EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Euroopan keskuspankin lausunto, annettu 25 päivänä heinäkuuta 2014 , ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa (CON/2014/58)
Euroopan keskuspankin lausunto, annettu 25 päivänä heinäkuuta 2014 , ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa (CON/2014/58)
OJ C 352, 7.10.2014, p. 4–11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
FI |
Euroopan unionin virallinen lehti |
C 352/4 |
EUROOPAN KESKUSPANKIN LAUSUNTO,
annettu 25 päivänä heinäkuuta 2014,
ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa
(CON/2014/58)
2014/C 352/04
Johdanto ja oikeusperusta
Euroopan komissio julkaisi 7 päivänä helmikuuta 2013 ehdotuksen direktiiviksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa (1) (jäljempänä ’ehdotettu direktiivi’ tai ”direktiiviehdotus”).
Koska lainsäätäjät eivät ole virallisesti kuulleet Euroopan keskuspankkia (EKP), EKP on päättänyt antaa direktiiviehdotuksesta lausunnon omasta aloitteestaan. EKP:n toimivalta antaa lausunto perustuu Euroopan unionin toiminnasta tehdyn sopimuksen 127 artiklan 4 kohtaan ja 282 artiklan 5 kohtaan, sillä ehdotettu direktiivi sisältää säännöksiä, jotka vaikuttavat Euroopan keskuspankkijärjestelmän (EKPJ) tehtävään edistää maksujärjestelmien moitteetonta toimintaa sopimuksen 127 artiklan 2 kohdan neljännen luetelmakohdan mukaisesti. Lisäksi Euroopan keskuspankkijärjestelmän perussäännön (jäljempänä ’EKPJ:n perussääntö’) 22 artiklassa määrätään, että EKP ja kansalliset keskuspankit voivat tarjota palveluja ja EKP voi antaa asetuksia selvitys- ja maksujärjestelmien tehokkuuden ja vakauden varmistamiseksi unionissa ja suhteessa muihin maihin. Tämän lausunnon on antanut EKP:n neuvosto Euroopan keskuspankin työjärjestyksen 17.5 artiklan ensimmäisen virkkeen mukaisesti.
1. Ehdotetun direktiivin tarkoitus
1.1 |
Ehdotetulla direktiivillä pyritään varmistamaan verkko- ja tietoturvan yhteinen korkea taso parantamalla internetin sekä yhteiskunnan ja talouden toimintaa tukevien verkkojen ja tietojärjestelmien turvallisuutta. Tämä ehdotus on Euroopan unionin kyberturvallisuusstrategian (2) tärkein toimi. |
1.2 |
Verkko- ja tietojärjestelmät helpottavat olennaisella tavalla tavaroiden, palvelujen ja ihmisten liikkumista rajojen yli. Tämän ylikansallisen ulottuvuuden vuoksi häiriö yhdessä jäsenvaltiossa voi vaikuttaa myös muihin jäsenvaltioihin ja koko unioniin. Lisäksi yleisesti tapahtuvien turvapoikkeamisten todennäköisyys sekä kyvyttömyys taata tehokas suoja heikentävät yleisön luottamusta verkko- ja tietopalveluihin. Verkko- ja tietojärjestelmien sietokyky ja vakaus on sen vuoksi olennaisen tärkeää sisämarkkinoiden moitteettomalle toiminnalle. |
1.3 |
Ehdotettu direktiivi perustuu aikaisempiin lakialoitteisiin tällä alalla (3). Näin ollen ehdotetussa direktiivissä tunnustetaan tarve yhdenmukaistaa verkko- ja tietoturvan sääntöjä ja luoda toimiva mekanismi jäsenvaltioiden väliselle yhteistyölle. |
1.4 |
