Brüssel, 19. März 2026 – Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben eine gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission für einen Rechtsakt zur Cybersicherheit 2 (CSA2) und zum Vorschlag zur Änderung der Richtlinie über Netz- und Informationssicherheit 2 (NIS2) angenommen.
Am 20. Januar 2026 veröffentlichte die Kommission einen Vorschlag für ein Cybersicherheitspaket, um die Cybersicherheit in Europa weiter zu stärken und gleichzeitig die Einhaltung der Cybersicherheitsvorschriften für Organisationen zu erleichtern. In ihrer auf Ersuchen der Kommission* abgegebenen gemeinsamen Stellungnahme befassen sich der EDSA und der EDSB mit der vorgeschlagenen Überarbeitung der CSA und den gezielten Änderungen der NIS2-Richtlinie.
„Das Verhältnis zwischen Datenschutz und Cybersicherheit ist auf Gegenseitigkeit beruhend und eng miteinander verbunden. Die Cybersicherheit unterstützt zwar den Schutz personenbezogener Daten, indem sie die Risiken des ungewollten Zugriffs, der Änderung oder der Nichtverfügbarkeit von Daten begrenzt, doch muss unbedingt sichergestellt werden, dass Sicherheitskontrollen so durchgeführt werden, dass die Grundrechte und Grundfreiheiten des Einzelnen nicht beeinträchtigt werden.“
EDSA-Vorsitzender Anu Talus
„Die Maximierung der Wirksamkeit von Cybersicherheitsmaßnahmen ist zwar von entscheidender Bedeutung, wir müssen jedoch sicherstellen, dass die Verarbeitung personenbezogener Daten auf das absolut Notwendige beschränkt bleibt. Wir begrüßen die gestärkte Rolle der ENISA bei der Förderung der digitalen Resilienz; wir hoffen, dass dieses neue Mandat die Synergien fördert, die erforderlich sind, um ein robustes Ökosystem zu schaffen, in dem Sicherheit und Privatsphäre Hand in Hand gehen.“
Europäischer Datenschutzbeauftragter, Wojciech Wiewiórowski
In Bezug auf den Vorschlag für die CSA2 unterstützen der EDSA und der EDSB das allgemeine Ziel, die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) zu stärken und die Einführung der Cybersicherheitszertifizierung zu erleichtern, sowie das Ziel, die verschiedenen Risiken für IKT-Lieferketten, einschließlich nichttechnischer, weiter anzugehen.
Der Vorschlag, die Art und Weise, wie die ENISA verschiedene Interessenträger unterstützt, weiter zu präzisieren, wird positiv aufgenommen. Der EDSA und der EDSB begrüßen ausdrücklich, dass die Empfehlung der ENISA auf vorheriges Ersuchen des EDSA erteilt wird, wodurch eine klare Koordinierung und eine klare Aufteilung der Zuständigkeiten gewährleistet wird. Sie schlagen ferner vor, den EDSB als möglichen Berater der ENISA aufzunehmen.
In der gemeinsamen Stellungnahme weisen der EDSA und der EDSB darauf hin, dass für den Fall, dass der Verwaltungsrat der ENISA beschließt, zusätzliche Maßnahmen zu erlassen, die für die Anwendung der EU-Datenschutzverordnung erforderlich sind, diese Beschlüsse auf sehr technische (praktische) Einzelheiten im Zusammenhang mit der Verarbeitung personenbezogener Daten beschränkt werden sollten. Der Vorschlag sollte auch eine vorherige Konsultation des EDSB vor der Annahme solcher Vorschriften vorsehen.
In der gemeinsamen Stellungnahme werden die Synergien begrüßt, die sich aus der Zusammenarbeit zwischen der ENISA und anderen Organen und Einrichtungen der EU ergeben könnten, und es wird empfohlen, einen ausdrücklichen Verweis auf den EDSB als EU-Einrichtung aufzunehmen, mit der die ENISA zusammenarbeiten würde.
Während das Ziel, die Einführung der Cybersicherheitszertifizierung zu erleichtern, begrüßt wird, sollten der Anwendungsbereich des Europäischen Rahmens für die Cybersicherheitszertifizierung und sein Zusammenhang mit der DSGVO-Zertifizierung weiter präzisiert werden. Um die Kohärenz zu gewährleisten, sollte die ENISA den EDSA konsultieren, bevor sie ein Zertifizierungssystem für die Sicherheit der Verarbeitung personenbezogener Daten annimmt. Darüber hinaus sollten Zertifizierungssysteme für Produkte, Dienstleistungen und Prozesse, die wahrscheinlich bei Datenverarbeitungsvorgängen verwendet werden, Sicherheitskontrollen berücksichtigen, die dazu beitragen können, die Erfüllung der DSGVO-Anforderungen so weit wie möglich nachzuweisen.
Der EDSA und der EDSB empfehlen, dass sich der Europäische Rahmen für Cybersicherheitskompetenzen nicht nur auf Fachkräfte im Bereich der Cybersicherheit beschränkt, sondern auch ein allgemeines Personalprofil enthält.
Im Einklang mit der jüngsten gemeinsamen Stellungnahme des EDSA und des EDSB zum Vorschlag für eine Verordnung über digitale Omnibusdienste bekunden der EDSA und der EDSB ihre Unterstützung für die Einrichtung einer zentralen Anlaufstelle für die Meldung von Verletzungen des Schutzes personenbezogener Daten, da dies den Verwaltungsaufwand für die notifizierenden Organisationen verringern würde, ohne das Schutzniveau für Einzelpersonen zu beeinträchtigen.
In Bezug auf die vorgeschlagenen Änderungen der NIS2-Richtlinie begrüßen der EDSA und der EDSB die Benennung von EUid-Brieftaschen undeuropäischen Unternehmensbrieftaschenanbietern als „wesentliche Einrichtungen“.
Hinweis für Redakteure:
* Am 21. Januar 2026 konsultierte die Kommission den EDSA und den EDSB förmlich und ersuchte um eine gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission für ein CSA2 und zum Vorschlag zur Änderung der NIS2-Richtlinie gemäß Artikel 42 Absatz 2 der Verordnung (EU) 2018/1725.
Die hier veröffentlichte Pressemitteilung wurde automatisch aus dem Englischen übersetzt. Der EDSA übernimmt keine Gewähr für die Richtigkeit der Übersetzung. Bitte beachten Sie den offiziellen Text in seiner englischen Fassung, falls Zweifel bestehen.