Bryssel 19. maaliskuuta 2026 – Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ovat antaneet yhteisen lausunnon Euroopan komission ehdotuksesta kyberturvallisuusasetukseksi 2 (CSA2) ja ehdotuksesta muutoksiksi verkko- ja tietoturvadirektiiviin 2 (NIS2).
Komissio julkaisi 20. tammikuuta 2026 ehdotuksen kyberturvallisuuspaketiksi, jolla vahvistetaan kyberturvallisuutta Euroopassa ja helpotetaan kyberturvallisuuslainsäädännön noudattamista organisaatioiden kannalta. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu käsittelevät komission* pyynnöstä antamassaan yhteisessä lausunnossa ehdotettua osallistuvan valvontaviranomaisen tarkistamista ja kohdennettuja muutoksia verkko- ja tietoturvadirektiiviin.
”Tietosuojan ja kyberturvallisuuden välinen suhde on vastavuoroinen ja tiiviisti sidoksissa toisiinsa. Vaikka kyberturvallisuus tukee henkilötietojen suojaa rajoittamalla ei-toivotun dataan pääsyn, sen muuttamisen tai sen puuttumisen riskiä, on ratkaisevan tärkeää varmistaa, että turvavalvontatoimet toteutetaan tavalla, joka ei heikennä yksilöiden perusoikeuksia ja -vapauksia.”
Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus
”Vaikka kyberturvallisuustoimenpiteiden tehokkuuden maksimointi on olennaisen tärkeää, meidän on varmistettava, että henkilötietojen käsittely rajoittuu siihen, mikä on ehdottoman välttämätöntä. Olemme tyytyväisiä ENISAn vahvistettuun rooliin digitaalisen häiriönsietokyvyn edistämisessä. Toivomme, että tämä uusi toimeksianto edistää synergioita, joita tarvitaan sellaisen vankan ekosysteemin luomiseksi, jossa turvallisuus ja yksityisyys kulkevat käsi kädessä.”
Euroopan tietosuojavaltuutettu, Wojciech Wiewiórowski
CSA2-ehdotuksen osalta Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu tukevat yleistä tavoitetta vahvistaa Euroopan unionin kyberturvallisuusviraston (ENISA) roolia ja helpottaa kyberturvallisuussertifioinnin käyttöönottoa sekä tavoitetta puuttua edelleen tieto- ja viestintätekniikan toimitusketjuihin kohdistuviin erilaisiin riskeihin, myös muihin kuin teknisiin riskeihin.
Ehdotus siitä, miten ENISA antaa tukea eri sidosryhmille, on otettu hyvin vastaan. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ovat erityisen tyytyväisiä siihen, että ENISAn neuvonta annettaisiin tietosuojaneuvoston etukäteen esittämästä pyynnöstä, mikä varmistaisi selkeän koordinoinnin ja selkeän vastuunjaon. He ehdottavat myös Euroopan tietosuojavaltuutetun lisäämistä ENISAn neuvojen mahdolliseksi pyytäjäksi.
Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu muistuttavat yhteisessä lausunnossaan, että jos ENISAn hallintoneuvosto päättää hyväksyä lisätoimenpiteitä, jotka ovat tarpeen EU:n tietosuoja-asetuksen soveltamiseksi, tällaiset päätökset olisi rajoitettava hyvin teknisiin (käytännön) yksityiskohtiin, jotka liittyvät henkilötietojen käsittelyyn. Ehdotuksessa olisi myös säädettävä Euroopan tietosuojavaltuutetun kuulemisesta ennen tällaisten sääntöjen hyväksymistä.
Yhteisessä lausunnossa suhtaudutaan myönteisesti ENISAn ja muiden EU:n toimielinten ja elinten välisestä yhteistyöstä mahdollisesti syntyviin synergioihin ja suositellaan myös, että lisätään nimenomainen viittaus Euroopan tietosuojavaltuutettuun EU:n elimenä, jonka kanssa ENISA tekisi yhteistyötä.
Vaikka kyberturvallisuussertifioinnin käyttöönoton helpottamista koskeva tavoite on tervetullut, eurooppalaisen kyberturvallisuuden sertifiointikehyksen soveltamisalaa ja sen suhdetta yleisen tietosuoja-asetuksen mukaiseen sertifiointiin olisi selkeytettävä edelleen. Johdonmukaisuuden varmistamiseksi ENISAn olisi kuultava tietosuojaneuvostoa ennen henkilötietojen käsittelyn turvallisuuteen liittyvän sertifiointijärjestelmän hyväksymistä. Lisäksi sellaisten tuotteiden, palvelujen ja prosessien sertifiointijärjestelmissä, joita todennäköisesti käytetään tietojenkäsittelytoimissa, olisi mahdollisuuksien mukaan otettava huomioon turvavalvontatoimet, jotka voivat auttaa osoittamaan yleisen tietosuoja-asetuksen vaatimusten täyttymisen.
Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu suosittelevat, että Euroopan kyberturvallisuuden osaamiskehys ei rajoitu pelkästään kyberturvallisuuden ammattilaisiin, vaan siihen sisältyy myös yleinen työvoimaprofiili.
Digitaalista koontiasetusta koskevasta ehdotuksesta äskettäin annetun Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteisen lausunnon mukaisesti Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ilmaisevat tukensa keskitetyn asiointipisteen perustamiselle henkilötietojen tietoturvaloukkauksista ilmoittamista varten, koska se vähentäisi ilmoittavien organisaatioiden hallinnollista rasitetta vaikuttamatta yksilöiden suojelun tasoon.
NIS 2 -direktiiviin ehdotettujen muutosten osalta Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu suhtautuvat myönteisesti eurooppalaisten digitaalisen identiteetin lompakoiden ja eurooppalaisten yrityslompakoiden tarjoajien nimeämiseen ”keskeisiksi toimijoiksi”.
Huomautus toimittajille:
* Komissio kuuli 21. tammikuuta 2026 virallisesti Euroopan tietosuojaneuvostoa ja Euroopan tietosuojavaltuutettua ja pyysi yhteistä lausuntoa Euroopan komission ehdotuksesta verkko- ja tietoturvadirektiiviin tehtäviksi muutoksiksi asetuksen (EU) 2018/1725 42 artiklan 2 kohdan mukaisesti.
Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.