EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Az Európai Központi Bank véleménye ( 2014. július 25. ) a hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjére vonatkozó intézkedésekről szóló európai parlamenti és tanácsi irányelv iránti javaslatról (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

HU

Az Európai Unió Hivatalos Lapja

C 352/4


AZ EURÓPAI KÖZPONTI BANK VÉLEMÉNYE

(2014. július 25.)

a hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjére vonatkozó intézkedésekről szóló európai parlamenti és tanácsi irányelv iránti javaslatról

(CON/2014/58)

2014/C 352/04

Bevezetés és jogalap

2013. február 7-én az Európai Bizottság a hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjére vonatkozó intézkedésekről szóló európai parlamenti és tanácsi irányelv iránti javaslatot (1) (a továbbiakban: irányelv iránti javaslat) tett közzé.

Az Európai Központi Bank (EKB) úgy döntött, hogy saját kezdeményezésre véleményt fogad el az irányelv iránti javaslatról, mivel a jogalkotók nem folytattak vele hivatalos konzultációt. Az EKB véleményalkotásra szolgáló hatásköre az Európai Unió működéséről szóló szerződés 127. cikkének (4) bekezdésén és 282. cikkének (5) bekezdésén alapul, mivel az irányelv iránti javaslat olyan rendelkezéseket tartalmaz, amelyek érintik a Központi Bankok Európai Rendszerének (KBER) a Szerződés 127. cikke (2) bekezdése negyedik albekezdésében említett, a fizetési rendszerek zavartalan működésének előmozdítását célzó alapvető feladatát. Emellett a Központi Bankok Európai Rendszere és az Európai Központi Bank Alapokmányának (a továbbiakban: a KBER Alapokmánya) 22. cikke alapján az EKB és a nemzeti központi bankok (NKB-k) megfelelő eszközöket bocsáthatnak rendelkezésre, az EKB pedig rendeleteket alkothat annak érdekében, hogy biztosítsák az Unión belüli és a más államokkal fenntartott elszámolási és fizetési rendszerek hatékony és megbízható működését. Az Európai Központi Bank eljárási szabályzatának 17.5. cikke első mondatával összhangban a Kormányzótanács fogadta el ezt a véleményt.

1.   Az irányelv iránti javaslat célja

1.1.

Az irányelv iránti javaslat célja az egységesen magas szintű hálózat- és információbiztonság megteremtése azáltal, hogy megerősíti a társadalmaink és gazdaságaink működésének alapját képező internet, magánhálózatok és információs rendszerek biztonságát. Ez a javaslat az európai kiberbiztonsági stratégia (2) legfontosabb cselekvése.

1.2.

A hálózati és információs rendszerek alapvető szerepet játszanak az áruk, szolgáltatások és személyek határokon átnyúló szabad mozgásának elősegítésében. Az internet ezen alapvető, nemzeti határokat nem ismerő jellege miatt az egyik tagállamban bekövetkező zavar hatással lehet más tagállamokra, vagy akár az Unió egészére is. Ezenkívül a biztonsági események gyakori bekövetkeztének valószínűsége, és az azok elleni hatékony védelem biztosításának hiánya aláássa a hálózat- és információbiztonságba vetett bizalmat. A hálózat- és információbiztonság ellenálló képessége és stabilitása ezért alapvető fontosságú a belső piac zavartalan működése szempontjából.

1.3.

Az irányelv iránti javaslat az e területen tett korábbi kezdeményezésekre épít (3). A fentiekre tekintettel az irányelv iránti javaslat felismeri a hálózat- és információbiztonsági szabályok harmonizálásának és a tagállamok közötti hatékony együttműködési mechanizmusok kialakításának szükségességét.

1.4.

Az irányelv iránti javaslat közös uniós jogi keretet hoz létre a tagállamok hálózat- és információbiztonsági képességei, az uniós szintű együttműködés mechanizmusai, valamint a közigazgatásokra és az egyes meghatározott kritikus ágazatokban működő magánszférabeli szervezetekre vonatkozó előírások vonatkozásában. Ez várhatóan megfelelő szintű nemzeti felkészültséget biztosít majd, és elősegíti a kölcsönös bizalom légkörének erősítését, ami előfeltétele a hatékony uniós szintű együttműködésnek. A hálózatban megvalósuló, uniós szintű együttműködés mechanizmusainak felállítása egységes és összehangolt megelőzést és reagálást tesz lehetővé a határokon átnyúló hálózat- és információbiztonsági események és kockázatok felmerülése esetén.

