Bruxelles, 19 martie 2026 – Comitetul european pentru protecția datelor (CEPD) și Autoritatea Europeană pentru Protecția Datelor (AEPD) au adoptat un aviz comun referitor la propunerea Comisiei Europene de Lege privind securitatea cibernetică 2 (CSA2) și la propunerea de modificare a Directivei privind securitatea rețelelor și a informațiilor 2 (NIS2).
La 20 ianuarie 2026, Comisia a publicat o propunere de pachet privind securitatea cibernetică pentru a consolida și mai mult securitatea cibernetică în Europa, facilitând în același timp respectarea legislației în materie de securitate cibernetică de către organizații. În avizul lor comun, emis la cererea Comisiei*, CEPD și AEPD abordează propunerea de revizuire a CSA și modificările specifice aduse Directivei NIS2.
„Relația dintre protecția datelor și securitatea cibernetică este reciprocă și profund interconectată. Deși securitatea cibernetică sprijină protecția datelor cu caracter personal prin limitarea riscurilor de acces nedorit, de modificare sau de indisponibilitate a datelor, este esențial să se asigure că controalele de securitate sunt puse în aplicare într-un mod care să nu submineze drepturile și libertățile fundamentale ale persoanelor.”
Președintele CEPD, Anu Talus
„Deși maximizarea eficacității măsurilor de securitate cibernetică este vitală, trebuie să ne asigurăm că prelucrarea datelor cu caracter personal rămâne limitată la ceea ce este strict necesar. Salutăm rolul consolidat al ENISA de a promova reziliența digitală; sperăm ca acest nou mandat să stimuleze sinergiile necesare pentru a crea un ecosistem solid, în care securitatea și viața privată să meargă mână în mână.”
Autoritatea Europeană pentru Protecția Datelor, Wojciech Wiewiórowski
În ceea ce privește propunerea privind CSA2, CEPD și AEPD sprijină obiectivul general de a consolida rolul Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) și de a facilita adoptarea certificării de securitate cibernetică, precum și obiectivul de a aborda în continuare diferitele riscuri pentru lanțurile de aprovizionare TIC, inclusiv cele fără caracter tehnic.
Propunerea de a oferi clarificări suplimentare cu privire la modul în care ENISA oferă sprijin diferitelor părți interesate este bine primită. CEPD și AEPD salută în mod specific faptul că avizul ENISA va fi emis la cererea prealabilă a CEPD, asigurând astfel o coordonare clară și o repartizare clară a responsabilităților. Acestea sugerează, de asemenea, adăugarea AEPD ca posibil solicitant de consiliere din partea ENISA.
În avizul comun, CEPD și AEPD reamintesc că, în cazul în care Consiliul de administrație al ENISA decide să adopte măsuri suplimentare necesare pentru aplicarea Regulamentului UE privind protecția datelor, astfel de decizii ar trebui să se limiteze la detalii foarte tehnice (practice) legate de prelucrarea datelor cu caracter personal. Propunerea ar trebui, de asemenea, să prevadă o consultare prealabilă cu AEPD înainte de adoptarea unor astfel de norme.
Avizul comun salută sinergiile care ar putea rezulta din cooperarea dintre ENISA și alte instituții și organisme ale UE și recomandă, de asemenea, adăugarea unei trimiteri explicite la AEPD ca organism al UE cu care ENISA ar coopera.
Deși obiectivul de a facilita adoptarea certificării de securitate cibernetică este binevenit, domeniul de aplicare al Cadrului european de certificare de securitate cibernetică și relația acestuia cu certificarea în temeiul RGPD ar trebui clarificate în continuare. Pentru a asigura coerența, ENISA ar trebui să se consulte cu CEPD înainte de a adopta un sistem de certificare referitor la securitatea prelucrării datelor cu caracter personal. În plus, sistemele de certificare pentru produsele, serviciile și procesele care ar putea fi utilizate în operațiunile de prelucrare a datelor ar trebui să țină seama, în măsura posibilului, de controalele de securitate care pot contribui la demonstrarea îndeplinirii cerințelor RGPD.
CEPD și AEPD recomandă ca Cadrul european de competențe în materie de securitate cibernetică să nu se limiteze doar la profesioniștii din domeniul securității cibernetice, ci să includă și un profil general al forței de muncă.
În conformitate cu recentul aviz comun al CEPD și AEPD privind propunerea de regulament „Omnibus digital”, CEPD și AEPD își exprimă sprijinul pentru instituirea unui punct unic de intrare pentru notificarea încălcărilor securității datelor cu caracter personal, deoarece acest lucru ar reduce sarcina administrativă pentru notificarea organizațiilor fără a afecta nivelul de protecție a persoanelor fizice.
În ceea ce privește modificările propuse la Directiva NIS2, CEPD și AEPD salută desemnarea portofelelor europene pentru identitatea digitală și a furnizorilor de portofele europene pentru întreprinderi drept „entități esențiale”.
Notă către editori:
* La 21 ianuarie 2026, Comisia a consultat în mod oficial CEPD și AEPD și a solicitat un aviz comun cu privire la propunerea Comisiei Europene de CSA2 și la propunerea de modificare a Directivei NIS2, în conformitate cu articolul 42 alineatul (2) din Regulamentul (UE) 2018/1725.
Comunicatul de presă publicat aici a fost tradus automat din limba engleză. CEPD nu garantează acuratețea traducerii. Vă rugăm să consultați textul oficial în versiunea sa în limba engleză, în cazul în care există îndoieli.