El EDPB y el EDPS respaldan la propuesta de la Comisión Europea para fortalecer la ciberseguridad en la UE, facilitando el cumplimiento normativo y protegiendo los datos personales de los individuos.
El Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) han emitido una opinión conjunta sobre la propuesta de la Comisión Europea para un nuevo Ciberseguridad Act 2 (CSA2), así como sobre las enmiendas a la Directiva de Seguridad de Redes e Información 2 (NIS2). Este anuncio se realizó el 19 de marzo de 2026, tras la publicación, el 20 de enero del mismo año, de un paquete legislativo destinado a reforzar la ciberseguridad en Europa y facilitar el cumplimiento normativo para las organizaciones.
En su opinión, solicitada por la Comisión, el EDPB y el EDPS abordan tanto la revisión propuesta del CSA como las modificaciones específicas a la NIS2. La presidenta del EDPB, Anu Talus, subrayó que “la relación entre la protección de datos y la ciberseguridad es recíproca y profundamente interconectada”. Afirmó que mientras que la ciberseguridad apoya la protección de los datos personales limitando los riesgos asociados al acceso no autorizado, es fundamental asegurar que los controles de seguridad se implementen sin menoscabar los derechos y libertades fundamentales de los individuos.
Por su parte, el Supervisor Europeo, Wojciech Wiewiórowski, enfatizó que “maximizar la efectividad de las medidas de ciberseguridad es vital”, pero también destacó que el procesamiento de datos personales debe limitarse a lo estrictamente necesario. Ambos organismos expresaron su apoyo a un mayor fortalecimiento del papel de la Agencia Europea de Ciberseguridad (ENISA) y a facilitar la adopción de certificaciones en este ámbito. Además, coincidieron en que es esencial abordar los diversos riesgos asociados a las cadenas de suministro TIC.
La propuesta incluye aclaraciones sobre cómo ENISA brindará apoyo a diferentes partes interesadas, lo cual fue bien recibido por el EDPB y el EDPS. En particular, celebran que los consejos proporcionados por ENISA se emitirán previa solicitud del EDPB, garantizando así una coordinación clara y una división precisa de responsabilidades. También sugieren incluir al EDPS como posible solicitante del asesoramiento ofrecido por ENISA.
En su opinión conjunta, ambos organismos recordaron que si el Consejo de Administración de ENISA decide adoptar medidas adicionales necesarias para aplicar el Reglamento General de Protección de Datos (GDPR), tales decisiones deberían limitarse a detalles técnicos relacionados con el tratamiento de datos personales. Además, proponen que se realice una consulta previa con el EDPS antes de adoptar tales normas.
Agradecieron también las sinergias potenciales derivadas de la cooperación entre ENISA y otras instituciones europeas. Recomiendan añadir una referencia explícita al EDPS como un organismo con el cual ENISA debería colaborar. Aunque valoran positivamente el objetivo de facilitar la adopción del marco europeo para certificaciones en ciberseguridad, consideran necesario clarificar su alcance y su relación con las certificaciones bajo GDPR.
El EDPB y el EDPS apoyan igualmente la creación de un punto único para notificaciones sobre violaciones de datos personales, lo cual reduciría la carga administrativa para las organizaciones notificadoras sin afectar el nivel de protección individual. En cuanto a las enmiendas propuestas a la NIS2, celebran designar a los proveedores del Bolsillo Digital Europeo y del Bolsillo Empresarial Europeo como “entidades esenciales”. Esta medida busca fortalecer aún más las estructuras necesarias para garantizar una ciberseguridad robusta en toda Europa.
* Nota para editores: El 21 de enero de 2026, la Comisión consultó formalmente al EDPB y al EDPS solicitando una opinión conjunta sobre estas propuestas conforme al Art. 42(2) del Reglamento (UE) 2018/1725.