EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Parere della Banca centrale europea, del 25 luglio 2014 , relativa a una proposta di direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

IT

Gazzetta ufficiale dell'Unione europea

C 352/4


PARERE DELLA BANCA CENTRALE EUROPEA

del 25 luglio 2014

relativa a una proposta di direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione

(CON/2014/58)

2014/C 352/04

Introduzione e base giuridica

Il 7 febbraio 2013 la Commissione europea ha pubblicato una proposta di direttiva recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione (1) (di seguito la «proposta di direttiva»).

La Banca centrale europea (BCE), in assenza di una formale consultazione da parte dei legislatori, ha deciso di formulare di propria iniziativa un parere sulla proposta di direttiva. La BCE è competente a formulare un parere in virtù degli articoli 127, paragrafo 4, e 282, paragrafo 5, del Trattato sul funzionamento dell’Unione europea in quanto la proposta di regolamento contiene disposizioni che incidono sul compito del Sistema europeo di banche centrali (SEBC) di promuovere il regolare funzionamento dei sistemi di pagamento di cui all’articolo 127, paragrafo 2, del Trattato. Inoltre, l'articolo 22 dello Statuto del Sistema europeo di banche centrali e della Banca centrale europea (di seguito, lo «Statuto della Banca centrale europea») dispone che la BCE e le banche centrali nazionali (BCN) possano accordare facilitazioni e che la BCE possa stabilire regolamenti al fine di assicurare sistemi di compensazione efficienti e affidabili all'interno dell'Unione. In conformità al primo periodo dell'articolo 17.5 del regolamento interno della Banca centrale europea, il Consiglio direttivo ha adottato il presente parere.

1.   Scopo della proposta di direttiva

1.1

La proposta di direttiva mira ad assicurare un livello comune elevato di sicurezza delle reti e delle informazioni (SRI) migliorando la sicurezza di internet e delle reti e dell'informazione che sostengono la nostra società e l'economia. La presente proposta costituisce la misura principale della strategia europea per la cibersicurezza (2).

1.2

I sistemi informativi e le reti svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale intrinseca, un’eventuale perturbazione in uno Stato membro può ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l’UE. Inoltre, la probabilità e la frequenza degli incidenti e l’incapacità di garantire una protezione sufficiente compromettono la fiducia del pubblico nella SRI. La resilienza e la stabilità della SRI sono quindi essenziali per l'armonioso funzionamento del mercato interno.

1.3

La proposta di direttiva si basa su precedenti iniziative in questo settore. In questo contesto, la proposta di direttiva riconosce la necessità di armonizzare le regole in materia di SRI e di creare meccanismi di cooperazione efficaci tra gli Stati membri (3).

1.4

La proposta di direttiva istituisce un quadro giuridico comune nell'Unione per la SRI relativo alle capacità degli Stati membri, ai meccanismi per la collaborazione a livello dell’Unione e agli obblighi di pubbliche amministrazioni e soggetti del settore privato in specifici settori critici. Ciò dovrebbe garantire un adeguato livello di preparazione a livello nazionale e contribuire a creare quel clima di fiducia reciproca che costituisce un prerequisito per l'effettiva collaborazione a livello dell'UE. La creazione di un meccanismo di cooperazione in rete a livello dell'UE costituirà lo strumento per prevenire e reagire in maniera coerente e coordinata agli incidenti e ai rischi transfrontalieri relativi alla SRI.

1.5

Le principali disposizioni riguardano:

a)

l'obbligo per tutti gli Stati membri di disporre di capacità minime a livello nazionale, attraverso la nomina di autorità competenti per la SRI, la creazione di squadre di pronto intervento informatico (Computer Emergency Response Teams, CERT), e l'adozione di strategie e piani nazionali di collaborazione in materia di SRI;

b)

lo scambio di informazioni in rete obbligatorio tra Stati membri, nonché la creazione di un piano paneuropeo di collaborazione in materia di SRI e preallarmi coordinati relativi a incidenti in materia di cibersicurezza;

c)

rifacendosi al modello della direttiva 2002/21/CE del Parlamento europeo e del Consiglio (4), la garanzia che si sviluppi una cultura della gestione dei rischi e dello scambio di informazioni tra i settori pubblico e privato. Alle imprese attive nei settori critici specifici e alle pubbliche amministrazioni sarà chiesto di valutare i rischi che corrono e di adottare misure adeguate e proporzionate per garantire la SRI. Questi soggetti dovranno altresì segnalare alle autorità competenti gli incidenti che compromettano gravemente le loro reti e sistemi informativi e aventi un impatto significativo sulla continuità di servizi critici e sulla fornitura di beni.

