(2022/C 233/03)
(Dz.U.UE C z dnia 16 czerwca 2022 r.)
Wprowadzenie i podstawa prawna
W dniu 16 grudnia 2020 r. Komisja Europejska przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148 1 (zwany dalej "proponowaną dyrektywą"). W dniu 3 grudnia 2021 r. Rada Unii Europejskiej uzgodniła podejście ogólne w odniesieniu do proponowanej dyrektywy 2 . Właściwość Europejskiego Banku Centralnego (EBC) do wydania opinii wynika z art. 127 ust. 4 Traktatu o funkcjonowaniu Unii Europejskiej, jako że proponowana dyrektywa zawiera przepisy leżące w zakresie kompetencji EBC, obejmującym w szczególności wspieranie sprawnego funkcjonowania systemów płatniczych, przyczynianie się do sprawnego prowadzenia polityki przez właściwe organy w odniesieniu do stabilności systemu finansowego, a także w zakresie zadań EBC dotyczących nadzoru ostrożnościowego nad instytucjami kredytowymi zgodnie z art. 127 ust. 2 tiret czwarte oraz art. 127 ust. 5 i 6 Traktatu. Rada Prezesów wydała niniejszą opinię zgodnie ze zdaniem pierwszym art. 17 ust. 5 Regulaminu Europejskiego Banku Centralnego.
Uwagi ogólne
EBC zdecydowanie popiera cele proponowanej dyrektywy dotyczące podniesienia poziomu cyberodporności we wszystkich odpowiednich sektorach, ograniczenia zróżnicowania na rynku wewnętrznym oraz podniesienia poziomu orientacji sytuacyjnej i zbiorowej zdolności do przygotowania się i reagowania poprzez zapewnienie skutecznej współpracy w Unii.
EBC uznaje znaczenie utrzymania silnego związku między proponowaną dyrektywą a sektorem finansowym, który powinien pozostać częścią ekosystemu sieci i systemów informatycznych, aby promować spójną ocenę ryzyka związanego z technologiami informacyjno-komunikacyjnymi (ICT) w całej Unii oraz wspierać skuteczną międzysektorową wymianę informacji i współpracę w reagowaniu na cyberzagrożenia. W tym celu na mocy proponowanego rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego 3 (zwanego dalej "rozporządzeniem w sprawie operacyjnej odporności cyfrowej") właściwe organy powinny mieć możliwość uczestniczenia w strategicznych dyskusjach na temat polityki i pracach technicznych Grupy Współpracy ds. bezpieczeństwa sieci i systemów informatycznych, a także wymiany informacji i dalszej współpracy z pojedynczymi punktami kontaktowymi i krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego, o których mowa w proponowanej dyrektywie 4 .
1. Zakres proponowanej dyrektywy
1.1 EBC rozumie, że w odniesieniu do podmiotów sektora finansowego rozporządzenie w sprawie operacyjnej odporności cyfrowej będzie uznawane za sektorowy akt prawny wprowadzający obowiązki dotyczące zarządzania ryzykiem w cyberprzestrzeni i zgłaszania incydentów, które są co najmniej równoważne pod względem skutku obowiązkom zawartym w proponowanej dyrektywie 5 . W związku z tym przepisy proponowanej dyrektywy, które odnoszą się do zarządzania ryzykiem w cyberprzestrzeni, obowiązków w zakresie zgłaszania incydentów, wymiany informacji oraz nadzoru i egzekwowania przepisów, nie będą miały zastosowania do podmiotów finansowych objętych rozporządzeniem w sprawie operacyjnej odporności cyfrowej 6 . Jak wyjaśniono w motywach proponowanej dyrektywy, zamiast przepisów proponowanej dyrektywy zastosowanie powinny mieć przepisy rozporządzenia w sprawie operacyjnej odporności cyfrowej dotyczące środków zarządzania ryzykiem ICT, zarządzania incydentami związanymi z ICT i zgłaszania incydentów, testowania operacyjnej odporności cyfrowej, ustaleń dotyczących wymiany informacji i ryzyka związanego z zewnętrznymi dostawcami usług ICT 7 .
