TFL Vsebine / TFLGlasnik

1. Uvodno

Akt o kibernetski varnosti (CSA)[1] je bil uveljavljen leta 2019, bil podlaga za razvoj Agencije EU za kibernetsko varnost (ENISA) ter vzpostavil prostovoljni okvir za certificiranje varnosti informacijske in komunikacijske tehnologije (v nadaljevanju: IKT). Nadomestil je »razdrobljene nacionalne sheme« in zagotovil varnost izdelkov, storitev in procesov na različnih ravneh, s tem pa so bile vzpostavljene sheme evropskega okvira za certificiranje kibernetske varnosti (angl. European Cybersecurity Certification Framework – ECCF).[2] Med drugimi vidiki kibernetski varnosti je vključeval tudi vprašanje varnosti t. i. interneta stvari (angl. Internet of Things – IoT).

Od sprejetja CSA se je okolje kibernetskih groženj v vse bolj zapleteni geopolitični realnosti bistveno spremenilo.^[3] Kibernetski napadi so se razmahnili in postali bolj izpopolnjeni, usmerjeni na kritično infrastrukturo, podjetja in širšo javnost.[4] A stalne kibernetske grožnje naj ne bi bile le tehnični izzivi, temveč »strateška tveganja za našo demokracijo, gospodarstvo in način življenja«.[5] Zato se je Evropska komisija lotila revizije CSA s t. i. predlogom CSA2; ko bo sprejet, bo neposredno uporabljiv, napovedi pa so, da bo politično soglasje – v taki ali drugačni obliki besedila – doseženo ob koncu letošnjega[6] ali v začetku leta 2027.[7]

Kot poudarja Evropska komisija, sta splošna cilja CSA2 povečanje zmogljivosti in odpornosti na področju kibernetske varnosti ter preprečevanje razdrobljenosti na enotnem trgu s:

• prispevanjem h krepitvi upravljanja kibernetske varnosti Unije in pomočjo pri zagotavljanju, da so zadevne institucije, organi in drugi deležniki bolje pripravljeni na usklajeno in učinkovito preprečevanje in odkrivanje kibernetskih groženj ter odzivanje nanje, ter
• podpiranjem razvoja, izvajanja in uvajanja skupnih instrumentov Unije za kibernetsko varnost, kot so certifikacijske sheme, ter zagotavljanjem harmoniziranih okvirov, ki krepijo zaupanje in interoperabilnost med državami članicami.

Poenostavljeno povedano, gre za krepitev upravljanja kibernetske varnosti v Uniji ter podporo razvoju varnega, odpornega in konkurenčnega enotnega digitalnega trga,[8] to pa namerava doseči s petimi specifičnimi cilji, tudi – poleg okrepljene vloge ENISA s strani Evropske komisije še posebej izpostavljeno – specifičnim ciljem številka pet, tj. »zmanjšanjem tveganja za kritične dobavne verige IKT zaradi subjektov s sedežem v tretjih državah, za katere obstajajo pomisleki glede kibernetske varnosti (dobavitelji z visokim tveganjem), ali subjektov pod nadzorom subjektov iz takih tretjih držav ter zmanjšati kritične odvisnosti z razvojem skladnega in učinkovitega okvira na ravni EU za obravnavanje tveganj za varnost dobavne verige IKT«. Drugače povedano gre za obvezno postopno opustitev (angl. phase-out) informacijsko-komunikacijskih komponent v omrežjih 5G, navedenih v prilogi II k predlogu CSA2,[9] ki jih dobavljajo dobavitelji z visokim tveganjem (angl. high-risk suppliers).[10]

