Dette dokument er et uddrag fra EUR-Lex
Dokument 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Den Europæiske Centralbanks udtalelse af 25. juli 2014 om et forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (CON/2014/58)
Den Europæiske Centralbanks udtalelse af 25. juli 2014 om et forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (CON/2014/58)
EUT C 352 af 7.10.2014, s. 4–11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
DA |
Den Europæiske Unions Tidende |
C 352/4 |
DEN EUROPÆISKE CENTRALBANKS UDTALELSE
af 25. juli 2014
om et forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU
(CON/2014/58)
2014/C 352/04
Indledning og retsgrundlag
Europa-Kommissionen offentliggjorde den 7. februar 2013 et forslag til et direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (1) (herefter »direktivforslaget«).
Den Europæiske Centralbank (ECB) har besluttet at afgive en initiativudtalelse om direktivforslaget, da lovgiver ikke formelt har sendt forslaget i høring hos ECB. ECB's kompetence til at afgive udtalelse fremgår af artikel 127, stk. 4, og 282, stk. 5, i traktaten om Den Europæiske Unions funktionsmåde, da direktivforslaget indeholder bestemmelser, der påvirker Det Europæiske System af Centralbankers (ESCB) grundlæggende opgave, som er at fremme betalingssystemernes smidige funktion, som anført i traktatens artikel 127, stk. 2, fjerde led. Det fremgår endvidere af artikel 22 i statutten for Det Europæiske System af Centralbanker og Den Europæiske Centralbank (herefter »ESCB-statutten«), at ECB og de nationale centralbanker kan tilbyde faciliteter, og ECB kan udstede forordninger, med henblik på at sikre effektive og pålidelige clearing- og betalingssystemer inden for Unionen og over for tredjelande. I overensstemmelse med artikel 17.5, første punktum, i forretningsordenen for Den Europæiske Centralbank er denne udtalelse vedtaget af ECB's Styrelsesråd.
1. Direktivforslagets formål
1.1. |
Direktivforslaget skal sikre et højt fælles niveau for net- og informationssikkerhed ved at forbedre sikkerheden i internettet, netværket og informationssystemerne, der er grundstenen i vores samfund og økonomien. Dette forslag er det vigtigste skridt i den europæiske strategi for cybersikkerhed (2). |
1.2. |
Netværk og informationssystemer spiller en vigtig rolle i forbindelse med fremme af grænseoverskridende bevægelighed for varer, tjenesteydelser og personer. Denne givne transnationale dimension betyder, at en forstyrrelse af disse systemer i én medlemsstat kan berøre andre medlemsstater og EU som helhed. Sandsynligheden for at hændelser hyppigt vil opstå og den manglende evne til at sikre en effektiv beskyttelse underminerer endvidere offentlighedens tillid til net- og informationssikkerheden. Net- og informationssikkerhedens robusthed og stabilitet er derfor afgørende for at opnå et velfungerende indre marked. |
1.3. |
Direktivforslaget bygger på tidligere initiativer inden for dette område (3). På baggrund heraf erkendes det med direktivforslaget, at der er et behov for at harmonisere reglerne for net- og informationssikkerhed og for at skabe effektive samarbejdsmekanismer blandt medlemsstaterne. |
1.4. |
Med direktivforslaget fastsættes fælles EU-regler for net- og informationssikkerhed hvad angår medlemsstaternes kapaciteter, mekanismer for samarbejde på EU-plan og krav til offentlige myndigheder og også private enheder i særlige kritiske sektorer. Dette bør sikre tilstrækkeligt beredskab på nationalt plan og fremme et klima af gensidig tillid, som er en forudsætning for effektivt samarbejde på EU-plan. Oprettelsen af samarbejdsmekanismer på EU-plan via netværket vil give en sammenhængende og koordineret måde at forebygge og reagere på grænseoverskridende hændelser og risici inden for net- og informationssikkerhed. |
1.5. |
De vigtigste bestemmelser omhandler følgende:
|
2. Generelle bemærkninger
2.1. |
ECB støtter direktivforslagets mål om at sikre et højt fælles niveau for net- og informationssikkerhed i hele EU og at opnå en konsistent tilgang inden for dette område på tværs af erhvervssektorer og medlemsstater. Det er vigtigt at sikre, at det indre marked er et sikkert sted at handle, og at alle medlemsstater har et vist mindsteniveau af beredskab i tilfælde af en cybersikkerhedshændelse. |
2.2. |
ECB er imidlertid af den opfattelse, at direktivforslaget ikke bør berøre den eksisterende ordning for Eurosystemets overvågning af betalings- og afviklingssystemer (5), som omfatter passende ordninger inden for bl.a. net- og informationssikkerhed. Det bemærkes, at ECB har en særlig interesse i øget sikkerhed i betalings- og afviklingssystemerne (6), således at betalingssystemernes smidige funktion fremmes og tilliden til euroen og økonomiens funktion i EU bevares. |
