La Commission européenne consulte pour moderniser le Cybersecurity Act et renforcer la résilience cyber de l’UE.
Plus de 80 % des entreprises européennes déclarent faire face à des cybermenaces croissantes. Face à cette réalité, la Commission européenne lance une vaste consultation publique pour réviser le « Cybersecurity Act » de 2019. L’objectif ? Adapter le cadre réglementaire aux enjeux actuels et futurs de la cybersécurité en Europe.
Adopté en 2019, le Cybersecurity Act avait permis d’établir un premier socle commun en matière de certification et de gouvernance, notamment en renforçant le rôle de l’agence européenne de cybersécurité, l’ENISA. Mais les cybermenaces évoluent rapidement, et le contexte géopolitique tendu impose une révision profonde de ce cadre. La Commission européenne invite donc tous les acteurs concernés – autorités nationales, industriels, universitaires, chercheurs, associations et citoyens – à contribuer via le portail « Have Your Say » jusqu’au 20 juin 2025.
Repenser le rôle de l’ENISA pour une action plus agile
L’un des axes majeurs de cette révision concerne le mandat d’ENISA. Depuis cinq ans, l’agence a joué un rôle crucial dans la coordination des compétences cyber au niveau européen. Mais aujourd’hui, les attentes montent : à l’heure des cyberattaques hybrides et des opérations transfrontalières, ENISA doit pouvoir agir plus rapidement et avec davantage de latitude.
La consultation vise donc à explorer comment élargir ou renforcer les compétences de l’agence, tant en termes de coordination que de capacité d’intervention. Faut-il un rôle plus opérationnel pour ENISA, proche de celui d’un CERT européen ? Doit-elle davantage coopérer avec les agences nationales en cas de crise ? Ces questions sont au cœur du débat.
Mieux encadrer la certification pour les produits et services TIC
Le cadre européen de certification en cybersécurité, instauré par le Cybersecurity Act, visait à garantir un niveau de sécurité homogène pour les produits et services TIC. Mais dans la pratique, sa mise en œuvre reste complexe. Les entreprises soulignent des lourdeurs administratives, des procédures longues et un manque de clarté sur les niveaux de certification requis selon les secteurs.
La révision en cours souhaite donc simplifier les processus, rendre la certification plus lisible et plus adaptée aux différentes tailles d’entreprises. Elle pourrait aussi renforcer l’articulation entre certification européenne et normes nationales, pour éviter les doublons et favoriser la reconnaissance mutuelle entre États membres.
S’attaquer à la chaîne d’approvisionnement TIC
Autre priorité : la sécurité de la chaîne d’approvisionnement des technologies de l’information et de la communication (TIC). Avec la montée en puissance des tensions géopolitiques et l’émergence de menaces sur les composants critiques, la Commission entend faire de ce sujet un pilier du futur cadre réglementaire.
Comment assurer une traçabilité suffisante sur l’origine des composants ? Faut-il imposer des standards européens pour les fournisseurs extra-européens ? La consultation propose d’examiner ces pistes pour réduire les dépendances et renforcer la souveraineté numérique de l’UE.
Réduire la complexité des obligations de signalement
La multiplication des règlements – NIS 2, DORA, CRA – a entraîné une prolifération des obligations de signalement pour les entreprises. Or, ces exigences se recoupent parfois sans toujours s’aligner, ce qui alourdit inutilement la charge des acteurs.
Dans cette optique, la Commission veut utiliser la révision du Cybersecurity Act pour rationaliser et harmoniser les obligations. L’objectif est clair : créer un environnement plus lisible, où les règles sont cohérentes et proportionnées, tout en conservant un haut niveau de sécurité. Une simplification bénéfique à la fois pour la conformité et la réactivité des entreprises.
La révision du Cybersecurity Act s’inscrit ainsi dans une volonté plus large de renforcer la résilience cyber de l’Europe tout en favorisant l’innovation et la compétitivité. Une équation délicate, mais essentielle pour le futur numérique du continent.
Pour en savoir plus
La Commission ouvre une consultation sur la révision de la législation de l’UE sur la cybersécurité
Afin de renforcer la résilience de l’UE face à la montée des cybermenaces, la Commission sollicite des contributions pour évaluer et réviser la législation sur la cybersécurité de 2019. Cette initiative reflète l’engagement continu de la Commission à simplifier les règles. La révision portera initialement sur…
(Re)découvrez également:
Qu’est-ce que la directive européenne NIS ?
La directive NSI « Directive on security of network and information systems » est le premier élément de la législation européenne en matière de cybersécurité
DORA, la nouvelle législation cybersécurité européenne est entrée en vigueur
DORA, la nouvelle législation cybersécurité européenne pour les institutions financières est dorénavant en vigueur depuis le 17 janvier 2025.
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