1.2 EBC zauważa również, że w podejściu ogólnym do proponowanej dyrektywy Rada proponuje zmianę mającą na celu wyłączenie "podmiotów prowadzących działalność w obszarze sądownictwa, parlamentów lub banków centralnych" 8 z zakresu zastosowania proponowanej dyrektywy. EBC rozumie, że proponowana zmiana dotyczyłaby wszystkich podstawowych zadań i kompetencji Europejskiego Systemu Banków Centralnych (ESBC), określonych w art. 127 ust. 2 Traktatu oraz w art. 3 ust. 1 Statutu Europejskiego Systemu Banków Centralnych i Europejskiego Banku Centralnego (zwanego dalej "Statutem ESBC"), takich jak wspieranie sprawnego funkcjonowania systemów płatniczych. W związku z tym uznaje się, że będące własnością Eurosystemu i obsługiwane przez Eurosystem infrastruktury rynku finansowego, takie jak systemy TARGET2 i TARGET2-Securities, wchodzą w zakres proponowanego przez Radę wyłączenia banków centralnych z zakresu zastosowania proponowanej dyrektywy.
2. Uprawnienia nadzorcze ESBC i Eurosystemu
2.1 Poza podstawowym celem ESBC, jakim jest utrzymanie stabilności cen, i zgodnie z art. 127 ust. 2 Traktatu, jednym z podstawowych zadań realizowanych za pośrednictwem ESBC jest popieranie sprawnego funkcjonowania systemów płatniczych 9 . Wykonując to podstawowe zadanie, EBC i krajowe banki centralne mogą stwarzać udogodnienia, a EBC może uchwalać rozporządzenia, w celu zapewnienia skuteczności i rzetelności systemów rozliczeń i płatności w ramach Unii i z innymi krajami 10 . Wykonując swoją rolę nadzorczą, EBC przyjął rozporządzenie Europejskiego Banku Centralnego (UE) nr 795/2014 (EBC/2014/28) 11 (zwane dalej "rozporządzeniem SIPS"), które przekłada zasady CPSS-IOSCO dotyczące infrastruktur rynku finansowego 12 na przepisy prawa mające bezpośrednie zastosowanie. W rozporządzeniu SIPS określono wymogi dotyczące zarówno systemów płatności wyso- kokwotowych, jak i systemów płatności detalicznych, o znaczeniu systemowym, zarówno publicznych, jak i prywatnych. Wymogi określone w rozporządzeniu SIPS obejmują już między innymi zarządzanie ryzykiem operacyjnym i ustanowienie ram dotyczących cyberodporności 13 .
2.2 Oprócz systemów płatności o znaczeniu systemowym nadzór Eurosystemu obejmuje systemy płatności niemające znaczenia systemowego, instrumenty, systemy (schematy) i uzgodnienia w zakresie płatności elektronicznych oraz inne infrastruktury i dostawców usług krytycznych, zgodnie z ramami polityki nadzorczej Eurosystemu 14 . Systemy płatności i inne uzgodnienia podlegające nadzorowi Eurosystemu nie są wyraźnie objęte zakresem zastosowania proponowanej dyrektywy 15 . Jednocześnie, biorąc pod uwagę, że proponowana dyrektywa jest instrumentem minimalnej harmonizacji 16 , przepisy ją wdrażające przyjęte przez państwa członkowskie mogłyby ostatecznie pokrywać się z kompetencjami Eurosystemu w zakresie nadzoru. Aby tego uniknąć, w motywach proponowanej dyrektywy powinno się wyraźnie wskazać kompetencje ESBC wynikające z Traktatu i Statutu ESBC oraz kompetencje Eurosystemu wynikające z rozporządzenia SIPS i ogólnie z ram polityki nadzorczej Eurosystemu.
3. Ryzyko ze strony zewnętrznych dostawców usług ICT, zarządzanie incydentami i kryzysami na dużą skalę, wymiana informacji i krajowa strategia cyberbezpieczeństwa
3.1 Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
3.1.1 Proponowana dyrektywa uprawnia właściwe organy, które wykonują swoje uprawnienia w zakresie egzekwowania przepisów wobec podmiotów niezbędnych, do wydawania wiążących poleceń lub nakazów zobowiązujących te podmioty do wprowadzenia środków zaradczych w odniesieniu do stwierdzonych uchybień lub naruszeń obowiązków wynikających z proponowanej dyrektywy 17 . Jednocześnie "wiodący organ nadzorczy" wyznaczony na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej może kierować zalecenia do kluczowych zewnętrznych dostawców usług ICT w celu zarządzania potencjalnym ryzykiem systemowym spowodowanym praktykami dotyczącymi outsourcingu i koncentracją zewnętrznych dostawców usług ICT 18 .
