EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014AB0058

Stellungnahme der Europäischen Zentralbank vom 25. Juli 2014 zu einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (CON/2014/58)

OJ C 352, 7.10.2014, p. 4–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

7.10.2014   

DE

Amtsblatt der Europäischen Union

C 352/4


STELLUNGNAHME DER EUROPÄISCHEN ZENTRALBANK

vom 25. Juli 2014

zu einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

(CON/2014/58)

2014/C 352/04

Einleitung und Rechtsgrundlage

Am 7. Februar 2013 veröffentlichte die Europäische Kommission einen Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (1) (nachfolgend der „Richtlinienvorschlag“).

Die Europäische Zentralbank (EZB) hat beschlossen, eine Stellungnahme auf eigene Initiative abzugeben, da sie von den Gesetzgebern nicht formell angehört wurde. Die Zuständigkeit der EZB zur Abgabe einer Stellungnahme beruht auf Artikel 127 Absatz 4 und Artikel 282 Absatz 5 des Vertrags über die Arbeitsweise der Europäischen Union, da der Richtlinienvorschlag Bestimmungen enthält, welche die in Artikel 127 Absatz 2 vierter Gedankenstrich des Vertrags vorgesehene Aufgabe des Europäischen Systems der Zentralbanken (ESZB) betreffen, das reibungslose Funktionieren der Zahlungssysteme zu gewährleisten. Darüber hinaus sieht Artikel 22 der Satzung der Europäischen Zentralbank und des Europäischen Systems der Zentralbanken (nachfolgend die „ESZB-Satzung“) vor, dass die EZB und die nationalen Zentralbanken (NZBen) Einrichtungen zur Verfügung stellen können und die EZB Verordnungen erlassen kann, um effiziente und zuverlässige Verrechnungs- und Zahlungssysteme innerhalb der Union und im Verkehr mit dritten Ländern zu gewährleisten. Diese Stellungnahme wurde gemäß Artikel 17.5 Satz 1 der Geschäftsordnung der Europäischen Zentralbank vom EZB-Rat verabschiedet.

1.   Ziel des Richtlinienvorschlags

1.1.

Ziel des Richtlinienvorschlags ist die Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS) durch die Erhöhung der Sicherheit des Internets sowie der Netze und Informationssysteme, die für unsere Gesellschaft und die Volkswirtschaft unverzichtbar sind. Dieser Vorschlag ist die wichtigste Maßnahme im Rahmen der europäischen Cybersicherheitsstrategie (2).

1.2.

Netzen und Informationssystemen kommt eine wesentliche Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs zu. Wegen dieser transnationalen Dimension kann eine Störung in einem Mitgliedstaat auch andere Mitgliedstaaten und die Union insgesamt in Mitleidenschaft ziehen. Zudem wird durch die Wahrscheinlichkeit, dass Sicherheitsvorfälle häufig eintreten, sowie die Unfähigkeit, einen wirksamen Schutz zu gewährleisten, das Vertrauen der Öffentlichkeit in die NIS untergraben. Die Robustheit und Stabilität der NIS ist daher von entscheidender Bedeutung für das reibungslose Funktionieren des Binnenmarkts.

1.3.

Der Richtlinienvorschlag beruht auf vorangegangenen Initiativen in diesem Bereich (3). Vor diesem Hintergrund trägt der Richtlinienvorschlag der Notwendigkeit Rechnung, die NIS-Vorschriften zu harmonisieren und Mechanismen für eine wirksame Zusammenarbeit zwischen den Mitgliedstaaten einzurichten.

1.4.

Durch den Richtlinienvorschlag wird ein gemeinsamer Unionsrechtsrahmen für die NIS im Hinblick auf die Kapazitäten der Mitgliedstaaten, die Mechanismen für die Zusammenarbeit auf Unionsebene und die Anforderungen an öffentliche Verwaltungen sowie an Unternehmen der Privatwirtschaft in bestimmten kritischen Sektoren geschaffen. Auf diese Weise soll eine ausreichende Abwehrbereitschaft auf nationaler Ebene sichergestellt und zur Schaffung eines Klimas gegenseitigen Vertrauens beigetragen werden, was eine Voraussetzung für die wirksame Zusammenarbeit auf Unionsebene ist. Die Einrichtung von Mechanismen für eine Zusammenarbeit auf Unionsebene über das Netz würde eine kohärente und koordinierte Prävention und Reaktion auf grenzüberschreitende NIS-Vorfälle und -Risiken ermöglichen.

