Bruxelles, den 19. marts 2026 – Det Europæiske Databeskyttelsesråd (EDPB) og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) har vedtaget en fælles udtalelse om Europa-Kommissionens forslag til forordning om cybersikkerhed 2 (CSA2) og forslaget om ændringer af direktivet om net- og informationssikkerhed 2 (NIS2).
Den 20. januar 2026 offentliggjorde Kommissionen et forslag til en cybersikkerhedspakke for yderligere at styrke cybersikkerheden i Europa og samtidig gøre det lettere for organisationer at overholde cybersikkerhedslovgivningen. I deres fælles udtalelse, der blev afgivet efter anmodning fra Kommissionen*, behandler Databeskyttelsesrådet og Den Europæiske Tilsynsførende den foreslåede revision af den berørte tilsynsmyndighed og de målrettede ændringer af NIS 2-direktivet.
"Forholdet mellem databeskyttelse og cybersikkerhed er gensidigt og dybt sammenkoblet. Selv om cybersikkerhed støtter beskyttelsen af personoplysninger ved at begrænse risikoen for uønsket adgang til, ændring af eller manglende adgang til data, er det afgørende at sikre, at sikkerhedskontroller gennemføres på en måde, der ikke underminerer enkeltpersoners grundlæggende rettigheder og frihedsrettigheder."
Databeskyttelsesrådets formand, Anu Talus
"Selv om det er afgørende at maksimere effektiviteten af cybersikkerhedsforanstaltningerne, skal vi sikre, at behandlingen af personoplysninger forbliver begrænset til, hvad der er strengt nødvendigt. Vi glæder os over ENISA's styrkede rolle med hensyn til at fremme digital modstandsdygtighed. Vores håb er, at dette nye mandat fremmer de synergier, der er nødvendige for at skabe et robust økosystem, hvor sikkerhed og privatlivets fred går hånd i hånd."
Den Europæiske Tilsynsførende for Databeskyttelse, Wojciech Wiewiórowski
Med hensyn til forslaget til CSA2 støtter Databeskyttelsesrådet og Den Europæiske Tilsynsførende det generelle mål om at styrke Den Europæiske Unions Agentur for Cybersikkerheds (ENISA's) rolle og lette udbredelsen af cybersikkerhedscertificering samt målet om yderligere at imødegå de forskellige risici for IKT-forsyningskæder, herunder ikketekniske risici.
Forslaget om yderligere præcisering af den måde, hvorpå ENISA yder støtte til forskellige interessenter, er vel modtaget. Databeskyttelsesrådet og Den Europæiske Tilsynsførende glæder sig specifikt over, at ENISA's rådgivning vil blive ydet efter forudgående anmodning fra Databeskyttelsesrådet, hvilket sikrer en klar koordinering og en klar ansvarsfordeling. De foreslår også at tilføje EDPS som en mulig anmodning om rådgivning fra ENISA.
I den fælles udtalelse minder Databeskyttelsesrådet og Den Europæiske Tilsynsførende om, at hvis ENISA's bestyrelse beslutter at vedtage yderligere foranstaltninger, der er nødvendige for anvendelsen af EU's forordning om databeskyttelse, bør sådanne afgørelser begrænses til meget tekniske (praktiske) detaljer vedrørende behandlingen af personoplysninger. Forslaget bør også indeholde bestemmelser om forudgående høring af EDPS inden vedtagelsen af sådanne regler.
Den fælles udtalelse glæder sig over de synergier, der kan opstå som følge af samarbejdet mellem ENISA og andre EU-institutioner og -organer, og anbefaler også, at der tilføjes en udtrykkelig henvisning til EDPS som et EU-organ, som ENISA vil samarbejde med.
Selv om målet om at lette udbredelsen af cybersikkerhedscertificering hilses velkommen, bør anvendelsesområdet for den europæiske ramme for cybersikkerhedscertificering og dens forhold til GDPR-certificering præciseres yderligere. For at sikre konsekvens bør ENISA rådføre sig med Databeskyttelsesrådet, inden det vedtager en certificeringsordning vedrørende sikkerheden i forbindelse med behandling af personoplysninger. Desuden bør certificeringsordninger for produkter, tjenester og processer, der sandsynligvis vil blive anvendt i databehandlingsaktiviteter, tage hensyn til sikkerhedskontroller, der kan bidrage til at påvise opfyldelsen af GDPR-kravene, i det omfang det er muligt.
Databeskyttelsesrådet og Den Europæiske Tilsynsførende anbefaler, at den europæiske ramme for cybersikkerhedsfærdigheder ikke kun er begrænset til fagfolk inden for cybersikkerhed, men også omfatter en generel arbejdsstyrkeprofil.
I overensstemmelse med den nylige fælles udtalelse fra Databeskyttelsesrådet og Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til en digital omnibusforordning udtrykker Databeskyttelsesrådet og Den Europæiske Tilsynsførende deres støtte til oprettelsen af et fælles kontaktpunkt for anmeldelse af brud på persondatasikkerheden, da det vil mindske den administrative byrde for underrettende organisationer uden at påvirke beskyttelsesniveauet for enkeltpersoner.
Med hensyn til de foreslåede ændringer af NIS 2-direktivet ser Databeskyttelsesrådet og Den Europæiske Tilsynsførende med tilfredshed på udpegelsen af europæiske digitale ID-tegnebøger og udbydere af europæiske erhvervstegnebøger som "væsentlige enheder".
Note til redaktørerne:
* Den 21. januar 2026 hørte Kommissionen formelt Databeskyttelsesrådet og Den Europæiske Tilsynsførende og anmodede om en fælles udtalelse om Europa-Kommissionens forslag til en CSA2 og forslaget om ændringer af NIS2-direktivet i overensstemmelse med artikel 42, stk. 2, i forordning (EU) 2018/1725.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.