Bryssel den 19 mars 2026 – Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) har antagit ett gemensamt yttrande om Europeiska kommissionens förslag till cybersäkerhetsakt 2 (CSA2) och förslaget om ändringar av direktivet om nät- och informationssäkerhet 2 (NIS2).
Den 20 januari 2026 offentliggjorde kommissionen ett förslag till cybersäkerhetspaket för att ytterligare stärka cybersäkerheten i Europa och samtidigt göra det lättare för organisationer att följa cybersäkerhetslagstiftningen. I sitt gemensamma yttrande, som avgetts på begäran av kommissionen*, behandlar EDPB och EDPS den föreslagna översynen av den gemensamma tillsynsmyndigheten och de riktade ändringarna av NIS 2-direktivet.
”Förhållandet mellan dataskydd och cybersäkerhet är ömsesidigt och djupt sammanlänkat. Cybersäkerhet stöder skyddet av personuppgifter genom att begränsa riskerna för oönskad åtkomst till, ändring av eller otillgänglighet för uppgifter, men det är mycket viktigt att säkerställa att säkerhetskontroller genomförs på ett sätt som inte undergräver enskilda personers grundläggande rättigheter och friheter.”
EDPB:s ordförande Anu Talus
”Det är mycket viktigt att maximera cybersäkerhetsåtgärdernas effektivitet, men vi måste se till att behandlingen av personuppgifter begränsas till vad som är absolut nödvändigt. Vi välkomnar Enisas förstärkta roll för att främja digital resiliens. Vår förhoppning är att detta nya mandat främjar de synergier som krävs för att skapa ett robust ekosystem där säkerhet och integritet går hand i hand.”
Europeiska datatillsynsmannen, Wojciech Wiewiórowski
När det gäller förslaget till CSA2 stöder EDPB och EDPS det allmänna målet att stärka rollen för Europeiska unionens cybersäkerhetsbyrå (Enisa) och underlätta införandet av cybersäkerhetscertifiering samt målet att ytterligare hantera de olika riskerna för IKT-leveranskedjor, inbegripet icke-tekniska sådana.
Förslaget om att ytterligare klargöra hur Enisa ger stöd till olika berörda parter tas emot väl. EDPB och EDPS välkomnar särskilt att Enisas råd skulle utfärdas efter en föregående begäran från EDPB, vilket säkerställer en tydlig samordning och en tydlig ansvarsfördelning. De föreslår också att Europeiska datatillsynsmannen ska läggas till som en möjlig begäran om råd från Enisa.
I det gemensamma yttrandet påminner EDPB och EDPS om att om Enisas styrelse beslutar att anta ytterligare åtgärder som är nödvändiga för tillämpningen av EU:s dataskyddsförordning bör sådana beslut begränsas till mycket tekniska (praktiska) detaljer som rör behandlingen av personuppgifter. Förslaget bör också föreskriva ett föregående samråd med Europeiska datatillsynsmannen innan sådana regler antas.
I det gemensamma yttrandet välkomnas de synergier som kan uppstå genom samarbetet mellan Enisa och andra EU-institutioner och EU-organ, och det rekommenderas också att man lägger till en uttrycklig hänvisning till Europeiska datatillsynsmannen som ett EU-organ med vilket Enisa skulle samarbeta.
Målet att underlätta införandet av cybersäkerhetscertifiering är välkommet, men tillämpningsområdet för den europeiska ramen för cybersäkerhetscertifiering och dess förhållande till certifiering enligt den allmänna dataskyddsförordningen bör förtydligas ytterligare. För att säkerställa enhetlighet bör Enisa samråda med Europeiska dataskyddsstyrelsen innan man antar ett certifieringssystem som rör säkerheten vid behandling av personuppgifter. Dessutom bör certifieringssystem för produkter, tjänster och processer som sannolikt kommer att användas vid behandling av uppgifter i möjligaste mån ta hänsyn till säkerhetskontroller som kan bidra till att visa att kraven i den allmänna dataskyddsförordningen är uppfyllda.
EDPB och EDPS rekommenderar att den europeiska kompetensramen för cybersäkerhet inte bara begränsas till yrkesverksamma inom cybersäkerhet, utan även omfattar en allmän personalprofil.
I linje med EDPB:s och EDPS senaste gemensamma yttrande om förslaget till digital omnibusförordning uttrycker EDPB och EDPS sitt stöd för inrättandet av en gemensam kontaktpunkt för anmälan av personuppgiftsincidenter, eftersom det skulle minska den administrativa bördan för anmälande organisationer utan att påverka skyddsnivån för enskilda personer.
När det gäller de föreslagna ändringarna av NIS 2-direktivet välkomnar EDPB och EDPS att europeiska e-identitetsplånböcker och leverantörer av europeiska företagsplånböcker har utsetts till ”väsentliga enheter”.
Anmärkning till redaktörer:
* Den 21 januari 2026 samrådde kommissionen formellt med EDPB och EDPS och begärde ett gemensamt yttrande om Europeiska kommissionens förslag till CSA2 och förslaget om ändringar av NIS2-direktivet i enlighet med artikel 42.2 i förordning (EU) 2018/1725.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.