1.5.

Die wichtigsten Bestimmungen sehen Folgendes vor:

a)

eine Verpflichtung für alle Mitgliedstaaten, ein Mindestniveau nationaler Kapazitäten zu schaffen, indem sie für die NIS zuständige Behörden einrichten, IT-Notfallteams (Computer Emergency Response Teams — CERTs) bilden und nationale NIS-Strategien und -Kooperationspläne aufstellen;

b)

einen verpflichtenden Informationsaustausch zwischen den Mitgliedstaaten innerhalb eines Netzwerks und die Erstellung eines europaweiten NIS-Kooperationsplans sowie koordinierte Frühwarnungen für Netzsicherheitsvorfälle;

c)

nach dem Muster der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates (4) soll sichergestellt werden, dass sich eine Kultur des Risikomanagements entwickelt und ein Informationsaustausch zwischen privatem und öffentlichem Sektor stattfindet. Unternehmen in den besonders betroffenen Sektoren und öffentliche Verwaltungen werden verpflichtet sein, die Risiken, denen sie unterliegen, zu bewerten sowie geeignete und angemessene Maßnahmen zur Gewährleistung der NIS zu ergreifen. Sie werden auch verpflichtet sein, den zuständigen Behörden alle Sicherheitsvorfälle zu melden, die ihre Netze und Informationssysteme wie auch die Kontinuität kritischer Dienste und die Lieferung von Waren ernsthaft beeinträchtigen.

2.   Allgemeine Anmerkungen

2.1.

Die EZB befürwortet das Ziel des Richtlinienvorschlags, eine hohe gemeinsame Netz- und Informationssicherheit in der Union zu gewährleisten und in diesem Bereich in allen Unternehmenssektoren und Mitgliedstaaten einen einheitlichen Ansatz zu verwirklichen. Es ist wichtig sicherzustellen, dass der Binnenmarkt ein sicherer Wirtschaftsstandort ist und dass alle Mitgliedstaaten im Fall eines Netzsicherheitsvorfalls über ein bestimmtes Mindestniveau an Abwehrbereitschaft verfügen.

2.2.

Nach Auffassung der EZB sollte der Richtlinienvorschlag die bestehenden Bestimmungen zur Überwachung von Zahlungsverkehrs- und Abwicklungssystemen (5) durch das Eurosystem, die angemessene Regelungen u. a. im Bereich der NIS enthalten, jedoch unberührt lassen. Es ist darauf hinzuweisen, dass die EZB ein besonderes Interesse an einer erhöhten Sicherheit der Zahlungsverkehrs- und Abwicklungssysteme (6) hat, um das reibungslose Funktionieren der Zahlungsverkehrssysteme zu fördern und dazu beizutragen, das Vertrauen in den Euro und das Funktionieren der Wirtschaft in der Union aufrechtzuerhalten.

2.3.

Darüber hinaus gehört die Beurteilung von Sicherheitsvorkehrungen und Meldungen von Sicherheitsvorfällen für Zahlungsverkehrs- und Abwicklungssysteme sowie für Zahlungsdienstleister zu den zentralen Kompetenzen von Aufsichtsbehörden und Zentralbanken. Die Verantwortung für die Entwicklung von Überwachungsanforderungen in den oben genannten Bereichen sollte daher bei diesen Stellen verbleiben, und Zahlungsverkehrs- und Abwicklungssysteme sowie Zahlungsdienstleister sollten nicht potenziell entgegenstehenden Anforderungen unterliegen, die von anderen nationalen Behörden auferlegt werden. Zudem wird das Risikomanagement, wozu Sicherheitsanforderungen in Bezug auf Zahlungsverkehrs- und Abwicklungssysteme sowie sonstige Marktinfrastrukturen innerhalb des Eurosystems gehören, durch das Eurosystem bestimmt, das die EZB und die NZBen der Mitgliedstaaten umfasst, die den Euro eingeführt haben. Das Eurosystem ist bestrebt, mittels dieser Überwachungsfunktion das reibungslose Funktionieren der Zahlungsverkehrs- und Abwicklungssysteme zu gewährleisten, zum Beispiel durch Anwendung angemessener Überwachungsstandards und Mindestanforderungen. Der Richtlinienvorschlag sollte dem bereits bestehenden Überwachungsrahmen Rechnung tragen und die Einheitlichkeit der Regulierung innerhalb der Union sicherstellen.

