EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Opinia Europejskiego Banku Centralnego z dnia 25 lipca 2014 r. w sprawie projektu dyrektywy Parlamentu Europejskiego i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii (CON/2014/58)
Opinia Europejskiego Banku Centralnego z dnia 25 lipca 2014 r. w sprawie projektu dyrektywy Parlamentu Europejskiego i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii (CON/2014/58)
OJ C 352, 7.10.2014, p. 4–11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
PL |
Dziennik Urzędowy Unii Europejskiej |
C 352/4 |
OPINIA EUROPEJSKIEGO BANKU CENTRALNEGO
z dnia 25 lipca 2014 r.
w sprawie projektu dyrektywy Parlamentu Europejskiego i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii
(CON/2014/58)
2014/C 352/04
Wprowadzenie i podstawa prawna
W dniu 7 lutego 2013 Komisja Europejska opublikowała projekt dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii (1) (zwany dalej „projektem dyrektywy”).
Europejski Bank Centralny (EBC) zdecydował o wydaniu opinii z własnej inicjatywy wobec braku wniosku o wydanie takiej opinii ze strony projektodawców. Właściwość EBC do wydania opinii wynika z art 127 ust. 4 oraz art. 282 ust. 5 Traktatu o funkcjonowaniu Unii Europejskiej, biorąc pod uwagę że projekt dyrektywy zawiera postanowienia dotyczące jednego z zadań Europejskiego Systemu Banków Centralnych (ESBC), to jest popierania należytego funkcjonowania systemów płatniczych, o którym mowa w art. 127 ust. 2 Traktatu. Dodatkowo art. 22 Statutu Europejskiego Systemu Banków Centralnych i Europejskiego Banku Centralnego (zwanego dalej „Statutem ESBC”) przewiduje, że EBC i krajowe banki centralne (KBC) mogą stwarzać udogodnienia, a EBC może uchwalać rozporządzenia, w celu zapewnienia skuteczności i rzetelności systemów rozliczeń i płatności w ramach Unii i z innymi krajami. Rada Prezesów wydała niniejszą opinię zgodnie ze zdaniem pierwszym art. 17 ust. 5 Regulaminu Europejskiego Banku Centralnego.
1. Cel projektu dyrektywy
1.1. |
Celem projektu dyrektywy jest zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji poprzez zwiększenie bezpieczeństwa internetu oraz sieci i systemów informatycznych stanowiących podstawę funkcjonowania naszego społeczeństwa i gospodarki. Projekt ten stanowi realizację głównego działania przewidzianego w europejskiej strategii bezpieczeństwa cybernetycznego (2). |
1.2. |
Sieci i systemy informatyczne odgrywają istotną rolę w ułatwianiu transgranicznego przepływu towarów, usług i osób. Ze względu na ten nieunikniony wymiar ponadnarodowy zakłócenia w jednym państwie członkowskim mogą mieć również wpływ na inne państwa członkowskie oraz na Unię jako całość. Dodatkowo prawdopodobieństwo częstego występowania incydentów i niemożność zapewnienia skutecznej ochrony zmniejszają społeczne zaufanie do bezpieczeństwa sieci i informacji. Odporność i stabilność sieci i systemów informatycznych mają zatem zasadnicze znaczenie dla zapewnienia sprawnego funkcjonowania rynku wewnętrznego. |
1.3. |
Projekt dyrektywy opiera się na dotychczasowych inicjatywach w tej dziedzinie (3). W odniesieniu do powyższego, w projekcie dyrektywy dostrzeżono potrzebę harmonizacji zasad dotyczących bezpieczeństwa sieci i informacji oraz stworzenia efektywnych mechanizmów współpracy między państwami członkowskimi. |
1.4. |
Projekt dyrektywy ustanawia wspólne unijne ramy prawne w zakresie bezpieczeństwa sieci i informacji w odniesieniu do zdolności państw członkowskich, mechanizmów współpracy na poziomie unijnym oraz wymogów dotyczących organów administracji publicznej i podmiotów prywatnych w określonych najważniejszych sektorach. Powinno to zapewnić odpowiednie przygotowanie na poziomie krajowym i przyczynić się do wytworzenia klimatu wzajemnego zaufania, co jest niezbędnym warunkiem skutecznej współpracy na poziomie Unii. Ustanowienie mechanizmów współpracy na poziomie Unii za pośrednictwem odpowiedniej sieci umożliwi zapobieganie transgranicznym incydentom i zagrożeniom w zakresie bezpieczeństwa sieci i informacji oraz reagowanie na nie w spójny i skoordynowany sposób. |