Ehdotetussa direktiivissä perustetaan unionin yhteinen verkko- ja tietoturvan sääntelyjärjestelmä joka koskee jäsenvaltioiden valmiutta, EU-tason yhteistyömekanismeja ja keskeisille yksityissektorin toimijoille ja julkishallinnoille asetettavia vaatimuksia. Tämän odotetaan takaavan riittävän varautumistason kansallisella tasolla ja edistävän keskinäisen luottamuksen ilmapiiriä, joka on edellytys tulokselliselle yhteistyölle EU:n tasolla. Mekanismien luominen verkoston kautta tehtävälle unionin tason yhteistyölle mahdollistaisi johdonmukaisen ja koordinoidun ennaltaehkäisyn ja reagoinnin rajat ylittävien verkko- ja tietoturvapoikkeamien ja -riskien tapauksessa. |
1.5 |
Keskeiset säännökset koskevat
|
2. Yleiset huomautukset
2.1 |
EKP kannattaa ehdotetun direktiivin tavoitetta varmistaa verkko- ja tietoturvan yhteinen korkea taso unionissa ja luoda yhteiset käytännöt eri toimialoilla ja jäsenvaltioissa. On tärkeää varmistaa, että liiketoiminta sisämarkkinoilla on turvallista ja että kaikilla jäsenvaltioilla on verkkoturvapoikkeamien varalta tietty varautumisen vähimmäistaso. |
2.2 |
EKP katso kuitenkin, että ehdotettu direktiivi ei saisi vaikuttaa eurojärjestelmän harjoittamaan maksu- ja selvitysjärjestelmien yleisvalvontaan (5), joka kattaa asianmukaiset järjestelyt mm. verkko- ja tietoturvan alalla. On todettava, että EKP:llä on erityinen intressi vahvistaa maksu- ja selvitysjärjestelmien (6) turvallisuutta maksujärjestelmien moitteettoman toiminnan edistämiseksi sekä luottamuksen säilyttämiseksi euroon ja toimivaan talouteen unionissa. |
2.3 |
Lisäksi turvallisuusvaatimusten arviointi sekä turvapoikkeaminen ilmoittaminen maksu- ja selvitysjärjestelmien ja maksupalveluntarjoajien osalta kuuluu vakautta valvovien viranomaisten ja keskuspankkien ydintehtäviin. Tästä syystä näillä viranomaisilla tulisi olla vastuu yleisvalvontavaatimusten laatimisesta kyseisillä aloilla eikä maksu- ja selvitysjärjestelmiin sekä maksupalveluntarjoajiin tulisi soveltaa näiden vaatimusten kanssa mahdollisesti ristiriidassa olevia muiden kansallisten viranomaisten asettamia vaatimuksia. Lisäksi EKP:stä ja euroon käyttöönottaneiden jäsenmaiden kansallisista keskuspankeista koostuva eurojärjestelmä vahvistaa euroalueen maksu- ja selvitysjärjestelmien ja muiden markkinainfrastruktuurien riskinhallinnan, mukaan lukien turvavaatimukset. Tämän yleisvalvontatehtävän tarkoituksena on varmistaa maksu- ja selvitysjärjestelmien moitteeton toiminta soveltamalla mm. asianmukaisia yleisvalvontastandardeja ja vähimmäisvaatimuksia. Sääntelyn yhdenmukaisuuden varmistamiseksi unionissa ehdotetussa direktiivissä olisi otettava huomioon jo voimassa oleva yleisvalvontajärjestelmä. |
3. Erityiset huomautukset
3.1 |
Ehdotetun direktiivin johdanto-osan 5 kappaleessa ja 1 artiklassa säädetään, että asiaankuuluvia velvoitteita, yhteistyömekanismeja ja turvavaatimuksia sovelletaan kaikkiin julkishallintoihin ja markkinatoimijoihin. Johdanto-osan 5 kappaleessa ja 1 artiklassa ei oteta huomioon eurojärjestelmän perussopimuksen mukaista tehtävää huolehtia maksu- ja selvitysjärjestelmien yleisvalvonnasta. Näin ollen ehdotettu direktiivi olisi muutettava siten, että siinä otetaan huomioon eurojärjestelmän tehtävät tällä alalla. |
