EUR-Lex Достъп до правото на Европейския съюз
Този документ е извадка от уебсайта EUR-Lex.
Документ 52014AB0058
Opinion of the European Central Bank of 25 July 2014 on a proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union (CON/2014/58)
Становище на Европейската централна банка от 25 юли 2014 година относно предложение за директива на Европейския парламент и на Съвета относно мерки за гарантиране на високо общо ниво на мрежова и информационна сигурност в Съюза (CON/2014/58)
Становище на Европейската централна банка от 25 юли 2014 година относно предложение за директива на Европейския парламент и на Съвета относно мерки за гарантиране на високо общо ниво на мрежова и информационна сигурност в Съюза (CON/2014/58)
OB C 352, 7.10.2014г., стр. 4—11
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
7.10.2014 |
BG |
Официален вестник на Европейския съюз |
C 352/4 |
СТАНОВИЩЕ НА ЕВРОПЕЙСКАТА ЦЕНТРАЛНА БАНКА
от 25 юли 2014 година
относно предложение за директива на Европейския парламент и на Съвета относно мерки за гарантиране на високо общо ниво на мрежова и информационна сигурност в Съюза
(CON/2014/58)
2014/C 352/04
Въведение и правно основание
На 7 февруари 2013 г. Европейската комисия публикува предложение за директива относно мерки за гарантиране на високо общо ниво на мрежова и информационна сигурност в Съюза (1) (наричана по-долу „предложената директива“).
Тъй като законодателите не са провели официално консултация с Европейската централна банка (ЕЦБ), тя реши по собствена инициатива да даде становище относно предложената директива. ЕЦБ е компетентна да даде становище на основание член 127, параграф 4 и член 282, параграф 5 от Договора за функционирането на Европейския съюз, тъй като в предложената директива се съдържат разпоредби, които засягат задачата на Европейската система на централните банки (ЕСЦБ) да насърчава нормалното функциониране на платежните системи, както е посочено в член 127, параграф 2, четвърто тире от Договора. Освен това член 22 от Устава на Европейската система на централните банки и на Европейската централна банка (наричан по-долу „Уставът на ЕСЦБ“) предвижда, че ЕЦБ и националните централни банки (НЦБ) могат да осигурят улеснения, а ЕЦБ да приеме регламенти, гарантиращи ефикасни и стабилни клирингови и платежни системи в рамките на Съюза и с други държави. Управителният съвет прие настоящото становище съгласно член 17.5, първо изречение от Процедурния правилник на Европейската централна банка.
1. Цел на предложената директива
1.1. |
С предложената директива се цели да се гарантира високо общо ниво на мрежова и информационна сигурност (МИС), като се подобри сигурността на интернет и на мрежовите и информационни системи, които са в основата на нашето общество и икономика. Настоящото предложение е основното действие по европейската стратегия за киберсигурност (2). |
1.2. |
Мрежовите и информационните системи играят основна роля за улесняването на трансграничното движение на стоки, услуги и хора. Поради това вътрешно присъщо транснационално измерение на системите нарушенията в тяхното функциониране в една държава членка могат да засегнат и други държави членки, както и Съюза като цяло. Освен това вероятността от честото възникване на инциденти и неспособността да се гарантира ефикасна защита подкопават общественото доверие в МИС. Поради това устойчивостта и стабилността на МИС са от основно значение за нормалното функциониране на вътрешния пазар. |
1.3. |
Предложената директива се основава на предходни инициативи в тази област (3). В този контекст в предложената директива се отчита необходимостта от хармонизация на правилата за МИС и от създаване на ефективни механизми за сътрудничество сред държавите членки. |
1.4. |
С предложената директива в Съюза се създава обща правна рамка за МИС по отношение на капацитета на държавите членки, механизмите за сътрудничество на равнището на Съюза и изискванията към публичните администрации и към субектите от частния сектор в конкретни критични сектори. С това следва да се гарантира адекватна готовност на национално равнище и да се съдейства за създаването на климат на взаимно доверие, което е предпоставка за ефективно сътрудничество на равнището на Съюза. С изграждането на механизми за сътрудничество на равнището на Съюза чрез мрежата ще се създадат последователни и координирани средства за предотвратяване на трансграничните инциденти и рискове в МИС и за реагиране при тяхното настъпване. |