2.   Osservazioni di carattere generale

2.1

La BCE appoggia le finalità della proposta di direttiva di assicurare un livello comune elevato di SRI nell'Unione e di adottare in questa materia un approccio coerente nei diversi settori economici e negli Stati membri. È importante garantire che il mercato interno costituisca un luogo sicuro dove fare affari e che tutti gli Stati membri dispongano di un minimo livello di preparazione in caso di incidenti in materia di cibersicurezza.

2.2

Tuttavia, la BCE ritiene che la proposta di direttiva dovrebbe far salvo il regime esistente per la sorveglianza dell'Eurosistema sui sistemi di pagamento e di regolamento (5), che include meccanismi adeguati, tra l'altro, nel settore della SRI. È opportuno rilevare che la BCE è particolarmente interessata ad aumentare la sicurezza dei sistemi di pagamento e di regolamento (6) al fine di promuovere il regolare funzionamento dei sistemi di pagamento e contribuire a mantenere la fiducia nell'euro e nel funzionamento dell'economia nell'Unione.

2.3

Inoltre la valutazione dei meccanismi di sicurezza e delle notifiche di incidente per i sistemi di pagamento e regolamento e per i prestatori di servizi di pagamento (PSP) è una delle competenze chiave delle autorità incaricate della vigilanza prudenziale e delle banche centrali. L’elaborazione dei requisiti di sorveglianza nei settori summenzionati dovrebbe rimanere di competenza di tali autorità e sarebbe opportuno evitare che le altre autorità nazionali impongano ai sistemi di pagamento e di regolamento e ai PSP obblighi potenzialmente confliggenti. Inoltre, la gestione del rischio, compresi i requisiti di sicurezza relativi ai sistemi di pagamento e regolamento e ad altre infrastrutture di mercato nell'area dell'euro, è regolata dall'Eurosistema che comprende la BCE e le BCN degli Stati membri che hanno adottato l'euro. Per mezzo di tale funzione di sorveglianza l'Eurosistema punta a garantire il regolare funzionamento dei sistemi di pagamento e di regolamento mediante l'applicazione, tra l'altro, di standard di sorveglianza adeguati e requisiti minimi. La proposta di direttiva dovrebbe tenere conto del quadro di sorveglianza attualmente operante e garantire la coerenza della regolamentazione nell'UE.

3.   Osservazioni specifiche

3.1

Il considerando 5 e l'articolo 1 della proposta di direttiva dispongono che i relativi obblighi, i meccanismi di cooperazione e i requisiti di sicurezza si applicheranno a tutte le pubbliche amministrazioni e operatori di mercato. L'attuale formulazione del considerando 5 e dell'articolo 1 non tiene conto del mandato conferito all’Eurosistema, sancito dal Trattato, di sorvegliare i sistemi di pagamento e regolamento. La proposta di direttiva dovrebbe pertanto essere modificata al fine di rispecchiare adeguatamente i compiti dell'Eurosistema in questo campo.

3.2

I meccanismi e le procedure con le quali le banche centrali e le altre autorità competenti esercitano la sorveglianza sui sistemi di pagamento e di regolamento titoli sono contenuti in una serie di direttive e regolamenti dell’Unione tra cui, in particolare:

a)

la direttiva 98/26/CE del Parlamento europeo e del Consiglio (di seguito la «direttiva sul carattere definitivo del regolamento») (7) che consente alle autorità competenti degli Stati membri di sottoporre a meccanismi di sorveglianza i sistemi di pagamento e di regolamento soggetti alla loro giurisdizione (8);

b)

il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio (9) (di seguito il «regolamento sulle infrastrutture del mercato europeo [European Market Infrastructure Regulation, EMIR]») che riconosce i ruoli dell'Autorità europea degli strumenti finanziari e dei mercati (AESFEM), dell'Autorità bancaria europea (ABE) e del SEBC nella fissazione di standard di regolamentazione e nella sorveglianza delle controparti centrali; e

c)

la proposta di regolamento relativo al miglioramento del regolamento titoli nell'Unione europea e ai depositari centrali di titoli (central securities depositories, CSD) e recante modifica della direttiva 98/26/CE (10) (di seguito il «regolamento sui depositari centrali [central securities depositories regulation, CSDR]»), che impone di conferire alle autorità competenti poteri di vigilanza e di indagine e in particolare l'articolo 45 di detto regolamento che introduce requisiti prudenziali per i CSD, ivi incluse importanti disposizioni sull'attenuazione del rischio operativo.

