Brussel, 19 maart 2026 – Het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) hebben een gezamenlijk advies aangenomen over het voorstel van de Europese Commissie voor een cyberbeveiligingsverordening 2 (CSA2) en het voorstel tot wijziging van de richtlijn netwerk- en informatiebeveiliging 2 (NIS2).
Op 20 januari 2026 publiceerde de Commissie een voorstel voor een cyberbeveiligingspakket om de cyberbeveiliging in Europa verder te versterken en tegelijkertijd de naleving van de cyberbeveiligingswetgeving voor organisaties te vergemakkelijken. In hun gezamenlijk advies, uitgebracht op verzoek van de Commissie*, gaan het EDPB en de EDPS in op de voorgestelde herziening van de CSA en de gerichte wijzigingen van de NIS2-richtlijn.
“De relatie tussen gegevensbescherming en cyberbeveiliging is wederzijds en nauw met elkaar verbonden. Hoewel cyberbeveiliging de bescherming van persoonsgegevens ondersteunt door het risico van ongewenste toegang tot, wijziging van of onbeschikbaarheid van gegevens te beperken, is het van cruciaal belang ervoor te zorgen dat beveiligingscontroles worden uitgevoerd op een manier die de grondrechten en fundamentele vrijheden van personen niet ondermijnt.”
EDPB-voorzitter Anu Talus
“Hoewel het van essentieel belang is de doeltreffendheid van cyberbeveiligingsmaatregelen te maximaliseren, moeten we ervoor zorgen dat de verwerking van persoonsgegevens beperkt blijft tot wat strikt noodzakelijk is. Wij zijn ingenomen met de versterkte rol van Enisa bij het bevorderen van digitale veerkracht; wij hopen dat dit nieuwe mandaat de synergieën bevordert die nodig zijn om een robuust ecosysteem tot stand te brengen waarin veiligheid en privacy hand in hand gaan.”
Europese Toezichthouder voor gegevensbescherming, Wojciech Wiewiórowski
Wat het voorstel voor de CSA2 betreft, steunen de EDPB en de EDPS de algemene doelstelling om de rol van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) te versterken en het gebruik van cyberbeveiligingscertificering te vergemakkelijken, alsook de doelstelling om de verschillende risico’s voor ICT-toeleveringsketens, met inbegrip van niet-technische risico’s, verder aan te pakken.
Het voorstel om verdere verduidelijking te verschaffen over de manier waarop Enisa steun verleent aan verschillende belanghebbenden wordt goed ontvangen. De EDPB en de EDPS zijn er met name mee ingenomen dat het advies van Enisa op voorafgaand verzoek van de EDPB wordt uitgebracht, waardoor een duidelijke coördinatie en een duidelijke verdeling van de verantwoordelijkheden wordt gewaarborgd. Zij stellen ook voor de EDPS toe te voegen als mogelijke verzoeker om advies van Enisa.
In het gezamenlijk advies herinneren de EDPB en de EDPS eraan dat indien de raad van bestuur van Enisa besluit aanvullende maatregelen vast te stellen die nodig zijn voor de toepassing van de EU-verordening gegevensbescherming, dergelijke besluiten beperkt moeten blijven tot zeer technische (praktische) details in verband met de verwerking van persoonsgegevens. Het voorstel moet ook voorzien in een voorafgaand overleg met de EDPS voordat dergelijke regels worden vastgesteld.
In het gezamenlijke advies wordt ingenomen met de synergieën die kunnen voortvloeien uit de samenwerking tussen Enisa en andere EU-instellingen en -organen, en wordt ook aanbevolen een expliciete verwijzing toe te voegen naar de EDPS als EU-orgaan waarmee Enisa zou samenwerken.
Hoewel de doelstelling om de invoering van cyberbeveiligingscertificering te vergemakkelijken welkom is, moeten het toepassingsgebied van het Europees kader voor cyberbeveiligingscertificering en de relatie ervan met de AVG-certificering verder worden verduidelijkt. Om de consistentie te waarborgen, moet Enisa het EDPB raadplegen alvorens een certificeringsregeling met betrekking tot de beveiliging van de verwerking van persoonsgegevens vast te stellen. Voorts moet bij certificeringsregelingen voor producten, diensten en processen die waarschijnlijk zullen worden gebruikt bij gegevensverwerkingsactiviteiten, zoveel mogelijk rekening worden gehouden met beveiligingscontroles die kunnen helpen om aan te tonen dat aan de AVG-vereisten is voldaan.
De EDPB en de EDPS bevelen aan dat het Europees kader voor cyberbeveiligingsvaardigheden niet alleen beperkt is tot cyberbeveiligingsprofessionals, maar ook een algemeen personeelsprofiel omvat.
In overeenstemming met het recente gezamenlijke advies van het EDPB en het EDPS over het voorstel voor een digitale omnibusverordening spreken het EDPB en de EDPS hun steun uit voor de oprichting van een centraal toegangspunt voor de melding van inbreuken in verband met persoonsgegevens, aangezien dit de administratieve lasten voor aanmeldende organisaties zou verminderen zonder afbreuk te doen aan het beschermingsniveau voor personen.
Wat de voorgestelde wijzigingen van de NIS2-richtlijn betreft, zijn de EDPB en de EDPS ingenomen met de aanwijzing van Europese portemonnees voor digitale identiteit en aanbieders van Europese bedrijfsportefeuilles als “essentiële entiteiten”.
Noot voor de redactie:
* Op 21 januari 2026 heeft de Commissie het EDPB en de EDPS formeel geraadpleegd en om een gezamenlijk advies verzocht over het voorstel van de Europese Commissie voor een CSA2 en het voorstel tot wijziging van de NIS2-richtlijn overeenkomstig artikel 42, lid 2, van Verordening (EU) 2018/1725.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.