1.5. |
Основните разпоредби се отнасят до следното:
|
2. Общи забележки
2.1. |
ЕЦБ подкрепя целта на предложената директива: да се осигури високо общо равнище на МИС в Съюза и да се постигне възприемането на последователен подход в тази област във всички стопански сектори и държави членки. Важно е да се гарантира, че вътрешният пазар е сигурно място за извършване на стопанска дейност и че всички държави членки разполагат с известно минимално равнище на готовност в случай на инцидент, засягащ киберсигурността. |
2.2. |
ЕЦБ обаче счита, че предложената директива не следва да засяга действащия режим за надзора на Евросистемата върху платежните системи и системите за сетълмент (5), който включва, inter alia, целесъобразни правила в областта на МИС. Следва да се отбележи, че за да насърчава нормалното функциониране на платежните системи и за да съдейства за поддържането на доверието в еврото и на функционирането на икономиката в Съюза, ЕЦБ има особен интерес от наличието на по-съвършена сигурност на платежните системи и системите за сетълмент (6). |
2.3. |
Освен това едно от основните правомощия на органите за пруденциален надзор и на централните банки е оценката на правилата в областта на сигурността и на уведомленията за инциденти за платежните системи и системите за сетълмент и за доставчиците на платежни услуги (ДПУ). Следователно тези органи следва да запазят отговорността за разработването на надзорните изисквания в гореспоменатите области, а платежните системи, системите за сетълмент и ДПУ не следва да са обект на евентуално противоречащи изисквания, наложени от други национални органи. Освен това Евросистемата, която се състои от ЕЦБ и НЦБ на държавите членки, които са приели еврото, определя изискванията за управлението на риска, включително и изискванията за сигурност по отношение на платежните системи и системите за сетълмент и на другите пазарни инфраструктури в еврозоната. Чрез тази надзорна функция и като прилага, inter alia, подходящи надзорни стандарти и минимални изисквания, Евросистемата се стреми да осигури нормалното функциониране на платежните системи и системите за сетълмент. В предложената директива следва да се отчете вече съществуващата надзорна рамка и да се осигури последователност на правната уредба в Съюза. |
3. Специфични забележки
3.1. |
В съображение 5 и в член 1 от предложената директива се предвижда, че съответните задължения, механизми за сътрудничество и изисквания за сигурност се прилагат към всички публични администрации и участници на пазара. В сегашната редакция на съображение 5 и на член 1 не се отчита закрепеното в Договора правомощие на Евросистемата да осъществява надзор върху платежните системи и системите за сетълмент. Ето защо предложената директива следва да бъде изменена, за да отразява точно отговорностите на Евросистемата в тази област. |
3.2. |
Правилата и процедурите за осъществяването на надзор върху платежните системи и системите за сетълмент от страна на централните банки и другите компетентни органи се съдържат в редица директиви и регламенти на Съюза, и по-конкретно във:
|
3.3. |
Освен това следва да се отбележи, че на 3 юни 2013 г. Управителният съвет на ЕЦБ прие принципите за инфраструктурите на финансовите пазари, въведени през април 2012 г. от Комитета по платежни и сетълмент системи (КПСС) на Банката за международни разплащания и от Техническия комитет на Международната организация на комисиите за ценни книжа (МОКЦК) (11), при осъществяването на надзора на Евросистемата по отношение на всички видове инфраструктури на финансовите пазари. Последва публична консултация относно предложение за регламент относно надзорните изисквания за системно важните платежни системи (наричан по-долу „Регламентът за СВПС“) (12). С Регламента за СВПС принципите на КПСС — МОКЦК се прилагат по правнообвързващ начин и обхващат както платежни системи за големи плащания, така и платежни системи за плащания на дребно от системно значение, независимо от това дали техни оператори са НЦБ от Евросистемата, или частни субекти. |
