Zakładając bezpłatne konto, uzyskasz:(2022/C 233/03)
(Dz.U.UE C z dnia 16 czerwca 2022 r.)
Wprowadzenie i podstawa prawna
W dniu 16 grudnia 2020 r. Komisja Europejska przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148 1 (zwany dalej "proponowaną dyrektywą"). W dniu 3 grudnia 2021 r. Rada Unii Europejskiej uzgodniła podejście ogólne w odniesieniu do proponowanej dyrektywy 2 . Właściwość Europejskiego Banku Centralnego (EBC) do wydania opinii wynika z art. 127 ust. 4 Traktatu o funkcjonowaniu Unii Europejskiej, jako że proponowana dyrektywa zawiera przepisy leżące w zakresie kompetencji EBC, obejmującym w szczególności wspieranie sprawnego funkcjonowania systemów płatniczych, przyczynianie się do sprawnego prowadzenia polityki przez właściwe organy w odniesieniu do stabilności systemu finansowego, a także w zakresie zadań EBC dotyczących nadzoru ostrożnościowego nad instytucjami kredytowymi zgodnie z art. 127 ust. 2 tiret czwarte oraz art. 127 ust. 5 i 6 Traktatu. Rada Prezesów wydała niniejszą opinię zgodnie ze zdaniem pierwszym art. 17 ust. 5 Regulaminu Europejskiego Banku Centralnego.
Uwagi ogólne
EBC zdecydowanie popiera cele proponowanej dyrektywy dotyczące podniesienia poziomu cyberodporności we wszystkich odpowiednich sektorach, ograniczenia zróżnicowania na rynku wewnętrznym oraz podniesienia poziomu orientacji sytuacyjnej i zbiorowej zdolności do przygotowania się i reagowania poprzez zapewnienie skutecznej współpracy w Unii.
EBC uznaje znaczenie utrzymania silnego związku między proponowaną dyrektywą a sektorem finansowym, który powinien pozostać częścią ekosystemu sieci i systemów informatycznych, aby promować spójną ocenę ryzyka związanego z technologiami informacyjno-komunikacyjnymi (ICT) w całej Unii oraz wspierać skuteczną międzysektorową wymianę informacji i współpracę w reagowaniu na cyberzagrożenia. W tym celu na mocy proponowanego rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego 3 (zwanego dalej "rozporządzeniem w sprawie operacyjnej odporności cyfrowej") właściwe organy powinny mieć możliwość uczestniczenia w strategicznych dyskusjach na temat polityki i pracach technicznych Grupy Współpracy ds. bezpieczeństwa sieci i systemów informatycznych, a także wymiany informacji i dalszej współpracy z pojedynczymi punktami kontaktowymi i krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego, o których mowa w proponowanej dyrektywie 4 .
1. Zakres proponowanej dyrektywy
1.1 EBC rozumie, że w odniesieniu do podmiotów sektora finansowego rozporządzenie w sprawie operacyjnej odporności cyfrowej będzie uznawane za sektorowy akt prawny wprowadzający obowiązki dotyczące zarządzania ryzykiem w cyberprzestrzeni i zgłaszania incydentów, które są co najmniej równoważne pod względem skutku obowiązkom zawartym w proponowanej dyrektywie 5 . W związku z tym przepisy proponowanej dyrektywy, które odnoszą się do zarządzania ryzykiem w cyberprzestrzeni, obowiązków w zakresie zgłaszania incydentów, wymiany informacji oraz nadzoru i egzekwowania przepisów, nie będą miały zastosowania do podmiotów finansowych objętych rozporządzeniem w sprawie operacyjnej odporności cyfrowej 6 . Jak wyjaśniono w motywach proponowanej dyrektywy, zamiast przepisów proponowanej dyrektywy zastosowanie powinny mieć przepisy rozporządzenia w sprawie operacyjnej odporności cyfrowej dotyczące środków zarządzania ryzykiem ICT, zarządzania incydentami związanymi z ICT i zgłaszania incydentów, testowania operacyjnej odporności cyfrowej, ustaleń dotyczących wymiany informacji i ryzyka związanego z zewnętrznymi dostawcami usług ICT 7 .
