EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Europeiska centralbankens yttrande av den 25 juli 2014 om ett förslag till Europaparlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen (CON/2014/58)
Europeiska centralbankens yttrande av den 25 juli 2014 om ett förslag till Europaparlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen (CON/2014/58)
OJ C 352, 7.10.2014, p. 4–11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
SV |
Europeiska unionens officiella tidning |
C 352/4 |
EUROPEISKA CENTRALBANKENS YTTRANDE
av den 25 juli 2014
om ett förslag till Europaparlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen
(CON/2014/58)
2014/C 352/04
Inledning och rättslig grund
Den 7 februari 2013 lade Europeiska kommissionen fram ett förslag till direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen (1) (nedan kallat direktivförslaget).
Europeiska centralbanken (ECB) har beslutat att avge ett yttrande på eget initiativ över direktivförslaget eftersom ECB inte formellt har rådfrågats. ECB:s behörighet att avge ett yttrande grundas på artiklarna 127.4 och 282.5 i fördraget om Europeiska unionens funktionssätt eftersom direktivförslaget innehåller bestämmelser som berör Europeiska centralbankssystemets (ECBS) uppgift att främja väl fungerande betalningssystem i enlighet med artikel 127.2 fjärde strecksatsen i fördraget. Enligt artikel 22 i stadgan för Europeiska centralbankssystemet och Europeiska centralbanken (nedan kallad ECBS-stadgan) får ECB och de nationella centralbankerna ställa anordningar till förfogande, och ECB får anta förordningar för att säkerställa effektiva och sunda clearing- och betalningssystem inom gemenskapen och i förbindelser med tredje land. I enlighet med artikel 17.5 första meningen i arbetsordningen för Europeiska centralbanken har detta yttrande antagits av ECB-rådet.
1. Direktivförslagets syfte
1.1 |
Syftet med direktivförslaget är att säkerställa en hög gemensam nivå av nät- och informationssäkerhet genom att förbättra säkerheten för internet och de nät- och informationssystem som behövs för att våra samhällen och ekonomier ska fungera. Detta förslag är den viktigaste åtgärden inom den europeiska strategin för it-säkerhet (2). |
1.2 |
Nät- och informationssystem är viktiga för att främja den gränsöverskridande rörligheten för varor, tjänster och personer. I och med denna inneboende transnationella dimension kan störningar i en medlemsstat även påverka andra medlemsstater och unionen som helhet. Sannolikheten för att incidenter ofta kan uppstå och oförmågan att garantera ett effektivt skydd kan också undergräva allmänhetens förtroende för och tillit till näten och informationstjänsterna. Nät- och informationssystemens motståndskraft och stabilitet är därför viktiga för att den inre marknaden ska fungera smidigt. |
1.3 |
Direktivförslaget bygger på tidigare initiativ inom det här området (3). I detta direktivförslag konstateras därför att det finns ett behov av att harmonisera reglerna för nät- och informationssäkerhet och skapa effektiva samarbetsmekanismer mellan medlemsstaterna. |
1.4 |
Genom direktivförslaget fastställs en gemensam unionsrättslig ram för nät- och informationssäkerhet när det gäller medlemsstaternas kapacitet, mekanismer för unionssamarbete och krav som ska gälla för offentliga förvaltningar samt för enheter inom den offentliga sektorn inom specifika kritiska sektorer. Detta bör säkerställa tillräcklig beredskap på nationell nivå och bidra till ett klimat av ömsesidigt förtroende, vilket är en förutsättning för effektivt samarbete på unionsnivå. Inrättandet av samarbetsmekanismer på unionsnivå via nätverket kommer att ge sammanhållna och samordnade förebyggande åtgärder och svarsåtgärder vid gränsöverskridande incidenter och risker som rör nät- och informationssäkerhet. |
1.5 |
De centrala bestämmelserna gäller följande:
|
2. Allmänna kommentarer
2.1 |
ECB stöder direktivförslagets syfte, dvs. att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen samt att åstadkomma en enhetlig strategi inom detta område för olika branscher och medlemsstater. Det är viktigt att se till så att det är säkert att bedriva affärsverksamhet på den inre marknaden och att alla medlemsstater har en viss minimiberedskap om det uppstår en it-säkerhetsincident. |
2.2 |
ECB anser emellertid att direktivförslaget inte ska påverka det nuvarande systemet för Eurosystemets övervakning av betalnings- och avvecklingssystem (5), som inbegriper lämpliga arrangemang bland annat i fråga om nät- och informationssäkerhet. Det bör noteras att ECB har ett särskilt intresse av säkrare betalnings- och avvecklingssystem (6) för att främja väl fungerande betalningssystem och bidra till att upprätthålla förtroendet för euron och en välfungerande ekonomi inom unionen. |