3.   Spezifische Anmerkungen

3.1.

Erwägungsgrund 5 und Artikel 1 des Richtlinienvorschlags sehen vor, dass die einschlägigen Verpflichtungen, Kooperationsmechanismen und Sicherheitsanforderungen auf alle öffentlichen Verwaltungen und Marktteilnehmer Anwendung finden. Der gegenwärtige Wortlaut von Erwägungsgrund 5 und Artikel 1 berücksichtigt das im Vertrag verankerte Mandat des Eurosystems der Überwachung der Zahlungsverkehrs- und Abwicklungssysteme nicht. Der Richtlinienvorschlag sollte daher geändert werden, um den Aufgaben des Eurosystems in diesem Bereich gebührend Rechnung zu tragen.

3.2.

Die für Zentralbanken und andere zuständige Behörden geltenden Regelungen und Verfahren zur Überwachung von Zahlungsverkehrs-und Wertpapierabwicklungssystemen sind in einer Reihe von Richtlinien und Verordnungen der Union enthalten, insbesondere in:

a)

der Richtlinie 98/26/EG des Europäischen Parlaments und des Rates (nachfolgend die „Finalitätsrichtlinie“) (7), auf deren Grundlage die zuständigen Behörden der Mitgliedstaaten den in ihre Zuständigkeit fallenden Zahlungsverkehrs- und Abwicklungssystemen (8) Aufsichtsregelungen auferlegen können;

b)

der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates (9) (nachfolgend die Europäische Marktinfrastrukturverordnung — EMIR-Verordnung), in der die Aufgaben der Europäischen Wertpapier- und Börsenaufsichtsbehörde (ESMA), der Europäischen Bankenaufsichtsbehörde (EBA) und dem ESZB bei der Festlegung von Aufsichtsstandards und der Beaufsichtigung von zentralen Gegenparteien anerkannt werden; und

c)

dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Verbesserung der Wertpapierabrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinie 98/26/EG (10) (nachfolgend die „CSD-Verordnung“), wonach die zuständigen Behörden mit Aufsichts- und Ermittlungsbefugnissen auszustatten sind, und insbesondere Artikel 45 dieser Verordnung, mit dem Aufsichtsanforderungen für Zentralverwahrer eingeführt werden, darunter wichtige Bestimmungen über die Minderung des operationellen Risikos.

3.3.

Darüber hinaus ist darauf hinzuweisen, dass der EZB-Rat am 3. Juni 2013 die „Prinzipien für Finanzmarktinfrastrukturen“ verabschiedete, die im April 2012 vom Ausschuss für Zahlungsverkehrs- und Abrechnungssysteme (Committee on Payment and Settlement Systems — CPSS) der Bank für Internationalen Zahlungsausgleich (BIZ) und dem Technischen Ausschuss der Internationalen Organisation der Wertpapieraufsichtsbehörden (International Organization of Securities Commission — IOSCO) (11) zur Durchführung der Überwachung hinsichtlich aller Arten von Finanzmarktinfrastrukturen eingeführt wurden. Anschließend wurde eine öffentliche Konsultation zum Entwurf für eine Verordnung zu den Anforderungen an die Überwachung systemrelevanter Zahlungsverkehrssysteme (nachfolgend die „SIPS-Verordnung“) (12) durchgeführt. Die SIPS-Verordnung setzt die CPSS-IOSCO-Prinzipien rechtsverbindlich um und betrifft sowohl Individual- als auch Massenzahlungsverkehrssysteme mit systemischer Bedeutung, unabhängig davon, ob sie von NZBen des Eurosystems oder von privaten Stellen betrieben werden.

3.4.

Die bestehenden Überwachungsregelungen (13) für Zahlungsverkehrssysteme und Zahlungsdienstleister sehen für den Umgang mit möglichen Bedrohungen der Netzsicherheit bereits Frühwarnverfahren (14) und koordinierte Reaktionen (15) innerhalb und außerhalb des Eurosystems vor, die den in den Artikeln 10 und 11 des Richtlinienvorschlags festgelegten Verfahren entsprechen.

3.5.