1.5.

A főbb rendelkezések a következőkre vonatkoznak:

a)

annak előírása az összes tagállam számára, hogy a hálózat- és információbiztonság területén illetékes hatóságok létrehozásával, hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT-ek) felállításával és nemzeti hálózat- és információbiztonsági stratégiák és együttműködési tervek elfogadásával nemzeti szinten biztosítsák a képességek minimális szintjét;

b)

szükséges információcsere a tagállamok között egy hálózaton keresztül, valamint egy össz-európai hálózat- és információbiztonsági együttműködési terv elfogadása, és összehangolt korai előrejelzések a kiberbiztonsági eseményekre vonatkozóan;

c)

a 2002/21/EK európai parlamenti és tanácsi irányelv (4) mintáját követve annak biztosítása, hogy kialakuljon egy kockázatkezelési kultúra, és gyakorlattá váljon a magán- és a közszféra közötti információmegosztás. A konkrét kritikus ágazatokban működő vállalatoknak és a közigazgatásoknak fel kell majd mérniük az őket fenyegető kockázatokat, majd megfelelő és arányos intézkedéseket kell alkalmazniuk a hálózat- és információbiztonság garantálása érdekében. Emellett kötelesek lesznek jelentést tenni az illetékes hatóságoknak a hálózataikat és információs rendszereiket komolyan veszélyeztető, valamint a kritikus szolgáltatások folyamatosságát és az áruellátást jelentősen befolyásolni képes biztonsági eseményekről.

2.   Általános észrevételek

2.1.

Az EKB támogatja az irányelv iránti javaslat célját, amely a hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjének biztosítására, valamint e területen az egyes gazdasági ágazatok és tagállamok közötti következetes megközelítés megvalósítására irányul. Fontos annak biztosítása, hogy a belső piacon biztonságosan lehessen üzletet kötni, és valamennyi tagállam rendelkezzen bizonyos minimális szintű készültséggel a kiberbiztonsági események esetére.

2.2.

Az EKB véleménye szerint ugyanakkor az irányelv iránti javaslat nem érintheti a fizetési és elszámolási rendszerek eurorendszer általi felvigyázásának fennálló rendszerét (5), amely többek között a hálózat- és információbiztonság területére vonatkozó megfelelő szabályokat is magában foglal. Megjegyzendő, hogy az EKB számára különös jelentőséggel bír a fizetési és elszámolási (6) rendszerek területén a fokozott biztonság a fizetési rendszerek zavartalan működésének előmozdítása, továbbá az euróba és az uniós gazdaság működésébe vetett bizalom fenntartásának elősegítése érdekében.

2.3.

Ezenkívül a fizetési és elszámolási rendszerek és a pénzforgalmi szolgáltatók biztonsági követelményeinek és eseménybejelentéseinek értékelése a prudenciális felügyeletet ellátó hatóságok és központi bankok egyik alapvető hatásköre. Ezért a fent említett területeken a felvigyázási követelmények kidolgozásáért való felelősség továbbra is e hatóságok feladatkörébe kell, hogy tartozzon, és a fizetési és elszámolási rendszerekre és a pénzforgalmi szolgáltatókra nem vonatkozhatnak adott esetben ellentmondó, más nemzeti hatóságok által megállapított követelmények. Továbbmenve, a fizetési és elszámolási rendszerek és az euroövezetbeli egyéb piaci infrastruktúrák tekintetében a kockázatkezelést, a biztonsági követelményeket is beleértve, az – EKB-ból és az eurót bevezetett tagállamok NKB-iből álló – eurorendszer határozza meg. E felvigyázási feladatán keresztül az eurorendszer a fizetési és elszámolási rendszerek zavartalan működését többek között a megfelelő felvigyázási alapelvek és minimumkövetelmények alkalmazása útján kívánja biztosítani. Az irányelv iránti javaslatnak figyelembe kell vennie a fennálló felvigyázási keretet, és biztosítania kell a szabályozás következetességét az Unióban.

3.   Különös észrevételek

3.1.