2.3 |
Att bedöma säkerhetsarrangemang och anmäla incidenter för betalnings- och avvecklingssystem och betaltjänstleverantörer hör till tillsynsmyndigheternas och centralbankernas centrala behörighetsområden. Ansvaret för att utarbeta tillsynskrav för ovannämnda områden bör därför ligga kvar hos dessa myndigheter och betalnings- och avvecklingssystem samt betaltjänstleverantörer bör inte utsättas för motstridiga krav av andra nationella myndigheter. Riskhantering, som inbegriper säkerhetskrav för betalnings- och avvecklingssystem och annan marknadsinfrastruktur inom euroområdet, fastställs dessutom av Eurosystemet, vilket omfattar ECB och de nationella centralbankerna i de medlemsstater som har infört euron. Genom denna tillsynsfunktion vill Eurosystemet säkerställa välfungerande betalnings- och avvecklingssystem genom att bland annat tillämpa lämpliga tillsynsregler och minimikrav. Direktivförslaget bör utformas med hänsyn till den befintliga tillsynsramen och säkerställa ett samstämmigt regelverk runtom i unionen. |
3. Specifika kommentarer
3.1 |
Enligt skäl 5 och artikel 1 i direktivförslaget ska de relevanta skyldigheterna, samarbetsmekanismen och säkerhetskraven gälla för alla offentliga förvaltningar och marknadsoperatörer. Med den nuvarande lydelsen av skäl 5 och artikel 1 beaktas inte Eurosystemets uppdrag att utöva tillsyn över betalnings- och avvecklingssystemen i enlighet med fördraget. Direktivförslaget bör därför ändras för att ge en rättvisande bild av Eurosystemets ansvar inom detta område. |
3.2 |
Arrangemang och förfaranden för centralbankernas och andra behöriga myndigheters övervakning av betalnings- och värdepappersavvecklingssystem fastställs i ett antal olika unionsdirektiv och unionsförordningar, däribland
|
3.3 |
Det bör dessutom noteras att ECB-rådet den 3 juni 2013 antog de principer för finansmarknadernas infrastruktur som lagts fram i april 2012 av kommittén för betalnings- och avvecklingssystem (CPSS) inom Banken för internationell betalningsutjämning och tekniska kommittén inom Internationella organisationen för värdepapperstillsyn (Iosco) (11), med avseende på Eurosystemets tillsyn över alla olika former av finansmarknadens infrastruktur. Detta följdes av ett offentligt samråd beträffande ett utkast till förordning om krav på övervakning av systemviktiga betalningssystem (nedan kallad SIPS-förordningen) (12). SIPS-förordningen genomför CPSS-Iosco-principerna så att de blir rättsligt bindande och omfattar systemviktiga betalningssystem såväl för större betalningar som för massbetalningar, oavsett om de utförs av nationella centralbanker i Eurosystemet eller av privata enheter. |
3.4 |
De nuvarande tillsynsarrangemangen (13) för betalningssystem och betaltjänstleverantörer omfattar redan förfaranden för tidiga varningar (14) och samordnade svar (15) i och utanför Eurosystemet för att hantera potentiella hot mot it-säkerheten, motsvarande dem som anges i artiklarna 10 och 11 i direktivförslaget. |
3.5 |
ECBS har fastställt standarderna i fråga om rapporterings- och riskhanteringsskyldigheter för betalningssystem. ECB bedömer dessutom regelbundet värdepappersavvecklingssystem för att fastställa huruvida dessa får användas vid Eurosystemets kreditoperationer. ECB anser därför att direktivförslagets krav som påverkar kritisk marknadsinfrastruktur och deras marknadsoperatörer (16) inte får påverka tillämpningen av standarderna i SIPS-förordningen, Eurosystemets ram för tillsynspolicyn eller andra unionsförordningar, i synnerhet inte förordningen om Europas marknadsinfrastrukturer och den kommande förordningen om värdepapperscentraler. Det ska inte heller inkräkta på EBA:s, Esmas och andra tillsynsmyndigheters uppgifter (17). |
3.6 |
Trots vad som sägs ovan anser ECB att det finns mycket som talar för att Eurosystemet ska utbyta relevant information med den kommitté för nät- och informationssäkerhet som ska inrättas enligt artikel 19 i direktivförslaget. Med tanke på det effektiva informationsutbyte som kan komma att bli nödvändigt bör ECB, EBA och Esma uppmanas att sända representanter till mötena inom kommittén för nät- och informationssäkerhet för de punkter på dagordningen som skulle kunna vara av intresse för de olika uppdrag som de ska utföra. |
Utfärdat i Frankfurt am Main den 25 juli 2014.