3.3

Inoltre, è opportuno osservare che, il 3 giugno 2013 il Consiglio direttivo della BCE ha adottato i Principles for financial market infrastructures (principi per le infrastrutture dei mercati finanziari), introdotti nell'aprile 2012 dal Comitato sui sistemi di pagamento e di regolamento (Committee on Payment and Settlement Systems, CPSS) della Banca dei regolamenti internazionali e dal Comitato tecnico dell’Organizzazione internazionale delle commissioni dei valori immobiliari (International Organization of Securities Commissions, IOSCO) (11), per l'esercizio della sorveglianza da parte dell'Eurosistema in relazione a tutti i tipi di infrastrutture dei mercati finanziari. A ciò ha fatto seguito una consultazione pubblica relativa a un progetto di regolamento sugli obblighi di sorveglianza relativi a sistemi di pagamento di importanza sistemica (di seguito, il «regolamento sugli SPIS») (12). Il regolamento sugli SPIS dà attuazione ai principi CPSS-IOSCO attribuendogli efficacia vincolante e riguarda i sistemi di pagamento di pagamento di importanza sistemica sia di importo rilevante sia al dettaglio, gestiti da BCN dell'Eurosistema o da soggetti privati.

3.4

I meccanismi di sorveglianza sui sistemi di pagamento e PSP attualmente operanti (13) già includono procedure di preallarme (14) e risposte coordinate (15) dentro e fuori l'Eurosistema per fronteggiare possibili minacce alla cibersicurezza, equivalenti a quelle stabilite agli articoli 10 e 11 della proposta di direttiva.

3.5

Il SEBC ha dettato norme relative a obblighi di segnalazione e di gestione del rischio per i sistemi di pagamento. Inoltre la BCE sottopone periodicamente a verifica i sistemi di regolamento titoli al fine di stabilirne l'idoneità all'uso nelle operazioni di finanziamento dell'Eurosistema. Pertanto la BCE ritiene necessario che i requisiti previsti dalla proposta di direttiva riguardanti infrastrutture di mercato di importanza critica e i rispettivi gestori (16) non pregiudichino gli standard di cui al regolamento sugli SPIS, il quadro di riferimento per le politiche di sorveglianza dell’Eurosistema e in particolare l'EMIR e il futuro CSDR. Inoltre essi non dovrebbero interferire con i compiti dell'ABE e dell'AESFEM e di altre autorità incaricate della vigilanza prudenziale (17).

3.6

A prescindere dalle considerazioni di cui sopra, la BCE ritiene che vi siano validi argomenti affinché l'Eurosistema scambi le informazioni con il Comitato per la SRI istituto ai sensi dell'articolo 19 della proposta di direttiva. Ai fini di un efficace scambio di informazioni, che potrebbe rendersi necessario, la BCE, l'ABE e l'AESFEM dovrebbero essere invitate a inviare rappresentati alle riunioni del Comitato per SRI per argomenti all'ordine del giorno che possano essere d'interesse per l'assolvimento dei rispettivi compiti.

Fatto a Francoforte sul Meno, il 25 luglio 2014

Il Presidente della BCE

Mario DRAGHI


(1)  COM(2013) 48 final.

(2)  Cfr. la Comunicazione congiunta al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni «Strategia dell'Unione europea per la cibersicurezza: un ciberspazio aperto e sicuro», JOIN(2013) 1 final.

(3)  Tali meccanismi includono le seguenti comunicazioni: Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo COM(2001) 298 final; Una strategia per una società dell'informazione sicura: dialogo partnerariato e responsabilizzazione COM(2006) 251 final; Proteggere le infrastrutture critiche informatizzate «Rafforzare la preparazione, la sicurezza e la resilienza per proteggere l’Europa dai ciberattacchi e dalle ciberperturbazioni» COM(2009) 149 final; Un’agenda digitale europea COM(2010) 245 final; e Protezione delle infrastrutture critiche informatizzate (CIIP) «Realizzazioni e prossime tappe: verso una sicurezza informatica mondiale» COM(2011) 163 final.