Az irányelv iránti javaslat (5) preambulumbekezdése és 1. cikke úgy rendelkezik, hogy a vonatkozó kötelezettségek, az együttműködési mechanizmus és a biztonsági követelmények valamennyi közigazgatásra és piaci szereplőre vonatkoznak. Az (5) preambulumbekezdés és az 1. cikk jelenlegi szövege nem veszi figyelembe az eurorendszer Szerződésben rögzített feladatát, amely a fizetési és elszámolási rendszerek felvigyázására irányul. Az irányelv iránti javaslatot ezért módosítani kell, hogy az megfelelően tükrözze az eurorendszer e területen fennálló feladatait.

3.2.

A központi bankok és más illetékes hatóságok számára megállapított, a fizetési és értékpapír-elszámolási rendszerek felvigyázására vonatkozó szabályokat és eljárásokat több uniós irányelv és rendelet tartalmazza, így különösen:

a)

a 98/26/EK európai parlamenti és tanácsi irányelv (a továbbiakban: az elszámolások véglegességéről szóló irányelv) (7), amely feljogosítja a tagállamok illetékes hatóságait arra, hogy felügyeleti követelményeket állapítsanak meg a joghatóságuk alá tartozó fizetési és elszámolási rendszerekre vonatkozóan (8);

b)

a 648/2012/EU európai parlamenti és tanácsi rendelet (9) (a továbbiakban: az európai piaci infrastruktúra-rendelet), amely elismeri az Európai Értékpapír-piaci Hatóság (EÉPH), az Európai Bankhatóság (EBH) és a KBER feladatait a szabályozási standardok meghatározása és a központi szerződő felek felügyelete terén; és

c)

az Európai Unión belüli értékpapír-elszámolás javításáról és a központi értéktárakról, valamint a 98/26/EK irányelv módosításáról szóló rendelet iránti javaslat (10) (a továbbiakban: a központi értéktárakról szóló rendelet), amely előírja, hogy az illetékes hatóságok felügyeleti és vizsgálati jogkörökkel legyenek felruházva, és különösen e rendelet 45. cikke, amely a központi értéktárakra vonatkozó prudenciális követelményeket vezet be, beleértve a működési kockázatok csökkentésére vonatkozó fontos rendelkezéseket.

3.3.

Ezen túlmenően megjegyzendő, hogy 2013. június 3-án az EKB Kormányzótanácsa elfogadta a Nemzetközi Fizetések Bankjának (BIS) fizetési és elszámolási rendszerekkel foglalkozó bizottsága (CPSS) és az Értékpapír-felügyeletek Nemzetközi Szervezetének (IOSCO) Technikai Bizottsága által 2012 áprilisában bevezetett, pénzpiaci infrastruktúrákra vonatkozó alapelveket (11) az eurorendszer által a pénzügyi piaci infrastruktúrák valamennyi típusa tekintetében történő felvigyázás vonatkozásában. Ezt a rendszerszempontból jelentős fizetési rendszerekre vonatkozó felvigyázási követelményekről szóló rendelettervezetre (a továbbiakban: SIPS-rendelet) (12) vonatkozó nyilvános konzultáció követte. A SIPS-rendelet jogilag kötelező módon hajtja végre a CPSS-IOSCO alapelveket, és a nagy értékű fizetési rendszerekre és a rendszerszempontból jelentős lakossági fizetési rendszerekre egyaránt kiterjed, akár eurorendszerbeli NKB, akár magánszervezet működteti azokat.

3.4.

A fizetési rendszerekre és a pénzforgalmi szolgáltatókra vonatkozó jelenlegi felvigyázási szabályok (13) a lehetséges kiberbiztonsági fenyegetések kezelése érdekében már tartalmaznak az eurorendszeren belüli és azon kívüli korai figyelmeztetésekre (14) és összehangolt válaszokra (15) vonatkozó bizonyos eljárásokat, amelyek megfelelnek az irányelv iránti javaslat 10. és 11. cikkében rögzítetteknek.

3.5.

Az EKB a fizetési rendszerek adatszolgáltatási és kockázatkezelési kötelezettségeire vonatkozó követelményeket határozott meg. Az EKB emellett rendszeresen értékeli az értékpapír-elszámolási rendszereket annak érdekében, hogy meghatározza az eurorendszer hitelműveleteihez történő felhasználás céljára való elfogadhatóságukat. Ezért az EKB szükségesnek tartja, hogy az irányelv iránti javaslatban szereplő, a kritikus piaci infrastruktúrákat és üzemeltetőiket (16) érintő követelmények ne sértsék a SIPS-rendeletben, az eurorendszer felülvigyázói tevékenységének politikai keretrendszerében vagy más uniós rendeletekben, így különösen az európai piaci infrastruktúra-rendeletben és a központi értéktárakról szóló jövőbeli rendeletben rögzített követelményeket. Azok továbbá nem akadályozhatják az EBH vagy az EÉPH és más prudenciális felügyeletet ellátó hatóságok feladatait (17).

