Brüsszel, 2026. március 19. – Az Európai Adatvédelmi Testület (EDPB) és az európai adatvédelmi biztos (EDPS) közös véleményt fogadott el az Európai Bizottság kiberbiztonsági jogszabályra (CSA2) irányuló javaslatáról, valamint a hálózat- és információbiztonságról szóló második irányelv (NIS2) módosításáról szóló javaslatról.
2026. január 20-án a Bizottság kiberbiztonsági csomagra irányuló javaslatot tett közzé annak érdekében, hogy tovább erősítse az európai kiberbiztonságot, ugyanakkor megkönnyítse a kiberbiztonsági jogszabályoknak való megfelelést a szervezetek számára. A Bizottság kérésére* kiadott közös véleményükben az Európai Adatvédelmi Testület és az európai adatvédelmi biztos foglalkozik az érintett felügyeleti hatóság javasolt felülvizsgálatával és a NIS 2 irányelv célzott módosításaival.
„Az adatvédelem és a kiberbiztonság közötti kapcsolat kölcsönös és szorosan összekapcsolódik. Bár a kiberbiztonság támogatja a személyes adatok védelmét azáltal, hogy korlátozza az adatokhoz való nem kívánt hozzáférés, azok módosítása vagy elérhetetlensége kockázatát, alapvető fontosságú annak biztosítása, hogy a biztonsági ellenőrzéseket úgy hajtsák végre, hogy azok ne ássák alá az egyének alapvető jogait és szabadságait.”
Az Európai Adatvédelmi Testület elnöke, Anu Talus
„Bár létfontosságú a kiberbiztonsági intézkedések hatékonyságának maximalizálása, biztosítanunk kell, hogy a személyes adatok kezelése továbbra is a feltétlenül szükséges mértékre korlátozódjon. Üdvözöljük az ENISA megerősített szerepét a digitális reziliencia előmozdításában; reméljük, hogy ez az új megbízatás elősegíti a szilárd ökoszisztéma létrehozásához szükséges szinergiákat, ahol a biztonság és a magánélet védelme együtt jár.”
európai adatvédelmi biztos, Wojciech Wiewiórowski
Ami a CSA2-javaslatot illeti, az Európai Adatvédelmi Testület és az európai adatvédelmi biztos támogatja az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) szerepének megerősítésére és a kiberbiztonsági tanúsítás elterjedésének megkönnyítésére irányuló általános célkitűzést, valamint az IKT-ellátási láncokat érintő különböző kockázatok további kezelésére irányuló célkitűzést, beleértve a nem technikai jellegűeket is.
Az ENISA által a különböző érdekelt feleknek nyújtott támogatás módjának további pontosítására irányuló javaslat kedvező fogadtatásra talált. Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos kifejezetten üdvözli, hogy az ENISA az Európai Adatvédelmi Testület előzetes kérésére ad tanácsot, ezáltal biztosítva az egyértelmű koordinációt és a felelősségi körök egyértelmű megosztását. Javasolják továbbá, hogy az európai adatvédelmi biztost vegyék fel az ENISA tanácsának lehetséges kikérőjeként.
A közös véleményben az Európai Adatvédelmi Testület és az európai adatvédelmi biztos emlékeztet arra, hogy amennyiben az ENISA igazgatótanácsa úgy dönt, hogy az uniós adatvédelmi rendelet alkalmazásához szükséges további intézkedéseket fogad el, az ilyen határozatokat a személyes adatok kezelésével kapcsolatos nagyon technikai (gyakorlati) részletekre kell korlátozni. A javaslatnak arról is rendelkeznie kell, hogy az ilyen szabályok elfogadása előtt előzetes konzultációt kell folytatni az európai adatvédelmi biztossal.
A közös vélemény üdvözli azokat a szinergiákat, amelyek az ENISA és más uniós intézmények és szervek közötti együttműködésből eredhetnek, és javasolja az európai adatvédelmi biztosra mint olyan uniós szervre való kifejezett hivatkozás beillesztését, amellyel az ENISA együttműködne.
Bár üdvözlendő a kiberbiztonsági tanúsítás elterjedésének megkönnyítésére irányuló célkitűzés, tovább kell pontosítani az európai kiberbiztonsági tanúsítási keretrendszer hatályát és annak az általános adatvédelmi rendelet szerinti tanúsítással való kapcsolatát. A következetesség biztosítása érdekében az ENISA-nak a személyes adatok kezelésének biztonságára vonatkozó tanúsítási rendszer elfogadása előtt konzultálnia kell az Európai Adatvédelmi Testülettel. Ezenkívül az adatkezelési műveletek során valószínűleg használt termékekre, szolgáltatásokra és folyamatokra vonatkozó tanúsítási rendszereknek a lehető legnagyobb mértékben figyelembe kell venniük azokat a biztonsági ellenőrzéseket, amelyek segíthetnek az általános adatvédelmi rendelet követelményeinek való megfelelés bizonyításában.
Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos azt ajánlja, hogy az európai kiberbiztonsági készségkeret ne csak a kiberbiztonsági szakemberekre korlátozódjon, hanem tartalmazzon általános munkaerő-profilt is.
Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos digitális salátarendeletre irányuló javaslatról szóló közelmúltbeli közös véleményével összhangban az Európai Adatvédelmi Testület és az európai adatvédelmi biztos támogatja a személyes adatok megsértésének bejelentésére szolgáló egyablakos ügyintézési pont létrehozását, mivel az csökkentené a bejelentő szervezetek adminisztratív terheit anélkül, hogy befolyásolná az egyének védelmének szintjét.
Ami a NIS 2 irányelv javasolt módosításait illeti, az Európai Adatvédelmi Testület és az európai adatvédelmi biztos üdvözli az európai digitális személyiadat-tárcák és az európai üzletiadat-tárcák szolgáltatóinak „alapvető fontosságú szervezetekként” való kijelölését.
Megjegyzés a szerkesztőknek:
* 2026. január 21-én a Bizottság hivatalosan konzultált az Európai Adatvédelmi Testülettel és az európai adatvédelmi biztossal, és az (EU) 2018/1725 rendelet 42. cikkének (2) bekezdésével összhangban közös véleményt kért az Európai Bizottság CSA2-re vonatkozó javaslatáról és a NIS2-irányelv módosítására irányuló javaslatról.
Az itt közzétett sajtóközlemény automatikusan angolról lett lefordítva. Az Európai Adatvédelmi Testület nem garantálja a fordítás pontosságát. Amennyiben kétség merül fel, kérjük, olvassa el az angol nyelvű hivatalos szöveget.