Evropska unija je v zadnjih letih krepila svoja orodja in pristope k kibernetski varnosti (t. i. cybersecurity toolbox), od nezavezujočega priporočila 2019/534[11] iz marca 2019 do sklopa orodij za varnost 5G leta 2020 do t. i. direktive NIS2[12] leta 2022 in nezavezujočega sklopa orodij za izboljšanje dobavnih verig na področju informacijsko-komunikacijskih tehnologij iz januarja 2026 – a predlog CSA2 gre zaradi prej omenjenega specifičnega cilja pet[13] še bistveno dlje: Evropska komisija bo imela prvič možnost, da opredeli tretjo državo kot tvegano z vidika kibernetske varnosti, da prepove ali postopoma izključi posamezne dobavitelje opreme in da uveljavi široke omejitve uporabe v celotni EU z zavezujočimi izvedbenimi akti.[14] Po predlogu bi bila Komisija pooblaščena za uvedbo prepovedi uporabe ali namestitve, obvezno postopno opuščanje sestavnih delov, omejitve obdelave ali prenosa podatkov, omejitve za posodobitve na daljavo, obveznosti tehnične segmentacije ali revizije tretjih oseb, vključene v zasnovo omrežja.[15]

Od trenutka uvrstitve na seznam tveganih ponudnikov, morajo naslovniki (»odjemalci« te opreme) upoštevati prepoved in za v mobilnih omrežjih že integrirano opremo to odstraniti v treh letih od uvrstitve na seznam,[16] za fiksna in satelitska omrežja pa rok (še) ni določen.[17]

Redkokdo (lahko) ugovarja legitimnosti in potrebi po zagotavljanju (čim) višje stopnje kibernetske varnosti, obstajajo pa najmanj pomisleki oziroma že kar trdni dvomi v primernost in sploh utemeljenost pravne podlage, na kateri je Evropska komisija zasnovala ta svoj akcijski načrt.[18] To, da bi lahko Komisija izključila dobavitelje in njihove produkte s trga EU, bi bil vsekakor pomemben premik v razmerju moči med državami članicami EU, z daljnosežnimi geopolitičnimi in gospodarskimi posledicami.[19]

2. Problem pristojnosti: nacionalna varnost kot izključna domena držav članic

Eden ključnih pravnih problemov CSA2 je vprašanje pristojnosti. Načelo prenosa pristojnosti, zapisano v členu 5 Pogodbe o Evropski uniji (PEU),[20] je temeljno načelo prava EU. Določba drugega odstavka 5. člena PDEU je ključno ustavno pravilo, ki razporeja pristojnosti med nacionalno in ravnjo EU. Določa, da lahko Unija deluje le v mejah pristojnosti, ki so ji jih države članice podelile v Pogodbah, in da vsaka pristojnost, ki ni dodeljena Uniji, ostane v rokah držav članic.

V primeru nacionalne varnosti PEU ne le ne podeljuje nobene pristojnosti EU, temveč v drugem odstavku 4. člena tudi izrecno določa, da »ostaja izključna odgovornost vsake države članice«. Poleg tega je varovanje nacionalne varnosti enačeno z drugimi »bistvenimi državnimi funkcijami«, skupaj z »zagotavljanjem ozemeljske celovitosti države« in »vzdrževanjem javnega reda in miru«.[21]

V skladu s PEU ostaja nacionalna varnost v izključni pristojnosti držav članic. Prenos odločanja o tem, kateri dobavitelji predstavljajo varnostno tveganje, na raven EU, pomeni zato po najinem mnenju kršitev načela prenosa pristojnosti: urejanje področja nacionalne varnosti je pridržano državam članicam. Pomembno je sicer poudariti, da je analiza Evropske komisije ugotovila, da bi ukrepanje EU na tem sicer ključnem področju vodilo do boljših rezultatov kot samostojno delovanje držav članic,[22] vendar to ne dopušča kršitve temeljnih načel prava Unije, zlasti ne glede delitve pristojnosti.[23] CSA2 pa nikakor ni (samo) akt za urejanje notranje trga, temveč nedvomno (v pretežni meri) instrument zunanje politike.^[24]