1.2 EBC zauważa również, że w podejściu ogólnym do proponowanej dyrektywy Rada proponuje zmianę mającą na celu wyłączenie "podmiotów prowadzących działalność w obszarze sądownictwa, parlamentów lub banków centralnych" 8 z zakresu zastosowania proponowanej dyrektywy. EBC rozumie, że proponowana zmiana dotyczyłaby wszystkich podstawowych zadań i kompetencji Europejskiego Systemu Banków Centralnych (ESBC), określonych w art. 127 ust. 2 Traktatu oraz w art. 3 ust. 1 Statutu Europejskiego Systemu Banków Centralnych i Europejskiego Banku Centralnego (zwanego dalej "Statutem ESBC"), takich jak wspieranie sprawnego funkcjonowania systemów płatniczych. W związku z tym uznaje się, że będące własnością Eurosystemu i obsługiwane przez Eurosystem infrastruktury rynku finansowego, takie jak systemy TARGET2 i TARGET2-Securities, wchodzą w zakres proponowanego przez Radę wyłączenia banków centralnych z zakresu zastosowania proponowanej dyrektywy.
2. Uprawnienia nadzorcze ESBC i Eurosystemu
2.1 Poza podstawowym celem ESBC, jakim jest utrzymanie stabilności cen, i zgodnie z art. 127 ust. 2 Traktatu, jednym z podstawowych zadań realizowanych za pośrednictwem ESBC jest popieranie sprawnego funkcjonowania systemów płatniczych 9 . Wykonując to podstawowe zadanie, EBC i krajowe banki centralne mogą stwarzać udogodnienia, a EBC może uchwalać rozporządzenia, w celu zapewnienia skuteczności i rzetelności systemów rozliczeń i płatności w ramach Unii i z innymi krajami 10 . Wykonując swoją rolę nadzorczą, EBC przyjął rozporządzenie Europejskiego Banku Centralnego (UE) nr 795/2014 (EBC/2014/28) 11 (zwane dalej "rozporządzeniem SIPS"), które przekłada zasady CPSS-IOSCO dotyczące infrastruktur rynku finansowego 12 na przepisy prawa mające bezpośrednie zastosowanie. W rozporządzeniu SIPS określono wymogi dotyczące zarówno systemów płatności wyso- kokwotowych, jak i systemów płatności detalicznych, o znaczeniu systemowym, zarówno publicznych, jak i prywatnych. Wymogi określone w rozporządzeniu SIPS obejmują już między innymi zarządzanie ryzykiem operacyjnym i ustanowienie ram dotyczących cyberodporności 13 .
2.2 Oprócz systemów płatności o znaczeniu systemowym nadzór Eurosystemu obejmuje systemy płatności niemające znaczenia systemowego, instrumenty, systemy (schematy) i uzgodnienia w zakresie płatności elektronicznych oraz inne infrastruktury i dostawców usług krytycznych, zgodnie z ramami polityki nadzorczej Eurosystemu 14 . Systemy płatności i inne uzgodnienia podlegające nadzorowi Eurosystemu nie są wyraźnie objęte zakresem zastosowania proponowanej dyrektywy 15 . Jednocześnie, biorąc pod uwagę, że proponowana dyrektywa jest instrumentem minimalnej harmonizacji 16 , przepisy ją wdrażające przyjęte przez państwa członkowskie mogłyby ostatecznie pokrywać się z kompetencjami Eurosystemu w zakresie nadzoru. Aby tego uniknąć, w motywach proponowanej dyrektywy powinno się wyraźnie wskazać kompetencje ESBC wynikające z Traktatu i Statutu ESBC oraz kompetencje Eurosystemu wynikające z rozporządzenia SIPS i ogólnie z ram polityki nadzorczej Eurosystemu.
3. Ryzyko ze strony zewnętrznych dostawców usług ICT, zarządzanie incydentami i kryzysami na dużą skalę, wymiana informacji i krajowa strategia cyberbezpieczeństwa
3.1 Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
3.1.1 Proponowana dyrektywa uprawnia właściwe organy, które wykonują swoje uprawnienia w zakresie egzekwowania przepisów wobec podmiotów niezbędnych, do wydawania wiążących poleceń lub nakazów zobowiązujących te podmioty do wprowadzenia środków zaradczych w odniesieniu do stwierdzonych uchybień lub naruszeń obowiązków wynikających z proponowanej dyrektywy 17 . Jednocześnie "wiodący organ nadzorczy" wyznaczony na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej może kierować zalecenia do kluczowych zewnętrznych dostawców usług ICT w celu zarządzania potencjalnym ryzykiem systemowym spowodowanym praktykami dotyczącymi outsourcingu i koncentracją zewnętrznych dostawców usług ICT 18 .
