AVIS DE LA BANQUE CENTRALE EUROPÉENNE (BCE) sur une proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI) dans l’Union.
N’ayant pas été consultée formellement par les législateurs, la BCE a décidé d’émettre un avis, de sa propre initiative, sur la directive proposée.
La BCE soutient l’objectif de la directive proposée de garantir un niveau commun élevé de SRI à travers l’Union et de parvenir à une cohérence d’approche en la matière dans tous les secteurs d’activité et tous les États membres.
Toutefois, la BCE considère que la directive proposée ne doit pas porter préjudice au cadre existant en matière de surveillance des systèmes de paiement et de règlement de l’Eurosystème qui comprend des dispositifs appropriés, notamment dans le domaine de la SRI. Pour cette raison, la BCE suggère de modifier la directive proposée de manière à refléter correctement les responsabilités de l’Eurosystème dans ce domaine.
La BCE note que les dispositifs existant en matière de surveillance en ce qui concerne les systèmes de paiement et les prestataires de services de paiement (PSP) prévoient déjà des procédures d’alerte précoces et des réactions coordonnées à l’intérieur et hors de l’Eurosystème pour traiter d’éventuelles menaces en matière de cybersécurité, semblables à celles définies dans la directive proposée.
Le SEBC a fixé des normes relatives aux obligations de déclaration et de gestion du risque pour les systèmes de paiement. De plus, la BCE évalue régulièrement les systèmes de règlement des opérations sur titres de manière à déterminer leur éligibilité aux opérations de crédit de l’Eurosystème.
Par conséquent, la BCE considère qu’il est nécessaire que les obligations figurant dans la directive proposée concernant les infrastructures de marché essentielles et leurs opérateurs ne portent pas atteinte aux normes du règlement relatif aux obligations de surveillance des systèmes de paiement d’importance systémique (règlement SPIS), au cadre de politique de surveillance de l’Eurosystème ou à d’autres règlements de l’Union, et en particulier le règlement européen des infrastructures de marché (EMIR) et à l’avenir le règlement portant sur l’amélioration du règlement des opérations sur titres dans l’Union européenne et sur les dépositaires centraux de titres (DCT).
De plus, ces obligations ne devraient pas interférer avec les missions de l’Autorité européenne des marchés financiers (AEMF) et de l’Autorité bancaire européenne (ABE), ni avec celles d’autres autorités de surveillance prudentielle.
Nonobstant ce qui précède, la BCE considère qu’il serait essentiel pour l’Eurosystème de partager les informations pertinentes avec le comité SRI à mettre en place conformément à l’article 19 de la directive proposée.