3. CSA2 kot prikrita sankcijska ureditev

Posebej problematičen je mehanizem označevanja držav kot tveganih, saj ima to učinke, ki so podobni sankcijam: izključitev iz javnih naročil, omejitve standardizacije in obvezno opuščanje opreme. Tokrat jih namerava Evropska komisija vpeljati pod okriljem 114. člena Pogodbe o delovanju Evropske unije (PDEU),[25] tj. pravno podlago, namenjeno harmonizaciji notranjega trga, čeprav se tovrstni ukrepi običajno sprejemajo v okviru skupne zunanje in varnostne politike EU, ki zahteva soglasje držav članic (24. in 29. člen PEU). Uporaba 114. člena PDEU kot pravne podlage za ukrepe s sankcijskimi učinki pomeni obhod teh postopkovnih varovalk, saj se s tem predlagatelj in/ali normodajalec izogneta varovalkam, ki so inherentne postopkom sprejemanja odločitev v okviru zunanje in varnostne politike EU.[26] Izbira 114. člena PDEU kot pravne podlage za akt o kibernetski varnosti, katerega glavni cilj je varnost (vključno z nacionalno varnostjo) in ne notranji trg, bi lahko povzročila razveljavljenje celotnega akta.[27]

4. Načeli subsidiarnosti in sorazmernosti

CSA2 odpira tudi vprašanje skladnosti z načeloma subsidiarnosti in sorazmernosti. Države članice namreč že izvajajo nacionalne ukrepe na podlagi direktive NIS2 – 21 držav članic jo je že implementiralo, vključno z naborom ukrepov dobavnih verig IKT[28] –, kar postavlja pod vprašaj potrebo po dodatni centralizaciji. Predlog CSA2 ne poda argumentov za to, da države članice ne bi bile same zmožne urejati tega področja same, hkrati pa ni dokazov za to, da milejši ukrepi (npr. certificiranje, segmentacija omrežij ali šifriranje) ne bi bili zadostni.[29]

Že najbolj minimalne zahteve Unije nujno omejujejo diskrecijsko pravico držav članic in zato predstavljajo poseg v področje, ki jim ga pridržujejo pogodbe.[30] V skladu s tem več avtorjev napoveduje – v primeru sprejema akta v predlagani obliki – ustavne spore, saj da predlog v taki obliki posega v avtonomijo držav članic.[31]

5. Pravna negotovost in netransparentni kriteriji

CSA2 uvaja široke in nedoloč(e)ne kriterije za ocenjevanje obstoja varnostnih tveganj,[32] saj temeljijo na abstraktnih elementih, kakršni so npr. že »zanesljive informacije o tveganih deležnikih«, brez jasnih pogojev ali verodostojne navezave na konkretno tveganje za dobavno verigo IKT v EU.[33] Tak pristop povečuje tveganje arbitrarnosti s strani Evropske komisije, brez zadostne vključitve držav članic, to pa na eni strani zmanjšuje pravno varnost, na drugi pa onemogoča dobaviteljem, da izkažejo ustreznost svojih varnostnih mehanizmov in praks. V takih primerih, ko temeljijo ukrepi na nejasnih kriterijih in vodijo do avtomatičnih izključitev dobaviteljev, terja tovrstna centralizacija regulacija še toliko bolj strogo presojo sorazmernosti.[34]

Ob tem se pričakuje, da se bo odločanje o ukrepih pogosto opiralo na zaupne obveščevalne podatke, prizadeti subjekti pa brez dostopa do teh podatkov tudi na načelni ravni ne bodo mogli učinkovito uveljavljati pravnih sredstev v zaščito svojih pravic.[35] Sicer je določeno, da bodo vse odločitve na voljo v javno dostopnem registru,[36] a ob tako nejasnih merilih se to ne zdi zadostna garancija za dostop do vseh podatkov, tj. tudi tistih iz procesa odločanja. Merila bi bila v praksi lahko npr. lastniška in nadzorna struktura, vpliv države, možen ekstrateritorialni dostop do podatkov, zmožnost vmešavanja v življenjski cikel programske opreme ali v oddaljenih posodobitvah ter različni geopolitični dejavniki.[37]