(4)  Direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, concernente il carattere definitivo del regolamento nei sistemi di pagamento e nei sistemi di regolamento titoli (GU L 108 del 24.4.2002, pag. 33).

(5)  Le funzioni di sorveglianza di alcuni membri del SEBC sono svolte sulla base di leggi e regolamenti nazionali, che integrano, e in alcuni casi si sovrappongono alla competenza dell'Eurosistema.

(6)  Il termine «regolamento», per come utilizzato nel presente parere, include la funzione di compensazione.

(7)  Direttiva 98/26/CE del Parlamento europeo e del Consiglio, del 19 maggio 1998, concernente il carattere definitivo del regolamento nei sistemi di pagamento e nei sistemi di regolamento titoli (GU L 166 dell’11.6.1998, pag. 45).

(8)  Cfr. il terzo comma dell'articolo 10, paragrafo 1, della direttiva sul carattere definitivo del regolamento.

(9)  Regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio, del 4 luglio 2012, sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU L 201 del 27.7.2012, pag. 1).

(10)  COM(2012) 73 final.

(11)  Disponibile sul sito internet della Banca dei regolamenti internazionali all’indirizzo: https://www.bis.org/publ/cpss94.pdf

(12)  Disponibile sul sito della BCE all’indirizzo http://www.ecb.europa.eu

(13)  Si veda il Comunicato stampa della BCE relativo in particolare, al Memorandum of Understanding on high-level principles of co-operation between the banking supervisors and central banks of the European Union in crisis management situations (protocollo d'intesa sui principi superiori di cooperazione tra le autorità bancarie di vigilanza e le banche centrali dell'Unione europea in situazioni di gestione delle crisi, di seguito il protocollo d'intesa) (2003) disponibile sul sito della BCE all'indirizzo www.ecb.europa.eu

(14)  Si veda la Recommendation 3: incident monitoring and reporting in Recommendations for the security of internet payments-final version after public consultation, ad opera del consesso europeo sulla sicurezza dei pagamenti al dettaglio (European Forum on the Security of Retail Payments [SecuRe Pay]), del gennaio 2013 disponibili sul sito Internet della BCE www.ecb.europa.eu

(15)  Sulla base dei principi per la sorveglianza cooperativa internazionale, ribaditi dal rapporto sulla sorveglianza del CPSS del 2005, in diversi casi le banche centrali dell'Eurosistema hanno partecipato con successo ad accordi di sorveglianza cooperativa, come nel quadro degli accordi per la sorveglianza su SWIFT (Society for Worldwide Interbank Financial Telecommunications) e CLS (Continuous Linked Settlement).

(16)  Ad esempio, l'obbligo degli operatori di mercato di ottemperare alle misure tecniche e organizzative di cui agli articoli 14, paragrafi 3 e 4, e il potere di impartire istruzioni vincolanti nei confronti di operatori di mercato di cui all'articolo 15, paragrafo 3 della proposta di direttiva.

(17)  Si veda il paragrafo 2.12 del parere CON/2014/9 su una proposta di direttiva del Parlamento europeo e del Consiglio relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 2002/65/CE, 2013/36/UE e 2009/110/CE e che abroga la direttiva 2007/64/CE (GU C 224 del 15.7.2014, pag. 1). Tutti i pareri della BCE sono pubblicati sul sito internet della BCE all’indirizzo www.ecb.europa.eu


ALLEGATO

Proposte di formulazione

Testo proposto dalla Commissione

Modifiche proposte dalla BCE (1)

Modifica 1

Considerando 5

«(5)

È necessario che la presente direttiva si applichi a tutte le reti e a tutti i sistemi informativi in modo da coprire tutti i relativi rischi ed incidenti. È opportuno tuttavia che gli obblighi fatti alle pubbliche amministrazioni e agli operatori del mercato non si applichino alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, ai sensi della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (direttiva quadro) (2), perché tali imprese sono soggette a specifici obblighi di sicurezza e integrità previsti dall’articolo 13 bis di detta direttiva; i suddetti obblighi non devono inoltre applicarsi ai prestatori di servizi fiduciari.»