3.2 |
Keskuspankkien ja muiden toimivaltaisten viranomaisten suorittamaa maksu- ja selvitysjärjestelmien yleisvalvontaa koskevat järjestelyt ja menettelyt on vahvistettu unionin direktiiveissä ja asetuksissa, näitä ovat erityisesti
|
3.3 |
Lisäksi EKP:n neuvosto hyväksyi 3 päivänä kesäkuuta 2013 kansainvälisen järjestelypankin maksu- ja selvitysjärjestelmäkomitean sekä kansainvälisen arvopaperimarkkinavalvojien yhteisön (IOSCO) teknisen komitean vuonna 2012 julkistamat rahoitusmarkkinainfrastruktuureja koskevat periaatteet (”Principles for Financial Market Infrastructures”) (11) käytettäviksi eurojärjestelmän suorittamassa rahoitusmarkkinoiden infrastruktuurien yleisvalvonnassa. Tätä seurasi julkinen kuuleminen ehdotuksesta asetukseksi systeemisesti merkittäviä maksujärjestelmiä koskevista yleisvalvontavaatimuksista (jäljempänä ’SIPS-asetus’) (12). SIPS-asetuksessa CPSS-IOSCO-periaatteet pannaan täytäntöön oikeudellisesti sitovalla tavalla ja asetusta sovelletaan sekä suuria maksuja välittäviin järjestelmiin sekä pieniä maksuja välittäviin systeemisesti merkittäviin järjestelmiin, siihen katsomatta onko ylläpitäjänä eurojärjestelmän kansallinen keskuspankki vai yksityiset toimijat. |
3.4 |
Maksujärjestelmien ja maksupalveluntarjoajien nykyisiin yleisvalvontajärjestelyihin (13) sisältyy jo varhaisvaroituksia (14) ja koordinoitua reagointia (15) eurojärjestelmässä ja sen ulkopuolella koskevia menettelyjä, joiden avulla käsitellään mahdollisia verkkoturvallisuusuhkia, ja nämä menettelyt vastaavat ehdotetun direktiivin 10 ja 11 artiklassa vahvistettuja menettelyjä. |
3.5 |
EKPJ on vahvistanut maksujärjestelmien raportointi- ja riskinhallintavaatimuksia koskevat standardit. Lisäksi EKP arvioi säännöllisesti selvitysjärjestelmiä sen vahvistamiseksi, kelpaavatko ne käytettäviksi eurojärjestelmän luotto-operaatioissa. Tästä syystä EKP katsoo olevan tarpeen varmistaa, että elintärkeitä markkinainfrastruktuureja ja niiden ylläpitäjiä (16) koskevat ehdotetun direktiivin vaatimukset eivät vaikuta SIPS-asetuksessa, eurojärjestelmän yleisvalvontapolitiikassa tai muissa unionin asetuksissa, erityisesti EMIR-asetuksessa ja CSD-asetuksesa, vahvistettuihin standardeihin. Lisäksi ne eivät saa vaikuttaa EPV:n tai EAMV:n ja muiden vakautta valvovien viranomaisten tehtäviin (17). |
3.6 |
Tästä huolimatta EKP katsoo olevan vahvoja perusteita relevantteja tietoja koskevalle tiedonvaihdolle eurojärjestelmän ja ehdotetun direktiivin 19 artiklan mukaisesti perustettavan verkko- ja tietoturvakomitean välillä. Jotta voidaan vastata mahdollisesti syntyvään tarpeeseen vaihtaa tietoja tehokkaasti, EKP, EPV ja EAMV olisi pyydettävä lähettämään edustajia verkko- ja tietoturvakomitean kokouksiin sellaisia esityslistalla olevia asioita varten, jotka saattavat olla relevantteja niiden tehtävien hoidossa. |
Tehty Frankfurt am Mainissa 25 päivänä heinäkuuta 2014.