1.5. |
Najważniejsze postanowienia projektu dyrektywy dotyczą:
|
2. Uwagi ogólne
2.1. |
EBC popiera cel projektu dyrektywy, jakim jest zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii oraz zapewnienie spójności działań w tym zakresie pomiędzy sektorami gospodarki oraz państwami członkowskimi. Ważne jest zapewnienie, aby rynek wewnętrzny był bezpiecznym miejscem prowadzenia działalności gospodarczej, a państwa członkowskie miały określony minimalny poziom gotowości do reakcji na wypadek incydentów związanych z bezpieczeństwem cybernetycznym. |
2.2. |
EBC uważa jednak, że projekt dyrektywy nie powinien naruszać istniejących rozwiązań w zakresie nadzoru sprawowanego przez Eurosystem nad systemami płatności i rozrachunku (5), który obejmuje stosowne rozwiązania m.in. w zakresie bezpieczeństwa sieci i informacji. Należy zaznaczyć, że EBC jest szczególnie zainteresowany poprawą funkcjonalności systemów płatności i rozrachunku (6) w celu poprawy należytego funkcjonowania systemów płatności oraz wspierania utrzymania zaufania do euro i funkcjonowania gospodarki w Unii. |
2.3. |
Dodatkowo ocena rozwiązań w zakresie bezpieczeństwa oraz zgłaszanie incydentów dotyczących systemów płatności i rozrachunku oraz dostawców usług płatniczych jest jednym z podstawowych zadań nadzoru ostrożnościowego i banków centralnych. Odpowiedzialność za rozwijanie wymogów nadzorczych w powyższych obszarach powinna w związku z tym nadal spoczywać na tych podmiotach, a systemy płatności i rozrachunku oraz dostawcy usług płatniczych nie powinni być objęci potencjalnie sprzecznymi wymogami nałożonymi przez inne władze krajowe. Co więcej, zarządzanie ryzykiem, w tym wymogi bezpieczeństwa dotyczące systemów płatności i rozrachunku oraz innych infrastruktur rynku w strefie euro, prowadzone jest przez Eurosystem, składający się z EBC oraz KBC z państw członkowskich, które przyjęły euro. Poprzez tę funkcję nadzorczą Eurosystem dąży do zapewnienia należytego funkcjonowania systemów płatności i rozrachunku, stosując m.in. właściwe standardy nadzorcze i wymogi minimalne. Projekt dyrektywy powinien uwzględniać obowiązujące obecnie rozwiązania nadzorcze i zapewnić spójność regulacyjną na terenie Unii. |
3. Uwagi szczegółowe
3.1. |
Zgodnie z motywem 5 oraz art. 1 projektu dyrektywy stosowne obowiązki, mechanizm współpracy oraz wymogi w zakresie bezpieczeństwa mają zastosowanie do wszystkich organów administracji publicznej i podmiotów gospodarczych. Obecne brzmienie motywu 5 oraz art. 1 nie uwzględnia przewidzianej w Traktacie właściwości Eurosystemu do sprawowania nadzoru nad systemami płatności i rozrachunku. Projekt dyrektywy powinien zatem zostać zmieniony, aby we właściwy sposób uwzględniał zadania Eurosystemu w tej dziedzinie. |
3.2. |
Przewidziane w stosunku do banków centralnych oraz innych właściwych organów rozwiązania i procedury w zakresie nadzoru nad systemami płatności i rozrachunku papierów wartościowych zawarte są w szeregu dyrektyw i rozporządzeń unijnych, do których należą w szczególności:
|
3.3. |
Należy również zauważyć, że dnia 3 czerwca 2013 r. Rada Prezesów EBC przyjęła zasady dotyczące infrastruktury rynku finansowego wydane w kwietniu 2012 r. przez Komitet ds. Systemów Płatności i Rozrachunku (CPSS) Banku Rozrachunków Międzynarodowych i Komitet Techniczny Międzynarodowej Organizacji Komisji Papierów Wartościowych (IOSCO) (11) w zakresie sprawowania przez Eurosystem nadzoru nad różnymi rodzajami infrastruktury rynków finansowych. Następnym etapem były konsultacje społeczne dotyczące projektu rozporządzenia w sprawie wymogów nadzorczych w odniesieniu do systemów płatności o znaczeniu systemowym (zwanego dalej „rozporządzeniem SIPS”) (12). Rozporządzenie SIPS wdraża zasady określone przez CPSS i IOSCO w sposób prawnie wiążący oraz obejmuje zarówno wysokokwotowe, jak i detaliczne systemy płatności o znaczeniu systemowym prowadzone przez KBC Eurosystemu lub podmioty prywatne. |
