Bruxelas, 19 de março de 2026 – O Comité Europeu para a Proteção de Dados (CEPD) e a Autoridade Europeia para a Proteção de Dados (AEPD) adotaram um parecer conjunto sobre a proposta da Comissão Europeia de um Regulamento Cibersegurança 2 (CSA2) e a proposta de alterações à Diretiva Segurança das Redes e da Informação 2 (SRI 2).
Em 20 de janeiro de 2026, a Comissão publicou uma proposta de pacote de cibersegurança para reforçar ainda mais a cibersegurança na Europa, facilitando simultaneamente o cumprimento da legislação em matéria de cibersegurança pelas organizações. No seu parecer conjunto, emitido a pedido da Comissão*, o CEPD e a AEPD abordam a proposta de revisão da ACI e as alterações específicas à Diretiva SRI 2.
«A relação entre a proteção de dados e a cibersegurança é recíproca e está profundamente interligada. Embora a cibersegurança apoie a proteção dos dados pessoais, limitando os riscos de acesso indesejado, alteração ou indisponibilidade de dados, é fundamental assegurar que os controlos de segurança são aplicados de forma a não comprometer os direitos e liberdades fundamentais das pessoas.»
Anu Talus, presidente do CEPD
«Embora seja vital maximizar a eficácia das medidas de cibersegurança, temos de assegurar que o tratamento de dados pessoais se limita ao estritamente necessário. Congratulamo-nos com o papel reforçado da ENISA na promoção da resiliência digital; esperamos que este novo mandato promova as sinergias necessárias para criar um ecossistema sólido em que a segurança e a privacidade andem de mãos dadas.»
Autoridade Europeia para a Proteção de Dados, Wojciech Wiewiórowski
No que diz respeito à proposta de ACI2, o CEPD e a AEPD apoiam o objetivo geral de reforçar o papel da Agência da União Europeia para a Cibersegurança (ENISA) e facilitar a adoção da certificação da cibersegurança, bem como o objetivo de continuar a abordar os vários riscos para as cadeias de abastecimento de TIC, incluindo os não técnicos.
A proposta de prestar mais esclarecimentos sobre a forma como a ENISA presta apoio às diferentes partes interessadas é bem acolhida. O CEPD e a AEPD congratulam-se especificamente com o facto de o parecer da ENISA ser emitido mediante pedido prévio do CEPD, assegurando assim uma coordenação clara e uma divisão clara de responsabilidades. Sugerem igualmente o aditamento da AEPD como possível requerente de aconselhamento por parte da ENISA.
No parecer conjunto, o CEPD e a AEPD recordam que, caso o Conselho de Administração da ENISA decida adotar medidas adicionais necessárias para a aplicação do Regulamento Proteção de Dados da UE, essas decisões devem limitar-se a pormenores (práticos) muito técnicos relacionados com o tratamento de dados pessoais. A proposta deve igualmente prever uma consulta prévia da AEPD antes da adoção dessas regras.
O parecer conjunto congratula-se com as sinergias que podem resultar da cooperação entre a ENISA e outras instituições e organismos da UE e recomenda igualmente o aditamento de uma referência explícita à AEPD enquanto organismo da UE com o qual a ENISA cooperaria.
Embora o objetivo de facilitar a adoção da certificação da cibersegurança seja bem-vindo, o âmbito de aplicação do Quadro Europeu de Certificação da Cibersegurança e a sua relação com a certificação do RGPD devem ser clarificados. A fim de assegurar a coerência, a ENISA deve consultar o CEPD antes de adotar um sistema de certificação relativo à segurança do tratamento de dados pessoais. Além disso, os sistemas de certificação de produtos, serviços e processos suscetíveis de serem utilizados em operações de tratamento de dados devem ter em conta os controlos de segurança que podem ajudar a demonstrar, na medida do possível, o cumprimento dos requisitos do RGPD.
O CEPD e a AEPD recomendam que o Quadro Europeu de Competências em Cibersegurança não se limite apenas aos profissionais da cibersegurança, mas inclua também um perfil geral da mão de obra.
Em consonância com o recente parecer conjunto do CEPD e da AEPD sobre a proposta de Regulamento Omnibus Digital, o CEPD e a AEPD manifestam o seu apoio à criação de um ponto de entrada único para a notificação de violações de dados pessoais, uma vez que reduziria os encargos administrativos para as organizações notificantes sem afetar o nível de proteção das pessoas singulares.
No que diz respeito às alterações propostas à Diretiva SRI 2, o CEPD e a AEPD congratulam-se com a designação das carteiras europeias de identidade digital e dos fornecedores europeus de carteiras de empresas como «entidades essenciais».
Nota aos editores:
* Em 21 de janeiro de 2026, a Comissão consultou formalmente o CEPD e a AEPD e solicitou um parecer conjunto sobre a proposta da Comissão Europeia de uma ACI2 e a proposta de alteração da Diretiva SRI2, em conformidade com o artigo 42.o, n.o 2, do Regulamento (UE) 2018/1725.
O comunicado de imprensa aqui publicado foi traduzido automaticamente do inglês. O CEPD não garante a exatidão da tradução. Queira consultar o texto oficial na sua versão inglesa em caso de dúvida.