3.1.2 Biorąc pod uwagę, że podmiot niezbędny na mocy proponowanej dyrektywy może również zostać wyznaczony jako kluczowy zewnętrzny dostawca usług ICT zgodnie z rozporządzeniem w sprawie operacyjnej odporności cyfrowej, EBC ponawia swoje zalecenie 19 dotyczące unikania wydawania sprzecznych zaleceń i wiążących poleceń. W związku z tym EBC z zadowoleniem przyjmuje podejście ogólne Rady do proponowanej dyrektywy. Zgodnie z tym podejściem właściwe organy mają informować forum nadzoru ustanowione na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej o wykonywaniu swoich uprawnień w zakresie nadzoru i egzekwowania przepisów w odniesieniu do podmiotu niezbędnego wyznaczonego jako kluczowy zewnętrzny dostawca usług ICT na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej 20 .
3.2 Zarządzanie incydentami i kryzysami na dużą skalę
3.2.1 Zgodnie z proponowaną dyrektywą 21 państwa członkowskie mają obowiązek wyznaczyć co najmniej jeden właściwy organ odpowiedzialny za zarządzanie incydentami i kryzysami na dużą skalę. Jak wyjaśniono w motywach proponowanej dyrektywy, incydent na dużą skalę powinien oznaczać incydent mający znaczący wpływ na co najmniej dwa państwa członkowskie lub taki, który powoduje na tyle duże zakłócenia, że dotknięte nimi państwo członkowskie nie jest samo w stanie na nie skutecznie zareagować. Incydenty na dużą skalę mogą przerodzić się w prawdziwe kryzysy zakłócające prawidłowe funkcjonowanie rynku wewnętrznego 22 .
3.2.2 Podczas gdy właściwe organy wyznaczone na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej pozostają odpowiedzialne za zarządzanie cyberincydentami dotyczącymi podmiotów finansowych, współpraca ze strukturami i organami ustanowionymi na mocy proponowanej dyrektywy będzie miała kluczowe znaczenie dla zapewnienia skoordynowanej reakcji na terytorium Unii. W tym celu, w przypadku wpływu cyberincydentów i kryzysów cyberbezpieczeństwa na dużą skalę na sektor finansowy, EBC z zadowoleniem przyjąłby udział właściwych organów wyznaczonych na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej, w tym EBC, w europejskiej sieci organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe) 23 .
3.3 Wymiana informacji
3.3.1 Jak wskazano powyżej, EBC zdecydowanie popiera współpracę między właściwymi organami wyznaczonymi na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej a strukturami i organami ustanowionymi na mocy proponowanej dyrektywy. W szczególności wymiana informacji między organami może umożliwić między- sektorowy proces uczenia się, przyczynić się do zapobiegania cyberatakom i skutecznego zarządzania nimi oraz promować spójną ocenę ryzyk związanych z ICT na obszarze Unii. EBC podkreśla jednak, że wymiana informacji powinna odbywać się przy jasno określonych mechanizmach klasyfikacji i przekazywania informacji, w połączeniu z odpowiednimi zabezpieczeniami zapewniającymi poufność 24 . EBC z zadowoleniem przyjmuje podejście ogólne Rady do proponowanej dyrektywy, w którym proponuje się regularną wymianę istotnych informacji między organami 25 , ustanowienie mechanizmów współpracy określających mechanizm wymiany informacji 26 oraz automatyczne i bezpośrednie przekazywanie zgłoszeń incydentów 27 . W związku z tym należy zapewnić, aby informacje będące informacjami poufnymi zgodnie z przepisami dotyczącymi tajemnicy zawodowej na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej 28 lub odpowiednich przepisów sektorowych 29 mogły być przedmiotem wymiany z właściwymi organami, o których mowa w proponowanej dyrektywie, tylko wtedy, gdy taka wymiana jest potrzebna do stosowania przez właściwe organy postanowień proponowanej dyrektywy 30 .
3.4 Krajowa strategia cyberbezpieczeństwa
3.4.1 Zgodnie z proponowaną dyrektywą państwa członkowskie są zobowiązane do przyjęcia krajowych strategii cyber- bezpieczeństwa określających cele strategiczne oraz odpowiednie środki polityczne i regulacyjne ukierunkowane na osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa 31 . Jak wyjaśniono w motywach proponowanej dyrektywy, państwa członkowskie powinny w dalszym ciągu uwzględniać sektor finansowy w swoich strategiach w zakresie cyberbezpieczeństwa 32 . W związku z tym w ramach krajowych strategii cyberbezpieczeństwa państwa członkowskie powinny przyjąć polityki dotyczące cyberbezpieczeństwa w łańcuchu dostaw produktów i usług ICT wykorzystywanych przez podmioty do świadczenia usług. Jeżeli chodzi o sektor finansowy, krajowe strategie cyberbezpieczeństwa powinny być spójne z ramami regulacyjnymi wyznaczonymi na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej. W tym względzie EBC uważa, że potrzebne jest dalsze doprecyzowanie, aby zapewnić spójność krajowych strategii cyberbezpieczeństwa z przepisami sektorowymi.
