Bruselas, 19 de marzo de 2026 – El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han adoptado un dictamen conjunto sobre la propuesta de la Comisión Europea de un Acto de Ciberseguridad 2 (CSA2) y la propuesta de modificación de la Directiva sobre seguridad de las redes y de la información 2 (SRI 2).
El 20 de enero de 2026, la Comisión publicó una propuesta de paquete de ciberseguridad para seguir reforzando la ciberseguridad en Europa, facilitando al mismo tiempo el cumplimiento de la legislación en materia de ciberseguridad para las organizaciones. En su dictamen conjunto, emitido a petición de la Comisión*, el CEPD y el SEPD abordan la propuesta de revisión de la CSA y las modificaciones específicas de la Directiva SRI 2.
«La relación entre la protección de datos y la ciberseguridad es recíproca y está profundamente interconectada. Si bien la ciberseguridad apoya la protección de los datos personales limitando los riesgos de acceso no deseado, modificación o indisponibilidad de los datos, es fundamental garantizar que los controles de seguridad se apliquen de manera que no socaven los derechos y libertades fundamentales de las personas».
Anu Talus, presidente del CEPD
«Si bien es vital maximizar la eficacia de las medidas de ciberseguridad, debemos garantizar que el tratamiento de los datos personales se limite a lo estrictamente necesario. Acogemos con satisfacción el papel reforzado de ENISA para promover la resiliencia digital; esperamos que este nuevo mandato fomente las sinergias necesarias para crear un ecosistema sólido en el que la seguridad y la privacidad vayan de la mano».
Supervisor Europeo de Protección de Datos, Wojciech Wiewiórowski
En cuanto a la propuesta de la CSA2, el CEPD y el SEPD apoyan el objetivo general de reforzar el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y facilitar la adopción de la certificación de la ciberseguridad, así como el objetivo de seguir abordando los diversos riesgos para las cadenas de suministro de TIC, incluidos los no técnicos.
La propuesta de proporcionar más aclaraciones sobre la forma en que ENISA presta apoyo a las diferentes partes interesadas es bien recibida. El CEPD y el SEPD acogen con especial satisfacción que el asesoramiento de ENISA se emita previa solicitud del CEPD, garantizando así una coordinación clara y una división clara de responsabilidades. También proponen añadir al SEPD como posible solicitante de asesoramiento de la ENISA.
En el dictamen conjunto, el CEPD y el SEPD recuerdan que, en caso de que el Consejo de Administración de la ENISA decida adoptar las medidas adicionales necesarias para la aplicación del Reglamento de protección de datos de la UE, dichas decisiones deben limitarse a detalles muy técnicos (prácticos) relacionados con el tratamiento de datos personales. La propuesta también debe prever una consulta previa con el SEPD antes de la adopción de dichas normas.
El dictamen conjunto acoge con satisfacción las sinergias que podrían derivarse de la cooperación entre la ENISA y otras instituciones y órganos de la UE, y también recomienda añadir una referencia explícita al SEPD como organismo de la UE con el que la ENISA cooperaría.
Si bien se acoge con satisfacción el objetivo de facilitar la adopción de la certificación de la ciberseguridad, debe aclararse en mayor medida el ámbito de aplicación del Marco Europeo de Certificación de la Ciberseguridad y su relación con la certificación del RGPD. Para garantizar la coherencia, la ENISA debe consultar al CEPD antes de adoptar un sistema de certificación relativo a la seguridad del tratamiento de datos personales. Además, los sistemas de certificación de productos, servicios y procesos que probablemente se utilicen en operaciones de tratamiento de datos deben tener en cuenta los controles de seguridad que pueden ayudar a demostrar el cumplimiento de los requisitos del RGPD, en la medida de lo posible.
El CEPD y el SEPD recomiendan que el Marco Europeo de Capacidades de Ciberseguridad no solo se limite a los profesionales de la ciberseguridad, sino que también incluya un perfil general de la mano de obra.
En consonancia con el reciente dictamen conjunto del CEPD y el SEPD sobre la propuesta de Reglamento Ómnibus Digital, el CEPD y el SEPD expresan su apoyo al establecimiento de un punto de entrada único para la notificación de violaciones de la seguridad de los datos personales, ya que reduciría la carga administrativa para las organizaciones notificantes sin afectar al nivel de protección de las personas.
En cuanto a las modificaciones propuestas de la Directiva SRI 2, el CEPD y el SEPD acogen con satisfacción la designación de los proveedores europeos de carteras de identidad digital y carteras empresariales europeas como «entidades esenciales».
Nota a los editores:
* El 21 de enero de 2026, la Comisión consultó formalmente al CEPD y al SEPD y solicitó un dictamen conjunto sobre la propuesta de la Comisión Europea de una CSA2 y la propuesta de modificación de la Directiva SRI 2 de conformidad con el artículo 42, apartado 2, del Reglamento (UE) 2018/1725.
El comunicado de prensa publicado aquí ha sido traducido automáticamente del inglés. El CEPD no garantiza la exactitud de la traducción. Por favor, consulte el texto oficial en su versión en inglés si hay alguna duda.