Mario DRAGHI
Ecb:s ordförande
(1) COM(2013) 48 final.
(2) Se det gemensamma meddelandet till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén EU:s strategi för cybersäkerhet: En öppen, säker och trygg cyberrymd, JOIN(2013) 1 final.
(3) Detta omfattar följande meddelanden Nät- och informationssäkerhet: förslag till en europeisk strategi, KOM(2001) 298 slutlig, En strategi för ett säkert informationssamhälle: ”Dialog, partnerskap och användarinflytande”, KOM(2006) 251 slutlig, Skydd av kritisk informationsinfrastruktur – ”Skydd mot storskaliga it-attacker och avbrott: förbättrad beredskap, säkerhet och motståndskraft i Europa”, KOM(2009) 149 slutlig, En digital agenda för Europa, KOM(2010) 245 slutlig, och Skydd av kritisk infrastruktur ”Resultat och kommande åtgärder: vägen mot global it-säkerhet”, KOM(2011) 163 slutlig.
(4) Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (EGT L 108, 24.4.2002, s. 33).
(5) Vissa medlemmar av ECBS utför även övervakning på grundval av nationella lagar och andra författningar som kompletterar och i vissa fall duplicerar Eurosystemets behörighet.
(6) Begreppet avveckling inbegriper i detta yttrande även clearingfunktionen.
(7) Europaparlamentets och rådets direktiv 98/26/EG av den 19 maj 1998 om slutgiltig avveckling i system för överföring av betalningar och värdepapper (EGT L 166, 11.6.1998, s. 45).
(8) Se artikel 10.1 tredje stycket i direktivet om slutgiltig avveckling.
(9) Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 201, 27.7.2012, s. 1).
(10) COM(2012) 73 final.
(11) Finns på webbplatsen för Banken för internationell betalningsutjämning https://www.bis.org/cpmi/publ/d94.pdf
(12) Finns på ECB:s webbplats http://www.ecb.europa.eu
(13) Se ECB:s pressmeddelande om samförståndsavtalet om övergripande principer för samarbete i krishanteringssituationer mellan banktillsynsmyndigheter och centralbanker i Europeiska unionen (2003), finns på ECB:s webbplats http://www.ecb.europa.eu
(14) Se rekommendation 3 om övervakning och rapportering av incidenter i Recommendations for the security of internet payments – final version after public consultation, Europeiska forumet för säkra massbetalningar (SecuRe Pay), januari 2013, finns på ECB:s webbplats www.ecb.europa.eu
(15) På grundval av de principer för en internationell tillsyn baserad på samarbete, som CPSS erinrade om i sin tillsynsrapport från 2005, har centralbankerna i Eurosystemet med framgång deltagit i samarbetsarrangemang vid en rad olika tillfällen, vilket framgår av t.ex. tillsynsarrangemangen för Swift (Society for Worldwide Interbank Financial Telecommunications) och CLS (Continuous Linked Settlement).
(16) Exempelvis kraven på att marknadsoperatörer ska följa de tekniska och organisatoriska åtgärderna enligt artikel 14.3 och 14.4 samt befogenheten att utfärda bindande anvisningar för marknadsoperatörer enligt artikel 15.3 i direktivförslaget.