W przypadku gdy EBC zaleca zmianę projektowanej dyrektywy, szczegółowe propozycje zmian wraz z ich uzasadnieniem zostały zawarte w odrębnym roboczym dokumencie o charakterze technicznym. Roboczy dokument techniczny jest dostępny w języku angielskim na stronie internetowej EUR-Lex.
| Prezes EBC | |
| Christine LAGARDE |
Od 17 kwietnia policja, straż miejska, żandarmeria wojskowa otrzymają podstawą prawną do karania tych, którzy bez zezwolenia m.in. fotografują i filmują szczególnie ważne dla bezpieczeństwa lub obronności państwa obiekty resortu obrony narodowej, obiekty infrastruktury krytycznej oraz ruchomości. Obiekty te zostaną specjalnie oznaczone.
12.04.2025
Kompleksową modernizację instytucji polskiego rynku pracy poprzez udoskonalenie funkcjonowania publicznych służb zatrudnienia oraz form aktywizacji zawodowej i podnoszenia umiejętności kadr gospodarki przewiduje podpisana w czwartek przez prezydenta Andrzeja Dudę ustawa z dnia 20 marca 2025 r. o rynku pracy i służbach zatrudnienia. Ustawa, co do zasady, wejdzie w życie pierwszego dnia miesiąca następującego po upływie 14 dni od dnia ogłoszenia.
11.04.2025
Prezydent Andrzej Duda podpisał ustawę o warunkach dopuszczalności powierzania pracy cudzoziemcom na terytorium Rzeczypospolitej Polskiej. Jej celem jest ograniczenie występujących nadużyć, usprawnienie procedur dotyczących powierzania pracy cudzoziemcom, zmniejszenie zaległości załatwiania spraw przez urzędy oraz pełna elektronizacja postępowań. Nowe przepisy wejdą w życie pierwszego dnia miesiąca następującego po upływie 14 dni od dnia ogłoszenia.
11.04.2025
500 zł zarobi członek obwodowej komisji wyborczej w wyborach Prezydenta RP, 600 zł - zastępca przewodniczącego, a 700 zł przewodniczący komisji wyborczej – wynika z uchwały Państwowej Komisji Wyborczej. Jeżeli odbędzie się ponownie głosowanie, zryczałtowana dieta wyniesie 75 proc. wysokości diety w pierwszej turze. Termin zgłaszania kandydatów na członków obwodowych komisji wyborczych mija 18 kwietnia
10.04.2025
Kobiety i mężczyźni z innych roczników są w nieco innej sytuacji niż emerytki z rocznika 1953. Dowiedzieli się bowiem o zastosowaniu do nich art. 25 ust. 1b ustawy emerytalnej znacznie wcześniej, bo od 2 do ponad 6 lat przed osiągnięciem powszechnego wieku emerytalnego - przekonywał w Sejmie Sebastian Gajewski, wiceszef resortu pracy. Zdaniem prawników, ministerstwo celowo różnicuje sytuację wcześniejszych emerytów, by dla pozostałych roczników wprowadzić mniej korzystne rozwiązania niż dla rocznika 1953.
08.04.2025
Sejm uchwalił w piątek ustawę, która obniża składkę zdrowotną dla przedsiębiorców. Zmiana, która wejdzie w życie 1 stycznia 2026 roku, ma kosztować budżet państwa 4,6 mld zł. Według szacunków Ministerstwo Finansów na reformie ma skorzystać około 2,5 mln przedsiębiorców. Teraz ustawa trafi do Senatu.
04.04.2025| Identyfikator: | Dz.U.UE.C.2022.233.22 |
| Rodzaj: | Opinia |
| Tytuł: | Opinia Europejskiego Banku Centralnego z dnia 11 kwietnia 2022 r. w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148 (CON/2022/14) |
| Data aktu: | 11/04/2022 |
| Data ogłoszenia: | 16/06/2022 |
