Bruxelles, 19. ožujka 2026. Europski odbor za zaštitu podataka (EDPB) i Europski nadzornik za zaštitu podataka (EDPS) donijeli su zajedničko mišljenje o prijedlogu Europske komisije za Akt o kibersigurnosti 2 (CSA2) i prijedlogu izmjena Direktive o mrežnoj i informacijskoj sigurnosti 2 (NIS2).
Komisija je 20. siječnja 2026. objavila prijedlog paketa za kibersigurnost kako bi se dodatno ojačala kibersigurnost u Europi i organizacijama olakšala usklađenost sa zakonima o kibersigurnosti. U svojem zajedničkom mišljenju, izdanom na zahtjev Komisije*, EDPB i EDPS razmatraju predloženu reviziju predmetnog nadzornog tijela i ciljane izmjene Direktive NIS2.
Odnos između zaštite podataka i kibersigurnosti recipročan je i duboko međusobno povezan. Iako se kibersigurnošću podupire zaštita osobnih podataka ograničavanjem rizika od neželjenog pristupa, izmjene ili nedostupnosti podataka, ključno je osigurati da se sigurnosne kontrole provode na način kojim se ne ugrožavaju temeljna prava i slobode pojedinaca.”
Predsjednik Europskog odbora za zaštitu podataka Anu Talus
„Iako je ključno maksimalno povećati učinkovitost mjera kibersigurnosti, moramo osigurati da obrada osobnih podataka ostane ograničena na ono što je strogo nužno. Pozdravljamo pojačanu ulogu ENISA-e u promicanju digitalne otpornosti; nadamo se da će se tim novim mandatom potaknuti sinergije potrebne za stvaranje snažnog ekosustava u kojem sigurnost i privatnost idu ruku pod ruku.
Europski nadzornik za zaštitu podataka, Wojciech Wiewiórowski
Kad je riječ o Prijedlogu direktive CSA2, Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka podupiru opći cilj jačanja uloge Agencije Europske unije za kibersigurnost (ENISA) i olakšavanja primjene kibersigurnosne certifikacije, kao i cilj daljnjeg rješavanja različitih rizika za lance opskrbe IKT-om, uključujući one netehničke.
Prijedlog za dodatno pojašnjenje načina na koji ENISA pruža potporu različitim dionicima dobro je primljen. EDPB i EDPS posebno pozdravljaju činjenicu da bi se savjeti ENISA-e izdavali na prethodni zahtjev EDPB-a, čime bi se osigurala jasna koordinacija i jasna podjela odgovornosti. Također predlažu dodavanje EDPS-a kao mogućeg tražitelja savjeta od ENISA-e.
U zajedničkom mišljenju EDPB i EDPS podsjećaju da bi, ako upravni odbor ENISA-e odluči donijeti dodatne mjere potrebne za primjenu Uredbe EU-a o zaštiti podataka, takve odluke trebale biti ograničene na vrlo tehničke (praktične) pojedinosti povezane s obradom osobnih podataka. Prijedlogom bi se trebalo predvidjeti i prethodno savjetovanje s Europskim nadzornikom za zaštitu podataka prije donošenja takvih pravila.
U zajedničkom mišljenju pozdravljaju se sinergije koje bi mogle proizaći iz suradnje između ENISA-e i drugih institucija i tijela EU-a te se preporučuje dodavanje izričitog upućivanja na EDPS kao tijelo EU-a s kojim bi ENISA surađivala.
Iako je cilj olakšavanja primjene kibersigurnosne certifikacije dobrodošao, trebalo bi dodatno pojasniti područje primjene europskog okvira za kibersigurnosnu certifikaciju i njegov odnos s certifikacijom iz Opće uredbe o zaštiti podataka. Kako bi se osigurala dosljednost, ENISA bi se trebala savjetovati s Europskim odborom za zaštitu podataka prije donošenja programa certificiranja koji se odnosi na sigurnost obrade osobnih podataka. Nadalje, u programima certificiranja za proizvode, usluge i procese koji će se vjerojatno upotrebljavati u postupcima obrade podataka trebalo bi uzeti u obzir sigurnosne kontrole koje mogu pomoći u dokazivanju ispunjavanja zahtjeva Opće uredbe o zaštiti podataka, u mjeri u kojoj je to moguće.
Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka preporučuju da europski okvir za vještine u području kibersigurnosti ne bude ograničen samo na stručnjake za kibersigurnost, već da uključuje i opći profil radne snage.
U skladu s nedavnim zajedničkim mišljenjem Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka o Prijedlogu uredbe o digitalnoj skupnoj uredbi Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka izražavaju potporu uspostavi jedinstvene ulazne točke za obavješćivanje o povredama osobnih podataka jer bi se time smanjilo administrativno opterećenje za organizacije koje podnose prijave, a da se pritom ne utječe na razinu zaštite pojedinaca.
Kad je riječ o predloženim izmjenama Direktive NIS 2, EDPB i EDPS pozdravljaju određivanje europskih lisnica za digitalni identitet i pružatelja europskih poslovnih lisnica kao „ključnih subjekata”.
Napomena urednicima:
* Komisija se 21. siječnja 2026. službeno savjetovala s Europskim odborom za zaštitu podataka i Europskim nadzornikom za zaštitu podataka te je zatražila zajedničko mišljenje o prijedlogu Europske komisije za CSA2 i prijedlogu izmjena Direktive NIS2 u skladu s člankom 42. stavkom 2. Uredbe (EU) 2018/1725.
Priopćenje za medije objavljeno ovdje automatski je prevedeno s engleskog jezika. Europski odbor za zaštitu podataka ne jamči točnost prijevoda. Ako postoji sumnja, pogledajte službeni tekst u verziji na engleskom jeziku.