EDPB (Comitato europeo per la protezione dei dati) e EDPS (Garante europeo della protezione dei dati) hanno adottato un parere congiunto sulla proposta della Commissione europea in merito all’introduzione del nuovo Regolamento sulla sicurezza informatica, il Cybersecurity Act 2 (CSA 2), che abroga e sostituisce il precedente Regolamento (UE) 2019/881, e sulla proposta di modifica della Direttiva Network and Information Security 2 , c.d. NIS 2 (2022/2555/UE).
La Commissione europea a gennaio 2026 ha proposto un pacchetto sulla sicurezza informatica per rafforzare la cybersicurezza in UE e semplificare gli adempimenti in capo alle organizzazioni.
In particolare, ha proposto l’adozione del nuovo Regolamento Cybersecurity Act 2 (CSA2), con contestuale abrogazione del precedente Cybersecurity Act (2019/881/UE), e la modifica della NIS 2 (2022/2555).
EDPB e EDPS dapprima ricordano che il rapporto tra protezione dei dati e sicurezza informatica è bidirezionale:
- la sicurezza informatica contribuisce alla protezione dei dati personali limitando i rischi di accesso non autorizzato
- alcune misure di sicurezza informatica possono interferire con i diritti e le libertà delle persone, in particolare con il diritto alla vita privata e alla protezione dei dati.
Deve, quindi, adottarsi un approccio che tenga conto de principi di necessità e proporzionalità.
In merito alla proposta di Regolamento CSA 2, EDPB e EDPS sostengono sia necessario rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza informatica(ENISA), agevolare l’adozione delle certificazioni in materia di cybersicurezza ed affrontare ulteriormente i vari rischi per le catene di fornitura delle TIC.
EDPB e EDPS accolgono positivamente la modalità con cui ENISA offre supporto ai diversi soggetti interessati, così come prevista nella nuova proposta di regolamento.
In particolare, la previsione dell’adozione di pareri da parte di ENISA su specifica richiesta di EDPB garantisce, infatti, un chiaro coordinamento e una precisa ripartizione di responsabilità; tuttavia, evidenziano che sarebbe più ottimale l’inclusione altresì di EDPS tra i richiedenti pareri all’Agenzia.
In tale occasione, le due autorità precisano come nel caso in cui ENISA decidesse di adottare ulteriori misure per l’applicazione del GDPR queste dovrebbero limitarsi a dettagli tecnici in merito al trattamento dei dati personali e pur sempre previa consultazione di EDPS.
Nel parere congiunto viene precisato, inoltre, che sia necessario evidenziare la portata applicativa del Quadro europeo di certificazione in materia di sicurezza informatica (European Cybersecurity Certification Framework, ECCF) e del suo rapporto con la certificazione GDPR. In aggiunta, ENISA dovrebbe consultare EDPB prima dell’adozione di uno schema di certificazione in merito alla sicurezza del trattamento dei dati personali.
EDPB e EDPS raccomandano, inoltre, in merito al Quadro europeo delle competenze in materia di sicurezza informatica (European Cybersecurity Skills Framework, ECSF), di modificare l’art. 19, par. 2, della proposta CSA 2, in modo che l’accesso a tale quadro non sia limitato esclusivamente ai professionisti della sicurezza informatica, ma includa anche profili destinati ai lavoratori in generale.
In aggiunta, il parere sostiene l’adozione di un punto di accesso unico per la segnalazione delle violazioni dei dati personali.
In merito, invece, alle modifiche della Direttiva NIS 2, EDPB e EDPS sostengono la proposta di designare dei gestori di portafogli di identità digitale europei e di portafogli aziendali europei come “soggetti essenziali”.
Accolgono con favore, inoltre, l’adozione di meccanismi e condizioni volti a facilitare il rispetto dei requisiti in materia di sicurezza informatica, rendendo così la loro attuazione più coerente ed efficace.
