Opinia Europejskiego Komitetu Ekonomiczno-Społecznego Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014[COM(2020) 595 final - 2020/0266 (COD)] - Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywy 2006/43/WE, 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 i (UE) 2016/2341[COM(2020) 596 final - 2020/0268 (COD)].
Dz.U.UE.C.2021.155.38
Akt nienormatywnyOpinia Europejskiego Komitetu Ekonomiczno-Społecznego
"Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014"
"Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywy 2006/43/WE, 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 i (UE) 2016/2341"
[COM(2020) 596 final - 2020/0268 (COD)]
(2021/C 155/06)
(Dz.U.UE C z dnia 30 kwietnia 2021 r.)
Sprawozdawca: Antonio GARCÍA DEL RIEGO
Wniosek o konsultację | Parlament Europejski, 17.12.2020 Rada Unii Europejskiej. 22.12.2020 |
Podstawa prawna Sekcja odpowiedzialna | Art. 53 ust. 1, art. 114 ust. 1 i art. 304 TFUE Sekcja ds. Unii Gospodarczej i Walutowej oraz Spójności Gospodarczej i Społecznej |
Data przyjęcia przez sekcję Data przyjęcia na sesji plenarnej Sesja plenarna nr Wynik głosowania (za/przeciw/wstrzymało się) | 12.2.2021 24.2.2021 558 243/1/4 |
1.2.1. Włączenie w zakres DORA każdego dostawcy kluczowych usług finansowych prowadzącego działalność finansową, z wyłączeniem korzystania z usług ICT do celów niezwiązanych z kluczowymi funkcjami.
1.2.2. Zapewnienie spójności pod względem definicji i zakresu między DORA a wymogami określonymi w istniejących wytycznych wydanych przez Europejskie Urzędy Nadzoru.
1.2.3. Jeśli chodzi o zarządzanie ICT, wspieranie ram skoncentrowanych na podejściu opartym na zasadach i analizie ryzyka, które umożliwia wdrożenie kontroli zachowujących aktualność, elastycznych i adekwatnych do poziomu ryzyka.
1.2.4. Jeśli chodzi o incydenty związane z ICT, pełne dostosowanie do pakietu narzędzi Rady Stabilności Finansowej w zakresie reagowania na cyberincydenty i przywracania gotowości do pracy.
1.2.5. Jeśli chodzi o testowanie operacyjnej odporności cyfrowej - położenie nacisku nie tylko na skalę instytucji finansowej, lecz także na złożoność i kluczowy charakter usługi; unikanie obowiązkowego outsourcingu prowadzonego przez ograniczoną liczbę testerów zewnętrznych oraz wzajemne uznawanie wyników testów.
1.2.6. Skonsolidowanie wymogów dotyczących outsourcingu w jednolitym zbiorze przepisów, by zagwarantować pewność prawa wszystkim uczestnikom rynku i umożliwić rzetelne spełnienie oczekiwań organów nadzoru.
1.2.7. Pełne wdrożenie zaleceń wiodących organów nadzorczych oraz jasny podział ról i obowiązków poszczególnych organów zaangażowanych w nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT.
1.2.8. Zapewnienie dostępu do usług zlecanych na zewnątrz, które są uznawane za kluczowe, dla zewnętrznych dostawców usług ICT mających siedzibę w państwach trzecich, tak aby nie ograniczać swobody zawierania umów przez przedsiębiorstwa ani możliwości dostępu do usług dostawców świadczących usługi o wysokiej wartości dodanej.
1.2.9. Uwzględnienie proporcjonalności w systemie kar, by nie tworzyć czynników zniechęcających dostawców usług ICT do obsługi unijnych podmiotów finansowych, oraz rezygnacja z obecnego odniesienia do światowego obrotu.
1.2.10. Zapewnienie jasności w zakresie zdolności przedsiębiorstw do dzielenia się informacjami o cyberzagrożeniach poprzez zagwarantowanie, że takie ustalenia będą wprowadzane dobrowolnie, oraz włączenie do wniosku w sprawie DORA jednoznacznego przepisu umożliwiającego wymianę danych osobowych.