«(5)

È necessario che la presente direttiva si applichi a tutte le reti e a tutti i sistemi informativi in modo da coprire tutti i relativi rischi ed incidenti. È opportuno tuttavia che gli obblighi fatti alle pubbliche amministrazioni e agli operatori del mercato non si applichino alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, ai sensi della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (direttiva quadro) (2), perché tali imprese sono soggette a specifici obblighi di sicurezza e integrità previsti dall’articolo 13 bis di detta direttiva; i suddetti obblighi non devono inoltre applicarsi ai prestatori di servizi fiduciari. Inoltre, a prescindere dalla sua applicazione a pubbliche amministrazioni e operatori di mercato, la presente direttiva non incide su compiti e doveri conferiti al Sistema europeo di banche centrali (SEBC) dal Trattato e dallo Statuto del Sistema europeo di banche centrali e della Banca centrale europea, né su funzioni equivalenti assolte dai membri del SEBC nell'ambito dei rispettivi ordinamenti nazionali, specialmente per ciò che attiene alle politiche in tema di vigilanza prudenziale di enti creditizi e alla sorveglianza dei sistemi di pagamento e di regolamento titoli. Gli Stati membri fanno affidamento sulla vigilanza prudenziale e sulle funzioni di sorveglianza esercitate dalle banche centrali e dalle autorità di vigilanza di tali operatori nei rispettivi ambiti di competenza.»

Sarebbe opportuno modificare il considerando 5 al fine di rispecchiare le responsabilità della BCE e delle BCN in materia di sorveglianza e regolamentazione dei sistemi di pagamento e di regolamento. Ai sensi del quarto trattino dell'articolo 127, paragrafo 2, del Trattato, uno dei compiti fondamentali del SEBC è quello di promuovere il regolare funzionamento dei sistemi di pagamento. L'articolo 22 dello Statuto del SEBC conferisce alla BCE la facoltà di stabilire regolamenti al fine di assicurare sistemi di compensazione e di pagamento efficienti e affidabili. Si dovrebbe altresì tener conto del fatto che, ai sensi dell'articolo 127, paragrafo 5, del Trattato, il SEBC contribuisce alla buona conduzione delle politiche riguardanti la stabilità del sistema finanziario. Inoltre, in base all'Eurosystem oversight policy framework (quadro politico di vigilanza sull’Eurosistema) del luglio 2011  (2) , la «sorveglianza dei sistemi di pagamento e di regolamento è una funzione di banca centrale mediante la quale promozione di obiettivi di sicurezza ed efficienza è realizzata attraverso il monitoraggio di sistemi esistenti o in corso di progettazione, sottoponendoli a verifiche rispetto a tali obiettivi e, se necessario, disponendone la modifica».

In altri termini, assicurare la sicurezza e l'efficienza dei sistemi è un importante prerequisito della capacità dell'Eurosistema di contribuire alla stabilità finanziaria, attuare la politica monetaria e mantenere la fiducia del pubblico nell'euro.

Inoltre, in sintonia con i commenti della BCE sulla proposta di revisione della direttiva sui servizi di pagamento (PSD2), va osservato che le autorità di vigilanza nazionali e le banche centrali sono le autorità competenti ad adottare linee guida in materia di gestione e notifica degli incidenti per i PSP, nonché in materia di scambio delle notifiche di incidente tra le autorità rilevanti. Il considerando dovrebbe altresì tenere in debito conto dei compiti conferiti alla BCE dal regolamento (UE) n. 1024/2013.

Infine, quando membri del SEBC non appartenenti all'area dell'euro assolvono funzioni equivalenti a quelle del Trattato e compiti conferiti dallo Statuto del SEBC ai sensi della legislazione nazionale, tali funzioni non dovrebbero risentirne.

Modifica 2

Articolo 1, paragrafi 4 e 5 (nuovi)

«4.

La presente direttiva lascia impregiudicate le disposizioni legislative dell’Unione in materia di cibercriminalità e la direttiva 2008/114/CE del Consiglio, dell’8 dicembre 2008, relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (9).

5.

La presente direttiva lascia impregiudicate anche le disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (10), della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (11).

6.