3.1.2 Biorąc pod uwagę, że podmiot niezbędny na mocy proponowanej dyrektywy może również zostać wyznaczony jako kluczowy zewnętrzny dostawca usług ICT zgodnie z rozporządzeniem w sprawie operacyjnej odporności cyfrowej, EBC ponawia swoje zalecenie 19 dotyczące unikania wydawania sprzecznych zaleceń i wiążących poleceń. W związku z tym EBC z zadowoleniem przyjmuje podejście ogólne Rady do proponowanej dyrektywy. Zgodnie z tym podejściem właściwe organy mają informować forum nadzoru ustanowione na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej o wykonywaniu swoich uprawnień w zakresie nadzoru i egzekwowania przepisów w odniesieniu do podmiotu niezbędnego wyznaczonego jako kluczowy zewnętrzny dostawca usług ICT na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej 20 .
3.2 Zarządzanie incydentami i kryzysami na dużą skalę
3.2.1 Zgodnie z proponowaną dyrektywą 21 państwa członkowskie mają obowiązek wyznaczyć co najmniej jeden właściwy organ odpowiedzialny za zarządzanie incydentami i kryzysami na dużą skalę. Jak wyjaśniono w motywach proponowanej dyrektywy, incydent na dużą skalę powinien oznaczać incydent mający znaczący wpływ na co najmniej dwa państwa członkowskie lub taki, który powoduje na tyle duże zakłócenia, że dotknięte nimi państwo członkowskie nie jest samo w stanie na nie skutecznie zareagować. Incydenty na dużą skalę mogą przerodzić się w prawdziwe kryzysy zakłócające prawidłowe funkcjonowanie rynku wewnętrznego 22 .
3.2.2 Podczas gdy właściwe organy wyznaczone na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej pozostają odpowiedzialne za zarządzanie cyberincydentami dotyczącymi podmiotów finansowych, współpraca ze strukturami i organami ustanowionymi na mocy proponowanej dyrektywy będzie miała kluczowe znaczenie dla zapewnienia skoordynowanej reakcji na terytorium Unii. W tym celu, w przypadku wpływu cyberincydentów i kryzysów cyberbezpieczeństwa na dużą skalę na sektor finansowy, EBC z zadowoleniem przyjąłby udział właściwych organów wyznaczonych na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej, w tym EBC, w europejskiej sieci organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe) 23 .
3.3 Wymiana informacji
3.3.1 Jak wskazano powyżej, EBC zdecydowanie popiera współpracę między właściwymi organami wyznaczonymi na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej a strukturami i organami ustanowionymi na mocy proponowanej dyrektywy. W szczególności wymiana informacji między organami może umożliwić między- sektorowy proces uczenia się, przyczynić się do zapobiegania cyberatakom i skutecznego zarządzania nimi oraz promować spójną ocenę ryzyk związanych z ICT na obszarze Unii. EBC podkreśla jednak, że wymiana informacji powinna odbywać się przy jasno określonych mechanizmach klasyfikacji i przekazywania informacji, w połączeniu z odpowiednimi zabezpieczeniami zapewniającymi poufność 24 . EBC z zadowoleniem przyjmuje podejście ogólne Rady do proponowanej dyrektywy, w którym proponuje się regularną wymianę istotnych informacji między organami 25 , ustanowienie mechanizmów współpracy określających mechanizm wymiany informacji 26 oraz automatyczne i bezpośrednie przekazywanie zgłoszeń incydentów 27 . W związku z tym należy zapewnić, aby informacje będące informacjami poufnymi zgodnie z przepisami dotyczącymi tajemnicy zawodowej na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej 28 lub odpowiednich przepisów sektorowych 29 mogły być przedmiotem wymiany z właściwymi organami, o których mowa w proponowanej dyrektywie, tylko wtedy, gdy taka wymiana jest potrzebna do stosowania przez właściwe organy postanowień proponowanej dyrektywy 30 .
