EROD i EIOD popierają wzmocnienie cyberbezpieczeństwa w UE oraz ułatwienie zgodności z przepisami, przy jednoczesnej ochronie danych osobowych osób fizycznych
Europejska Rada Ochrony Danych (EROD) oraz Europejski Inspektor Ochrony Danych (EIOD) przyjęli wspólną opinię dotyczącą propozycji Komisji Europejskiej w sprawie drugiego aktu o cyberbezpieczeństwie (CSA2) oraz propozycji zmian do dyrektywy NIS2.
20 stycznia 2026 r. Komisja opublikowała pakiet dotyczący cyberbezpieczeństwa, mający na celu dalsze wzmacnianie cyberbezpieczeństwa w Europie, a jednocześnie ułatwienie organizacjom spełniania wymogów wynikających z przepisów w tym obszarze. W swojej wspólnej opinii, wydanej na wniosek Komisji*, EROD i EIOD odnoszą się do proponowanej rewizji CSA oraz ukierunkowanych zmian dyrektywy NIS2. W odniesieniu do propozycji CSA2 oba organy popierają ogólne cele, jakimi są: wzmocnienie roli Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA), ułatwienie stosowania certyfikacji cyberbezpieczeństwa, a także dalsze przeciwdziałanie różnym (w tym nietechnicznym) zagrożeniom dla łańcuchów dostaw ICT.
–Cyberbezpieczeństwo i ochrona danych są wzajemnie i głęboko powiązane. Cyberbezpieczeństwowspie-raochronę danych osobowych poprzez ograniczanie ryzyka niepożądanego dostępu, modyfikacji lub niedostępności danych, jednak kluczowe jest, aby środki bezpieczeństwa były wdrażane w sposób nie-naruszający podstawowych praw i wolności jednostek – powiedziała przewodnicząca EROD, Anu Talus.
Wzmocniona rola i nowy mandat dla ENISA
Propozycja doprecyzowania sposobu, w jaki ENISA udziela wsparcia różnym interesariuszom, została dobrze przyjęta. EROD i EIOD ze szczególnym zadowoleniem przyjmują fakt, że porady ENISA miałyby być wydawane na wcześniejszy wniosek EROD, co zapewni jasną koordynację i wyraźny podział odpowiedzial-ności. Sugerują także dodanie EIOD jako podmiotu uprawnionego do występowania o takie porady.
Obie instytucje przypominają, że jeśli Rada Zarządzająca ENISA zdecyduje o przyjęciu dodatkowych środków niezbędnych do stosowania unijnego rozporządzenia o ochronie danych, decyzje te powinny być ograniczone do bardzo technicznych (praktycznych) szczegółów dotyczących przetwarzania danych osobowych. Propozycja powinna również przewidywać obowiązek wcześniejszych konsultacji z EIOD przed przyjęciem takich zasad. Wspólna opinia pozytywnie ocenia synergie, które mogą wynikać ze współpracy ENISA z innymi instytucjami i organami UE, a także zaleca dodanie wyraźnego odniesienia do EIOD jako organu UE, z którym ENISA powinna współpracować.
—Maksymalizacja skuteczności środków cyberbezpieczeństwa jest niezwykle ważna, ale musimy zapewnić, że przetwarzanie danych osobowych pozostanie ograniczone do tego, co absolutnie niezbędne. Z zadowoleniem przyjmujemy wzmocnioną rolę ENISA w promowaniu odporności cyfrowej; mamy nadzieję, że nowy mandat wzmocni synergie potrzebne do stworzenia solidnego ekosystemu, w którym bezpieczeństwo i prywatność idą w parze — podkreślił Europejski Inspektor Ochrony Danych, Wojciech Wiewiórowski.
Latest
Zalecenia dotyczące systemu certyfikacji
Choć cel ułatwienia stosowania certyfikacji cyberbezpieczeństwa jest słuszny, zakres Europejskich Ram Certyfikacji Cyberbezpieczeństwa oraz ich relacja do certyfikacji RODO powinny zostać dodatkowo doprecyzowane. Aby zapewnić spójność, ENISA powinna konsultować się z EROD przed przyjęciem schematu certyfikacji dotyczącego bezpieczeństwa przetwarzania danych osobowych. Ponadto schematy certyfikacji produktów, usług i procesów, które prawdopodobnie będą wykorzystywane w operacjach przetwarzania danych, powinny — w miarę możliwości — uwzględniać środki bezpieczeństwa pomagające wykazać spełnienie wymogów RODO. Autorzy opinii zalecają, aby Europejskie Ramy Umiejętności w zakresie Cyberbezpieczeństwa obejmowały nie tylko specjalistów ds. cyberbezpieczeństwa, ale także ogólne profile pracowników.
Zgodnie z niedawną wspólną opinią EROD–EIOD dotyczącą propozycji rozporządzenia Digital Omnibus obie instytucje wyrażają poparcie dla ustanowienia pojedynczego punktu zgłaszania naruszeń ochrony danych osobowych, ponieważ zmniejszyłoby to obciążenia administracyjne dla organizacji zgłaszających, bez wpływu na poziom ochrony osób fizycznych. W odniesieniu do proponowanych zmian dyrektywy NIS2, EROD i EIOD z zadowoleniem przyjmują uznanie dostawców Europejskich Portfeli Tożsamości Cyfrowej oraz Europejskich Portfeli Biznesowych za „podmioty kluczowe”.
Źródło:
Komunikat Europejskiej Rady Ochrony Danych: EDPB and EDPS support strengthening EU’s cybersecurity and easing compliance while protecting individuals’ personal data | European Data Protection Board
