Bruksela, 19 marca 2026 r. – Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęli wspólną opinię w sprawie wniosku Komisji Europejskiej dotyczącego aktu o cyberbezpieczeństwie 2 (CSA2) oraz wniosku dotyczącego zmian w dyrektywie w sprawie bezpieczeństwa sieci i informacji 2 (NIS2).

20 stycznia 2026 r. Komisja opublikowała wniosek dotyczący pakietu w sprawie cyberbezpieczeństwa w celu dalszego wzmocnienia cyberbezpieczeństwa w Europie przy jednoczesnym ułatwieniu organizacjom przestrzegania przepisów dotyczących cyberbezpieczeństwa. We wspólnej opinii wydanej na wniosek Komisji* EROD i EIOD odniosły się do proponowanego przeglądu aktu o usługach cyfrowych i ukierunkowanych zmian w dyrektywie NIS 2.

Związek między ochroną danych a cyberbezpieczeństwem jest wzajemny i głęboko ze sobą powiązany. Chociaż cyberbezpieczeństwo wspiera ochronę danych osobowych poprzez ograniczenie ryzyka niepożądanego dostępu do danych, ich modyfikacji lub niedostępności, kluczowe znaczenie ma zapewnienie, aby kontrole bezpieczeństwa były wdrażane w sposób nienaruszający podstawowych praw i wolności osób fizycznych”.

Przewodnicząca EROD Anu Talus

Chociaż maksymalizacja skuteczności środków cyberbezpieczeństwa ma zasadnicze znaczenie, musimy zapewnić, aby przetwarzanie danych osobowych ograniczało się do tego, co jest absolutnie niezbędne. Z zadowoleniem przyjmujemy zwiększoną rolę ENISA w promowaniu odporności cyfrowej; Mamy nadzieję, że ten nowy mandat przyczyni się do synergii niezbędnych do stworzenia solidnego ekosystemu, w którym bezpieczeństwo i prywatność idą ze sobą w parze.

Europejski Inspektor Ochrony Danych, Wojciech Wiewiórowski

W odniesieniu do wniosku dotyczącego CSA2 EROD i EIOD popierają ogólny cel, jakim jest wzmocnienie roli Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) i ułatwienie upowszechnienia certyfikacji cyberbezpieczeństwa, a także cel, jakim jest dalsze przeciwdziałanie różnym zagrożeniom dla łańcuchów dostaw ICT, w tym zagrożeniom nietechnicznym.

Wniosek dotyczący dalszego wyjaśnienia sposobu, w jaki ENISA wspiera różne zainteresowane strony, został dobrze przyjęty. EROD i EIOD ze szczególnym zadowoleniem przyjmują fakt, że doradztwo ENISA będzie wydawane na uprzedni wniosek EROD, zapewniając tym samym jasną koordynację i jasny podział obowiązków. Sugerują również dodanie EIOD jako ewentualnego podmiotu zwracającego się o poradę do ENISA.

We wspólnej opinii EROD i EIOD przypominają, że w przypadku gdy zarząd ENISA podejmie decyzję o przyjęciu dodatkowych środków niezbędnych do stosowania unijnego rozporządzenia o ochronie danych, takie decyzje powinny ograniczać się do bardzo technicznych (praktycznych) szczegółów związanych z przetwarzaniem danych osobowych. Wniosek powinien również przewidywać uprzednie konsultacje z EIOD przed przyjęciem takich przepisów.

We wspólnej opinii z zadowoleniem przyjmuje się synergie, które mogą wynikać ze współpracy między ENISA a innymi instytucjami i organami UE, a także zaleca się dodanie wyraźnego odniesienia do EIOD jako organu UE, z którym ENISA będzie współpracować.

Chociaż cel, jakim jest ułatwienie upowszechnienia certyfikacji cyberbezpieczeństwa, jest mile widziany, należy doprecyzować zakres europejskich ram certyfikacji cyberbezpieczeństwa i ich związek z certyfikacją RODO. Aby zapewnić spójność, ENISA powinna skonsultować się z EROD przed przyjęciem systemu certyfikacji dotyczącego bezpieczeństwa przetwarzania danych osobowych. Ponadto systemy certyfikacji produktów, usług i procesów, które mogą być wykorzystywane w operacjach przetwarzania danych, powinny w miarę możliwości uwzględniać kontrole bezpieczeństwa, które mogą pomóc w wykazaniu spełnienia wymogów RODO.

EROD i EIOD zalecają, aby europejskie ramy umiejętności w dziedzinie cyberbezpieczeństwa nie ograniczały się tylko do specjalistów w dziedzinie cyberbezpieczeństwa, ale obejmowały również ogólny profil pracowników.

Zgodnie z niedawną wspólną opinią EROD i EIOD w sprawie wniosku dotyczącego rozporządzenia zbiorczego w sprawie cyfryzacji EROD i EIOD wyrażają poparcie dla ustanowienia pojedynczego punktu kontaktowego do celów powiadamiania o naruszeniach ochrony danych osobowych, ponieważ zmniejszyłoby to obciążenie administracyjne związane z powiadamianiem organizacji bez wpływu na poziom ochrony osób fizycznych.

Jeżeli chodzi o proponowane zmiany dyrektywy NIS 2, EROD i EIOD z zadowoleniem przyjmują wyznaczenie europejskich portfeli tożsamości cyfrowej i dostawców europejskich portfeli biznesowych jako „podmiotów niezbędnych”.

Uwaga dla redaktorów:
* W dniu 21 stycznia 2026 r. Komisja formalnie skonsultowała się z EROD i EIOD oraz zwróciła się o wydanie wspólnej opinii w sprawie wniosku Komisji Europejskiej dotyczącego CSA2 oraz wniosku dotyczącego zmian w dyrektywie NIS2 zgodnie z art. 42 ust. 2 rozporządzenia (UE) 2018/1725.

Opublikowany tutaj komunikat prasowy został automatycznie przetłumaczony z języka angielskiego.  EROD nie gwarantuje dokładności tłumaczenia. Proszę odnieść się do oficjalnego tekstu w wersji angielskiej, jeśli istnieją jakiekolwiek wątpliwości.