Das ESZB hat Standards im Hinblick auf Melde- und Risikomanagementpflichten für Zahlungsverkehrssysteme festgelegt. Darüber hinaus führt die EZB regelmäßig Bewertungen von Wertpapierabwicklungssystemen durch, um ihre Eignung zur Verwendung für Kreditgeschäfte des Eurosystems zu prüfen. Nach Auffassung der EZB ist es deshalb erforderlich, dass die Anforderungen des Richtlinienvorschlags, die sich auf kritische Marktinfrastrukturen und deren Betreiber (16) auswirken, die in der SIPS-Verordnung, dem Rahmen der Überwachungspolitik des Eurosystems oder sonstigen Verordnungen der Union, insbesondere der EMIR-Verordnung und der künftigen CSDR-Verordnung, vorgesehenen Standards unberührt lassen. Zudem sollten die genannten Anforderungen die Aufgaben der EBA, der ESMA oder sonstiger Aufsichtsbehörden (17) nicht beeinträchtigen.

3.6.

Ungeachtet des Vorstehenden ist die EZB der Meinung, dass es wichtige Gründe für einen Austausch relevanter Informationen zwischen dem Eurosystem und dem nach Artikel 19 des Richtlinienvorschlags zu errichtenden NIS-Ausschuss gibt. Für die Zwecke eines effektiven Informationsaustauschs, der gegebenenfalls notwendig ist, sollten die EZB, die EBA und die ESMA ersucht werden, Vertreter zu den Sitzungen des NIS-Ausschusses zu entsenden, wenn diese Tagesordnungspunkte betreffen, die für die Ausübung ihres jeweiligen Mandats von Interesse sein könnten.

Geschehen zu Frankfurt am Main am 25. Juli 2014.

Der Präsident der EZB

Mario DRAGHI


(1)  COM(2013) 48 final.

(2)  Vgl. die gemeinsame Mitteilung an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, „Cybersicherheitsstrategie der Europäischen Union — ein offener, sicherer und geschützter Cyberraum“, JOIN(2013) 1 final.

(3)  Diese umfassen die folgenden Mitteilungen: „Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz“ KOM(2001) 298 endg.; „Eine Strategie für eine sichere Informationsgesellschaft — ‚Dialog, Partnerschaft und Delegation der Verantwortung‘“ KOM(2006) 251 endgültig; „Schutz kritischer Informationsinfrastrukturen — Schutz Europas vor Cyber-Angriffen und Störungen großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität“ KOM(2009) 149 endgültig; „Eine digitale Agenda für Europa“ KOM(2010) 245 endgültig; und „Schutz kritischer Informationsinfrastrukturen — Ergebnisse und nächste Schritte: der Weg zur globalen Netzsicherheit“ KOM(2011) 163 endgültig.

(4)  Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (ABl. L 108 vom 24.4.2002, S. 33).

(5)  Die Überwachungsaufgaben bestimmter EZSB-Mitglieder werden auf der Grundlage nationaler Rechtsvorschriften ausgeübt, welche die Zuständigkeit des Eurosystems ergänzen und in bestimmten Fällen auch duplizieren.

(6)  Der in dieser Stellungnahme verwendete Begriff „Abwicklung“ umfasst die Funktion des Clearings.

(7)  Richtlinie 98/26/EG des Europäischen Parlaments und des Rates vom 19. Mai 1998 über die Wirksamkeit von Abrechnungen in Zahlungs- sowie Wertpapierliefer- und -abrechnungssystemen (ABl. L 166 vom 11.6.1998, S. 45).

(8)  Vgl. Artikel 10 Absatz 1 Unterabsatz 3 der Finalitätsrichtlinie.

(9)  Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates vom 4. Juli 2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (ABl. L 201 vom 27.7.2012, S. 1).

(10)  COM(2012) 73 final.

(11)  Auf der Website der Bank für Internationalen Zahlungsausgleich unter https://www.bis.org/publ/cpss94.pdf abrufbar.

(12)  Auf der Website der EZB unter http://www.ecb.europa.eu abrufbar.

(13)  Siehe die Pressemitteilung der EZB zur gemeinsamen Absichtserklärung über wichtige Grundsätze für die Zusammenarbeit zwischen den Bankaufsichtsbehörden und den Zentralbanken (2003), die auf der Website der EZB abrufbar ist.

