när det gäller frågor som rör betaltjänstleverantörer.


(1)  Text markerad med fet stil anger ECB:s förslag till ny text. Genomstruken text anger de strykningar som ECB föreslår.

(2)  Finns på ECB:s webbplats www.ecb.europa.eu


Top