3.4. |
Obecne rozwiązania nadzorcze (13) w odniesieniu do systemów płatności oraz dostawców usług płatniczych zawierają już procedury wczesnego ostrzegania (14) oraz skoordynowanych reakcji (15) wewnątrz Eurosystemu i poza nim na potrzeby przeciwdziałania możliwym zagrożeniom cybernetycznym, które to procedury odpowiadają przewidzianym w art. 10 i 11 projektu dyrektywy. |
3.5. |
ESBC wprowadził standardy dotyczące sprawozdawczości oraz obowiązki w zakresie zarządzania ryzykiem w odniesieniu do systemów płatniczych. Dodatkowo EBC dokonuje regularnej oceny systemów rozrachunku papierów wartościowych w celu określenia możliwości wykorzystania ich na potrzeby operacji kredytowych Eurosystemu. W związku z tym EBC uważa za konieczne, aby zawarte w projekcie dyrektywy wymogi odnoszące się do najważniejszych infrastruktur rynku oraz podmiotów, które nimi zarządzają (16) nie były sprzeczne ze standardami przewidzianymi w rozporządzeniu SIPS, zasadami nadzorczymi Eurosystemu, ani innymi przepisami unijnymi, w szczególności rozporządzeniem EMIR oraz przyszłym rozporządzeniem CDPW. Co więcej, wymogi te nie powinny kolidować z zadaniami EBA, ESMA oraz innych nadzorców ostrożnościowych (17). |
3.6. |
Z zastrzeżeniem powyższego EBC jest zdania, że istnieje wyraźna potrzeba ustalenia zasad wymiany informacji pomiędzy Eurosystemem a Komitetem ds. Bezpieczeństwa Sieci i Informacji, stosownie do art. 19 projektu dyrektywy. Na potrzeby efektywnej wymiany informacji, która może okazać się konieczna, EBC, EBA i ESMA powinny zostać zaproszone do oddelegowania przedstawiciela na spotkania Komitetu ds. Bezpieczeństwa Sieci i Informacji w sprawach, które mogłyby mieć znaczenie dla sprawowania powierzonych im zadań. |
Sporządzono we Frankfurcie nad Menem dnia 25 lipca 2014 r.
Mario DRAGHI
Prezes Ebc
(1) COM(2013) 48 final.
(2) Zob. wspólny komunikat skierowany do Parlamentu Europejskiego, Rady, Komitetu Ekonomiczno-Społecznego i Komitetu Regionów, „Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń”, JOIN(2013) 1 final.
(3) Odnoszą się do tego w szczególności następujące komunikaty: komunikat pt. „Network and Information Security: Proposal for a European Policy Approach” COM(2001) 298 final; „Strategia na rzecz bezpiecznego społeczeństwa informacyjnego – »Dialog, partnerstwo i przejmowanie inicjatywy«” COM(2006) 251 final; „Ochrona krytycznej infrastruktury informatycznej – »Ochrona Europy przed zakrojonymi na szeroką skalę atakami i zakłóceniami cybernetycznymi: zwiększenie gotowości, bezpieczeństwa i odporności«” COM(2009) 149 final; „Europejska agenda cyfrowa” COM(2010) 245 final oraz „Ochrona krytycznej infrastruktury teleinformatycznej »Osiągnięcia i dalsze działania na rzecz globalnego bezpieczeństwa cyberprzestrzeni«” COM(2011) 163 final.
(4) Dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (Dz.U. L 108 z 24.4.2002, s. 33).
(5) Funkcje nadzorcze części członków ESBC sprawowane są na podstawie prawa krajowego, które uzupełnia, a w niektórych przypadkach powiela kompetencje Eurosystemu.
(6) Termin „rozrachunek” użyty w tekście niniejszej opinii obejmuje również funkcję rozliczeniową.
(7) Dyrektywa 98/26/WE Parlamentu Europejskiego i Rady z dnia 19 maja 1998 r. w sprawie zamknięcia rozliczeń w systemach płatności i rozrachunku papierów wartościowych (Dz.U. L 166 z 11.6.1998, s. 45).