3.4 Krajowa strategia cyberbezpieczeństwa
3.4.1 Zgodnie z proponowaną dyrektywą państwa członkowskie są zobowiązane do przyjęcia krajowych strategii cyber- bezpieczeństwa określających cele strategiczne oraz odpowiednie środki polityczne i regulacyjne ukierunkowane na osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa 31 . Jak wyjaśniono w motywach proponowanej dyrektywy, państwa członkowskie powinny w dalszym ciągu uwzględniać sektor finansowy w swoich strategiach w zakresie cyberbezpieczeństwa 32 . W związku z tym w ramach krajowych strategii cyberbezpieczeństwa państwa członkowskie powinny przyjąć polityki dotyczące cyberbezpieczeństwa w łańcuchu dostaw produktów i usług ICT wykorzystywanych przez podmioty do świadczenia usług. Jeżeli chodzi o sektor finansowy, krajowe strategie cyberbezpieczeństwa powinny być spójne z ramami regulacyjnymi wyznaczonymi na mocy rozporządzenia w sprawie operacyjnej odporności cyfrowej. W tym względzie EBC uważa, że potrzebne jest dalsze doprecyzowanie, aby zapewnić spójność krajowych strategii cyberbezpieczeństwa z przepisami sektorowymi.
W przypadku gdy EBC zaleca zmianę projektowanej dyrektywy, szczegółowe propozycje zmian wraz z ich uzasadnieniem zostały zawarte w odrębnym roboczym dokumencie o charakterze technicznym. Roboczy dokument techniczny jest dostępny w języku angielskim na stronie internetowej EUR-Lex.
| Prezes EBC | |
| Christine LAGARDE |
Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.
05.12.2025
4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.
05.12.2025
Przygotowany przez ministerstwo pracy projekt zmian w ustawie o PIP, przyznający inspektorom pracy uprawnienie do przekształcania umów cywilnoprawnych i B2B w umowy o pracę, łamie konstytucję i szkodzi polskiej gospodarce – ogłosili posłowie PSL na zorganizowanej w czwartek w Sejmie konferencji prasowej. I zażądali zdjęcia tego projektu z dzisiejszego porządku posiedzenia Komitetu Stałego Rady Ministrów.
04.12.2025
Prezydent Karol Nawrocki podpisał we wtorek ustawę z 7 listopada 2025 r. o zmianie ustawy o ochronie zwierząt. Jej celem jest wprowadzenie zakazu chowu i hodowli zwierząt futerkowych w celach komercyjnych, z wyjątkiem królika, w szczególności w celu pozyskania z nich futer lub innych części zwierząt. Zawetowana została jednak ustawa zakazująca trzymania psów na łańcuchach. Prezydent ma w tym zakresie złożyć własny projekt.
02.12.2025
Resort pracy nie podjął nawet próby oszacowania, jak reklasyfikacja umów cywilnoprawnych i B2B na umowy o pracę wpłynie na obciążenie sądów pracy i długość postępowań sądowych. Tymczasem eksperci wyliczyli, że w wariancie skrajnym, zakładającym 150 tys. nowych spraw rocznie, skala powstałych zaległości rośnie do ponad 31 miesięcy dodatkowej pracy lub koniecznego zwiększenia zasobów sądów o 259 proc. Sprawa jest o tyle ważna, że na podobnym etapie prac są dwa projekty ustaw, które – jak twierdzą prawnicy – mogą zwiększyć obciążenie sądów.
25.11.2025
Rada Ministrów przyjęła projekt nowelizacji ustawy o Funduszu Medycznym - poinformował w środę rzecznik rządu Adam Szłapka. Przygotowana przez resort zdrowia propozycja zakłada, że Narodowy Fundusz Zdrowia będzie mógł w 2025 r. otrzymać dodatkowo około 3,6 mld zł z Funduszu Medycznego. MZ chce również, by programy inwestycyjne dla projektów strategicznych były zatwierdzane przez ministra zdrowia, a nie jak dotychczas, ustanawiane przez Radę Ministrów. Zamierza też umożliwić dofinansowanie programów polityki zdrowotnej realizowanych przez gminy w całości ze środków Funduszu Medycznego.
19.11.2025| Identyfikator: | Dz.U.UE.C.2022.233.22 |
| Rodzaj: | Opinia |
| Tytuł: | Opinia Europejskiego Banku Centralnego z dnia 11 kwietnia 2022 r. w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148 (CON/2022/14) |
| Data aktu: | 11/04/2022 |
| Data ogłoszenia: | 16/06/2022 |