3.6.

A fentiek ellenére az EKB úgy véli, nyomós érvek szólnak amellett, hogy az eurorendszer megossza a releváns információkat az irányelv iránti javaslat 19. cikke alapján felállításra kerülő hálózat- és információbiztonsági bizottsággal. Az adott esetben szükségessé váló hatékony információmegosztás érdekében fel kell kérni az EKB-t, az EBH-t és az EÉPH-t, hogy küldjenek képviselőket a hálózat- és információbiztonsági bizottság üléseire azon napirendi pontok esetében, amelyek a feladatkörük szempontjából jelentőséggel bírhatnak.

Kelt Frankfurt am Mainban, 2014. július 25-én.

az EKB elnöke

Mario DRAGHI


(1)  COM(2013) 48 final.

(2)  Lásd az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának címzett, „Az Európai Unió kiberbiztonsági stratégiája: Nyílt, megbízható és biztonságos kibertér” című közös közleményt, JOIN(2013) 1 final.

(3)  Ezek a következő közleményeket foglalják magukban: „Hálózat- és információbiztonság: javaslat egy európai politikai megközelítésre” COM(2001) 298 final; „A biztonságos információs társadalomra irányuló stratégia: »párbeszéd, partnerség, felvértezés és felelősségvállalás«” COM(2006) 251 final; „A kritikus informatikai infrastruktúrák védelme – »Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása«” COM(2009) 149 final; „Az európai digitális menetrend” COM(2010) 245 final; és „A kritikus informatikai infrastruktúrák védelme – »Eredmények és következő lépések: a globális kiberbiztonság felé«” COM(2011) 163 final.

(4)  Az Európai Parlament és a Tanács 2002. március 7-i 2002/21/EK irányelve az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról (HL L 108., 2002.4.24., 33. o.).

(5)  Egyes KBER-tagok a felvigyázási feladataikat nemzeti törvények és rendeletek alapján látják el, amelyek kiegészítik, és bizonyos esetekben megkettőzik az eurorendszer hatáskörét.

(6)  E véleményben az „elszámolás” kifejezés magában foglalja a kiegyenlítési funkciót is.

(7)  Az Európai Parlament és a Tanács 1998. május 19-i 98/26/EK irányelve a fizetési és értékpapír-elszámolási rendszerekben az elszámolások véglegességéről (HL L 166., 1998.6.11., 45. o.).

(8)  Lásd az elszámolások véglegességéről szóló irányelv 10. cikke (1) bekezdésének harmadik albekezdését.

(9)  Az Európai Parlament és a Tanács 2012. július 4-i 648/2012/EU rendelete a tőzsdén kívüli származtatott ügyletekről, a központi szerződő felekről és a kereskedési adattárakról (HL L 201., 2012.7.27., 1. o.).

(10)  COM(2012) 73 final.

(11)  Elérhető a Nemzetközi Fizetések Bankjának honlapján: https://www.bis.org/publ/cpss94.pdf

(12)  Elérhető az EKB honlapján: http://www.ecb.europa.eu

(13)  Lásd az EKB sajtóközleményét a bankfelügyeletek és a központi bankok közötti, válságkezelési helyzetekben történő együttműködés magas szintű elveiről szóló egyetértési nyilatkozatról (2003), elérhető az EKB honlapján: www.ecb.europa.eu

(14)  Lásd a 3. ajánlást: események figyelemmel kísérése és jelentése, a „Recommendations for the security of internet payments - final version after public consultation” (Az internetes fizetések biztonságára vonatkozó ajánlások – nyilvános konzultációt követő végleges változat) című dokumentum, a lakossági fizetések biztonságával foglalkozó európai fórum (European Forum on the Security of Retail Payments, SecuRe Pay), 2013. január, elérhető az EKB honlapján: www.ecb.europa.eu

(15)  Az együttműködő nemzetközi felvigyázás elvei alapján – mint arra a 2005-ös CPSS felvigyázási jelentés is hivatkozott – az eurorendszerbeli központi bankok számos esetben sikeresen vettek részt együttműködésben, amint az például a SWIFT (a Nemzetközi Bankközi Pénzügyi Telekommunikációs Társaság) és a folyamatosan kapcsolt kiegyenlítési rendszer (CLS) felvigyázási szabályaival összefüggésben megmutatkozott.