(8) Zob. art. 10 ust. 1 pkt 3 dyrektywy o ostateczności rozrachunku.
(9) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1).
(10) COM(2012) 73 final.
(11) Dokument dostępny na stronie internetowej Banku Rozrachunków Międzynarodowych pod adresem https://www.bis.org/publ/cpss94.pdf
(12) Dokument dostępny na stronie internetowej EBC pod adresem http://www.ecb.europa.eu
(13) Zob. komunikat prasowy EBC w sprawie protokołu ustaleń dotyczącego zasad ogólnych współpracy pomiędzy nadzorcami bankowymi a bankami centralnymi Unii Europejskiej w sytuacjach zarządzania kryzysowego (2003), dostępny na stronie internetowej EBC pod adresem www.ecb.europa.eu
(14) Zob. zalecenie nr 3 dotyczące monitorowania i zgłaszania incydentów w dokumencie „Recommendations for the security of internet payments-final version after public consultation”, Europejskie Forum ds. Bezpieczeństwa Płatności Detalicznych (forum SecurePay), styczeń 2013, dostępnym na stronie internetowej EBC pod adresem www.ecb.europa.eu
(15) Mając na uwadze zasady międzynarodowego nadzoru opartego na współpracy, do których odnosi się raport nadzorczy CPSS z 2005 r., banki centralne Eurosystemu wielokrotnie z powodzeniem uczestniczyły we wspólnych przedsięwzięciach, czego przykładem są rozwiązania nadzorcze dla SWIFT (Stowarzyszenia Międzynarodowej Teletransmisji Danych Finansowych) oraz na rzecz systemu rozrachunku ciągłego (CLS).
(16) Przykładowo wymóg, aby podmioty gospodarcze przestrzegały środków technicznych i organizacyjnych przewidzianych w art. 14 ust. 3 i 4 oraz uprawnienie do wydawania wiążących instrukcji wobec tych podmiotów przewidziane w art. 15 ust. 3 projektu dyrektywy.
(17) Zob. pkt 2.12 opinii CON/2014/9 w sprawie projektu dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego oraz zmieniającej dyrektywy 2002/65/WE, 2013/36/UE i 2009/110/WE i uchylającej dyrektywę 2007/64/WE (Dz.U. C 224 z 15.7.2014, s. 1). Opinie EBC są publikowane na stronie internetowej EBC pod adresem www.ecb.europa.eu
ZAŁĄCZNIK
Propozycje zmian
Tekst proponowany przez Komisję |
Zmiany proponowane przez EBC (1) |
||||||||||||||||||||||||||||||||||||||||||
Zmiana nr 1 |
|||||||||||||||||||||||||||||||||||||||||||
Motyw 5 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Motyw 5 powinien zostać zmieniony, aby uwzględniał zadania EBC oraz KBC w zakresie nadzoru nad systemami płatności i rozrachunku oraz w zakresie regulacji działalności tych systemów. Na podstawie art. 127 ust. 2 tiret 4 Traktatu jednym z zadań ESBC jest popierania należytego funkcjonowania systemów płatniczych. Również art. 22 Statutu ESBC nadaje EBC uprawnienia do przyjmowania rozporządzeń w celu zapewnienia skuteczności i rzetelności systemów rozliczeń i płatności. Na podstawie art. 127 ust. 5 Traktatu ESBC przyczynia się do należytego wykonywania polityk w odniesieniu do stabilności systemu finansowego. Dodatkowo, stosownie do dokumentu „Eurosystem’s Oversight Policy Framework” z lipca 2011 r. (2) , „nadzór nad systemami płatności i rozrachunku sprawowany jest przez bank centralny a cele dotyczące bezpieczeństwa i efektywności wspierane są przez monitorowanie istniejących i planowanych systemów, poprzez ich ocenę w stosunku do tych celów oraz wprowadzanie zmian tam, gdzie będzie to niezbędne”. Innymi słowy, zapewnienie bezpieczeństwa i efektywności systemów jest ważnym warunkiem wstępnym przyczyniania się przez Eurosystem do utrzymania stabilności finansowej, prowadzenia polityki pieniężnej oraz utrzymania zaufania do euro. Dodatkowo, zgodnie z uwagami EBC zgłoszonymi na potrzeby rewizji dyrektywy o usługach płatniczych, należy zauważyć, że nadzorcy krajowi oraz banki centralne są organami właściwymi na potrzeby wydawania wytycznych, zarządzania incydentami oraz zgłaszania incydentów do dostawców usług płatniczych, jak również do wydawania wytycznych dotyczących wymiany informacji w zakresie powiadomień o incydentach pomiędzy właściwymi władzami. Niniejszy motyw powinien również uwzględniać zadania powierzone EBC na podstawie rozporządzenia (UE) nr 1024/2013. Wreszcie, jeżeli na podstawie przepisów krajowych członkowie ESBC spoza strefy euro wykonują funkcje odpowiadające zadaniom zawartym w Traktacie oraz Statucie ESBC, funkcje te również nie powinny być naruszane przez postanowienia projektu dyrektywy. |
