(2022/C 134/01)

(Dz.U.UE C z dnia 25 marca 2022 r.)

RADA GENERALNA EUROPEJSKIEJ RADY DS. RYZYKA SYSTEMOWEGO,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając Porozumienie o Europejskim Obszarze Gospodarczym 1 , w szczególności załącznik IX,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1092/2010 z dnia 24 listopada 2010 r. w sprawie unijnego nadzoru makroostrożnościowego nad systemem finansowym i ustanowienia Europejskiej Rady ds. Ryzyka Systemowego 2 , w szczególności art. 3 ust. 2 lit. b) i d) oraz art. 16 i art. 18,

uwzględniając decyzję Europejskiej Rady ds. Ryzyka Systemowego ERRS/2011/1 z dnia 20 stycznia 2011 r. ustanawiającą regulamin Europejskiej Rady ds. Ryzyka Systemowego 3 , w szczególności art. 18-20,

a także mając na uwadze, co następuje:

(1) Zgodnie z motywem 4 rozporządzenia Europejskiej Rady ds. Ryzyka Systemowego ERRS/2013/1 4  ostatecznym celem polityki makroostrożnościowej jest przyczynianie się do ochrony stabilności systemu finansowego jako całości, w tym poprzez wzmacnianie odporności systemu finansowego i ograniczanie powstawania ryzyk systemowych, a tym samym zapewnianie trwałego wkładu sektora finansowego do wzrostu gospodarczego. Europejska Rada ds. Ryzyka Systemowego (ERRS) jest odpowiedzialna za sprawowanie nadzoru makroostrożnościowego nad systemem finansowym w Unii. Wykonując swój mandat, ERRS powinna przyczyniać się do zapobiegania ryzyku systemowemu i do łagodzenia jego skutków, w tym związanych z cyberincydentami, a także proponować sposoby ograniczania tego ryzyka.

(2) Poważne cyberincydenty mogą stwarzać ryzyko systemowe dla systemu finansowego ze względu na możliwość zakłócenia przez nie kluczowych usług i operacji finansowych. Początkowy wstrząs może zostać spotęgowany przez efekt "zarażenia" operacyjnego lub finansowego albo w wyniku osłabienia zaufania do systemu finansowego. Jeżeli system finansowy nie będzie w stanie amortyzować tych wstrząsów, stabilność finansowa będzie zagrożona, a sytuacja ta może doprowadzić do kryzysu cybernetycznego o charakterze systemowym 5 .

(3) Stale ewoluujący krajobraz zagrożeń cybernetycznych i niedawny wzrost liczby poważnych cyberincydentów wskazują na wyższe ryzyko dla stabilności finansowej w Unii. Pandemia COVID-19 uwydatniła rolę technologii w umożliwianiu funkcjonowania systemu finansowego. Odpowiednie organy i instytucje musiały dostosować swoją infrastrukturę techniczną i ramy zarządzania ryzykiem do nagłego wzrostu liczby osób pracujących zdalnie, co zwiększyło ogólne narażenie systemu finansowego na zagrożenia cybernetyczne i umożliwiło przestępcom zarówno opracowanie nowych sposobów działania, jak i dostosowanie istniejących metod w celu wykorzystania tej sytuacji 6 . W tym kontekście liczba cyberincydentów zgłoszonych Nadzorowi Bankowemu EBC w 2020 r. wzrosła o 54 % w porównaniu z 2019 r 7 .

(4) Potencjalnie duża skala, szybkość i tempo rozprzestrzeniania się poważnych cyberincydentów wymagają skutecznej reakcji ze strony odpowiednich organów w celu ograniczenia potencjalnych negatywnych skutków dla stabilności finansowej. Szybka koordynacja i komunikacja między odpowiednimi organami na poziomie Unii może ułatwić wczesną ocenę wpływu poważnego cyberincydentu na stabilność finansową, utrzymanie zaufania do systemu finansowego i ograniczenie efektu "zarażenia" innych instytucji finansowych, a tym samym przyczynić się do zapobieżenia sytuacji, w której poważny cyberincydent stałby się zagrożeniem dla stabilności finansowej.

(5) Wstrząs leżący u podstaw kryzysu ma nowatorski charakter w porównaniu z tradycyjnymi kryzysami finansowymi i płynnościowymi, z którymi dotychczas zmagały się odpowiednie organy. Oprócz aspektów finansowych ogólna ocena ryzyka musi obejmować skalę i skutki zakłóceń operacyjnych, ponieważ mogą one wpływać na wybór narzędzi makroostrożnościowych. Stabilność finansowa może również wpływać na wybór środków ograniczających ryzyko operacyjne przez specjalistów ds. cyberbezpieczeństwa. Wymaga to ścisłej i szybkiej koordynacji oraz otwartej komunikacji, m.in. w celu uzyskania orientacji sytuacyjnej.