(16)  Így például az irányelv iránti javaslat 14. cikkének (3) és (4) bekezdésében szereplő, a piaci szereplőkre vonatkozó azon követelmények, hogy megfelelő műszaki és szervezési intézkedéseket hozzanak, valamint a piaci szereplők kötelező erővel történő utasítására vonatkozó hatáskör a 15. cikk (3) bekezdésében.

(17)  Lásd az EKB-nak a belső piaci pénzforgalmi szolgáltatásokról és a 2002/65/EK, a 2013/36/EU és a 2009/110/EK irányelv módosításáról, valamint a 2007/64/EK irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelv iránti javaslatról szóló CON/2014/9 véleménye 2.12. bekezdését (HL C 224., 2014.7.15., 1. o.). Az EKB valamennyi véleménye közzétételre kerül az EKB honlapján: www.ecb.europa.eu


MELLÉKET

Szövegezési javaslatok

A Bizottság által javasolt szöveg

Az EKB által javasolt módosítások (1)

1. módosítás

(5) preambulumbekezdés

„(5)

Annak érdekében, hogy a szabályozás valamennyi lényeges eseményre és kockázatra kiterjedjen, ezt az irányelvet valamennyi hálózati és információs rendszerre indokolt alkalmazni. A közigazgatásokra és a piaci szereplőkre vonatkozó kötelezettségeket azonban nem indokolt alkalmazni az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7-i 2002/21/EK európai parlamenti és tanácsi irányelv (Keretirányelv) (2) szerinti nyilvános hírközlési hálózatokat üzemeltető és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó vállalkozásokra – ezekre az említett irányelv 13a. cikkében meghatározott biztonsági és integritási követelmények vonatkoznak –, sem pedig a bizalmi szolgáltatások nyújtóira.”

„(5)

Annak érdekében, hogy a szabályozás valamennyi lényeges eseményre és kockázatra kiterjedjen, ezt az irányelvet valamennyi hálózati és információs rendszerre indokolt alkalmazni. A közigazgatásokra és a piaci szereplőkre vonatkozó kötelezettségeket azonban nem indokolt alkalmazni az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7-i 2002/21/EK európai parlamenti és tanácsi irányelv (Keretirányelv) (2) szerinti nyilvános hírközlési hálózatokat üzemeltető és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó vállalkozásokra – ezekre az említett irányelv 13a. cikkében meghatározott biztonsági és integritási követelmények vonatkoznak –, sem pedig a bizalmi szolgáltatások nyújtóira. Ezenkívül, ezen irányelvnek a közigazgatásokra és a piaci szereplőkre történő alkalmazása ellenére ez az irányelv nem érinti a Szerződéssel és a Központi Bankok Európai Rendszere és az Európai Központi Bank Alapokmányával a Központi Bankok Európai Rendszerére (KBER) ruházott feladatokat és kötelezettségeket vagy a KBER tagjai által nemzeti keretek között ellátott, ezeknek megfelelő feladatokat, különösen a hitelintézetek prudenciális felügyeletével és a fizetési és elszámolási rendszerek felvigyázásával kapcsolatos szakpolitikák tekintetében. A tagállamok a központi bankok és az e piaci szereplők felügyeletét ellátó hatóságok által a hatáskörükbe tartozó területeken gyakorolt prudenciális felügyeleti és felvigyázási feladatokra támaszkodnak.

Az (5) preambulumbekezdést módosítani kell annak érdekében, hogy tükrözze az EKB és az NKB-knak a fizetési és elszámolási rendszerek felvigyázásával és szabályozásával kapcsolatos feladatait. A Szerződés 127. cikke (2) bekezdésének negyedik francia bekezdése értelmében a KBER egyik alapvető feladata a fizetési rendszerek zavartalan működésének előmozdítása. A KBER Alapokmányának 22. cikke továbbá feljogosítja az EKB-t arra, hogy rendeleteket alkosson az elszámolási és fizetési rendszerek hatékony és megbízható működésének biztosítása érdekében. Figyelembe kell venni továbbá, hogy a Szerződés 127. cikkének (5) bekezdése értelmében a KBER támogatja a pénzügyi rendszer stabilitására vonatkozó politikáik zavartalan megvalósítását. Ezenkívül az eurorendszer felülvigyázói tevékenységének 2011. júliusi politikai keretrendszere  (2) szerint „a fizetési és elszámolási rendszerek felvigyázása központi banki feladat, amelynek révén előmozdítják a biztonság és hatékonyság célkitűzését a fennálló és tervezett rendszerek figyelemmel kísérése, e célkitűzésekre tekintettel történő értékelése és szükség esetén változások kezdeményezése útján”.