(14)  Siehe Empfehlung 3: Überwachung von Sicherheitsvorfällen und Meldungen in „Empfehlungen für die Sicherheit von Zahlungen im Internet — Endfassung nach öffentlicher Konsultation“, European Forum on the Security of Retail Payments (SecuRe Pay), Januar 2013, abrufbar auf der Website der EZB unter http://www.ecb.europa.eu

(15)  Auf der Grundlage der Prinzipien für eine kooperative internationale Überwachung, wie im Überwachungsbericht des CPPS im Jahr 2005 hervorgehoben wurde, haben die Zentralbanken des Eurosystem mehrmals mit Erfolg an Kooperationsvereinbarungen teilgenommen, was z. B. durch die Überwachungsregelungen für SWIFT (Society for Worldwide Interbank Financial Telecommunications) und für Continuous Linked Settlement (CLS) aufgezeigt wird.

(16)  Die in Artikel 14 Absätze 3 und 4 vorgesehenen Anforderungen für Marktteilnehmer zur Einhaltung technischer und organisatorischer Maßnahmen und die in Artikel 15 Absatz 3 enthaltene Befugnis, Marktteilnehmern verbindliche Anweisungen zu erteilen.

(17)  Siehe Ziffer 2.12 der Stellungnahme CON/2014/9 zu einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2013/36/EU und 2009/110/EG sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. C 224 vom 15.7.2014, S. 1). Alle Stellungnahmen der EZB werden auf der Website der EZB unter www.ecb.europa.eu veröffentlicht.


ANHANG

Redaktionsvorschläge

Kommissionsvorschlag

Änderungsvorschläge der EZB (1)

Änderung 1

Erwägungsgrund 5

„(5)

Um alle einschlägigen Sicherheitsvorfälle und -risiken abdecken zu können, sollte diese Richtlinie für alle Netze und Informationssysteme gelten. Die den öffentlichen Verwaltungen und den Marktteilnehmern auferlegten Verpflichtungen sollten hingegen nicht für Unternehmen gelten, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste im Sinne der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie) (2) bereitstellen und die den besonderen Sicherheits und Integritätsanforderungen des Artikels 13a der Richtlinie unterliegen; die Verpflichtungen sollten auch nicht für Vertrauensdiensteanbieter gelten.“

„(5)

Um alle einschlägigen Sicherheitsvorfälle und -risiken abdecken zu können, sollte diese Richtlinie für alle Netze und Informationssysteme gelten. Die den öffentlichen Verwaltungen und den Marktteilnehmern auferlegten Verpflichtungen sollten hingegen nicht für Unternehmen gelten, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste im Sinne der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie) (2) bereitstellen und die den besonderen Sicherheits und Integritätsanforderungen des Artikels 13a der Richtlinie unterliegen; die Verpflichtungen sollten auch nicht für Vertrauensdiensteanbieter gelten. Unbeschadet der Anwendung dieser Richtlinie auf öffentliche Verwaltungen und Marktteilnehmer beeinträchtigt diese Richtlinie ferner nicht die dem Europäischen System der Zentralbanken (ESZB) durch den Vertrag und die Satzung des Europäischen Systems der Zentralbanken und der Europäischen Zentralbank übertragenen Aufgaben und Verpflichtungen oder entsprechende Aufgaben, die von den Mitgliedern des ESZB gemäß ihrem nationalen Rechtsrahmen, insbesondere im Zusammenhang mit der Politik hinsichtlich der Aufsicht über Kreditinstitute und der Überwachung von Zahlungsverkehrs- und Abwicklungssystemen, wahrgenommen werden. Die Mitgliedstaaten stützen sich auf die Aufsichts- und Überwachungstätigkeit, die von den Zentralbanken und den Aufsichtsinstanzen dieser Betreiber in ihren Zuständigkeitsbereichen ausgeübt wird.