1.2.11. Podniesienie progu wyłączenia przewidzianego we wniosku dla mikroprzedsiębiorstw i małych przedsiębiorstw zgodnie z definicją zawartą w art. 2 ust. 2 załącznika I zalecenia Komisji 2003/361/WE 1 : można rozważyć przedsiębiorstwa, które zatrudniają mniej niż 50 osób i których roczny obrót lub roczna suma bilansowa nie przekraczają 10 mln EUR, oraz zmniejszyć liczbę wymogów dla podmiotów będących MŚP proporcjonalnie do profilu ryzyka cyfrowego danego podmiotu.
4.1.1. Włączenie kolejnych istotnych uczestników rynku finansowego
EKES uznaje i z zadowoleniem przyjmuje szeroki zakres uczestników rynku finansowego, do których skierowane są proponowane przepisy, zapewniający spójne stosowanie zawartych w nich wymogów w całym unijnym sektorze finansowym, ale zaleca, by osoby odpowiedzialne za wyznaczanie kierunków polityki UE uwzględniły również uczestników rynku finansowego niewchodzących w zakres stosowania proponowanych przepisów, takich jak instytucje udzielające kredytów zabezpieczonych hipotecznie oraz podmioty udzielające kredytów konsumenckich, i uczyniły to w stopniu odpowiednim do ryzyka, jakie podmioty te mogą stwarzać dla systemu. Każdy dostawca usług finansowych, który prowadzi taką samą działalność i podejmuje takie samo ryzyko, powinien być objęty tymi samymi przepisami i tym samym nadzorem, aby można było zapewnić jednolite minimalne ramy w zakresie odporności cyfrowej, gwarantujące ochronę konsumentów i stabilność finansową.
4.1.2. Spójność na szczeblu międzynarodowym i unijnym, a także z obowiązującymi przepisami
Kluczowe znaczenie ma zapewnienie przedsiębiorstwom - w szczególności tym prowadzącym działalność transgraniczną - jasności, która zagwarantuje spójność definicji i terminów i pozwoli uniknąć powielania i pokrywania się działań oraz uniknąć różnic w interpretacji sposobów realizacji podobnych wymogów regulacyjnych w różnych jurysdykcjach. Komitet zaleca, aby osoby odpowiedzialne za wyznaczanie kierunków polityki UE wprowadziły zmiany w definicji odporności operacyjnej, tak aby była ona spójna z definicją Bazylejskiego Komitetu Nadzoru Bankowego 6 i stała się głównym systemem mającym zastosowanie do instytucji finansowych UE w celu uniknięcia ryzyka sprzeczności z innymi systemami. Wiele z zasad i wymogów określonych w DORA zostało już zdefiniowanych w istniejących wytycznych w sprawie outsourcingu 7 . Ryzyko związane z ICT i wymogi dotyczące zarządzania ryzykiem w zakresie bezpieczeństwa również określono już w wytycznych EUNB. Zasadnicze znaczenie będzie miało zapewnienie spójności pod względem definicji i zakresu między DORA a wymogami określonymi w istniejących wytycznych w celu osiągnięcia harmonizacji wymogów regulacyjnych UE.
4.1.3. EKES zaleca również, aby KE dołożyła starań, by w ramach trwającego przeglądu dyrektywy w sprawie bezpieczeństwa sieci i informacji oraz wniosku w sprawie DORA przyjęto te same definicje oraz wymogi dla podmiotów finansowych dotyczące strategii zgłaszania incydentów związanych z bezpieczeństwem.
Niektóre aspekty ram regulacyjnych są w większym stopniu skoncentrowane na zgodności z przepisami niż na sposobie, w jaki przedsiębiorstwa mogą wykazać się wynikami w ramach podejścia opartego na zasadach i analizie ryzyka. Ze względu na to, że są one zbyt normatywne i szczegółowe, istnieje ryzyko, że z czasem ulegną dezaktualizacji w miarę zmian zachodzących w obszarze ryzyka w cyberprzestrzeni i ryzyka związanego z ICT. EKES zaleca zatem przyjęcie podejścia opartego w większym stopniu na zasadach i na analizie ryzyka, które umożliwia wdrożenie kontroli zachowujących aktualność, elastycznych, proporcjonalnych i adekwatnych do poziomu ryzyka.
