Contexte de la réforme:
L’UE a vu la nécessité de renforcer les règles en matière de cybersécurité, face à l’augmentation des cyberattaques subies par l’UE.
En réponse, le 20 janvier 2026, la Commission européenne a proposé une révision du Cybersecurity Act de 2019 (règlement 2019/881) « Cybersecurity Act 2 » et appelle à une modification de la directive Nis2 en s’inspirant des propositions issues du digital omnibus du 19 novembre 2025. L’UE souhaite renforcer la résilience et les pouvoirs de l’UE en cybersécurité, sans porter atteinte à la compétitivité de l’UE.
Il existe un nombre important de réglementations européennes touchant à la cybersécurité, le projet digital omnibus souhaite clarifier l’interaction entre la directive Nis 2 et le règlement DORA qui est la réglementation sectorielle en cybersécurité dans le domaine bancaire, et la directive sur la résilience des entités critiques (CER).
Selon la procédure législative ordinaire du Parlement européen, les États membres disposent d’un délai de transposition, dans leur droit national, de 12 mois après l’entrée en vigueur de la directive.
L’extension du rôle de l’Agence européenne pour la cybersécurité (ENISA):
Le Cybersecurity Act 2 renforce les prérogatives de l’ENISA, en lui confiant un mandat permanent et des missions élargies. Afin de répondre aux nouvelles missions, les ressources confiées à l’ENISA ont augmenté.
Selon la proposition de réforme, l’ENISA intervient en soutien des entreprises et des parties prenantes, en lançant des alertes précoces pour signaler les cybermenaces et les incidents.
En cas d’incident de sécurité informatique, l’ENISA et l’Europol sont amenés à coopérer afin d’aider les entreprises à réagir aux attaques rançongiciel et les accompagner pour leur rétablissement suite à une cyberattaque.
Sécurisation de la chaîne d’approvisionnement de l’UE:
La réforme vise à réduire les risques de cyberattaques dans la chaîne d’approvisionnement des technologies de l’information et de communication (TIC) de l’UE, susceptibles de provenir de fournisseurs établis dans des pays tiers, présentant des préoccupations en cybersécurité.
La réforme adopte une approche harmonisée, proportionnée et fondée sur les risques.
La réforme renforce la sécurité des chaînes d’approvisionnement TIC, ainsi que les secteurs couverts par la directive Nis 2, au-delà des risques techniques.
Cela passe par l’identification par l’UE et les États membres de fournisseurs à « haut risque », pour des raisons non techniques, notamment pour des raisons géopolitiques, stratégiques voire économiques. Cette nouvelle approche permet d’inclure les risques d’espionnage économique ou d’influence étatique.
La qualification de fournisseur à haut risque entraîne des restrictions sur le marché européen. Ces derniers ne peuvent pas bénéficier de la certification européenne en cybersécurité et sont exclus des marchés publics et des programmes financés par l’UE sur des actifs TIC essentiels.
La Commission européenne identifie des « Actifs TIC clés » utilisés par les secteurs essentiels ou critiques conformément aux annexes I et II de la directive Nis2. Cela englobe notamment les secteurs du transport et de l’énergie.
Le régime de la certification en cybersécurité:
Les entreprises exerçant leurs activités dans l’UE sont éligibles à une certification unique, valable dans l’ensemble du territoire de l’UE pour leurs produits, processus et services TIC. Désormais, la procédure de certification devra s’achever dans un délai de 12 mois, contre plusieurs années auparavant.
La certification en cybersécurité pourra servir de présomption de conformité à la législation européenne. Une fois la certification délivrée, il ne sera plus possible d’exiger des audits de sécurité supplémentaires pour les entités essentielles ou importantes au titre de la directive Nis2.
Sources :
https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act
https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act
Étudiante en Master 2 Droit de l’économie numérique, je me spécialise dans l’intersection entre nouvelles technologies et propriété intellectuelle, avec un intérêt particulier pour les enjeux juridiques du secteur créatif.