Erwägungsgrund 5 sollte geändert werden, um den Aufgaben der EZB und der NZBen bei der Überwachung und Regulierung von Zahlungs- und Wertpapierabwicklungssystemen Rechnung zu tragen. Nach Artikel 127 Absatz 2 vierter Gedankenstrich des Vertrags ist die Förderung des reibungsloses Funktionierens der Zahlungssysteme eine der zentralen Aufgaben des ESZB. Artikel 22 der Satzung des ESZB ermächtigt die EZB ferner, Verordnungen zu erlassen, um effiziente und zuverlässige Verrechnungs- und Zahlungssysteme zu gewährleisten. Es sollte ferner berücksichtigt werden, dass das ESZB nach Artikel 127 Absatz 5 des Vertrags zur reibungslosen Durchführung der Maßnahmen auf dem Gebiet der Stabilität des Finanzsystems ergriffenen Maßnahmen beiträgt. Darüber hinaus „[stellt] die Überwachung von Zahlungsverkehrs- und Abwicklungssystemen“ nach dem 2011 veröffentlichten Rahmen der Überwachungspolitik des Eurosystems  (2) „eine Aufgabe der Zentralbank [dar], bei der die Ziele der Sicherheit und Effizienz durch die Überwachung von bestehenden und geplanten Systemen gefördert werden, indem sie gemessen an diesen Zielen beurteilt und, falls erforderlich, geändert werden“.

Mit anderen Worten, die Gewährleistung sicherer und effizienter Systeme ist eine wichtige Voraussetzung für die Fähigkeit des Eurosystems, zur Stabilität des Finanzsystems beizutragen, die Geldpolitik umzusetzen und das Vertrauen der Öffentlichkeit in den Euro aufrechtzuerhalten.

Zudem ist im Einklang mit den Anmerkungen der EZB zur vorgeschlagenen Überarbeitung der Richtlinie über Zahlungsdienstleistungen (PSD2) darauf hinzuweisen, dass die nationalen Aufsichtsbehörden und Zentralbanken die Behörden sind, die für den Erlass von Leitlinien für Zahlungsdienstleister zur Bewältigung und Meldung von Sicherheitsvorfällen sowie zum Erlass von Leitlinien zum Austausch von Meldungen der Sicherheitsvorfälle zwischen den betreffenden Behörden zuständig sind. Dieser Erwägungsgrund sollte den der EZB durch die Verordnung (EU) Nr. 1024/2013 übertragenen Aufgaben gebührend Rechnung tragen.

Schließlich sollten, sofern nicht dem Euro-Währungsgebiet angehörende Mitglieder des ESZB im Rahmen ihrer nationalen Rechtsvorschriften Aufgaben wahrnehmen, die den ihnen durch den Vertrag und die Satzung übertragenen Aufgaben entsprechen, diese Aufgaben ebenso wenig beeinträchtigt werden.

Änderung 2

Artikel 1 Absatz 4 und 5 (neu)

„4.

Die EU-Vorschriften über Cyberkriminalität sowie die Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern bleiben von dieser Richtlinie unberührt (9).

5.

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (10), die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und die Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (11) bleiben von dieser Richtlinie ebenfalls unberührt.

6.

Der Austausch von Informationen über das Kooperationsnetz nach Kapitel III und die Meldung von NIS-Vorfällen nach Artikel 14 können die Verarbeitung von personenbezogenen Daten erforderlich machen. Eine solche Verarbeitung personenbezogener Daten, die notwendig ist, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, wird von den Mitgliedstaaten nach Artikel 7 der Richtlinie 95/46/EG und der Richtlinie 2002/58/EG in ihrer in einzelstaatliches Recht umgesetzten Form genehmigt.“

„4.

Die Unionsvorschriften über Cyberkriminalität sowie die Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, bleiben von dieser Richtlinie unberührt (9).

5.

Diese Richtlinie gilt unbeschadet der Überwachung und den der EZB und dem ESZB übertragenen Aufgaben im Zusammenhang mit der Aufsichts- bzw. Überwachungspolitik in Bezug auf Kreditinstitute und Zahlungsverkehrs- und Wertpapierabwicklungssysteme, für die spezifische Risikomanagement- und Sicherheitsanforderungen im regulatorischen Rahmen des ESZB sowie anderer damit verbundenen Richtlinien und Verordnungen der Union festgelegt wurden. Ebenso lässt diese Richtlinie entsprechende Aufgaben unberührt, die von den Mitgliedern des ESZB im Rahmen ihres jeweiligen nationalen Rechtsrahmens wahrgenommen werden.

5 6.

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (10), die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und die Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (11) bleiben von dieser Richtlinie ebenfalls unberührt.

6 7.

