L’Union européenne cherche à renforcer son seuil en matière de cybersécurité à une époque où les cyberattaques et les actions hybrides deviennent une routine quotidienne contre les services essentiels et les institutions démocratiques. Le 20 janvier 2026, la Commission européenne a présenté un nouveau plan de mesures en cybersécurité avec un objectif explicite : renforcer la résilience et les capacités de l’UE face à un écosystème de menaces de plus en plus sophistiqué, où convergent groupes étatiques et criminels.
Au cœur du plan se trouvent deux leviers majeurs : d’une part, une révision du Règlement de cybersécurité (Cybersecurity Act) pour renforcer le cadre sur les chaînes d’approvisionnement TIC et simplifier la certification européenne ; d’autre part, des ajustements ciblés à NIS2 afin de réduire la friction réglementaire, clarifier la législation et améliorer la coordination, avec un rôle plus actif pour l’ENISA, l’Agence de l’UE pour la cybersécurité.
Une idée centrale : la chaîne d’approvisionnement n’est plus uniquement “un sujet technique”
La Commission part d’un constat aujourd’hui indiscutable : nombre des brèches les plus graves ne résultent pas d’un “défaut ponctuel”, mais de dépendances, d’intermédiaires et de chaînes d’approvisionnement. Sur le plan communautaire, la sécurité de l’approvisionnement ne se limite pas à la robustesse d’un produit ou service, elle inclut également les risques liés au fournisseur, les dépendances stratégiques, voire les interferències externes dans un contexte géopolitique tendu.
Dans cette optique, la révision du Règlement de cybersécurité vise à établir un “cadre fiable de sécurité de la chaîne d’approvisionnement TIC”, harmonisé et basé sur une approche par le risque, afin d’identifier et d’atténuer de manière coordonnée les risques dans les 18 secteurs critiques de l’UE, en tenant compte aussi de l’impact économique et de la disponibilité de l’offre sur le marché.
Quelles sont les propositions concrètes du plan
Tableau — Les 4 leviers du plan européen
| Levier | Ce qui change | Impacts majeurs | Objectifs |
|---|---|---|---|
| Chaîne d’approvisionnement TIC | Cadre de confiance, harmonisé et basé sur le risque ; focus sur les fournisseurs étrangers à haut risque | Opérateurs, secteur public, fournisseurs TIC, secteurs critiques | Réduire la dépendance et le risque systémique |
| Certification européenne | Procédures simplifiées et délais par défaut plus courts (schémas en 12 mois) | Fabricants, fournisseurs de services, MSSP, marchés publics | “Cybersécurité dès la conception” et indicateurs de confiance vérifiables |
| Simplification de la conformité | Modifications ciblées dans NIS2 pour clarifier la juridiction et réduire les charges | Entreprises concernées par NIS2 (dont PME) | Moins de complexité et meilleure supervision transfrontalière |
| ENISA renforcée | Alertes précoces, soutien contre la rançongiciel, gestion des vulnérabilités et coordination | États membres, CSIRT, entreprises, entités critiques | Réponse plus rapide et véritable coordination européenne |
(Synthèse basée sur la documentation publiée par la Commission.)
“Derisking” dans les réseaux mobiles : le plan s’appuie sur la boîte à outils 5G
Un point particulièrement sensible concerne les réseaux mobiles. La Commission indique que la révision du Règlement de cybersécurité permettra un “dérisquing” obligatoire face aux fournisseurs étrangers considérés comme à haut risque dans les réseaux mobiles, en s’appuyant sur le travail déjà réalisé avec la 5G security toolbox.
En pratique : Bruxelles souhaite disposer d’un instrument juridique plus robuste pour que l’approche ne dépende pas uniquement de recommandations ou de rythmes variables entre pays, mais d’une capacité commune à réduire l’exposition lorsqu’existent des risques importants.
Certification : moins de bureaucratie, plus de confiance sur le marché
Le deuxième levier majeur concerne la certification. La Commission propose de renouveler le Cadre européen de certification en cybersécurité (ECCF) afin de le rendre plus clair et opérationnel, avec des procédures simplifiées et un principe d’agilité : en principe, les schémas de certification devraient être développés en 12 mois.
