Evropská komise navrhla dne 20. ledna 2026 nový balíček opatření zaměřený na oblast kybernetické bezpečnosti.
Součástí tohoto balíčku je revidovaný akt o kybernetické bezpečnosti (revised Cybersecurity Act, CSA2) zaměřený na rizika v dodavatelských řetězcích informačních a komunikačních technologií, zejména pak na rizikové dodavatele ze třetích zemí. Cílem návrhu je zejména posílit kybernetickou odolnost kritické infrastruktury prostřednictvím horizontálního rámce pro bezpečnost důvěryhodných dodavatelských řetězců informačních a komunikačních technologií (ICT).
Návrh upravuje rámec EU pro certifikaci kybernetické bezpečnosti tak, aby byly certifikační systémy standardně vyvíjeny do 12 měsíců, a to prostřednictvím obnoveného evropského rámce pro certifikaci kybernetické bezpečnosti (ECCF). Tyto systémy spravované Agenturou EU pro kybernetickou bezpečnost (ENISA) se stanou dobrovolným nástrojem umožňujícím podnikům prokázat soulad s předpisy EU.
Balíček současně přináší změny směrnice NIS2 o kybernetické bezpečnosti, zaměřené především na zjednodušení plnění pravidel a požadavků na řízení rizik, zároveň ale zavádí novou kategorii malých podniků se střední tržní kapitalizací.
Návrh CSA2 je koncipován jako doplněk k připravovanému Aktu o rozvoji cloudu a umělé inteligence (Cloud and AI Development Act, CADA) a k Digitálnímu Omnibusu.
Samotný akt o kybernetické bezpečnosti bude přímo použitelný okamžitě po schválení Evropským parlamentem a Radou, zatímco pro transpozici doprovodných změn směrnice NIS2 do vnitrostátního práva budou mít členské státy lhůtu jednoho roku od jejího přijetí.
Celý Digital Legal Update jaro 2026 si můžete přečíst zde.