6. »Hladilni« in negativni gospodarski učinki, stran od digitalne avtonomije EU

Predlog CSA2 ima lahko pomembne negativne učinke na trg. Že sama možnost, da bi bil dobavitelj v prihodnje označen kot tvegan, lahko vodi do prenehanja poslovnega sodelovanja: zelo verjetno se kupci že iz previdnosti ne bodo odločili za nakup blaga ali storitev od ponudnika, za katerega bi bilo bolj verjetno, da bo s temi ukrepi prizadet. Hkrati bo s tem zmanjšana konkurenca na trgu, saj izločitev že konkurenta, kaj šele tehnološko napredne(jše)ga konkurenta, pomeni tudi verižno reakcijo zniževanja standardov, napredka in konkurence evropskega gospodarstva kot celote, na strani dobaviteljev iz teh tretjih držav pa tudi zaradi pomena trga EU ne pripomore k motivaciji za inovativnost.[38] Vse to ob izhodišču, da tehnološko primerna/zadostna oprema oziroma konkurenca na trgu sploh obstaja.[39] Seveda pa tudi napovedani milijardni stroški grozečih (predčasnih) zamenjav opreme niso nepomembni,[40] kar je v neposrednem nasprotju s pozivom industrije k poenostavitvam in lajšanju bremen za podjetja.[41]

Taki ukrepi tudi nedvomno – v nasprotju s ciljem doseči digitalno avtonomijo, če že ne samozadostnost EU na tem področju – vodijo k tehnološki odvisnosti omejenega nabora dobaviteljev. Tudi ob tem je na mestu vprašanje sorazmernosti, ki ga je izpostavila IKT industrija sama, tj. ali je res potrebno poseči celovito v vse omrežne elemente v fiksnih in mobilnih omrežjih, ali pa je mogoče enake cilje doseči s ciljno usmerjenim poseganjem v najbolj kritične dele.[42]

7. Grožnja slovenski suverenosti in nacionalni varnosti

Poraja se močan vtis, da gre za premik k centraliziranemu nadzoru nad tehnološko infrastrukturo. In obravnavani primer ob tem ni osamljen primer, temveč je del širšega zakonodajnega trenda, ki vključuje tudi predloge, kot je t. i. uredba o preprečevanju spolne zlorabe otrok (t. i. Chat Control).[43] Kot je bilo že analizirano v kontekstu nadzora zasebne komunikacije, gre pri tovrstnih pobudah pogosto za vzpostavljanje »totalitarne infrastrukture nadzora«, pod sicer plemenitimi izgovori (zatrjevanje preprečevanja spolne zlorabe otrok kot izgovor), kar pa dejansko vodi v postopno erozijo zasebnosti in anonimnosti, ki sta bistvena elementa nacionalne ustavne suverenosti in ustavne substance.[44]

Vprašanje implementacije CSA2 v slovenski pravni red zatorej odpira tudi pomembne ustavnopravne pomisleke, ki so sorodni tistim v državah, kot so Grčija, Španija in Češka. Osrednja točka ujemanja s temi državami je vprašanje »nacionalne varnosti,« ki naj bi v skladu s 4. členom PEU ostala v izključni domeni države članice. A če bi Slovenija dopustila, da Evropska komisija z zavezujočimi akti določa »tvegane dobavitelje« in zahteva odstranitev opreme iz slovenskih omrežij, bi to pomenilo neposreden poseg v slovensko suverenost pri upravljanju kritične infrastrukture. Za Slovenijo je to še posebej kritično, saj bi centralizirano odločanje v Bruslju lahko spregledalo specifične tehnične in gospodarske realnosti lokalnega trga, kar bi slovensko vlado postavilo v vlogo golega izvrševalca tujih geopolitičnih odločitev.