Lo scambio di informazioni all’interno della rete di collaborazione in virtù delle disposizioni del capo III e le notifiche di incidenti a carico della SRI in virtù dell’articolo 14 possono comportare il trattamento di dati personali. Tale trattamento, necessario per conseguire gli obiettivi di pubblico interesse perseguiti dalla presente direttiva, è soggetto all’autorizzazione degli Stati membri a norma dell’articolo 7 della direttiva 95/46/CE e in virtù della direttiva 2002/58/CE quali recepite negli ordinamenti nazionali»

«4.

La presente direttiva lascia impregiudicate le disposizioni legislative dell’UEnione in materia di cibercriminalità e la direttiva 2008/114/CE del Consiglio, dell’8 dicembre 2008, relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (9).

5.

La presente direttiva lascia impregiudicati la sorveglianza e i compiti conferiti alla BCE e al SEBC relativi alle politiche in materia di vigilanza prudenziale degli enti creditizi e ai sistemi di pagamento e di regolamento per i quali specifici requisiti di gestione del rischio e di sicurezza sono stati stabiliti nel quadro regolamentare del SEBC e quello stabilito da altri regolamenti e direttive europee correlati. Analogamente, la presente direttiva lascia impregiudicate funzioni equivalenti assolte dai membri del SEBC ai sensi dei rispettivi ordinamenti nazionali.

5 6.

La presente direttiva lascia altresì impregiudicate anche le disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (10), della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (11).

6 7.

Lo scambio di informazioni all’interno della rete di collaborazione in virtù delle disposizioni del capo III e le notifiche di incidenti a carico della SRI in virtù dell’articolo 14 possono comportare il trattamento di dati personali. Tale trattamento, necessario per conseguire gli obiettivi di pubblico interesse perseguiti dalla presente direttiva, è soggetto all’autorizzazione degli Stati membri a norma dell’articolo 7 della direttiva 95/46/CE e in virtù della direttiva 2002/58/CE quali recepite negli ordinamenti nazionali.»

Come già rilevato, il SEBC è fortemente interessato a garantire il corretto funzionamento dei sistemi di pagamento e di regolamento. Ciò deriva dall'importanza dei sistemi di pagamento, compensazione e regolamento ai fini della regolare conduzione delle operazioni di politica monetaria e dal loro ruolo nell'assicurare, più in generale, la stabilità del sistema finanziario. Pertanto, la BCE raccomanda che la proposta di direttiva tenga conto del ruolo del SEBC in relazione ai sistemi di pagamento e regolamento e del quadro di sorveglianza attualmente in vigore. Il SEBC dispone di strumenti estremamente efficaci per garantire i livelli di sicurezza ed efficienza di tali sistemi. Il considerando dovrebbe altresì tenere in debito conto dei compiti conferiti alla BCE dal regolamento (UE) n. 1024/2013.

La proposta di direttiva dovrebbe lasciare impregiudicate funzioni equivalenti assolte da membri del SEBC non appartenenti all'area dell'euro nell'ambito dei rispettivi ordinamenti nazionali.

Modifica 3

Articolo 6, paragrafo 1

«1.

Ogni Stato membro designa un’autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi (la “autorità competente”).»

«1.

Ogni Stato membro designa un’autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi (la “autorità competente”).

È messa in atto un'efficace cooperazione tra l'autorità competente e le autorità di regolamentazione nazionali ed europee.»

Spiegazione

La BCE raccomanda di modificare l'articolo 6, paragrafo 1, al fine di assicurare un buon livello di cooperazione a livello di Unione.

Modifica 4

Articolo 8, paragrafo 3

«3.

All’interno della rete di collaborazione le autorità competenti:

(a)

diffondono preallarmi in merito a rischi e a incidenti in conformità all’articolo 10;

(b)

garantiscono una risposta coordinata in conformità all’articolo 11;

(c)

pubblicano periodicamente informa- zioni non riservate sui preallarmi in corso e sulla risposta coordinata su un sito comune;

(d)

discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, una o più strategie nazionali e uno o più piani nazionali di collaborazione in materia di SRI ai sensi dell’articolo 5, nell’ambito della presente direttiva;

(e)

discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, l’efficacia delle squadre CERT, in particolare in occasione di esercitazioni in materia di SRI eseguite a livello di Unione;

(f)

collaborano e scambiano informazioni su tutti gli aspetti pertinenti col Centro europeo per la lotta alla criminalità informatica di Europol e con altri organismi europei competenti in particolare nei campi della protezione dei dati, dell’energia, dei trasporti, delle banche, delle borse e della sanità;

(g)

si scambiano reciprocamente e comunicano alla Commissione informazioni e buone pratiche e si assistono reciprocamente ai fini della creazione di capacità in materia di SRI;

(h)

organizzano periodicamente revisioni tra pari in materia di capacità e preparazione;

(i)

organizzano esercitazioni in materia di SRI al livello di Unione e partecipano, secondo il caso, a esercitazioni internazionali in materia di SRI.»