Más szóval, a rendszerek biztonságosságának és hatékonyságának biztosítása fontos előfeltétele annak, hogy az eurorendszer hozzá tudjon járulni a pénzügyi stabilitáshoz, végrehajtsa a monetáris politikát és megőrizze az euróba vetett közbizalmat.

Emellett a pénzforgalmi szolgáltatásokról szóló irányelv tervezett felülvizsgálatára vonatkozóan az EKB által tett észrevételekkel összhangban megjegyzendő, hogy a pénzforgalmi szolgáltatók számára az események kezelésére és bejelentésére vonatkozó iránymutatások kibocsátására, valamint az eseménybejelentések illetékes hatóságok közötti megosztására vonatkozó iránymutatások kibocsátására hatáskörrel rendelkező hatóságok a felügyeletet ellátó nemzeti hatóságok és a központi bankok. A preambulumbekezdésnek továbbá megfelelően figyelembe kell vennie az 1024/2013/EU rendelettel az EKB-ra ruházott feladatokat.

Végül, amennyiben nem euroövezeti KBER-tagok a Szerződés és a KBER Alapokmánya szerinti feladatoknak megfelelő feladatokat látnak el saját nemzeti rendelkezéseik alapján, e feladatokat az irányelv iránti javaslat szintén nem érintheti.

2. módosítás

1. cikk (4) bekezdés és 1. cikk (5) bekezdés (új)

„(4)

Ez az irányelv nem sérti sem a számítástechnikai bűnözésre vonatkozó uniós jogszabályok, sem pedig az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló, 2008. december 8-i 2008/114/EK tanácsi irányelv rendelkezéseit (9).

(5)

Ez az irányelv továbbá nem sérti sem a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv (10), sem az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelv, sem pedig a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendelet (11) rendelkezéseit.

(6)

Az együttműködési hálózaton keresztül a III. fejezetnek megfelelően történő információmegosztás, valamint a hálózat- és információbiztonsági eseményeknek a 14. cikk alapján történő bejelentése személyes adatok feldolgozását teheti szükségessé. Az ezen irányelv közérdekű céljainak eléréséhez szükséges ilyen adatfeldolgozást a tagállamok a 95/46/EK irányelv 7. cikkét és a 2002/58/EK irányelvet a nemzeti jogukba átültető rendelkezések alapján engedélyezik.”

„(4)

Ez az irányelv nem sérti sem a számítástechnikai bűnözésre vonatkozó uniós jogszabályok, sem pedig az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló, 2008. december 8-i 2008/114/EK tanácsi irányelv rendelkezéseit (9).

(5)

Ez az irányelv nem érinti az EKB és a KBER által ellátott felvigyázást, továbbá a hitelintézetek prudenciális felügyeletével, valamint a fizetési és elszámolási rendszerekkel kapcsolatos politikák területén az EKB-ra és a KBER-re ruházott feladatokat, amely rendszerek tekintetében különleges kockázatkezelési és biztonsági követelmények kerültek meghatározásra a KBER szabályozási keretén, valamint más kapcsolódó uniós irányelvek és rendeletek keretén belül. Hasonlóképpen, ez az irányelv nem sérti a KBER-tagok által saját nemzeti kereteik alapján ellátott, ennek megfelelő feladatokat.

(5 6)

Ez az irányelv továbbá nem sérti sem a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv (10), sem az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelv, sem pedig a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendelet (11) rendelkezéseit.

(6 7)

Az együttműködési hálózaton keresztül a III. fejezetnek megfelelően történő információmegosztás, valamint a hálózat- és információbiztonsági eseményeknek a 14. cikk alapján történő bejelentése személyes adatok feldolgozását teheti szükségessé. Az ezen irányelv közérdekű céljainak eléréséhez szükséges ilyen adatfeldolgozást a tagállamok a 95/46/EK irányelv 7. cikkét és a 2002/58/EK irányelvet a nemzeti jogukba átültető rendelkezések alapján engedélyezik.”

