Législation de l’UE sur la cybersécurité

Un nouveau mandat pour l'ENISA

L’ENISA, l’Agence de l’UE pour la cybersécurité, est désormais plus forte. Le règlement de l’UE sur la cybersécurité confère un mandat permanent à l’agence et lui confère davantage de ressources et de nouvelles tâches.

L’ENISA a joué un rôle clé dans la mise en place et le maintien du cadre européen de certification de cybersécurité en préparant le terrain technique pour des systèmes de certification spécifiques. Il est chargé d’informer le public sur les systèmes de certification et les certificats délivrés par l’intermédiaire d’un site web spécifique. 

L’ENISA est chargée d’accroître la coopération opérationnelle au niveau de l’UE, d’aider les États membres de l’UE qui le souhaitent à gérer leurs incidents de cybersécurité et de soutenir la coordination de l’UE en cas de cyberattaques et de crises transfrontières à grande échelle.

Cette tâche s’appuie sur le rôle de l’ENISA en tant que secrétariat du réseau national des équipes d’intervention en cas d’incident de sécurité informatique (CSIRT), établi par la directive sur la sécurité des réseaux et des systèmes d’information (directive SRI).

En janvier 2026, la Commission a proposé un nouveau règlement sur la cybersécurité afin de renforcer encore la résilience et les capacités de l’UE en matière de cybersécurité. En vertu de la proposition, l’ENISA continuera de soutenir les entreprises et les parties prenantes opérant dans l’UE en émettant des alertes précoces en cas de cybermenaces et d’incidents. 

En coopération avec Europol et les équipes de réaction aux incidents de sécurité informatique (CSIRT), elle aidera les entreprises à réagir aux attaques par rançongiciels et à s'en remettre.

L’ENISA mettra également en place une capacité commune de l’Union en matière de services de gestion des vulnérabilités et fournira des services de gestion des vulnérabilités aux parties prenantes. Elle exploitera le point d’entrée unique pour le signalement des incidents proposé dans l’omnibus numérique.

Le règlement révisé sur la cybersécurité vise également à réduire les risques dans la chaîne d’approvisionnement en TIC de l’UE provenant de fournisseurs de pays tiers ayant des préoccupations en matière de cybersécurité. Il établit un cadre de confiance pour la sécurité de la chaîne d’approvisionnement des TIC en utilisant une approche harmonisée, proportionnée et fondée sur les risques. Les récents incidents de cybersécurité ont mis en évidence les principaux risques de vulnérabilité dans les chaînes d’approvisionnement en TIC, qui sont essentiels pour les services et infrastructures critiques.

Un cadre européen de certification de cybersécurité

Le règlement de l’UE sur la cybersécurité introduit un cadre de certification de cybersécurité à l’échelle de l’UE pour les produits, services et processus TIC. Les entreprises exerçant des activités dans l’UE bénéficieront de l’obligation de ne certifier leurs produits, processus et services TIC qu’une seule fois et de voir leurs certificats reconnus dans l’ensemble de l’Union européenne.

Avec la proposition de règlement révisé sur la cybersécurité, le nouveau cadre européen de certification de cybersécurité apportera plus de clarté et des procédures plus simples pour l’élaboration de systèmes dans un délai de 12 mois par défaut. 

Modifications ciblées

Le 18 avril 2023, la Commission a proposé une modification ciblée du règlement de l’UE sur la cybersécurité. Cette modification ciblée a été adoptée le 15 janvier 2025 et vise à permettre l’adoption future de systèmes européens de certification pour les «services de sécurité gérés» couvrant des domaines tels que la réaction aux incidents, les tests d’intrusion, les audits de sécurité et les services de conseil. La certification est essentielle pour garantir un niveau élevé de qualité et de fiabilité de ces services de cybersécurité hautement critiques et sensibles qui aident les entreprises et les organisations à prévenir, détecter, réagir ou récupérer des incidents.

Le 20 janvier 2026, la Commission a également proposé des modifications ciblées de la directive SRI 2 afin d’accroître la clarté juridique. Les modifications simplifieront le respect des règles de cybersécurité de l’UE et des exigences en matière de gestion des risques pour les entreprises opérant dans l’UE. Ils faciliteront la mise en conformité de 28 700 entreprises, dont 6 200 micro et petites entreprises.