|||||||||||||||||||||||||||||||||||||||||||
Zmiana nr 2 |
|||||||||||||||||||||||||||||||||||||||||||
Artykuł 1 ust. 4 i 5 (dodany) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Jak wskazano powyżej, w interesie ESBC pozostaje prawidłowe funkcjonowanie systemów płatności i rozrachunku. Wynika to z wagi systemów płatności, rozliczeń i rozrachunku dla należytego funkcjonowania operacji polityki pieniężnej oraz z roli, jaką odgrywają one w zapewnieniu ogólnej stabilności systemu finansowego. Dlatego też EBC zaleca, aby projekt dyrektywy uwzględnił rolę ESBC w odniesieniu do systemów płatności i rozrachunku oraz obowiązujące już rozwiązania nadzorcze. ESBC posiada wysoce efektywne narzędzia oceny poziomu bezpieczeństwa i efektywności tych systemów. Niniejszy motyw powinien również uwzględniać zadania powierzone EBC na podstawie rozporządzenia (UE) nr 1024/2013. Projekt dyrektywy powinien również pozostać bez uszczerbku dla równoważnych zadań wykonywanych przez członków ESBC na podstawie ich przepisów krajowych. |
|||||||||||||||||||||||||||||||||||||||||||
Zmiana nr 3 |
|||||||||||||||||||||||||||||||||||||||||||
Artykuł 6 ust. 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Uzasadnienie EBC zaleca zmianę art. 6 ust. 1 w celu zapewnienia właściwego poziomu współpracy na poziomie unijnym. |
|||||||||||||||||||||||||||||||||||||||||||
Zmiana nr 4 |
|||||||||||||||||||||||||||||||||||||||||||
Artykuł 8 ust. 3 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Istnieje wyraźna potrzeba wymiany informacji pomiędzy Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji lub organami właściwymi na podstawie projektu dyrektywy a EBA lub ESMA jako organami właściwymi do koordynowania działań podejmowanych w odpowiedzi na incydenty związane z dostawcami usług płatniczych. W związku z powyższym EBC proponuje niniejszą zmianę mając na uwadze wspieranie wymiany informacji oraz lepszą koordynację na poziomie Unii. |
|||||||||||||||||||||||||||||||||||||||||||
Zmiana nr 5 |
|||||||||||||||||||||||||||||||||||||||||||
Artykuł 19 ust. 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
EBC, EBA i ESMA mają prawo delegowania przedstawicieli na spotkania Komitetu ds. Bezpieczeństwa Sieci i Informacji w sprawach, które mogą mieć wpływ na wykonywanie przez nich odpowiednich zadań EBC, EBA lub ESMA.” |
||||||||||||||||||||||||||||||||||||||||||
EBC jest szczególnie zainteresowany wspieraniem bezpieczeństwa systemów płatności i rozrachunku oraz usług i instrumentów związanych z tymi systemami jako ważnego składnika utrzymywania zaufania do wspólnej waluty i sprawnego funkcjonowania gospodarki w Unii. EBC zaleca w tym zakresie umożliwienie jego przedstawicielom udziału w spotkaniach Komitetu ds. Bezpieczeństwa Sieci i Informacji. W każdym przypadku należy na podstawie Traktatu zasięgnąć formalnej opinii EBC w zakresie środków odnoszących się do systemów płatności lub jakichkolwiek innych kwestii będących w zakresie właściwości EBC. W sprawach dotyczących dostawców usług płatniczych udział powinny brać również EBA i ESMA. |
(1) Pogrubienia użyte w tekście wskazują na fragmenty, gdzie EBC proponuje dodanie określonych sformułowań. Przekreślenie w tekście wskazuje na fragmenty, gdzie EBC proponuje usunięcie określonych sformułowań.
(2) Dokument dostępny na stronie internetowej EBC pod adresem http://www.ecb.europa.eu