Mint azt a fentiekben megjegyeztük, a KBER nagyban érdekelt annak biztosításában, hogy a fizetési és elszámolási rendszerek megfelelően működjenek. Ez a fizetési, kiegyenlítési és elszámolási rendszereknek a monetáris politikai műveletek zavartalan folytatása szempontjából fennálló jelentőségéből, valamint általában a pénzügyi rendszerek stabilitásának biztosítása terén játszott szerepéből következik. Ezért az EKB azt javasolja, hogy az irányelv iránti javaslat vegye figyelembe a KBER szerepét a már fennálló fizetési és elszámolási rendszerek, valamint felvigyázási keret tekintetében. A KBER-nek rendkívül hatékony eszközök állnak rendelkezésére e rendszerek biztonsága és hatékonysága szintjének meghatározása érdekében. A preambulumbekezdésnek továbbá megfelelően figyelembe kell vennie az 1024/2013/EU rendelettel az EKB-ra ruházott feladatokat.

Az irányelv iránti javaslat továbbá nem sértheti a nem euroövezeti KBER-tagok által saját nemzeti kereteik alapján ellátott megfelelő feladatokat.

3. módosítás

6. cikk (1) bekezdés

„(1)

Minden tagállam kijelöl egy, a hálózati és információs rendszerek biztonságáért felelős nemzeti illetékes hatóságot (a továbbiakban: »illetékes hatóság«).”

„(1)

Minden tagállam kijelöl egy, a hálózati és információs rendszerek biztonságáért felelős nemzeti illetékes hatóságot (a továbbiakban: »illetékes hatóság«).

Az illetékes hatóság és az európai és nemzeti szabályozók között hatékony együttműködést kell kialakítani.

Magyarázat

Az EKB azt javasolja, hogy a 6. cikk (1) bekezdése kerüljön módosításra az uniós szintű megfelelő együttműködés biztosítása érdekében.

4. módosítás

8. cikk (3) bekezdés

„(3)

Az együttműködési hálózaton belül az illetékes hatóságok:

a)

a 10. cikknek megfelelően korai előrejelzést tesznek közzé a kockázatokról és a biztonsági eseményekről;

b)

a 11. cikkel összhangban gondoskodnak az összehangolt válaszintézkedésről;

c)

egy közös honlapon rendszeresen közzéteszik a folyamatban lévő korai előrejelzésekre és az összehangolt válaszintézkedésre vonatkozó nem bizalmas információkat;

d)

egy tagállam vagy a Bizottság kérésére közös vitára és értékelésre bocsátják az 5. cikkben említett – az irányelv hatálya alá tartozó – adott nemzeti hálózat- és információbiztonsági stratégiát vagy stratégiákat, illetőleg nemzeti hálózat- és információbiztonsági együttműködési tervet vagy terveket;

e)

egy tagállam vagy a Bizottság kérésére közös vitára és értékelésre bocsátják a CERT-ek eredményességét, különösen uniós szintű hálózat- és információbiztonsági gyakorlatok végzése kapcsán;

f)

minden releváns kérdésben együttműködnek és információt cserélnek az Europol szervezetén belül működő Számítástechnikai Bűnözés Elleni Európai Központtal, illetve más érintett európai szervekkel, különösen az adatvédelem, az energiaszolgáltatás, a közlekedés, a banki szolgáltatások, a tőzsdei szolgáltatások és az egészségügy területén;

g)

információt cserélnek és megosztják a bevált gyakorlatokat más illetékes hatóságokkal és a Bizottsággal, és segítik egymást a hálózat- és információbiztonsági kapacitásépítésben;

h)

rendszeres jelleggel szakértői értékeléseket szerveznek a képességek és a felkészültség témájában;

i)

uniós szintű hálózat- és információbiztonsági gyakorlatokat szerveznek, és adott esetben részt vesznek nemzetközi hálózat- és információbiztonsági gyakorlatokon is.”