2.3. |
Vurderingen af sikkerhedsordninger og anmeldelser af hændelser vedrørende betalings- og afviklingssystemer og betalingstjenesteudbydere er en af de centrale kompetencer for tilsynsmyndigheder og centralbanker. Ansvaret for at udarbejde overvågningskrav inden for de ovenfor nævnte områder bør derfor forblive hos disse myndigheder, og betalings- og afviklingssystemer og betalingstjenesteudbydere bør ikke være underlagt eventuelle modstridende krav fra andre nationale myndigheder. Risikostyring, herunder sikkerhedskrav i forhold til betalings- og afviklingssystemer og andre markedsinfrastrukturer i euroområdet, fastsættes endvidere af Eurosystemet, som består af ECB og de nationale centralbanker i de medlemsstater, der har indført euroen. Via denne overvågningsfunktion har Eurosystemet som mål at sikre betalings- og afviklingssystemernes smidige funktion ved bl.a. at anvende passende overvågningsstandarder og mindstekrav. Direktivforslaget bør tage højde for de overvågningsrammer, som allerede eksisterer, og sikre reguleringsmæssig konsistens i EU. |
3. Specifikke bemærkninger
3.1. |
Direktivforslagets betragtning 5 og artikel 1 indeholder de relevante forpligtelser, samarbejdsmekanismer og sikkerhedskrav, der skal gælde for alle offentlige myndigheder og markedsaktører. Den gældende ordlyd i betragtning 5 og artikel 1 tager ikke højde for Eurosystemets mandat, som nedfældet i traktaten, til at overvåge betalings- og afviklingssystemer. Direktivforslaget bør derfor ændres for korrekt at gengive Eurosystemets ansvar inden for dette område. |
3.2. |
Ordningerne og procedurerne for centralbankernes og andre kompetente myndigheders overvågning af betalings- og værdipapirafviklingssystemer fremgår af en række EU-direktiver og ‐forordninger, herunder navnlig:
|
3.3. |
Det skal endvidere bemærkes, at ECB's Styrelsesråd den 3. juni 2013 vedtog Principper for infrastrukturerne på de finansielle markeder, som blev indført i april 2012 af Den Internationale Betalingsbanks Komité for betalings- og afviklingssystemer (CPSS) og Den Internationale Organisation for Børstilsynsmyndigheders (IOSCO) Tekniske Komité (11), til udførelsen af Eurosystemets overvågning vedrørende alle typer af infrastrukturer på det finansielle marked. Herefter fulgte en offentlig høring vedrørende et udkast til en forordning om overvågningskrav for systemisk vigtige betalingssystemer (12). Forordningen om systemisk vigtige betalingssystemer gennemfører CPSS-IOSCO-principperne på en retligt bindende måde og dækker både betalingssystemer for store betalinger og detailbetalingssystemer af systemisk betydning, uanset om disse drives af nationale centralbanker i Eurosystemet eller af private enheder. |
3.4. |
De eksisterende overvågningsordninger (13) for betalingssystemer og betalingstjenesteudbydere indeholder allerede procedurer for tidlig varsling (14) og samordnet indsats (15) inden for og uden for Eurosystemet til håndtering af mulige cybersikkerhedstrusler svarerende til de procedurer og den indsats, der er fastsat i direktivforslagets artikel 10 og 11. |
3.5. |
ESCB har fastsat standarder vedrørende rapporterings- og risikostyringsforpligtelserne for betalingssystemer. ECB vurderer endvidere regelmæssigt værdipapirafviklingssystemer for at kunne fastslå deres egnethed i forbindelse med Eurosystemets lånetransaktioner. ECB finder derfor, at det er nødvendigt, at de krav i direktivforslaget, der har en indvirkning på de kritiske markedsinfrastrukturer (16) og deres aktører, ikke berører standarderne i forordningen for systemisk vigtige betalingssystemer, Eurosystemets overvågningspolitiske rammer eller andre EU-forordninger, herunder EMIR og den fremtidige CSD-forordning. Kravene bør endvidere ikke påvirke EBA's, ESMA's eller andre tilsynsmyndigheders opgaver (17). |
3.6. |
Uanset det ovennævnte er ECB af den opfattelse, at der er meget, der taler for, at Eurosystemet udveksler relevante oplysninger med det udvalg for net- og informationssikkerhed, der skal etableres i henhold til direktivforslagets artikel 19. Med henblik på en eventuel nødvendig effektiv udveksling af oplysninger bør ECB, EBA og ESMA inviteres til at sende repræsentanter til udvalgets møder vedrørende de punkter på dagsordenen, som kunne være relevante for udøvelsen af deres respektive mandater. |
Udfærdiget i Frankfurt am Main, den 25. juli 2014.