(6) Zachodzi ryzyko niepowodzenia koordynacji po stronie organów, któremu należy przeciwdziałać. Konieczne będzie koordynowanie działań przez odpowiednie organy w Unii między sobą z innymi organami, takimi jak Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), z którymi zazwyczaj nie współdziałają. Ponieważ wiele unijnych instytucji finansowych działa na całym świecie, zachodzi duże prawdopodobieństwo, że poważny cyberincydent nie będzie ograniczony do obszaru Unii lub może zostać wywołany poza Unią i wymagać globalnej koordynacji działań.

(7) Odpowiednie organy muszą być przygotowane na takie interakcje. W przeciwnym razie zachodzi ryzyko podjęcia przez nie niespójnych działań, które będą sprzeczne z reakcjami innych organów lub będą im zagrażać. Taki brak koordynacji mógłby spotęgować wstrząs dla systemu finansowego, prowadząc do erozji zaufania do funkcjonowania systemu finansowego, co w najgorszym scenariuszu stanowiłoby zagrożenie dla stabilności finansowej 8 . Należy zatem podjąć niezbędne kroki w celu przeciwdziałania zagrożeniu dla stabilności finansowej wynikającemu z niepowodzenia koordynacji w przypadku poważnego cyberincydentu.

(8) W sprawozdaniu ERRS z 2021 pt. "Mitigating systemic cyber risk" 9  wskazano na potrzebę ustanowienia paneuropejskich ram koordynacji dla odpowiednich organów w Unii w odniesieniu do cyberincydentów o charakterze systemowym (zwanych dalej "paneuropejskimi ramami koordynacji w odniesieniu do cyberincydentów systemowych"). Celem paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych byłoby zwiększenie poziomu gotowości odpowiednich organów w celu ułatwienia skoordynowanej reakcji na potencjalnie poważne cyberincydenty. We wspomnianym sprawozdaniu ERRS z 2021 r. przedstawiono dokonaną przez ERRS ocenę cech takich ram koordynacji, które, według wstępnych ustaleń, byłyby konieczne do ograniczenia ryzyka niepowodzenia koordynacji.

(9) Głównym celem niniejszego zalecenia jest wykorzystanie jednej z ról Europejskich Urzędów Nadzoru przewidzianych we wniosku dotyczącym rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego 10  (zwanego dalej "rozporządzeniem w sprawie operacyjnej odporności cyfrowej sektora finansowego") polegającej na stopniowym umożliwianiu skutecznej skoordynowanej reakcji na szczeblu Unii w przypadku poważnego transgranicznego incydentu związanego z technologiami teleinformatycznymi (ICT) lub powiązanego z takim incydentem zagrożenia mającego systemowy wpływ na cały sektor finansowy Unii. Proces ten doprowadzi do stworzenia paneuropejskich ram koordynacji dla odpowiednich organów w odniesieniu do cyberincydentów systemowych.

(10) Celem paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych nie powinno być zastąpienie istniejących ram, lecz wypełnienie ewentualnych luk w koordynacji i komunikacji między samymi odpowiednimi organami oraz między odpowiednimi organami a innymi organami w Unii oraz innymi kluczowymi podmiotami na poziomie międzynarodowym. W związku z tym należy rozważyć włączenie paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych do istniejących ram dotyczących kryzysu finansowego i unijnych ram dotyczących cyberincydentów. Jeżeli chodzi o koordynację między odpowiednimi organami, należy wziąć pod uwagę między innymi role i działania grupy współpracy ds. bezpieczeństwa sieci i systemów informatycznych (NIS) dla podmiotów finansowych, o której mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 11 , mechanizmy koordynacji przewidziane w ramach utworzenia wspólnej jednostki ds. cyberprzestrzeni, a także zaangażowanie Agencji Unii Europejskiej ds. Cyberbezpieczeństwa.

(11) W szczególności propozycja rozpoczęcia przygotowań do ustanowienia paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych ma na celu wyrażenie poparcia dla potencjalnych zadań Europejskich Urzędów Nadzoru, zgodnie z wnioskiem dotyczącym rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego. We wniosku tym stwierdza się, że: "Europejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu i we współpracy z właściwymi organami, Europejskim Bankiem Centralnym (EBC) i ERRS, mogą ustanowić mechanizmy umożliwiające wymianę skutecznych praktyk między sektorami finansowymi, aby zwiększyć orientację sytuacyjną i zidentyfikować wspólne dla sektorów finansowych luki i rodzaje ryzyka w cyberprzestrzeni" oraz "mogą one opracować ćwiczenia z zakresu zarządzania kryzysowego i sytuacji awaryjnych obejmujące scenariusze cyberataków w celu wypracowania kanałów komunikacyjnych i stopniowego umożliwiania skutecznej skoordynowanej reakcji na poziomie UE w przypadku poważnego transgranicznego incydentu związanego z ICT lub powiązanego zagrożenia mającego systemowy wpływ na cały sektor finansowy Unii" 12 . Nie istnieją jeszcze paneuropejskie ramy takie jak paneuropejskie ramy koordynacji w odniesieniu do cyberincydentów systemowych - należy je ustanowić i opracować w kontekście rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego.