„(3)

Az együttműködési hálózaton belül az illetékes hatóságok:

a)

a 10. cikknek megfelelően korai előrejelzést tesznek közzé a kockázatokról és a biztonsági eseményekről;

b)

a 11. cikkel összhangban gondoskodnak az összehangolt válaszintézkedésről;

c)

egy közös honlapon rendszeresen közzéteszik a folyamatban lévő korai előrejelzésekre és az összehangolt válaszintézkedésre vonatkozó nem bizalmas információkat;

d)

egy tagállam vagy a Bizottság kérésére közös vitára és értékelésre bocsátják az 5. cikkben említett – az irányelv hatálya alá tartozó – adott nemzeti hálózat- és információbiztonsági stratégiát vagy stratégiákat, illetőleg nemzeti hálózat- és információbiztonsági együttműködési tervet vagy terveket;

e)

egy tagállam vagy a Bizottság kérésére közös vitára és értékelésre bocsátják a CERT-ek eredményességét, különösen uniós szintű hálózat- és információbiztonsági gyakorlatok végzése kapcsán;

f)

minden releváns kérdésben együttműködnek és információt cserélnek az Europol szervezetén belül működő Számítástechnikai Bűnözés Elleni Európai Központtal, illetve más érintett európai szervekkel, különösen az adatvédelem, az energiaszolgáltatás, a közlekedés, a banki szolgáltatások, a tőzsdei szolgáltatások és az egészségügy területén;

g)

információt cserélnek és megosztják a bevált gyakorlatokat más illetékes hatóságokkal és a Bizottsággal, és segítik egymást a hálózat- és információbiztonsági kapacitásépítésben;

h)

rendszeres jelleggel szakértői értékeléseket szerveznek a képességek és a felkészültség témájában;

i)

uniós szintű hálózat- és információbiztonsági gyakorlatokat szerveznek, és adott esetben részt vesznek nemzetközi hálózat- és információbiztonsági gyakorlatokon is. ;

j)

biztosítják az európai és a nemzeti szabályozók közötti információcserét (azaz a pénzügyi ágazat tekintetében: a Központi Bankok Európai Rendszere [KBER], az Európai Bankhatóság [EBH] és az Európai Értékpapír-piaci Hatóság [EÉPH], amelyek szorosan együttműködnek, amennyiben olyan biztonsági események kerülnek azonosításra, amelyek potenciálisan akadályozhatják a fizetési és elszámolási rendszerek zavartalan működését).

Nyomós érvek szólnak amellett, hogy információk kerüljenek megosztásra az Európai Hálózat- és Információbiztonsági Ügynökséggel vagy az irányelv iránti javaslat értelmében illetékes hatóságokkal, valamint az EBH-val vagy az EÉPH-val mint a pénzforgalmi szolgáltatókhoz kapcsolódó események koordinálására illetékes hatósággal.

Ezért az EKB javasolja ezt a módosítást az információmegosztás és az uniós szintű jobb együttműködés előmozdítása érdekében.

5. módosítás

19. cikk (1) bekezdés

„(1)

A Bizottság munkáját egy bizottság (a hálózat- és információbiztonsági bizottság) segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottság.”

„(1)

A Bizottság munkáját egy bizottság (a hálózat- és információbiztonsági bizottság) segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottság.

Az EKB-t, az EBH-t és az EÉPH-t fel kell kérni, hogy küldjenek képviselőt a hálózat- és információbiztonsági bizottság üléseire azon napirendi pontokhoz kapcsolódóan, amelyek hatással lehetnek az EKB, az EBH vagy az EÉPH feladatainak ellátására.

Az EKB-nek érdeke fűződik a fizetési és elszámolási rendszerek, szolgáltatások és eszközök biztonságának fokozásához, mivel ez fontos eleme a közös valutába vetett bizalom fenntartásának és az uniós gazdaság zavartalan működésének. Ezért az EKB azt javasolja, hogy hívják meg a hálózat- és információbiztonsági bizottság üléseire. Az EKB-val mindenesetre a Szerződés alapján hivatalos konzultációt kell majd folytatni a fizetési rendszerekhez kapcsolódó intézkedésekről és minden egyéb olyan kérdésről, amely az EKB hatáskörébe tartozik.

Az EBH-t vagy az EÉPH-t szintén be kell vonni a pénzforgalmi szolgáltatókhoz kapcsolódó kérdésekbe.


(1)  A szövegben vastag betűvel szedve szerepel az EKB által beillesztésre javasolt új szöveg. A szövegben áthúzott betűvel szedve szerepelnek az EKB által törölni javasolt részek.

(2)  Elérhető az EKB honlapján: www.ecb.europa.eu


Top