Komitet zaleca zapewnienie pełnej zgodności między opublikowanym niedawno przez Radę Stabilności Finansowej zestawem narzędzi służących do reagowania na cyberincydenty i przywracania gotowości do pracy 8 , zawierającym najlepsze praktyki w zakresie zgłaszania incydentów, a proponowanym klasyfikowaniem i zgłaszaniem incydentów związanych z ICT oraz zarządzaniem nimi, jakie przewidziano w DORA. Oba zbiory zasad niekiedy pokrywają się ze sobą, co powoduje niepewność regulacyjną i zwiększa obciążenia regulacyjne dla przedsiębiorstw.
4.4.1. EKES z zadowoleniem przyjmuje paneuropejski system testów penetracyjnych pod kątem wyszukiwania zagrożeń w całej UE, ponieważ zwiększy on skuteczność i zmniejszy rozdrobnienie, zaleca jednak, by organy skupiły się nie tylko na wielkości lub skali instytucji finansowej, lecz także na poziomie złożoności i znaczenia usług, uwzględniając zasadę proporcjonalności z myślą o tym, aby w stosownych wypadkach wyeliminować rozróżnienie między podstawowymi testami dla wszystkich instytucji finansowych a bardziej zaawansowanymi testami dla znaczących instytucji finansowych. Chodzi przy tym także o zapewnienie jednakowej ochrony klientów z mniejszych podmiotów finansowych oraz o stworzenie równych warunków działania dla wszystkich podmiotów finansowych.
4.4.2. EKES zaleca, aby powierzanie testów testerom zewnętrznym nie było obowiązkowe, ponieważ ich liczba jest ograniczona. Przedsiębiorstwa mogą dysponować własnymi wewnętrznymi zespołami testującymi, które znają ich środowisko i są w stanie szybko przejść do bardziej zaawansowanych i ukierunkowanych testów.
4.4.3. Należy dokonać przeglądu włączenia zewnętrznych dostawców usług ICT do zakresu stosowania testów penetracyjnych pod kątem wyszukiwania zagrożeń. To, że zewnętrzni dostawcy usług ICT mogą świadczyć usługi na rzecz wielu klientów, może skutkować znaczącym powielaniem testów, co z kolei wiąże się z istotnym ryzykiem dla tych zewnętrznych dostawców usług ICT oraz dla klientów, których obsługują.
4.4.4. EKES zaleca ponadto, aby wyraźnie wspomnieć o wzajemnym uznawaniu wyników testów, zważywszy na jego znaczenie dla zmniejszenia ryzyka i zapewnienia sprawnego funkcjonowania jednolitego rynku, a także aby uniknąć wzrostu kosztów ponoszonych przez podmioty finansowe prowadzące działalność transgraniczną.
4.5.1. Zapewnienie zgodności z istniejącymi wytycznymi w sprawie outsourcingu
EKES z zadowoleniem przyjmuje fakt, że DORA określa wspólne ramy regulacyjne dla wszystkich uczestników rynku finansowego w całej Europie dotyczące należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT. Zasadnicze znaczenie będzie miało jednak zapewnienie pełnej zgodności między tą wspólną podstawą określoną w głównych zasadach (art. 25, 26 i 27) a obowiązującymi przepisami takimi jak wytyczne Europejskich Urzędów Nadzoru w sprawie outsourcingu (tj. rozwiązanie istniejącej rozbieżności pod względem zakresu między "outsourcingiem" i "usługą świadczoną przez zewnętrznego dostawcę" 9 ). Komitet uważa również, że jest to doskonała okazja dla organów UE do skonsolidowania wymogów dotyczących outsourcingu w jednym rozporządzeniu - o wystarczającym poziomie szczegółowości, aby uniknąć różnic w interpretacji - które mogłoby zagwarantować pewność prawa wszystkim uczestnikom rynku i spełnić w sposób wiarygodny oczekiwania organów nadzoru.
4.5.2. Wymogi mające zastosowanie do kluczowych lub ważnych działań będących przedmiotem outsourcingu
Jeśli chodzi o zastosowanie art. 25 ust. 2, w tekście rozporządzenia trzeba - w celu zachowania podejścia nakierowanego na ryzyko - precyzyjniej wskazać, jak należałoby stosować zasadę proporcjonalności, określając wymogi, które obowiązywałyby w przypadku kluczowych lub ważnych działań będących przedmiotem outsourcingu, oraz te, które obowiązywałyby w przypadku pozostałych działań 10 . EKES zaleca, aby korzystanie z usług ICT do celów funkcji innych niż kluczowe nie wchodziło w zakres DORA.