3.4. |
В действащите правила за надзора (13) по отношение на платежните системи и ДПУ вече се съдържат процедури за ранно предупреждение (14) и координирани отговори (15) в рамките на Евросистемата и извън нея с оглед на преодоляването на евентуалните заплахи за киберсигурността, които са еквивалентни на предвидените в членове 10 и 11 от предложената директива. |
3.5. |
ЕСЦБ определи стандартите за докладване и задълженията за управление на риска за платежните системи. Освен това ЕЦБ редовно прави оценка на системите за сетълмент на ценни книжа с оглед на определяне на допустимостта им за използване при кредитни операции на Евросистемата. Ето защо ЕЦБ счита, че е необходимо предвидените в предложената директива изисквания, които се отнасят до критичните пазарни инфраструктури и техните оператори (16), да не накърняват стандартите, заложени в Регламента за СВПС, Рамката на надзорната политика на Евросистемата или други регламенти на Съюза, в частност Регламента за европейската пазарна инфраструктура (EMIR) и бъдещия регламент за ЦДЦК. Освен това тези изисквания не следва да възпрепятстват изпълнението на задачите на ЕБО или ЕОЦКП и на други органи за пруденциален надзор (17). |
3.6. |
Независимо от горепосоченото ЕЦБ счита, че са налице силни аргументи за това Евросистемата да обменя необходимата информация с Комитета по мрежова и информационна сигурност, който се създава съгласно член 19 от предложената директива. С оглед на ефективния обмен на информация, който може да стане необходим, ЕЦБ, ЕБО и ЕОЦКП следва да бъдат поканени да изпратят представители на заседанията на Комитета по мрежова и информационна сигурност, когато в дневния ред са включени теми, които могат да представляват интерес с оглед на изпълнението на съответните им правомощия. |
Съставено във Франкфурт на Майн на 25 юли 2014 година.
Председател на ЕЦБ
Mario DRAGHI
(1) COM(2013) 48 окончателен.
(2) Вж. съвместното съобщение до Европейския парламент, Съвета, Европейския икономически и социален комитет и Комитета на регионите „Стратегия на Европейския съюз за киберсигурност: отворено, безопасно и сигурно киберпространство“, JOIN(2013) 1 final.
(3) Сред тях са следните съобщения: „Мрежова и информационна сигурност: предложение за създаване на европейска политика“, COM(2001) 298 окончателен; „Стратегия за сигурно информационно общество — диалог, партньорство и оправомощаване“, COM(2006) 251 окончателен; „Защита на критичната информационна инфраструктура — защита на Европа от широкомащабни кибернетични атаки и смущения: повишаване на готовността, сигурността и устойчивостта“, COM(2009) 149 окончателен; „Програма в областта на цифровите технологии за Европа“, COM(2010) 245 окончателен; и „Защита на критичната информационна инфраструктура — постижения и предстоящи стъпки за постигане на сигурност в световното кибернетично пространство“, COM(2011) 163 окончателен.
(4) Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март 2002 г. относно общата регулаторна рамка за електронните съобщителни мрежи и услуги (ОВ L 108, 24.4.2002 г., стр. 33).
(5) Надзорните функции на някои членове на ЕСЦБ се осъществяват въз основа на националните законови и подзаконови актове, които допълват, а в някои случаи дублират, правомощията на Евросистемата.
(6) В смисъла на термина „сетълмент“, използван в настоящото становище, се включва и функция за клиринг.
(7) Директива 98/26/ЕО на Европейския парламент и на Съвета от 19 май 1998 г. относно окончателността на сетълмента в платежните системи и в системите за сетълмент на ценни книжа (ОВ L 166, 11.6.1998 г., стр. 45).
(8) Вж. член 10, параграф 1, третата алинея от Директивата относно окончателността на сетълмента.
(9) Регламент (ЕС) № 648/2012 на Европейския парламент и на Съвета от 4 юли 2012 г. относно извънборсовите деривати, централните контрагенти и регистрите на трансакции (ОВ L 201, 27.7.2012 г., стр. 1).