Glavna razlika med slovenskim pristopom in nekaterimi drugimi nacionalnimi pristopi bi morala biti v poudarku na »avtonomiji slovenskih poslovnih subjektov«. Medtem ko predvideva CSA2 obvezno postopno opuščanje opreme (angl. phase-out), slovenska zakonodaja in dosedanja praksa (npr. v okviru NIS2) dopuščata več diskrecije pri tehnični oceni tveganj. Vsiljevanje širokih prepovedi na ravni EU bi slovenskim podjetjem povzročilo nesorazmerne stroške in tehnološko odvisnost od ozkega nabora dobaviteljev, kar je v neposrednem nasprotju z ustavno zagotovljeno svobodno gospodarsko pobudo.[45] Namesto slepega sledenja centralizaciji bi morala Slovenija zagovarjati pristop, kjer nacionalni organi obdržijo zadnjo besedo pri presoji, kaj dejansko ogroža slovensko nacionalno varnost in kaj jo, na drugi strani, dejansko krepi.

8. Sklep

Predlog CSA2 predstavlja kvalitativno spremembo od dosedanjega pristopa. Upravljanje tveganj v dobavni verigi je sedaj obravnavano s sektorskimi ali mehkimi pravnimi instrumenti, kot sta zbirka orodij 5G ali zbirka orodij za varnost dobavne verige IKT, ki sta okvirni in nezavezujoči. Na drugi strani pa CSA2 te ukrepe formalizira v neposredno veljavno uredbo in Komisijo izrecno pooblašča, da sprejme izvedbene akte z medsektorskimi in obveznimi učinki.[46]

CSA2 predstavlja tako pomemben, a pravno sporen korak v razvoju evropske kibernetske regulacije. Čeprav so njegovi cilji legitimni, predlog:

• presega pristojnosti EU, tudi na področju, kjer države članice že izvajajo svoje ukrepe za zmanjševanje tveganj,
• krši načela subsidiarnosti in sorazmernosti, s hkratnim izmikanjem varovalk in institucionalnemu ravnotežju, ki je potrebno za aktivnosti zunanje politike v pravu EU,
• uvaja netransparentne, nejasne kriterije za odločanje,
• povzroča pravno negotovost in gospodarske motnje, vključno s posegi v lastninsko in pravico svobodne gospodarske pobude.[47]

Zaradi vsega navedenega obstaja resno tveganje, da bi bil tak pravni okvir – poleg nacionalnih (ustavnih) sodišč – predmet sodnih izpodbijanj tudi pred Sodiščem EU.[48] Bolj uravnotežen pristop bi moral temeljiti na tehnični oceni tveganj, večji vlogi držav članic ter uporabi sorazmernih ukrepov,[49] tudi v skladu z apelom industrije k ne-ogrožanju digitalne konkurenčnosti Evrope.[50] Da ne bi zatrjevano zasledovanje strateške avtonomije EU kot cilja naslovljenih ukrepov – paradoksalno – povzročilo zmanjšanje njene konkurenčnosti.[51]

Opombe:

*Prispevek je bistveno skrajšana različica prispevka Boštjan Koritnik, Andraž Teršek: »Kibernetska varnost: Evropska komisija z legitimnimi cilji, a napačnima (slabima) pristopom in pravnim okvirjem«, ki je v recenzijskem postopku za objavo v reviji Podjetje in delo.

[1] Uredba (EU) 2019/881 o Agenciji Evropske unije za kibernetsko varnost in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti (Akt o kibernetski varnosti).

[2] José Luís da Cruz Vilaça, Paulo de Almeida Sande, Mariana Tavares: Revision of the Cybersecurity Regulation: A Debatable and Debated Proposal, v: Ecija, 19. februar 2026, str. 1–2.

[3] ENISA: ENISA Threat Landscape 2024.

[4] ENISA: ENISA Threat Landscape 2025.

[5] Tako Evropska strategija za unijo pripravljenosti (JOIN(2025) 130 final) in Evropska strategija notranje varnosti (ProtectEU; COM(2025) 148 final).

[6] Agnese Gerharde: New EU Cybersecurity Package: targeted NIS2 amendments and the establishment of an ICT supply chain security framework, v: Cobalt, 17. marec 2026.