EKP:n puheenjohtaja
Mario DRAGHI
(1) COM(2013) 48 final.
(2) Ks. yhteinen tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle, ”Euroopan unionin kyberturvallisuusstrategia: Avoin, turvallinen ja vakaa verkkoympäristö”, JOIN(2013) 1 final.
(3) Esim. seuraavat tiedonannot: ”Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi”, COM(2001) 298 final, ”Turvallisen tietoyhteiskunnan strategia: Lisää vuoropuhelua, yhteistyötä ja vaikutusmahdollisuuksia”, COM(2006) 251 final, ”Elintärkeiden tietoinfrastruktuurien suojaamisesta – ’Euroopan suojaaminen laajoilta tietoverkkohyökkäyksiltä ja häiriöiltä: valmiuden, turvallisuuden ja sietokyvyn parantaminen’”COM(2009) 149 final, ”Euroopan digitaalistrategia”, COM(2010) 245 final, ”Saavutukset ja seuraavat vaiheet: kohti maailmanlaajuista verkkoturvallisuutta” COM(2011) 163 final.
(4) Euroopan parlamentin ja neuvoston direktiivi 2002/21/EY, annettu 7 päivänä maaliskuuta 2002, sähköisten viestintäverkkojen ja -palvelujen yhteisestä sääntelyjärjestelmästä (EYVL L 108, 24.4.2002, s. 33).
(5) Jotkut EKPJ:n jäsenet suorittavat kansallisten lakien ja asetusten mukaisesti eurojärjestelmän toimivaltaa täydentäviä yleisvalvontatehtäviä tai joissakin tapauksissa samoja valvontatehtäviä.
(6) Tässä lausunnossa selvityksellä tarkoitetaan sekä velvoitteiden määrittämistä että toteuttamista
(7) Euroopan parlamentin ja neuvoston direktiivi 98/26/EY, annettu 19 päivänä toukokuuta 1998, selvityksen lopullisuudesta maksujärjestelmissä ja arvopaperien selvitysjärjestelmissä (EUVL L 166, 11.6.1998, s. 45).
(8) Ks. selvityksen lopullisuudesta annetun direktiivin 10 artiklan 1 kohdan kolmas alakohta.
(9) Euroopan parlamentin ja neuvoston asetus (EU) N:o 648/2012, annettu 4 päivänä heinäkuuta 2012, OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä (EUVL L 201, 27.7.2012, s. 1).
(10) COM(2012) 73 final.
(11) Saatavilla Kansainvälisen järjestelypankin verkkosivuilla https//:www.bis.org/publ/cpss94.pdf
(12) Saatavilla EKP:n verkkosivuilla http://www.ecb.europa.eu
(13) Ks. Korkean tason periaatteista pankkivalvontaviranomaisten ja keskuspankkien välisestä yhteistyöstä Euroopan unionissa kriisinhallintatilanteissa tehtyä yhteisymmärryspöytäkirjaa koskeva EKP:n lehdistötiedote (2003), saatavilla EKP:n verkkosivuilla www.ecb.europa.eu.int
(14) Ks. Turvapoikkeamien seurantaa ja raportointia koskeva suositus 3 julkaisussa ”Recommendations for the security of internet payments – final version after public consultation”, The European Forum on the Security of Retail Payment (SecuRe Pay), tammikuu 2013, saatavilla EKP:n verkkosivuilla www.ecb.europa.eu
(15) Perustuen yhteistyössä suoritettavaa kansainvälistä yleisvalvontaa koskeviin periaatteisiin, joista CPSS muistutti yleisvalvontaraportissaan vuonna 2005, eurojärjestelmän keskuspankit ovat osallistuneet yhteistyöjärjestelyihin useita kertoja, esim. SWIFTiä (the Society for Worldwide Interbank Financial Telecommunications) ja CLS:ää (Continuous Linked Settlement) koskevat yhteistyöjärjestelyt.
