Briuselis, 2026 m. kovo 19 d. Europos duomenų apsaugos valdyba (EDAV) ir Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) priėmė bendrą nuomonę dėl Europos Komisijos pasiūlymo dėl Kibernetinio saugumo akto Nr. 2 (CSA2) ir pasiūlymo dėl Tinklų ir informacijos saugumo direktyvos Nr. 2 (TIS2) pakeitimų.
2026 m. sausio 20 d. Komisija paskelbė pasiūlymą dėl kibernetinio saugumo dokumentų rinkinio, kuriuo siekiama toliau stiprinti kibernetinį saugumą Europoje, kartu sudarant palankesnes sąlygas organizacijoms laikytis kibernetinio saugumo teisės aktų. Komisijos prašymu paskelbtoje bendroje nuomonėje* EDAV ir EDAPP nagrinėja siūlomą SPI peržiūrą ir tikslinius TIS 2 direktyvos pakeitimus.
„Duomenų apsaugos ir kibernetinio saugumo santykis yra abipusis ir glaudžiai tarpusavyje susijęs. Nors kibernetinis saugumas padeda apsaugoti asmens duomenis ribojant nepageidaujamos prieigos prie duomenų, jų keitimo ar neprieinamumo riziką, labai svarbu užtikrinti, kad saugumo kontrolė būtų įgyvendinama taip, kad nebūtų pakenkta asmenų pagrindinėms teisėms ir laisvėms.“
EDAV pirmininkė Anu Talus
„Nors labai svarbu kuo labiau padidinti kibernetinio saugumo priemonių veiksmingumą, turime užtikrinti, kad asmens duomenys būtų tvarkomi tik tiek, kiek tikrai būtina. Palankiai vertiname sustiprintą ENISA vaidmenį skatinant skaitmeninį atsparumą; tikimės, kad šiais naujais įgaliojimais bus skatinama sinergija, kurios reikia siekiant sukurti tvirtą ekosistemą, kurioje saugumas ir privatumas būtų neatsiejami.“
Europos duomenų apsaugos priežiūros pareigūnas, Wojciech Wiewiórowski
Kalbant apie pasiūlymą dėl CSA2, EDAV ir EDAPP pritaria bendram tikslui stiprinti Europos Sąjungos kibernetinio saugumo agentūros (ENISA) vaidmenį ir sudaryti palankesnes sąlygas kibernetinio saugumo sertifikavimo įsisavinimui, taip pat tikslui toliau mažinti įvairią riziką IRT tiekimo grandinėms, įskaitant netechninę riziką.
Pasiūlymas išsamiau paaiškinti, kaip ENISA teikia paramą įvairiems suinteresuotiesiems subjektams, yra palankiai vertinamas. EDAV ir EDAPP ypač palankiai vertina tai, kad ENISA rekomendacijos būtų teikiamos gavus išankstinį EDAV prašymą, taip užtikrinant aiškų koordinavimą ir aiškų atsakomybės pasidalijimą. Jie taip pat siūlo įtraukti EDAPP kaip galimą ENISA patarimo prašytoją.
Bendroje nuomonėje EDAV ir EDAPP primena, kad tuo atveju, jei ENISA valdančioji taryba nuspręstų priimti papildomas priemones, būtinas ES duomenų apsaugos reglamentui taikyti, tokie sprendimai turėtų apimti tik labai techninius (praktinius) duomenis, susijusius su asmens duomenų tvarkymu. Pasiūlyme taip pat turėtų būti numatytas išankstinis konsultavimasis su EDAPP prieš priimant tokias taisykles.
Bendroje nuomonėje palankiai vertinama sinergija, kuri gali atsirasti dėl ENISA ir kitų ES institucijų ir įstaigų bendradarbiavimo, taip pat rekomenduojama įtraukti aiškią nuorodą į EDAPP kaip ES įstaigą, su kuria ENISA bendradarbiautų.
Nors tikslas palengvinti kibernetinio saugumo sertifikavimo įsisavinimą yra sveikintinas, Europos kibernetinio saugumo sertifikavimo sistemos taikymo sritis ir jos ryšys su BDAR sertifikavimu turėtų būti išsamiau paaiškinti. Siekdama užtikrinti nuoseklumą, ENISA, prieš priimdama sertifikavimo schemą, susijusią su asmens duomenų tvarkymo saugumu, turėtų konsultuotis su EDAV. Be to, produktų, paslaugų ir procesų, kurie gali būti naudojami duomenų tvarkymo operacijose, sertifikavimo schemose turėtų būti kuo labiau atsižvelgiama į saugumo kontrolės priemones, kurios gali padėti įrodyti, kad laikomasi BDAR reikalavimų.
EDAV ir EDAPP rekomenduoja, kad Europos kibernetinio saugumo įgūdžių sistema apimtų ne tik kibernetinio saugumo specialistus, bet ir bendrą darbo jėgos profilį.
Atsižvelgdami į neseniai priimtą EDAV ir EDAPP bendrą nuomonę dėl pasiūlymo dėl Skaitmeninio reglamento „Omnibus“, EDAV ir EDAPP pritaria tam, kad būtų sukurtas vienas bendras pranešimo apie asmens duomenų saugumo pažeidimus punktas, nes taip būtų sumažinta pranešančiosioms organizacijoms tenkanti administracinė našta, nedarant poveikio asmenų apsaugos lygiui.
Kalbant apie siūlomus TIS 2 direktyvos pakeitimus, EDAV ir EDAPP palankiai vertina europinių skaitmeninės tapatybės dėklių ir europinių verslo dėklių teikėjų priskyrimą prie esminių subjektų.
Pastaba redaktoriams:
* 2026 m. sausio 21 d. Komisija oficialiai konsultavosi su EDAV ir EDAPP ir paprašė pateikti bendrą nuomonę dėl Europos Komisijos pasiūlymo dėl CSA2 ir pasiūlymo dėl TIS 2 direktyvos pakeitimų pagal Reglamento (ES) 2018/1725 42 straipsnio 2 dalį.
Čia paskelbtas pranešimas spaudai buvo automatiškai išverstas iš anglų kalbos. EDAV negarantuoja vertimo tikslumo. Jei kyla abejonių, žr. oficialų tekstą anglų kalba.