[7] Maria Aholainen, Pauli Takki: EU Cyber Regulation, Part II: The Soon-to-Be-Updated Cybersecurity Act Is Linked to Geopolitics, v: Hannes Snellman blog, 27. marec 2026.

[8] Enako J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 1.

[9] Ključna sredstva IKT za mobilna in fiksna elektronska komunikacijska omrežja. Zadevna kritična infrastruktura so (i) elektronska komunikacijska omrežja 5G (nesamostojna in samostojna), (ii), fiksna elektronska komunikacijska omrežja in (iii) satelitska elektronska komunikacijska omrežja. Glej J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 3, op. 6.

[10] V predlogu CSA2 je koncept visoko tveganih dobaviteljev omenjen kar 63-krat, in sicer v smislu dobavitelja, ki je dovzeten za vpliv vlade države zunaj Evropskega gospodarskega prostora (EGP) na način, ki bi lahko ogrozil neprekinjenost storitev, ogrozil varnost podatkov ali vplival na integriteto ponujenih izdelkov ali storitev. J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 4. Besedna zveza »dobavitelji/prodajalci z visokim tveganjem« ni pravni termin (terminus technicus), temveč funkcionalni pojem, ki se nanaša na dobavitelje, katerih tehnologija, storitve ali položaj v dobavni verigi po mnenju EU lahko sistemsko vplivajo na kritično infrastrukturo, olajšajo izkoriščanje tehničnih ranljivosti ali ustvarijo prekomerno odvisnost od dobaviteljev iz držav, ki so ogrožene zaradi državnega vmešavanja in ki lahko predstavljajo veliko tveganje za varnost EU na podlagi svojih zakonov, pravnih sistemov, praks ali dokazov o zlonamerni kibernetski dejavnosti. Ta koncept je določen v t. i. Priročniku za 5G (angl. 5G Toolbox), ki državam članicam priporoča, naj te dobavitelje izključijo iz najbolj občutljivih in kritičnih delov telekomunikacijskih omrežij. Glej tudi J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 3, op. 7, in Tommaso de Zan: Protecting the ICT Supply Chain: A Step-By-Step Guide to the New EU Security Framework, v: Accesspartnership.com, 11. februar 2026.

[11] Priporočilo Komisije (EU) 2019/534 z dne 26. marca 2019: Kibernetska varnost omrežij 5G (C/2019/2335, UL L 88, 29. marec 2019, str. 42–47).

[12] Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2).

[13] Naslov štiri v 4. poglavju predloga CSA2.

[14] Glej Wilfried Stenbrugen, Feyo Sickinghe: The CSA2's ICT Supply Chain Framework: Necessary Reform or Legal Overreach?, v: Bird & Bird, 17. marec 2026, in J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 3.

[15] Paloma Bru, María Gutierrez-Bolívar: La propuesta CSA2: ¿armonización del mercado interior o expansión competencial?, v: 4.0 Expansión, 25. marec 2026.

[16] M. Aholainen, P. Takki, nav. delo.

[17] Visiola Pula: Revised Cybersecurity Act (CSA2) - mechanism to restrict high-risk ICT suppliers in critical sectors, v: Cullen International, 5. februar 2026.

[18] W. Stenbrugen, F. Sickinghe, nav. delo.

[19] Glej tudi T. De Zan, nav. delo.

[20] Treaty on European Union, UL C 191, 29. julij 1992, str. 1–112.

[21] J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 10. Glej tudi sodbo Sodišča z dne 2. aprila 2020, Evropska komisija proti Republiki Poljski in drugim, ECLI:EU:C:2020:257.