(16) Esim. ehdotetun direktiivin 14 artiklan 3 ja 4 kohdassa markkinatoimijoiden velvollisuus noudattaa teknisiä ja organisatorisia toimenpiteitä sekä 15 artiklan 3 kohdassa valtuus antaa sitovia ohjeita markkinatoimijoille.
(17) Ks. EKP:n lausunto (CON/2014/9) ehdotuksesta Euroopan parlamentin ja neuvoston direktiiviksi maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2013/36/EU ja 2009/110/EY muuttamisesta ja direktiivin 2007/64/EY kumoamisesta, 2.12 kohta (EUVL C 224, 15.7.2014, s. 1). Kaikki EKP:n lausunnot julkaistaan EKP:n verkkosivuilla www.ecb.europa.eu
LIITE
Muutosehdotukset
Komission ehdottama teksti |
EKP:n ehdottamat muutokset (1) |
||||||||||||||||||||||||||||||||||||||||||
Muutos 1 |
|||||||||||||||||||||||||||||||||||||||||||
Johdanto-osan 5 kappale |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Johdanto-osan 5 kappaletta olisi muutettava siten, että siinä otettaisiin huomioon maksu- ja selvitysjärjestelmien yleisvalvontaan ja sääntelyyn liittyvät EKP:n ja kansallisten keskuspankkien tehtävät. Perussopimuksen 127 artiklan 2 kohdan neljännen luetelmakohdan mukaan yksi EKPJ:n perustehtävistä on edistää maksujärjestelmien moitteetonta toimintaa. EKPJ:n perussäännön 22 artiklan mukaan EKP:llä on myös toimivalta antaa asetuksia selvitys- ja maksujärjestelmien tehokkuuden ja vakauden varmistamiseksi. Olisi myös otettava huomioon, että perussopimuksen 127 artiklan 5 kohdan mukaan EKPJ myötävaikuttaa rahoitusjärjestelmän vakauteen liittyvän politiikan moitteettomaan harjoittamiseen. Lisäksi 2 päivänä heinäkuuta 2011 julkaistun eurojärjestelmän yleisvalvontapolitiikan (2) mukaan: ”maksu- ja selvitysjärjestelmien yleisvalvonta on keskuspankkitehtävä, jossa edistetään luotettavuutta ja tehokkuutta koskevia tavoitteita valvomalla nykyisiä ja tulevia järjestelmiä ja vertaamalla niitä mainittuihin tavoitteisiin sekä sisällyttämällä muutoksia tarvittaessa.” Toisin sanoen järjestelmien luotettavuuden ja tehokkuuden varmistaminen on tärkeä edellytys eurojärjestelmän kyvylle myötävaikuttaa rahoitusvakauteen, toteuttaa rahapolitiikkaa ja säilyttää yleisön luottamus euroon. Lisäksi olisi otettava huomioon, että maksupalveluntarjoajien osalta toimivalta antaa turvapoikkeamisten hallintaan ja ilmoittamiseen liittyviä suuntaviivoja sekä turvapoikkeamia koskevien ilmoitusten välittämiseen muille viranomaisille liittyviä suuntaviivoja kuuluu kansallisille valvontaviranomaisille ja kansallisille keskuspankeille; tämä on myös linjassa ehdotetuista maksupalveludirektiivin muutoksista annettujen EKP:n huomautusten kanssa. Tässä kappaleessa tulisi myös ottaa huomioon asetuksessa (EU) N:o 1024/2013 EKPJ:lle annetut tehtävät. Direktiivi ei myöskään saa vaikuttaa perussopimuksen ja EKPJ:n perussäännön tehtäviä vastaaviin tehtäviin, joita euroalueen ulkopuoliset EKPJ:n jäsenet hoitavat kansallisten järjestelmiensä mukaisesti. |
|||||||||||||||||||||||||||||||||||||||||||
Muutos 2 |
|||||||||||||||||||||||||||||||||||||||||||