4.5.3. Ramy bezpośredniego nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT
EKES z zadowoleniem przyjmuje wprowadzenie ram bezpośredniego nadzoru, które umożliwią stałe monitorowanie działalności kluczowych zewnętrznych dostawców usług ICT przez organy finansowe, wobec braku horyzontalnych ram obejmujących wszystkie sektory w UE. W proponowanym rozporządzeniu organy UE powinny uznać, że objęcie tym nadzorem kluczowego dostawcy usług ICT będzie skutkować mniejszym narażeniem instytucji finansowych na ryzyko dzięki stałemu monitorowaniu prowadzonej przez niego działalności. Z tego względu nowe ramy nadzoru powinny również przyczynić się do usprawnienia procedur outsourcingu w bankach poprzez ograniczenie niektórych obciążeń nakładanych obecnie na podmioty finansowe, na przykład odnośnie do wykonywania procedur audytu i kontroli dotyczących zewnętrznych dostawców uznanych za kluczowych.
4.5.4. EKES popiera nadanie wiodącym organom nadzorczym uprawnień do przeprowadzania procedur audytu i kontroli odnośnie do kluczowych zewnętrznych dostawców usług ICT, co pozwoliłoby tym organom lepiej zrozumieć ryzyko, jakie mogą stwarzać tacy dostawcy, dzięki bezpośredniej wiedzy na temat ich procesów i założeń, bez konieczności polegania na bieżących sprawozdaniach dostarczanych przez nadzorowane instytucje finansowe i kontrolach przeprowadzanych przez właściwe organy krajowe. Chociaż należy utrzymać politykę ograniczania ryzyka stosowaną przez podmioty finansowe i spoczywa na nich prawny obowiązek w tym zakresie, to w przypadku gdy kontrole i audyty są już prowadzone przez wiodący organ nadzorczy, instytucje finansowe powinny skorzystać z tego dodatkowego poziomu bezpieczeństwa i nie powinny musieć ponownie ich przeprowadzać.
4.5.5. Wiodący organ nadzorczy i właściwe organy krajowe
Po przeprowadzeniu procesu nadzoru realizacja zaleceń wiodącego organu nadzorczego będzie monitorowana przez właściwe organy krajowe, które mogą przyjąć własne podejście do sposobu wdrażania ustaleń wiodącego organu nadzorczego odnośnie do wskazanych kluczowych zewnętrznych dostawców usług ICT. EKES zaleca, aby zapewnić pełną jasność w kwestii ról i obowiązków poszczególnych organów w celu uniknięcia sytuacji, w której rozbieżność interpretacji będzie wywierać odmienny wpływ na klientów każdego z kluczowych zewnętrznych dostawców usług ICT w zależności od ich właściwego organu, a tym samym w celu ograniczenia ryzyka rozdrobnienia. Zalecenia te powinny być również w całości wykonalne, biorąc pod uwagę obecną niejednoznaczność art. 37 w odniesieniu do ich wiążącego charakteru.
4.5.6. Zawieszenie kluczowego zewnętrznego dostawcy usług ICT
DORA nadaje krajowym organom nadzoru finansowego uprawnienia do nakładania na klientów wymogu tymczasowego zawieszenia lub zaprzestania korzystania z usług dostawcy ICT do czasu wyeliminowania zagrożeń określonych w zaleceniach. Wymogi dotyczące natychmiastowego rozwiązania umowy z kluczowym zewnętrznym dostawcą usług ICT miałyby z pewnością wpływ na aktualne lub przyszłe decyzje biznesowe i handlowe (na przykład zniechęcając do inwestycji w UE) oraz mogłyby wpłynąć na stabilność finansową. Przed podjęciem takiej decyzji właściwe organy powinny dokładnie rozważyć, między innymi, potencjalne negatywne skutki rozwiązania umowy o świadczenie usługi dla podmiotów finansowych korzystających z usług danego kluczowego zewnętrznego dostawcy usług ICT 11 , a także powinny ustalić jasne kryteria nałożenia takiego wymogu i zbadać możliwe środki zaradcze.
