Le 20 janvier 2026, la Commission européenne a présenté un nouveau paquet législatif pour renforcer la cybersécurité dans l’Union. Cette initiative intervient alors que près de 28 700 entreprises sont concernées par les règles européennes et que les attaques visant les infrastructures critiques se multiplient.
Cybersecurity Act : mettre à jour le cadre de 2019
Adopté en 2019, le Cybersecurity Act avait instauré un premier cadre commun. Selon l’ANSSI, ce règlement offrait “un cadre de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification“.
Six ans plus tard, le dispositif ne suit plus le rythme des menaces ni celui des usages.
Parmi les limites identifiées :
- un décalage avec les besoins opérationnels,
- une certification jugée trop lourde,
- une fragmentation entre les différents textes européens.
À cela, s’ajoute une accumulation réglementaire avec NIS2, DORA ou le Cyber Resilience Act, qui complexifie la conformité pour les entreprises. La réforme du Cybersecurity Act vise à simplifier ce paysage.
Est notamment prévue la mise en place d’un guichet unique pour la notification des incidents. Un moyen de centraliser les signalements et d’éviter les doublons entre autorités nationales. L’objectif affiché est de rendre le cadre plus lisible sans réduire le niveau d’exigence.
L’ENISA en première ligne
La révision du Cybersecurity Act renforce fortement le rôle de ENISA, qui devient un véritable chef d’orchestre de la cybersécurité européenne. Concrètement, l’agence ne se limite plus à conseiller. Elle fournit désormais des guides techniques, coordonne les États membres et participe directement à la gestion des crises cyber à grande échelle.
Par exemple, en cas d’attaque massive contre des infrastructures énergétiques dans plusieurs pays, ENISA peut aider à organiser une réponse commune, mobiliser des experts et diffuser des alertes rapides pour éviter la propagation de l’attaque.
Autre évolution majeure, ENISA joue un rôle clé dans la sécurisation des chaînes d’approvisionnement numériques. Elle peut analyser les risques liés à certains logiciels ou équipements critiques et recommander des mesures, voire des restrictions, pour protéger les infrastructures européennes.
Enfin, ses moyens augmentent significativement et son mandat s’élargit, afin de suivre l’explosion des cybermenaces et de mieux coordonner les politiques entre États membres.
LIre aussi : Qui sont les principaux acteurs de la cybersécurité en France ?
Cybersecurité Act : les chaînes d’approvisionnement sous surveillance
Autre volet central de la réforme, la sécurisation des chaînes d’approvisionnement en technologies de l’information et de la communication (TIC).
Le texte introduit la possibilité d’identifier des fournisseurs à risque, notamment en raison de leur lien avec des États tiers. Comme l’explique l’Usine Nouvelle, “bien qu’ils ne soient pas nommés, les équipementiers télécoms chinois Huawei et ZTE sont clairement visés”. Des mesures peuvent être prises, allant de restrictions d’usage à des obligations de retrait de certains équipements.
Cette approche traduit une évolution : la cybersécurité est désormais traitée aussi sous l’angle des dépendances économiques et industrielles.
Quelles conséquences pour les entreprises ?
Les entreprises opérant dans les secteurs critiques identifiés par l’Union sont en première ligne. Elles devront adapter leurs politiques de gestion des risques, leurs choix de fournisseurs et leurs procédures internes. Au-delà des obligations, ces évolutions pourraient peser sur les stratégies d’investissement et les relations avec certains partenaires technologiques.
Avec Tyrex, confiez la sécurité de vos supports USB à une solution souveraine. Nos équipes sont basées en France et vous proposent des solutions de décontamination USB à déployer sur vos sites ou de manière nomade.
| Un calendrier encore ouvert : Le projet doit désormais être examiné par le Parlement européen et le Conseil. Une fois adopté, le règlement sera directement applicable, tandis que certaines mesures devront être transposées au niveau national dans un délai d’un an.Avec cette révision, Bruxelles cherche à remettre à niveau son cadre face à un environnement numérique plus instable et à des menaces plus fréquentes. |