(12) Biorąc pod uwagę zagrożenie dla stabilności finansowej w Unii wynikające z ryzyka cybernetycznego, prace przygotowawcze mające na celu stopniowe ustanowienie paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych powinny, w miarę możliwości, rozpocząć się jeszcze przed pełnym wdrożeniem ram prawnych i politycznych wymaganych dla jego ustanowienia. Te ramy prawne i polityczne zostałyby w pełni ukończone i sfinalizowane po tym, jak zaczną obowiązywać odpowiednie przepisy rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i aktów delegowanych na podstawie tego rozporządzenia.

(13) Skuteczna komunikacja przyczynia się do poprawy orientacji sytuacyjnej wśród odpowiednich organów, a zatem stanowi niezbędny warunek wstępny ogólnounijnej koordynacji podczas poważnych cyberincydentów. W związku z tym należy zdefiniować infrastrukturę komunikacyjną niezbędną do koordynowania reakcji na poważny cyberincydent. Oznaczałoby to określenie rodzaju informacji, które powinny być udostępniane, regularnych kanałów wymiany takich informacji oraz punktów kontaktowych, którym informacje powinny być przekazywane. Wymiana informacji musi być zgodna z obowiązującymi wymogami prawnymi. Ponadto konieczne może być opracowanie przez odpowiednie organy jasnego planu działania i protokołów, których należy przestrzegać, aby zapewnić właściwą koordynację między organami zaangażowanymi w planowanie skoordynowanej reakcji na poważny cyberincydent.

(14) Kryzys cybernetyczny o charakterze systemowym będzie wymagał pełnej współpracy na szczeblu krajowym i unijnym. W związku z tym można zaplanować wyznaczenie punktów kontaktowych dla Europejskich Urzędów Nadzoru, EBC i dla każdego państwa członkowskiego spośród ich odpowiednich organów krajowych w celu ustanowienia głównych podmiotów w paneuropejskich ramach koordynacji w odniesieniu do cyberincydentów systemowych, które będą informowane w przypadku wystąpienia poważnego cyberincydentu. Podczas opracowywania paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych należy ocenić potrzebę wyznaczenia punktów kontaktowych, biorąc pod uwagę pojedynczy punkt kontaktowy przewidziany dyrektywą (UE) 2016/1148, który państwa członkowskie ustanowiły w zakresie bezpieczeństwa sieci i systemów informatycznych w celu zapewnienia współpracy transgranicznej z innymi państwami członkowskimi oraz z Grupą Współpracy ds. bezpieczeństwa sieci i systemów informatycznych 13 .

(15) Prowadzenie ćwiczeń w zakresie zarządzania kryzysowego i sytuacji awaryjnych mogłoby ułatwić wdrożenie paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych oraz umożliwić organom ocenę ich gotowości i stanu przygotowania na kryzys cybernetyczny o charakterze systemowym na poziomie Unii. Takie ćwiczenia pozwoliłyby organom na zdobycie doświadczenia oraz umożliwiłyby ciągłe usprawnianie i doskonalenie paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych.

(16) Aby opracować paneuropejskie ramy koordynacji w odniesieniu do cyberincydentów systemowych, konieczne jest wspólne przeprowadzenie przez Europejskie Urzędy Nadzoru odpowiednich prac przygotowawczych w celu określenia potencjalnych kluczowych elementów tych ram, niezbędnych zasobów oraz potrzeb związanych z ich opracowaniem. Następnie Europejskie Urzędy Nadzoru mogłyby rozpocząć prace nad wstępną analizą ewentualnych przeszkód, które mogłyby utrudnić Europejskim Urzędom Nadzoru i odpowiednim organom ustanowienie paneuropejskich ram koordynacji w odniesieniu do cyberincydentów systemowych i wymianę istotnych informacji za pośrednictwem kanałów komunikacyjnych w przypadku poważnego cyberincydentu. Taka analiza stanowiłaby ważny krok poprzedzający wszelkie dalsze działania, zarówno o charakterze legislacyjnym, jak i inne inicjatywy wspierające, które Komisja Europejska może podjąć na etapie implementacji po przyjęciu rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego,

PRZYJMUJE NINIEJSZE ZALECENIE: