Brusel 19. března 2026 – Evropský sbor pro ochranu osobních údajů (EDPB) a evropský inspektor ochrany údajů (EIOÚ) přijali společné stanovisko k návrhu aktu o kybernetické bezpečnosti 2 (CSA2) předloženému Evropskou komisí a k návrhu změn směrnice o bezpečnosti sítí a informací 2 (NIS2).

Dne 20. ledna 2026 zveřejnila Komise návrh balíčku opatření v oblasti kybernetické bezpečnosti s cílem dále posílit kybernetickou bezpečnost v Evropě a zároveň organizacím usnadnit dodržování právních předpisů v oblasti kybernetické bezpečnosti. EDPB a EIOÚ se ve svém společném stanovisku vydaném na žádost Komise* zabývají navrhovanou revizí dotčeného dozorového úřadu a cílenými změnami směrnice NIS2.

„Vztah mezi ochranou údajů a kybernetickou bezpečností je vzájemný a hluboce propojený. Ačkoli kybernetická bezpečnost podporuje ochranu osobních údajů tím, že omezuje rizika nežádoucího přístupu, změny nebo nedostupnosti údajů, je zásadní zajistit, aby bezpečnostní kontroly byly prováděny způsobem, který neohrožuje základní práva a svobody jednotlivců.“

Předseda EDPB Anu Talus

„I když je nezbytné maximalizovat účinnost opatření v oblasti kybernetické bezpečnosti, musíme zajistit, aby zpracování osobních údajů zůstalo omezeno na to, co je nezbytně nutné. Vítáme posílenou úlohu agentury ENISA při podpoře digitální odolnosti; doufáme, že tento nový mandát podpoří synergie potřebné k vytvoření silného ekosystému, v němž bezpečnost a soukromí jdou ruku v ruce.“

Evropský inspektor ochrany údajů, Wojciech Wiewiórowski

Pokud jde o návrh nařízení CSA2, EDPB a EIOÚ podporují obecný cíl posílit úlohu Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) a usnadnit zavádění certifikace kybernetické bezpečnosti, jakož i cíl dále řešit různá rizika pro dodavatelské řetězce IKT, včetně netechnických rizik.

Návrh na další vyjasnění způsobu, jakým agentura ENISA poskytuje podporu různým zúčastněným stranám, je dobře přijat. EDPB a EIOÚ výslovně vítají, že doporučení agentury ENISA by bylo vydáno na základě předchozí žádosti EDPB, čímž by byla zajištěna jasná koordinace a jasné rozdělení povinností. Navrhují rovněž doplnit EIOÚ jako možného žadatele o poradenství od agentury ENISA.

Ve společném stanovisku EDPB a EIOÚ připomínají, že pokud se správní rada agentury ENISA rozhodne přijmout další opatření nezbytná pro uplatňování nařízení EU o ochraně údajů, měla by být tato rozhodnutí omezena na velmi technické (praktické) podrobnosti týkající se zpracování osobních údajů. Návrh by měl rovněž stanovit předchozí konzultaci s evropským inspektorem ochrany údajů před přijetím těchto pravidel.

Společné stanovisko vítá synergie, které by mohly vyplynout ze spolupráce mezi agenturou ENISA a dalšími orgány a institucemi EU, a rovněž doporučuje doplnit výslovný odkaz na EIOÚ jako subjekt EU, s nímž by agentura ENISA spolupracovala.

Ačkoli je cíl usnadnit zavádění certifikace kybernetické bezpečnosti vítán, měla by být dále vyjasněna oblast působnosti evropského rámce pro certifikaci kybernetické bezpečnosti a jeho vztah k certifikaci podle obecného nařízení o ochraně osobních údajů. V zájmu zajištění jednotnosti by agentura ENISA měla před přijetím systému certifikace týkajícího se bezpečnosti zpracování osobních údajů konzultovat EDPB. Kromě toho by systémy certifikace pro produkty, služby a procesy, které budou pravděpodobně použity při operacích zpracování údajů, měly v co největší míře zohledňovat bezpečnostní kontroly, které mohou pomoci prokázat splnění požadavků obecného nařízení o ochraně osobních údajů.

EDPB a EIOÚ doporučují, aby se evropský rámec dovedností v oblasti kybernetické bezpečnosti neomezoval pouze na odborníky v oblasti kybernetické bezpečnosti, ale zahrnoval také obecný profil pracovní síly.

V souladu s nedávným společným stanoviskem EDPB a EIOÚ k návrhu souhrnného digitálního nařízení vyjadřují EDPB a EIOÚ podporu zřízení jednotného kontaktního místa pro oznamování případů porušení zabezpečení osobních údajů, neboť by to snížilo administrativní zátěž oznamujících organizací, aniž by to ovlivnilo úroveň ochrany fyzických osob.

Pokud jde o navrhované změny směrnice NIS2, EDPB a EIOÚ vítají označení evropských peněženek digitální identity a poskytovatelů evropských podnikových peněženek za „základní subjekty“.

Poznámka pro editory:
* Dne 21. ledna 2026 Komise formálně konzultovala EDPB a EIOÚ a požádala o společné stanovisko k návrhu Evropské komise na CSA2 a k návrhu na změny směrnice NIS2 v souladu s čl. 42 odst. 2 nařízení (EU) 2018/1725.

Zde zveřejněná tisková zpráva byla automaticky přeložena z angličtiny.  EDPB nezaručuje přesnost překladu. Pokud existují nějaké pochybnosti, přečtěte si prosím oficiální text v jeho anglickém znění.