Der Austausch von Informationen über das Kooperationsnetz nach Kapitel III und die Meldung von NIS-Vorfällen nach Artikel 14 können die Verarbeitung von personenbezogenen Daten erforderlich machen. Eine solche Verarbeitung personenbezogener Daten, die notwendig ist, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, wird von den Mitgliedstaaten nach Artikel 7 der Richtlinie 95/46/EG und der Richtlinie 2002/58/EG in ihrer in einzelstaatliches Recht umgesetzten Form genehmigt.“

Wie oben ausgeführt, hat das ESZB ein eindeutiges Interesse an der Gewährleistung des ordnungsgemäßen Funktionierens der Zahlungsverkehrs- und Wertpapierabwicklungssysteme. Dies ist auf die Bedeutung der Zahlungsverkehrs-, Clearing- und Wertpapierabwicklungssysteme für die reibungslose Durchführung der geldpolitischen Geschäfte sowie auf die Rolle zurückzuführen, die diese Systeme bei der Sicherstellung der Stabilität des Finanzsystems im Allgemeinen spielen. Deshalb empfiehlt die EZB, dass der Richtlinienvorschlag der Aufgabe des ESZB im Zusammenhang mit Zahlungsverkehrs- und Wertpapierabwicklungssystemen und dem bereits bestehenden Überwachungsrahmen Rechnung trägt. Das ESZB verfügt über äußerst wirksame Instrumente zur Festlegung der Sicherheits- und Effizienzniveaus dieser Systeme. Dieser Erwägungsgrund sollte den der EZB durch die Verordnung (EU) Nr. 1024/2013 übertragenen Aufgaben gebührend Rechnung tragen.

Der Richtlinienvorschlag sollte zudem entsprechende Aufgaben unberührt lassen, die von den nicht dem Euro-Währungsgebiet angehörenden Mitgliedern des ESZB im Rahmen ihres jeweiligen nationalen Rechtsrahmens wahrgenommen werden.

Änderung 3

Artikel 6 Absatz 1

„1.

Jeder Mitgliedstaat benennt eine für die Netz- und Informationssicherheit zuständige nationale Behörde (nachfolgend die ‚zuständige Behörde‘).“

„1.

Jeder Mitgliedstaat benennt eine für die Netz- und Informationssicherheit zuständige nationale Behörde (nachfolgend die ‚zuständige Behörde‘).

Zwischen der zuständigen Behörde und den europäischen und nationalen Aufsichtsbehörden wird eine wirksame Zusammenarbeit eingerichtet.

Begründung

Die EZB empfiehlt, Artikel 6 Absatz 1 zu ändern, um eine gute Zusammenarbeit auf Unionsebene sicherzustellen

Änderung 4

Artikel 8 Absatz 3

„3.

Die zuständigen Behörden haben innerhalb des Netzes folgende Aufgaben:

a)

Verbreitung von Frühwarnungen vor Sicherheitsrisiken und -vorfällen nach Artikel 10;

b)

Gewährleistung einer koordinierten Reaktion nach Artikel 11;

c)

regelmäßige Veröffentlichung nichtvertraulicher Informationen über laufende Frühwarnungen und koordinierte Reaktionen auf einer gemeinsamen Website;

d)

auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung einer oder mehrerer der in Artikel 5 genannten nationalen NIS-Strategien und NIS-Kooperationspläne innerhalb des Geltungsbereichs der Richtlinie;

e)

auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung der Wirksamkeit der CERTs, insbesondere bei der Durchführung von NIS-Übungen auf Unionsebene;

f)

Zusammenarbeit und Informationsaustausch in Bezug auf alle einschlägigen Angelegenheiten mit dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität und anderen einschlägigen europäischen Einrichtungen in den Bereichen Datenschutz, Energie, Verkehr, Banken, Börsen und Gesundheit;

g)

Austausch von Informationen und bewährten Verfahren untereinander und mit der Kommission sowie gegenseitige Unterstützung beim Kapazitätsaufbau im Bereich der NIS;

h)

Durchführung regelmäßiger gegenseitiger Überprüfungen der Kapazitäten und der Abwehrbereitschaft;

i)

Durchführung von NIS-Übungen auf Unionsebene und gegebenenfalls Teilnahme an internationalen NIS-Übungen.“

„3.