«3.

All’interno della rete di collaborazione le autorità competenti:

(a)

diffondono preallarmi in merito a rischi e a incidenti in conformità all’articolo 10;

(b)

garantiscono una risposta coordinata in conformità all’articolo 11;

(c)

pubblicano periodicamente informazioni non riservate sui preallarmi in corso e sulla risposta coordinata su un sito comune;

(d)

discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, una o più strategie nazionali e uno o più piani nazionali di collaborazione in materia di SRI ai sensi dell’articolo 5, nell’ambito della presente direttiva;

(e)

discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, l’efficacia delle squadre CERT, in particolare in occasione di esercitazioni in materia di SRI eseguite a livello di Unione;

(f)

collaborano e scambiano informazioni su tutti gli aspetti pertinenti col Centro europeo per la lotta alla criminalità informatica di Europol e con altri organismi europei competenti in particolare nei campi della protezione dei dati, dell’energia, dei trasporti, delle banche, delle borse e della sanità;

(g)

si scambiano reciprocamente e comunicano alla Commissione informazioni e buone pratiche e si assistono reciprocamente ai fini della creazione di capacità in materia di SRI;

(h)

organizzano periodicamente revisioni tra pari in materia di capacità e preparazione;

(i)

organizzano esercitazioni in materia di SRI al livello di Unione e partecipano, secondo il caso, a esercitazioni internazionali in materia di SRI. ;

(j)

assicurano lo scambio di informazioni con le autorità di regolamentazione europee e nazionali (ad esempio, per il settore finanziario: il Sistema europeo di banche centrali [SEBC] e l'Autorità europea degli strumenti finanziari e dei mercati [AESFEM], che collaboreranno strettamente allorché siano identificati incidenti di sicurezza potenzialmente in grado di impedire il regolare funzionamento dei sistemi di pagamento e di regolamento).»

Sussistono validi argomenti a favore dello scambio di informazioni con l'Agenzia europea per la sicurezza delle reti e dell'informazione o con le autorità competenti ai sensi della proposta di direttiva, e con l'ABE o l'AESFEM in quanto autorità competente per il coordinamento in relazione ad incidenti relativi a prestatori di servizi di pagamento.

Pertanto, la BCE propone questa modifica nell'ottica di un’intensificazione dello scambio di informazioni e di un miglior coordinamento a livello di Unione.

Modifica 5

Articolo 19, paragrafo 1

«1.

La Commissione è assistita da un comitato (in prosieguo “il comitato per la sicurezza delle reti e dell’informazione”). Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.»

«1.

La Commissione è assistita da un comitato (in prosieguo “il comitato per la sicurezza delle reti e dell’informazione”). Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.

La BCE, l’ABE e l'AESFEM sono invitate a inviare un proprio rappresentante alle riunioni del comitato per la sicurezza delle reti e dell’informazione per argomenti all'ordine del giorno che possano incidere sull'assolvimento dei loro rispettivi compiti.»

La BCE ha un interesse acquisito al rafforzamento della sicurezza nei sistemi, servizi e strumenti di pagamento e di regolamento, che contribuisce in modo determinante a mantenere la fiducia nella moneta unica e nel buon funzionamento dell'economia nell'Unione. A tal fine, la BCE raccomanda di estenderle l'invito alle riunioni del Comitato SRI. In ogni caso, la BCE dovrà essere consultata formalmente ai sensi del Trattato su ogni misura analoga relativa a sistemi di pagamento e in ogni altra questione che rientra nella sua competenza.

L'ABE e l'AESFEM dovrebbero essere altresì coinvolte su questioni relative a PSP.


(1)  Il grassetto nel corpo del testo indica le parti di testo che la BCE propone di aggiungere. Il carattere barrato nel corpo del testo indica le parti di testo che la BCE propone di eliminare.

(2)  Disponibile sul sito della BCE all’indirizzo www.ecb.europa.eu


Top