1 artiklan 4 kohta, 5 kohta (uusi) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Edellä sanotun mukaisesti EKPJ:n intressissä on maksu- ja selvitysjärjestelmien asianmukaisen toiminnan turvaaminen. Tämä johtuu maksu- ja selvitysjärjestelmien tärkeydestä rahapoliittisten operaatioiden kitkattoman toteuttamisen kannalta sekä niiden yleisestä merkityksestä rahoitusjärjestelmän vakauden varmistamisessa. Tästä syystä EKP suosittaa, että ehdotetussa direktiivissä otetaan huomioon EKPJ:n maksu- ja selvitysjärjestelmiin liittyvä rooli sekä jo voimassa olevat yleisvalvontajärjestelyt. EKPJ:llä on hyvin tehokkaat välineet näiden järjestelmien turvallisuus- ja tehokkuustason määrittelemiseksi. Tässä kohdassa olisi myös otettava asianmukaisella tavalla huomioon EKP:lle asetuksessa (EU) N:o 1024/2013 annetut tehtävät. Direktiivi ei myöskään saa vaikuttaa vastaaviin tehtäviin, joita euroalueen ulkopuoliset EKPJ:n jäsenet hoitavat kansallisten järjestelmiensä mukaisesti. |
|||||||||||||||||||||||||||||||||||||||||||
Muutos 3 |
|||||||||||||||||||||||||||||||||||||||||||
6 artiklan 1 kohta |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Perustelu EKP suosittaa 6 artiklan 1 kohdan muuttamista hyvän yhteistyön varmistamiseksi unionin tasolla. |
|||||||||||||||||||||||||||||||||||||||||||
Muutos 4 |
|||||||||||||||||||||||||||||||||||||||||||
8 artiklan 3 kohta |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Painavat syyt puoltavat tiedonvaihtoa Euroopan verkko- ja tietoturvaviraston tai ehdotetussa direktiivissä tarkoitettujen toimivaltaisten viranomaisten sekä maksupalveluntarjoajiin liittyvien turvapoikkeamien koordinoinnista vastaavan EPV:n tai EAMV:n välillä. Näin ollen EKP suosittaa muutosta tiedonvaihdon ja paremman koordinoinnin edistämiseksi unionin tasolla. |
|||||||||||||||||||||||||||||||||||||||||||
Muutos 5 |
|||||||||||||||||||||||||||||||||||||||||||
19 artiklan 1 kohta |
|||||||||||||||||||||||||||||||||||||||||||
|
EKP:tä, EPV:tä ja EAMV:tä olisi pyydettävä lähettämään edustajia verkko- ja tietoturvakomitean kokouksiin sellaisia esityslistalla olevia asioita varten, jotka saattavat olla relevantteja niiden tehtävien hoidossa.” |
||||||||||||||||||||||||||||||||||||||||||
EKP:llä on oikeutettu intressi edistää maksu- ja selvitysjärjestelmien, palvelujen ja instrumenttien turvallisuutta; tämä on tärkeä tekijä, kun pyritään säilyttämään luottamus euroon sekä unionin talouden moitteettoman toimintaan. Tästä syystä EKP suosittelee, että EKP kutsuttaisiin verkko- ja tietoturvakomitean kokouksiin. EKP:tä on joka tapauksessa perussopimuksen mukaisesti kuultava muodollisesti maksujärjestelmiin tai muihin EKP:n toimivaltaan kuuluvissa asioissa. Maksupalveluntarjoajiin liittyvissä asioissa on otettava mukaan myös EPV ja EAMV. |
(1) Lihavointi tekstissä osoittaa EKP:n lisättäväksi ehdottaman uuden tekstin. Tekstissä oleva yliviivaus osoittaa EKP:n poistettavaksi ehdottaman tekstin.
(2) Saatavilla EKP:n verkkosivuilla www.ecb.europa.eu