Bruxelles, 19 marzo 2026 – Il comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno adottato un parere congiunto sulla proposta della Commissione europea relativa a un atto sulla cibersicurezza 2 (CSA2) e sulla proposta di modifica della direttiva sulla sicurezza delle reti e dell'informazione 2 (NIS2).
Il 20 gennaio 2026 la Commissione ha pubblicato una proposta di pacchetto sulla cibersicurezza per rafforzare ulteriormente la cibersicurezza in Europa, semplificando nel contempo il rispetto delle leggi sulla cibersicurezza per le organizzazioni. Nel loro parere congiunto, emesso su richiesta della Commissione*, l'EDPB e il GEPD affrontano la proposta di revisione dell'autorità di controllo interessata e le modifiche mirate alla direttiva NIS2.
"Il rapporto tra protezione dei dati e cibersicurezza è reciproco e profondamente interconnesso. Sebbene la cibersicurezza sostenga la protezione dei dati personali limitando i rischi di accesso indesiderato, modifica o indisponibilità dei dati, è fondamentale garantire che i controlli di sicurezza siano attuati in modo da non compromettere i diritti e le libertà fondamentali delle persone."
Presidente dell'EDPB Anu Talus
"Sebbene sia fondamentale massimizzare l'efficacia delle misure di cibersicurezza, dobbiamo garantire che il trattamento dei dati personali rimanga limitato a quanto strettamente necessario. Accogliamo con favore il ruolo rafforzato dell'ENISA nel promuovere la resilienza digitale; auspichiamo che questo nuovo mandato promuova le sinergie necessarie per creare un solido ecosistema in cui sicurezza e privacy vadano di pari passo."
Garante europeo della protezione dei dati, Wojciech Wiewiórowski
Per quanto riguarda la proposta relativa all'ACC2, l'EDPB e il GEPD sostengono l'obiettivo generale di rafforzare il ruolo dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) e di agevolare l'adozione della certificazione della cibersicurezza, nonché l'obiettivo di affrontare ulteriormente i vari rischi per le catene di approvvigionamento delle TIC, compresi quelli non tecnici.
La proposta di fornire ulteriori chiarimenti sul modo in cui l'ENISA fornisce sostegno alle diverse parti interessate è accolta con favore. L'EDPB e il GEPD accolgono con particolare favore il fatto che il parere dell'ENISA sia emesso su richiesta preliminare dell'EDPB, garantendo in tal modo un chiaro coordinamento e una chiara ripartizione delle responsabilità. Suggeriscono inoltre di aggiungere il GEPD come possibile richiedente il parere dell'ENISA.
Nel parere congiunto l'EDPB e il GEPD ricordano che, qualora il consiglio di amministrazione dell'ENISA decida di adottare misure supplementari necessarie per l'applicazione del regolamento dell'UE sulla protezione dei dati, tali decisioni dovrebbero essere limitate a dettagli molto tecnici (pratici) relativi al trattamento dei dati personali. La proposta dovrebbe inoltre prevedere una consultazione preventiva con il GEPD prima dell'adozione di tali norme.
Il parere congiunto accoglie con favore le sinergie che potrebbero derivare dalla cooperazione tra l'ENISA e altre istituzioni e organi dell'UE e raccomanda inoltre di aggiungere un riferimento esplicito al GEPD in quanto organismo dell'UE con cui l'ENISA coopererebbe.
Sebbene l'obiettivo di agevolare l'adozione della certificazione della cibersicurezza sia accolto con favore, è opportuno chiarire ulteriormente l'ambito di applicazione del quadro europeo di certificazione della cibersicurezza e il suo rapporto con la certificazione GDPR. Per garantire la coerenza, l'ENISA dovrebbe consultare l'EDPB prima di adottare un sistema di certificazione relativo alla sicurezza del trattamento dei dati personali. Inoltre, i sistemi di certificazione per i prodotti, i servizi e i processi che potrebbero essere utilizzati nelle operazioni di trattamento dei dati dovrebbero tenere conto, per quanto possibile, dei controlli di sicurezza che possono contribuire a dimostrare il rispetto dei requisiti del GDPR.
L'EDPB e il GEPD raccomandano che il quadro europeo delle competenze in materia di cibersicurezza non sia limitato solo ai professionisti della cibersicurezza, ma includa anche un profilo generale della forza lavoro.
In linea con il recente parere congiunto EDPB-GEPD sulla proposta di regolamento omnibus digitale, EDPB e GEPD esprimono il loro sostegno all'istituzione di un punto di ingresso unico per la notifica delle violazioni dei dati personali, in quanto ridurrebbe l'onere amministrativo per le organizzazioni di notifica senza incidere sul livello di protezione delle persone fisiche.
Per quanto riguarda le modifiche proposte alla direttiva NIS2, l'EDPB e il GEPD accolgono con favore la designazione dei portafogli europei di identità digitale e dei fornitori di portafogli europei per le imprese come "entità essenziali".
Nota per gli editori:
* Il 21 gennaio 2026 la Commissione ha consultato formalmente l'EDPB e il GEPD e ha chiesto un parere congiunto sulla proposta della Commissione europea relativa a un'ACC2 e sulla proposta di modifica della direttiva NIS2 conformemente all'articolo 42, paragrafo 2, del regolamento (UE) 2018/1725.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.