(10) COM(2012) 73 окончателен.
(11) Достъпни на уебсайта на Банката за международни разплащания https://www.bis.org/publ/cpss94.pdf
(12) Достъпно на уебсайта на ЕЦБ http://www.ecb.europa.eu
(13) Вж. прессъобщението на ЕЦБ относно меморандума за разбирателство между органите за банков надзор и централните банки в Европейския съюз относно общите принципи за ситуации при управление на кризи (2003 г.), достъпно на уебсайта на ЕЦБ www.ecb.europa.eu
(14) Вж. препоръка 3 „Наблюдение на инцидентите и докладване“ от Препоръките за сигурността на интернет плащанията — окончателна версия след публична консултация, Европейски форум за сигурността на плащанията на дребно (SecuRe Pay), януари 2013 г., достъпни на уебсайта на ЕЦБ www.ecb.europa.eu
(15) Въз основа на принципите за съвместен международен надзор, повторени в надзорния доклад на КПСС от 2005 г., централните банки от Евросистемата участваха с успех в споразумения за сътрудничество в редица случаи, както е видно например в контекста на надзорните споразумения за СУИФТ (Обществото за световна междубанкова финансова телекомуникация) и за системата за непрекъснат свързан процес на сетълмент (CLS).
(16) Например изискванията по член 14, параграфи 3 и 4 към участниците на пазара да предприемат технически и организационни мерки и правомощието по член 15, параграф 3 от предложената директива за издаване на задължителни инструкции за участниците на пазара.
(17) Вж. параграф 2.12 от Становище CON/2014/9 на ЕЦБ относно предложение за директива на Европейския парламент и на Съвета относно платежните услуги във вътрешния пазар, за изменение на директиви 2002/65/ЕО, 2013/36/ЕС и 2009/110/ЕО и за отмяна на Директива 2007/64/ЕО (ОВ C 224, 15.7.2014 г., стр. 1). Всички становища на ЕЦБ са публикувани на уебсайта на ЕЦБ www.ecb.europa.eu
ПРИЛОЖЕНИЕ
Предложения за изменения
Текст, предложен от Комисията |
Изменения, предложени от ЕЦБ (1) |
||||||||||||||||||||||||||||||||||||||||||
Изменение 1 |
|||||||||||||||||||||||||||||||||||||||||||
Съображение 5 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Съображение 5 следва да бъде изменено, за да отрази отговорностите на ЕЦБ и НЦБ за надзора и регулацията на платежните системи и системите за сетълмент. Съгласно член 127, параграф 2, четвъртото тире от Договора една от основните задачи на ЕСЦБ е да насърчава нормалното функциониране на платежните системи. По силата на член 22 от Устава на ЕСЦБ ЕЦБ разполага и с правомощието да приема регламенти, гарантиращи ефикасни и стабилни клирингови и платежни системи. Следва да се отчете и това, че съгласно член 127, параграф 5 от Договора ЕСЦБ допринася за гладкото провеждане на политиките, свързани със стабилността на финансовата система. Освен това според Рамката на надзорната политика на Евросистемата от юли 2011 г. (2) „надзорът върху платежните системи и системите за сетълмент е функция на централните банки, чрез която се насърчава постигането на целите за сигурност и ефикасност чрез наблюдението на системите, които съществуват, и на системите, чието създаване предстои, като те се оценяват според тези цели, и ако е необходимо, чрез въвеждането на промени“. С други думи, осигуряването на сигурни и ефикасни системи е важна предпоставка за способността на Евросистемата да допринася за финансовата стабилност, да прилага паричната политика и да поддържа общественото доверие в еврото. Освен това в съответствие с коментарите на ЕЦБ по предложеното изменение на директивата относно платежните услуги (PSD2) следва да се отбележи, че националните надзорни органи и централните банки са органите, компетентни да издават насоки относно управлението на инцидентите и уведомленията за тях за ДПУ, както и да издават насоки относно обмена на уведомления за инциденти между съответните органи. В това съображение следва да се отдаде дължимото внимание на задачите, възложени на ЕЦБ с Регламент (EС) № 1024/2013. На последно място, когато член на ЕСЦБ извън еврозоната изпълнява по силата на националното си законодателство функции, еквивалентни на задачите по Договора и Устава на ЕСЦБ, тези функции не следва да бъдат засегнати. |