Die zuständigen Behörden haben innerhalb des Netzes folgende Aufgaben:

a)

Verbreitung von Frühwarnungen vor Sicherheitsrisiken und -vorfällen nach Artikel 10;

b)

Gewährleistung einer koordinierten Reaktion nach Artikel 11;

c)

regelmäßige Veröffentlichung nichtvertraulicher Informationen über laufende Frühwarnungen und koordinierte Reaktionen auf einer gemeinsamen Website;

d)

auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung einer oder mehrerer der in Artikel 5 genannten nationalen NIS-Strategien und NIS-Kooperationspläne innerhalb des Geltungsbereichs der Richtlinie;

e)

auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung der Wirksamkeit der CERTs, insbesondere bei der Durchführung von NIS-Übungen auf Unionsebene;

f)

Zusammenarbeit und Informationsaustausch in Bezug auf alle einschlägigen Angelegenheiten mit dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität und anderen einschlägigen europäischen Einrichtungen in den Bereichen Datenschutz, Energie, Verkehr, Banken, Börsen und Gesundheit;

g)

Austausch von Informationen und bewährten Verfahren untereinander und mit der Kommission sowie gegenseitige Unterstützung beim Kapazitätsaufbau im Bereich der NIS;

h)

Durchführung regelmäßiger gegenseitiger Überprüfungen der Kapazitäten und der Abwehrbereitschaft;

i)

Durchführung von NIS-Übungen auf Unionsebene und gegebenenfalls Teilnahme an internationalen NIS-Übungen. ;

j)

Gewährleistung, dass der Austausch von Informationen mit europäischen und nationalen Aufsichtsbehörden (d. h. für den Finanzsektor: das Europäische System der Zentralbanken (ESZB), die Europäische Bankenaufsichtsbehörde (EBA) und die Europäische Wertpapier- und Börsenaufsichtsbehörde (ESMA), die eng zusammenarbeiten werden, wenn Sicherheitsvorfälle identifiziert werden, die das reibungslose Funktionieren der Zahlungsverkehrs- und Wertpapierabwicklungssysteme potenziell beeinträchtigen können).

Es gibt wichtige Gründe für den Austausch von Informationen mit der Europäischen Agentur für Netz- und Informationssicherheit oder den nach dem Richtlinienvorschlag zuständigen Behörden sowie mit der EBA oder ESMA als zuständigen Behörden für die Koordinierung von Reaktionen auf Sicherheitsvorfälle im Zusammenhang mit Zahlungsdienstleistern.

Daher schlägt die EZB diese Änderung vor, um den Austausch von Informationen und eine bessere Koordinierung auf Unionsebene zu fördern.

Änderung 5

Artikel 19 Absatz 1

„1.

Die Kommission wird von einem Ausschuss (Ausschuss für Netz und Informationssicherheit) unterstützt. Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.“

„1.

Die Kommission wird von einem Ausschuss (Ausschuss für Netz und Informationssicherheit) unterstützt. Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

Die EZB, die EBA und die ESMA werden ersucht, einen Vertreter zu den Sitzungen des Ausschusses für Netzwerk- und Informationssicherheit zu entsenden, wenn diese Tagesordnungspunkte betreffen, die Auswirkungen auf die Ausübung des jeweiligen Mandats der EZB, der EBA oder der ESMA haben könnten.“

Die EZB hat ein begründetes Interesse an einer höheren Sicherheit von Zahlungsverkehrs- und Abwicklungssystemen, -dienstleistungen und -instrumenten, da diese ein wichtiger Aspekt der Aufrechterhaltung des Vertrauens in den Euro und das Funktionieren der Wirtschaft in der Union ist. Deshalb empfiehlt die EZB, sie zu den Sitzungen des NIS-Ausschusses einzuladen. In jedem Fall ist die EZB nach dem Vertrag zu allen Maßnahmen im Zusammenhang mit Zahlungsverkehrssystemen und allen sonstigen Angelegenheiten, die in die Zuständigkeitsbereiche der EZB fallen, formell anzuhören.

Auch die EBA oder ESMA sollten beteiligt werden, wenn es um Angelegenheiten geht, die Zahlungsdienstleister betreffen.


(1)  Der neue Wortlaut, der nach dem Änderungsvorschlag der EZB eingefügt werden soll, erscheint in Fettschrift. Der Wortlaut, der nach dem Änderungsvorschlag der EZB gestrichen werden soll, erscheint in durchgestrichener Schrift.

(2)  Abrufbar auf der Website der EZB unter www.ecb.europa.eu


Top