[22] »Addressing the issue at national level alone is not likely to be efficient.« Impact Assessment Report Accompanying the documents Proposal for a Regulation of the European Parliament and of the Council on the European Union Agency for Cybersecurity (ENISA), European cybersecurity certification framework, and ICT supply chain security and repealing Regulation (EU) 2019/881 (The Cybersecurity Act 2) and Proposal for a Directive of the European Parliament and of the Council amending Directive (EU) 2022/2555 as regards simplification measures and alignment with the [Proposal for the Cybersecurity Act 2] {COM(2026) 11 final} - {SEC(2026) 11 final} - {SWD(2026) 12 final}, str. 39.

[23] J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 3; Félix Plasencia, Valentín García, Albert Agustinoy, Álvaro Bourkaib, Miguel Muñoz Pérez: Ciberseguridad y 5 G, v: Cuatrecasas Legal Flash, 12. marec 2026.

[24] Spyridon I. Flogaïtis, Antiope M. Orfanopoulou, Lydia Vasiliki Kyriakopoulou: Σκέψεις επί της πρoτάσεωςτηςΕυρωπαϊκήςΕπιτροπήςγια τηΝέα Πράξη για την Κυβερνοασφάλεια («Cybersecurity Act 2proposal»): Ζήτημα εσωτερικής αγοράς ή εθνικής ασφάλειας [Razmišljanja o predlogu Evropske komisije za nov akt o kibernetski varnosti (»predlog Akta o kibernetski varnosti 2«): Vprašanje notranjega trga ali nacionalne varnosti?], v: Sakkoulas.online, predhodna objava, EfimDD 1/2026.

[25] Pogodba o delovanju Evropske unije z dne 13. decembra 2007 – prečiščena različica (UL C 202, 7. junij 2016, str. 47–360).

[26] W. Stenbrugen, F. Sickinghe, nav. delo.

[27] J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 11. Glej tudi sodbo Sodišča z dne 11. junija 1991, Komisija Evropskih skupnosti proti Svetu Evropskih skupnosti, C-300/89, ECLI:EU:C:1991:244, para. 10; sodba Sodišča z dne 17. marca 1993, Komisija Evropskih skupnosti proti Svetu Evropskih skupnosti, C-155/91, ECLI:EU:C:1993:98, para. 7, 19–21.

[28] W. Stenbrugen, F. Sickinghe, nav. delo.

[29] Prav tam.

[30] J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 14–15. Enako S. I. Flogaïtis, A. M. Orfanopoulou, L. Vasiliki Kyriakopoulou, nav. delo.

[31] Santiago González-Varas: Cybersecurity Act 2: ¿Estados o UE?, v: El Economista, 17. februar 2026; Xhoi Zajmi: Brussels' proposed cybersecurity overhaul risks constitutional red flags, v: EUractiv, 4. marec 2026. Glej npr. F. Plasencia in drugi, nav. delo, kjer je poudarjeno, da čeprav ocenjevanje in identifikacija držav in dobaviteljev z visokim tveganjem nista izrecno opredeljeni, sporočilo Evropske komisije z dne 15. junija 2023 »jasno kaže, da so ti ukrepi usmerjeni proti Kitajski, zato so diskriminatorni in potencialno kršijo špansko ustavo«, Listino EU o temeljnih pravicah, PDEU in bilateralni sporazum med Španijo in Kitajsko. O pomislekih glede skladnosti s španskim ustavnim redom tudi P. Bru, M. Gutierrez-Bolívar, nav. delo, in T. De Zan.

[32] Glej tudi J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 13.

[33] X. Zajmi, nav. delo. Podobno T. De Zan, nav. delo.

[34] P. Bru, M. Gutierrez-Bolívar, nav. delo.

[35] X. Zajmi, nav. delo.

[36] A. Gerharde, nav. delo.

[37] P. Bru, M. Gutierrez-Bolívar, nav. delo. Kot pravi Tong, temelj ocenjevanja ne bo, kako podjetja poslujejo in kakšni so proizvodi, temveč v tem, od kod so: dostop na trg je tako vse manj stvar poštenosti in vse bolj politike. Ma Tong: EU risks sliding into a 'non-level playing field': Walls built in the name of security may ultimately backfire, v: Global Times, 28. marec 2026.