Le raisonnement repose sur deux axes :
- Pour les entreprises, la certification doit être une outil volontaire et pragmatique permettant de prouver leur conformité à la réglementation européenne, tout en réduisant coûts et charges administratives.
- Pour le marché, l’ECCF constitue un actif compétitif : une manière de renforcer la confiance et la sécurité dans des chaînes complexes où acheteurs et marchés publics ont besoin de critères vérifiables.
La Commission suggère en outre d’étendre le champ d’application : pas seulement les produits et services TIC, mais aussi les processus et services de sécurité gérés, voire la possibilité de certifier la “posture” de cybersécurité d’une organisation lorsque le marché le réclame.
NIS2 : ajustements pour réduire la friction et renforcer la coordination
Le plan comprend également des amendements ciblés à NIS2 pour apporter plus de clarté juridique et faciliter la conformité. La Commission vise à alléger la charge pour 28 700 entreprises, dont 6 200 micro et petites entreprises, et à créer une nouvelle catégorie de moyennes entreprises petites pour réduire les coûts de conformité pour 22 500 organisations.
Parmi les changements annoncés : simplification des règles de juridiction, amélioration de la collecte des données sur les ransomwares, et une supervision transfrontalière plus efficace, avec un rôle accru pour l’ENISA.
ENISA, plus qu’une agence technique : alertes précoces, lutte contre le ransomware et gestion des vulnérabilités
Depuis l’adoption du Cybersecurity Act en 2019, ENISA a renforcé sa place dans l’écosystème européen. Avec le plan de janvier 2026, la Commission propose de l’armer davantage pour aider l’UE et les États membres à comprendre les menaces communes et à améliorer la préparation et la réaction face aux incidents.
Parmi ses missions clés :
- Émission d’alertes précoces sur les menaces et incidents.
- Soutien aux organisations dans la réponse et la récupération face au rançongiciel, en coopération avec Europol et les CSIRT.
- Développement d’une approche européenne pour meilleur gestion des vulnérabilités.
- Renforcement des capacités en talents, avec la Cybersecurity Skills Academy et des schémas européens de certification des compétences.
Sur le plan politique, la vice-présidente exécutive Henna Virkkunen a décrit le plan comme une réponse aux risques stratégiques pesant sur la démocratie et l’économie, ainsi qu’un pas vers la souveraineté technologique européenne.
Calendrier : proposition aujourd’hui, négociations demain
La Commission transmet actuellement le plan au Parlement européen et au Conseil. Selon les annonces : la Loi révisée de cybersécurité serait applicable après son adoption, tandis que les modifications de NIS2 nécessiteraient une transposition : les États membres auront 1 an pour intégrer la directive modifiée dans leur droit national après son adoption.
Questions fréquentes
Que signifie la volonté de l’UE d’assurer la “chaîne d’approvisionnement TIC” ?
Cela implique de considérer la cybersécurité comme un risque systémique : au-delà du logiciel ou du matériel, cela concerne les dépendances, les fournisseurs, la sous-traitance et le contexte géopolitique lié à certains fournisseurs dans des secteurs critiques.
Quelles sont les implications pour les entreprises vendant des technologies ou services en Europe ?
L’accent est mis sur une certification plus simple et claire ainsi qu’une approche “sécurisée dès la conception”. Pour les fabricants, intégrateurs et fournisseurs, la certification européenne peut devenir un symbole de confiance ayant une valeur commerciale, notamment dans les marchés publics et les secteurs réglementés.
La révision du Cybersecurity Act impacte-t-elle les réseaux 5G et télécommunications ?
Oui. La Commission relie ce nouveau cadre à la capacité de réduire les risques (“derisking”) notamment pour les fournisseurs à haut risque dans les réseaux mobiles, en s’appuyant sur le travail effectué avec la 5G toolbox.
Quand pourra-t-on constater l’impact réel de ces mesures ?
Ce n’est pas immédiat : il faut d’abord négocier et adopter l’ensemble. Néanmoins, le plan donne une orientation claire : plus d’exigences dans la chaîne d’approvisionnement, un focus accru sur la certification, et un rôle renforcé pour l’ENISA dans la coordination et la réponse aux incidents.
