מועצת הרשויות הלאומיות להגנת מידע באיחוד האירופי (EDPB) והמפקח על הגנת מידע במוסדות האיחוד האירופי (EDPS) פרסמו חוות דעת משותפת על שתי הצעות חקיקה שפרסמה הנציבות האירופית בינואר: הצעה לחקיקה חדשה בדבר סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) — הידועה כ"חוק אבטחת הסייבר" (Cybersecurity Act 2) והצעה לתיקון דירקטיבה על מערכות ורשתות מידע (Network and Information Systems Directive 2 – NIS2).

שני הרגולטורים מדגישים שהקשר בין הגנת מידע ואבטחת סייבר הוא דו-כיווני: מצד אחד, אבטחת סייבר משרתת את הגנת המידע האישי; מצד שני, אמצעי סייבר עלולים לפגוע בזכויות יסוד של אנשים, ובכלל זה הזכות לפרטיות. לפיכך, יש לבחון כל אמצעי גם מבחינת נחיצות ומידתיות, ולא רק מבחינת יעילותו. שני הגופים תומכים בעיקרון בהרחבת סמכויות ENISA ובחיזוק מסגרת הסמכת אבטחת הסייבר האירופית, בכפוף להמלצות ספציפיות.

נקודת הכניסה המאוחדת לדיווח על אירועים (Single-Entry Point) ממלאת מקום מרכזי בחוות הדעת. על פי סעיף 15 להצעת חוק אבטחת הסייבר, סוכנות האיחוד האירופי לאבטחת סייבר, ENISA, תפעיל פלטפורמה אחידה לדיווח על אירועי אבטחת סייבר ועל זליגות מידע אישי (personal data breaches), וזאת בשילוב עם מנגנונים הקיימים לפי דירקטיבת NIS2 וה-GDPR.

שני הרגולטורים תמיכה נחרצת ביוזמה זו, שכן איחוד ערוצי הדיווח יפחית משמעותית את הנטל הבירוקרטי המוטל על ארגונים, הנדרשים כיום לדווח לרשויות שונות במקביל, מבלי לפגוע ברמת ההגנה הניתנת לנפגעים מהפרת מידע. כבר בהצהרת הלסינקי של EDPB משנת 2025 היתה תמיכה בפתרון דיווח אירופי רוחבי, שיקל על עמידה בדרישות ה-GDPR. עם זאת, שני הגופים מדגישים כי יש ליישם אבטחה גבוהה בפלטפורמת הדיווח, שכן הודעות על הפרות מידע מכילות לעיתים קרובות מידע רגיש ביותר.

בנוסף לעניין הדיווח המאוחד, חוות הדעת כוללת המלצות בתחומים נוספים: הוספת EDPS כגורם הרשאי לבקש ייעוץ מ-ENISA, הרחבת מסגרת כישורי אבטחת הסייבר האירופית (ECSF) כך שתכלול גם עובדים שאינם מומחי סייבר; הבהרת הקשר בין תכנית הסמכת אבטחת הסייבר לבין הסמכת הגנת המידע לפי ה-GDPR, וחיזוק אבטחת שרשרת האספקה של מוצרי תקשורת ומערכות מידע.