Mario DRAGHI
Formand for ECB
(1) KOM(2013) 48 endelig.
(2) Jf. den fælles meddelelse til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget »EU-strategi for cybersikkerhed: et åbent, sikkert og beskyttet cyberspace«, JOIN(2013) 1 final.
(3) Disse omfatter følgende meddelelser: »Net- og informationssikkerhed: Forslag til en europæisk strategi« KOM(2001) 298 endelig, »En strategi for et sikkert informationssamfund: Dialog, partnerskab og myndiggørelse« KOM(2006) 251 endelig, »Beskyttelse af kritisk informationsinfrastruktur — Beskyttelse mod storstilede cyberangreb og sammenbrud: øget beredskab, sikkerhed og robusthed« KOM(2009) 149 endelig, »En digital dagsorden for Europa« KOM(2010) 245 endelig, og »Beskyttelse af kritisk informationsinfrastruktur »Resultater og næste skridt: vejen til global internetsikkerhed«« KOM(2011) 163 endelig.
(4) Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‐tjenester (EFT L 108 af 24.4.2002, s. 33).
(5) Nogle medlemmer af ESCB udøver deres overvågningsaktiviteter på grundlag af nationale love og regler, som supplerer og i visse tilfælde gentager Eurosystemets kompetence.
(6) Begrebet »afvikling«, som anvendt i denne udtalelse, omfatter clearingfunktionen.
(7) Europa-Parlamentets og Rådets direktiv 98/26/EF af 19. maj 1998 om endelig afregning i betalingssystemer og værdipapirafviklingssystemer (EFT L 166 af 11.6.1998, s. 45).
(8) Jf. artikel 10, stk. 1, tredje led, i direktivet om endelig afregning.
(9) Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).
(10) KOM(2012) 73 endelig.
(11) Findes på Den Internationale Betalingsbanks websted https://www.bis.org/publ/cpss94.pdf
(12) Findes på ECB's websted www.ecb.europa.eu
(13) Jf. ECB's pressemeddelelse vedrørende »Memorandum of Understanding (MoU) on high-level principles of co-operation between the banking supervisors and central banks of the European Union in crisis management situations« (2003), som findes på ECB's websted www.ecb.europa.eu
(14) Jf. »Recommendation 3: incident monitoring and reporting« i »Recommendations for the security of internet payments — final version after public consultation« fra The European Forum on the Security of Retail Payments (SecuRe Pay) fra januar 2013, som findes på ECB's websted www.ecb.europa.eu
(15) Eurosystemets centralbanker har, baseret på principperne for internationalt samarbejde om overvågning, som gentaget i CPSS's overvågningsrapport fra 2005, med succes deltaget i en række samarbejdsordninger som anført, eksempelvis i forbindelse med overvågningsordningerne for SWIFT (Society for Worldwide Interbank Financial Telecommunications) og Continuous Linked Settlement (CLS).
(16) F.eks. kravene om at markedsaktører skal overholde tekniske og organisatoriske foranstaltninger i direktivforslagets artikel 14, stk. 3 og 4, og beføjelsen til at udstede bindende instrukser til markedsaktører i artikel 15, stk. 3.