4.5.7. Komitet zaleca ponadto, aby w przypadku zaistnienia takiej sytuacji podmioty finansowe były informowane z odpowiednim wyprzedzeniem i miały wystarczająco dużo czasu na wycofanie się.
4.6.1. Nowe ramy powinny chronić zdolność europejskich przedsiębiorstw finansowych do uzyskania dostępu do technologii co najmniej takich samych jak te, którymi dysponują ich światowi konkurenci. Przedsiębiorstwa finansowe z UE konkurują na arenie międzynarodowej i planowane unijne ramy regulacyjne nie powinny stawiać ich w niekorzystnej sytuacji przez ograniczenie im dostępu do najbardziej zaawansowanych technologii - o ile dostawcy tych technologii spełniają normy UE w zakresie odporności i bezpieczeństwa.
4.6.2. Zewnętrzni dostawcy usług ICT mający siedzibę w państwach trzecich
Rozporządzenie nie powinno ograniczać możliwości outsourcingu usług uznanych za kluczowe zewnętrznym dostawcom usług ICT mającym siedzibę w państwach trzecich. Ograniczenie to zdecydowanie zawęziłoby swobodę zawierania umów przez poszczególne podmioty oraz zdolność europejskich instytucji finansowych do korzystania z usług dostawców świadczących usługi o wysokiej wartości dodanej, których to dostawców najprawdopodobniej brakuje w Europie. Jest to tym bardziej istotne, że proponowane ramy nadzoru dotyczą wyłącznie sektora finansowego, tworząc nierówne warunki działania dla innych podmiotów, nieobjętych tym rozporządzeniem, i mogą doprowadzić do zwiększenia ryzyka koncentracji, któremu DORA ma zapobiegać.
4.6.3. Stosowanie kar na podstawie wielkości światowego obrotu
DORA przewiduje kary pieniężne dla dostawców usług ICT uwzględniające ich światowy obrót, jeżeli nie zastosują się oni do wniosków organów nadzoru finansowego UE. Nieproporcjonalne stosowanie tych kar mogłoby zniechęcić światowych dostawców usług ICT do obsługi unijnych przedsiębiorstw finansowych, co mogłoby de facto ograniczyć wybór dostawców, którym dysponują unijne przedsiębiorstwa finansowe. Takie rozwiązanie mogłoby ponadto zniechęcać zewnętrznych dostawców usług ICT niebędących kluczowymi do korzystania z systemu nadzoru ze względu na obawę przed nałożeniem na nie nieproporcjonalnych kar pieniężnych, a tym samym ograniczeniem konkurencji na rynku wyższego szczebla. EKES opowiada się za wprowadzeniem poziomu proporcjonalności w systemie kar, mającego kluczowe znaczenie dla uniknięcia czynników zniechęcających dostawców usług ICT zainteresowanych świadczeniem usług na rzecz unijnych podmiotów finansowych.
4.7.1. Ponieważ terminowa wymiana informacji ma kapitalne znaczenie dla skutecznego identyfikowania wektorów ataku oraz wyodrębnienia potencjalnych zagrożeń i zapobiegnięcia im, EKES z zadowoleniem przyjmuje przepis ułatwiający dokonywanie dobrowolnych ustaleń dotyczących wymiany informacji o cyberzagrożeniach między instytucjami finansowymi.
4.7.2. Komitet zaleca również, aby organy UE zapewniły wyraźną podstawę umożliwiającą wymianę danych osobowych (takich jak adresy IP) wśród warunków określonych we wniosku, gdyż pozwoli to ograniczyć niepewność i zwiększy możliwości podmiotów finansowych w zakresie wzmocnienia ich zdolności obronnych, lepszej identyfikacji zagrożeń i zmniejszenia ryzyka wystąpienia efektu domina między nimi. Ze względu na poufny/wrażliwy charakter tych danych konieczna jest większa klarowność.
Bruksela, dnia 24 lutego 2021 r.
Christa SCHWENG | |
Przewodnicząca | |
Europejskiego Komitetu Ekonomiczno-Społecznego |
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.