[38] Ob tem ne smemo pozabiti, kakor opozarjajo tudi drugi avtorji, na geopolitične spremembe, odnos z ZDA (carine, Grenlandija, objava ameriške strategije nacionalne varnosti) in posledično potrebo, če že ne vzpostavljanja partnerstev, pa vsaj ne a priori zapiranja vrat sodelovanju z različnimi globalnimi akterji. Glej npr. S. González-Varas, nav. delo, pa tudi J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 9: »EU potrebuje partnerje in jasno je, da zavezništva in partnerstva, na katera se je v preteklosti naslanjalo, niso več učinkovita, zato se iščejo novi sporazumi. Ta trend bo v prihodnjih letih postal le še bolj izrazit.« (Prevod B. K.). Ob tem Zajmi izrecno omenja omejitev/izključitev dveh dobaviteljev, Huaweia in ZTE (X. Zajmi, nav. delo). Glej tudi Michael Petite v intervjuju: Cybersecurity revamp risks legal overreach and market falloutv, v: EUractiv, 18. marec 2026. Je pa poudarek predloga CSA2 na grožnjah s strani tretjih držav, bolj kot na grožnji posameznih dobaviteljev, čeprav je jasno, da so v mislih predvsem dobavitelji s Kitajske. T. De Zan, nav. delo.

[39] Prayukth K V: Critical implications of The EU Cybersecurity Act 2026 for OT infrastructure operators and enterprises, v: Shieldworkz blog, 22. januar 2026.

[40] X. Zajmi, nav. delo. Poleg tega vpliva to tudi na prihodnje poslovanje in potrebo po analizi dobavnih verig, pripravi zahtevne dokumentacije, itd.. M. Aholainen, P. Takki, nav. delo. Glej tudi International Association of Privacy Professionals (IAPP): EU cybersecurity reboot: Practical impacts of the proposed NIS2 and CSA2 reforms, v: IAPP.org, 2. marec 2026.

[41] DigitalEurope: Cybersecurity Act review: certification can boost security and competitiveness if Europe gets it right, 20. januar 2026.

[42] Glej tudi W. Stenbrugen, F. Sickinghe, nav. delo, sklicujoč se na Global System for Mobile Communications (GSMA) in  Connect Europe: Connect Europe Statement on the Cybersecurity Act, 20. januar 2026.

[43] Predlog uredbe Evropskega parlamenta in Sveta o določitvi pravil za preprečevanje spolne zlorabe otrok in boj proti njej {SEC(2022) 209 final} - {SWD(2022) 209 final} - {SWD(2022) 210 final}.

[44] Glej Andraž Teršek: EU projekt »Chat Control«: uradni cilj in dejanski namen, v: TFL Glasnik, št. 35/2025, 9. december 2025.

[45] Ne zdi se mogoče vnaprej izključiti možnosti nastanka resne gospodarska škode. Med drugim zaradi milijardnih stroškov zamenjave opreme in zmanjšanja konkurence. Resni problem je tudi možnost nastanka kršitev ustavnih pravic, med drugim s posegom v lastninsko pravico in v svobodno gospodarsko pobudo pravnih subjektov.

[46] P. Bru, M. Gutierrez-Bolívar, nav. delo.

[47] W. Stenbrugen, F. Sickinghe, nav. delo. Glej tudi X. Zajmi, nav. delo, kjer Michael Petite poudarja, da mora biti zakonodaja tehnološko nevtralna in da bi diskriminiranje posameznih držav kršilo pravila Svetovne trgovinske organizacije (World Trade Organization – WTO). Podobno M. Tong, nav. delo.

[48] Prav tam; J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 15; X. Zajmi, nav. delo. M. Petite, nav. delo.

[49] J. L. da Cruz Vilaça, P. de Almeida Sande, M. Tavares, nav. delo, str. 17.

[50] Connect Europe, nav. delo.

[51] X. Zajmi, nav. delo. Podobno M. Tong, nav. delo.