(17) Jf. afsnit 2.12 i udtalelse CON/2014/9 om et forslag til Europa-Parlamentets og Rådets direktiv om betalingstjenester i det indre marked og om ændring af direktiv 2002/65/EF, 2013/36/EU og 2009/110/EF og om ophævelse af direktiv 2007/64/EF (EUT C 224 af 15.7.2014, s. 1). Alle ECB's udtalelser findes på ECB's websted www.ecb.europa.eu
BILAG
Ændringsforslag
Tekst foreslået af Kommissionen |
Ændringer foreslået af ECB (1) |
||||||||||||||||||||||||||||||||||||||||||
Ændringsforslag 1 |
|||||||||||||||||||||||||||||||||||||||||||
Betragtning 5 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Betragtning 5 bør ændres for at gengive ECB's og de nationale centralbankers ansvarsområder i forbindelse med overvågningen og reguleringen af betalings- og afviklingssystemer. I henhold til traktatens artikel 127, stk. 2, fjerde led, er det en af ESCB's centrale opgaver at fremme betalingssystemerne smidige funktion. I henhold til ESCB-statuttens artikel 22 kan ECB vedtage forordninger med henblik på at sikre effektive og pålidelige clearing- og betalingssystemer. Det bør også tages i betragtning, at ESCB i henhold til traktatens artikel 127, stk. 5, skal bidrage til en smidig gennemførelse af politikker vedrørende det finansielle systems stabilitet. I henhold til Eurosystemets Rammer for overvågningspolitik af juli 2011 (2) er overvågningen af betalings- og afviklingssystemer en centralbankfunktion, hvorved målene om sikkerhed og effektivitet fremmes ved at overvåge eksisterende og planlagte systemer, vurdere disse i forhold til målene, og om nødvendigt foretage ændringer. Med andre ord er en tilsikring af, at systemerne er sikre og effektive, en vigtig forudsætning for Eurosystemets evne til at bidrage til finansiel stabilitet, gennemføre pengepolitikken og bevare offentlighedens tillid til euroen. I overensstemmelse med ECB's bemærkninger vedrørende den foreslåede revision af betalingstjenestedirektivet (PSD2) bør det endvidere bemærkes, at de nationale tilsynsmyndigheder og centralbanker er de kompetente myndigheder i forbindelse med udstedelse af retningslinjer om styring og varsling af hændelser for betalingstjenesteudbydere samt udstedelse af retningslinjer om udveksling af hændelsesvarslinger mellem de relevante myndigheder. Betragtningen bør også tage højde for de opgaver, som er overdraget til ECB ved forordning (EU) nr. 1024/2013. Hvis ESCB-medlemmer uden for euroområdet udfører funktioner, der svarer til opgaver i traktaten og ESCB-statutten, i henhold til deres nationale bestemmelser, bør disse funktioner heller ikke berøres. |
|||||||||||||||||||||||||||||||||||||||||||
Ændringsforslag 2 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 1, stk. 4 og 5 (ny) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Som anført ovenfor har ESCB en betydelig interesse i at sikre, at betalings- og afviklingssystemer fungerer korrekt. Dette udspringer af, hvor vigtige betalings-, clearing- og afviklingssystemer er for den smidige udførelse af pengepolitiske operationer, og af den rolle de har i generelt at sikre det finansielle systems stabilitet. ECB henstiller derfor, at direktivforslaget tager højde for ESCB's rolle i forbindelse med betalings- og afviklingssystemer og de overvågningsrammer, der allerede eksisterer. ESCB har meget effektive redskaber til fastsættelse af niveauet for disse systemers sikkerhed og effektivitet. Betragtningen bør også tage højde for de opgaver, som er overdraget til ECB ved forordning (EU) nr. 1024/2013. Direktivforslaget bør heller ikke berøre tilsvarende funktioner, der udføres af medlemmer af ESCB uden for euroområdet i henhold til deres nationale regler. |
|||||||||||||||||||||||||||||||||||||||||||
Ændringsforslag 3 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 6, stk. 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Begrundelse ECB anbefaler, at artikel 6, stk. 1, ændres for at sikre et godt samarbejdsniveau på EU-plan. |
|||||||||||||||||||||||||||||||||||||||||||
Ændringsforslag 4 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 8, stk. 3 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Der er meget, der taler for udveksling af oplysninger med Det Europæiske Agentur for Net- og Informationssikkerhed eller de kompetente myndigheder i henhold til direktivforslaget og med EBA eller ESMA som de kompetente myndigheder for samordning af reaktioner på hændelser vedrørende betalingstjenesteudbydere. ECB foreslår derfor denne ændring med henblik på at fremme udveksling af informationer og bedre samordning på EU-plan. |
|||||||||||||||||||||||||||||||||||||||||||
Ændringsforslag 5 |
|||||||||||||||||||||||||||||||||||||||||||
Artikel 19, stk. 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
ECB, EBA og ESMA inviteres til at sende en repræsentant til møderne i Udvalget for Net- og Informationssikkerhed vedrørende punkter på dagsordenen, der kan påvirke udførelsen af ECB's, EBA's eller ESMA's respektive mandater.« |
||||||||||||||||||||||||||||||||||||||||||
ECB har en særlig interesse i øget sikkerhed i betalings- og afviklingssystemer, tjenester og instrumenter, da disse udgør en vigtig del i forbindelse med bevarelse af tilliden til den fælles valuta og til økonomiens funktion i EU. I denne henseende henstiller ECB at blive inviteret med til møderne i NIS-udvalget. ECB skal under alle omstændigheder formelt høres i henhold til traktaten om alle foranstaltninger vedrørende betalingssystemer og andre emner, der hører ind under ECB's kompetenceområder. EBA og ESMA bør også inddrages i spørgsmål, der vedrører betalingstjenesteudbydere. |
(1) Fed skrift i brødteksten angiver, hvor ECB foreslår, at ny tekst indsættes. Gennemstreget skrift i brødteksten angiver, hvor ECB foreslår, at teksten udgår.
(2) Findes på ECB's websted www.ecb.europa.eu