(17) Se punkt 2.12 i ECB:s yttrande CON/2014/9 om ett förslag till Europaparlamentets och rådets direktiv om betaltjänster på den inre marknaden och om ändring av direktiven 2002/65/EG, 2013/36/EU och 2009/110/EG samt upphävande av direktiv 2007/64/EG (EUT C 224, 15.7.2014, s. 1). Alla ECB:s yttranden finns på ECB:s webbplats www.ecb.europa.eu
BILAGA
Ändringsförslag
Kommissionens förslag |
ECB:s ändringsförslag (1) |
||||||||||||||||||||||||||||||||||||||||||
Ändring 1 |
|||||||||||||||||||||||||||||||||||||||||||
Skäl 5 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Skäl 5 bör ändras för att spegla ECB:s och de nationella centralbankernas ansvar för att övervaka och reglera betalnings- och avvecklingssystem. Enligt artikel 127.2 fjärde strecksatsen i fördraget är en av ECBS centrala uppgifter att främja väl fungerande betalningssystem. Enligt artikel 22 i ECBS-stadgan har ECB också befogenhet att anta förordningar för att säkerställa effektiva och sunda clearing- och betalningssystem. Det bör också beaktas att enligt artikel 127.5 i fördraget ska ECBS medverka till ett smidigt genomförande av politiken för det finansiella systemets stabilitet. I Eurosystemets ram för tillsynspolitiken från juli 2011 (2) fastställs också att tillsynen över betalnings- och avvecklingssystem är en centralbanksfunktion som syftar till att främja målen om säkerhet och effektivitet genom att befintliga och planerade system övervakas och bedöms mot dessa mål, och förändringar genomförs vid behov. Att säkerställa att systemen är säkra och effektiva är med andra ord en viktig förutsättning för att Eurosystemet ska kunna medverka till finansiell stabilitet, genomföra den monetära politiken och upprätthålla allmänhetens förtroende för euron. I enlighet med ECB:s synpunkter om den föreslagna översynen av direktivet om betaltjänster (PSD2) bör det också noteras att de nationella tillsynsmyndigheterna och centralbankerna är de myndigheter som är behöriga att utfärda riktlinjer om incidenthantering och anmälningar av incidenter för betaltjänstleverantörer samt riktlinjer om vidarebefordran av anmälningar av incidenter mellan relevanta myndigheter. I detta skäl bör också vederbörlig hänsyn tas till de uppgifter som tilldelats ECB genom förordning (EU) nr 1024/2013. Slutligen ska detta inte heller påverka uppgifter motsvarande dem som fastställs i fördraget och ECBS-stadgan och som utförs av medlemmar i ECBS utanför euroområdet inom ramen för deras nationella bestämmelser. |
|||||||||||||||||||||||||||||||||||||||||||
Ändring 2 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 1.4 och artikel 1.5 (ny) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Som tidigare har konstaterats har ECBS ett stort intresse av att se till att betalnings- och avvecklingssystemen fungerar ordentligt. Skälet till detta är att betalnings-, clearing- och avvecklingssystemen har stor betydelse för välfungerande penningpolitiska transaktioner och bidrar till att säkerställa det finansiella systemets stabilitet i största allmänhet. ECB rekommenderar därför att ECBS roll i samband med betalnings- och avvecklingssystemen och den befintliga tillsynsramen beaktas i direktivförslaget. ECBS har ytterst effektiva verktyg för att fastställa graden av säkerhet och effektivitet i dessa system. I detta skäl bör också vederbörlig hänsyn tas till de uppgifter som tilldelats ECB genom förordning (EU) nr 1024/2013. Direktivförslaget bör inte heller påverka motsvarande uppgifter som utförs av medlemmar i ECBS utanför euroområdet inom ramen för deras nationella regelverk. |
|||||||||||||||||||||||||||||||||||||||||||
Ändring 3 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 6.1 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Förklaring ECB rekommenderar att artikel 6.1 ändras för att säkerställa en hög grad av samarbete på unionsnivå. |
|||||||||||||||||||||||||||||||||||||||||||
Ändring 4 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 8.3 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Det finns mycket som talar för ett informationsutbyte med Europeiska unionens byrå för nät- och informationssäkerhet eller behöriga myndigheter inom ramen för direktivförslaget samt med EBA eller Esma i egenskap av behörig myndighet. för att samordna incidenter som avser betaltjänstleverantörer. ECB föreslår därför denna ändring för att främja informationsutbyte och bättre samordning på unionsnivå. |
|||||||||||||||||||||||||||||||||||||||||||
Ändring 5 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 19.1 |
|||||||||||||||||||||||||||||||||||||||||||
|
ECB, EBA och Esma ska ges möjlighet att sända en representant till mötena inom kommittén för nät- och informationssäkerhet för de punkter på dagordningen som skulle kunna vara av intresse för ECB:s, EBA:s eller Esmas respektive uppdrag.” |
||||||||||||||||||||||||||||||||||||||||||
ECB har ett egenintresse av att höja säkerheten för system, tjänster och instrument i samband med betalning och avveckling, eftersom detta utgör en viktig faktor för att upprätthålla förtroendet för euron och en välfungerande ekonomi inom unionen. ECB rekommenderar därför att ECB bjuds in till mötena inom kommittén för nät- och informationssäkerhet. ECB ska under alla förhållanden formellt konsulteras i enlighet med fördraget om sådana åtgärder som avser betalningssystem och andra frågor som faller inom ECB:s behörighetsområde. EBA eller Esma bör också involveras när det gäller frågor som rör betaltjänstleverantörer. |
(1) Text markerad med fet stil anger ECB:s förslag till ny text. Genomstruken text anger de strykningar som ECB föreslår.
(2) Finns på ECB:s webbplats www.ecb.europa.eu