|||||||||||||||||||||||||||||||||||||||||||
Изменение 2 |
|||||||||||||||||||||||||||||||||||||||||||
Член 1, параграфи 4 и 5 (нов) |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Както е отбелязано по-горе, ЕСЦБ е силно заинтересована да осигури платежни системи и системи за сетълмент, които функционират добре. Това произтича от важността на платежните системи, клиринговите системи и системите за сетълмент за безпрепятственото осъществяване на операции по паричната политика и от ролята, която те играят за осигуряването на стабилността на финансовата система като цяло. Ето защо ЕЦБ препоръчва в предложената директива да се отбележи ролята на ЕСЦБ по отношение на платежните системи и системите за сетълмент и по отношение на вече съществуващата надзорна рамка. ЕСЦБ разполага с високоефективни инструменти, с които определя нивата на сигурност и ефикасност на тези системи. В това съображение следва да се отдаде дължимото внимание на задачите, възложени на ЕЦБ с Регламент (EС) № 1024/2013. Предложената директива не следва да засяга и еквивалентните функции, изпълнявани от членовете на ЕСЦБ извън еврозоната, съгласно националните им уредби. |
|||||||||||||||||||||||||||||||||||||||||||
Изменение 3 |
|||||||||||||||||||||||||||||||||||||||||||
Член 6, параграф 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Обяснение ЕЦБ препоръчва член 6, параграф 1 да бъде изменен, за да се осигури добро ниво на сътрудничество на равнището на Съюза. |
|||||||||||||||||||||||||||||||||||||||||||
Изменение 4 |
|||||||||||||||||||||||||||||||||||||||||||
Член 8, параграф 3 |
|||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||
Налице са силни аргументи за обмен на информация с Европейската агенция за мрежова и информационна сигурност или с компетентните органи по силата на предложената директива, както и с ЕБО или ЕОЦКП като компетентни органи по координирането на отговорите при инциденти, свързани с ДПУ. Затова ЕЦБ предлага настоящото изменение с цел да насърчи обмена на информация и по-добрата координация на равнището на Съюза. |
|||||||||||||||||||||||||||||||||||||||||||
Изменение 5 |
|||||||||||||||||||||||||||||||||||||||||||
Член 19, параграф 1 |
|||||||||||||||||||||||||||||||||||||||||||
|
ЕЦБ, ЕБО и ЕОЦКП се приканват да изпратят представител на заседанията на Комитета по мрежова и информационна сигурност, когато в дневния ред са включени теми, които биха имали последици за изпълнението на съответните правомощия на ЕЦБ, ЕБО или ЕОЦКП.“ |
||||||||||||||||||||||||||||||||||||||||||
ЕЦБ има правен интерес от подобряването на сигурността на платежните системи и системите за сетълмент, на услугите и инструментите като важен елемент от поддържането на доверието в единната парична единица и безпрепятственото функциониране на икономиката в Съюза. За тази цел ЕЦБ препоръчва да бъде канена на заседанията на Комитета по мрежова и информационна сигурност. При всяко положение с ЕЦБ трябва да бъде проведена официална консултация по силата на Договора относно всички мерки, свързани с платежните системи, или относно всякакви други въпроси, които попадат в сферата ѝ на компетентност. ЕБО и ЕОЦКП следва също да участват по темите, свързани с ДПУ. |
(1) Получерният шрифт се отнася за нов текст, който ЕЦБ предлага да бъде добавен. Зачертаването в текста се отнася за текст, който ЕЦБ предлага да бъде заличен.
(2) Достъпна на уебсайта на ЕЦБ www.ecb.europa.eu