Cybersecurity Act – Règlement européen sur l’ENISA et la certification de cybersécurité

    1. Home  - 
    2. Cybersecurity Act – Règlement européen sur l’ENISA et la certification de cybersécurité

    Mise à jour (mai 2026) : Le Cybersecurity Act 2 (CSA2), publié par la Commission le 20 janvier 2026 dans le cadre du nouveau « paquet cybersécurité », propose une refonte du règlement actuel. Trois changements structurants : un cadre horizontal de sécurité des chaînes d’approvisionnement TIC (avec possibilité d’identifier des fournisseurs à haut risque et des actifs TIC critiques), des sanctions financières inédites pouvant atteindre 7 % du CA mondial, et une intégration du guichet unique de notification d’incidents prévu par le Digital Omnibus. La proposition est en cours de trilogue, adoption attendue fin 2026 ou plus probablement en 2027. La page ci-dessous décrit le règlement actuel (UE 2019/881) et signale les évolutions à anticiper.

    Le Cybersecurity Act (Règlement UE 2019/881) est l’un des textes fondateurs du cadre cyber européen. Il poursuit deux objectifs : donner à l’ENISA, agence de l’Union pour la cybersécurité, un mandat permanent et renforcé ; créer un cadre européen de certification cybersécurité pour les produits, services et processus TIC.

    Son principe central : créer une infrastructure européenne de confiance. Plutôt qu’imposer directement de nouvelles obligations aux entreprises, il organise un langage commun de la certification cyber, reconnu de Lisbonne à Helsinki, et structure la coordination opérationnelle entre les États membres autour de l’ENISA.

    Image de juriste étudiant NIS2, DORA, le cadre cyber européen

    Cybersecurity Act : ce qu’une entreprise doit comprendre immédiatement :

    • Le texte renforce durablement le rôle de l’ENISA.
    • Il crée depuis 2019 un cadre européen de certification cybersécurité.
    • Les certifications deviennent progressivement un langage commun de confiance.
    • Le texte ne rend pas automatiquement toutes les certifications obligatoires.
    • Les exigences marché et réglementaires poussent déjà vers davantage de certification.
    • Le sujet devient stratégique pour les fournisseurs numériques et les prestataires cyber.

    Qui est concerné ?

    Situation

    Concerné par le Cybersecurity Act ?

    Niveau d’attention

    Achat de solutions cloud ou cybersécurité

    Oui

    Modéré

    Fournisseur SaaS B2B

    Souvent

    Élevé

    Prestataire cyber managé

    Oui

    Élevé

    Produit numérique critique

    Oui

    Très élevé

    PME utilisant des outils standards

    Indirectement

    Faible à modéré

    Réponse à des appels d’offres sensibles

    Souvent

    Élevé

    Activité fortement réglementée

    Oui

    Élevé

    Nature juridique du texte

    Consulter directement le Règlement européen (UE) 2019/881.

    Règlement européen d’application directe dans tous les États membres sans loi de transposition. Adopté le 17 avril 2019, entré en vigueur le 27 juin 2019. Des dispositions nationales peuvent préciser certains aspects (autorités compétentes, supervision, sanctions). En France, l’ANSSI est l’autorité nationale de certification cybersécurité.

    Le texte est un règlement structurant plutôt qu’un règlement d’obligations directes. Il pose les grandes catégories d’acteurs, les principes de la certification, le mandat de l’ENISA et les niveaux d’assurance, mais renvoie aux actes d’exécution de la Commission pour l’adoption de chaque schéma européen de certification. Le premier schéma européen, EUCC (Common Criteria), a été adopté par règlement d’exécution (UE) 2024/482 le 31 janvier 2024.

    Le Cybersecurity Act constitue l’un des textes fondateurs de l’architecture cyber européenne moderne, avant NIS2, DORA, le CRA et l’AI Act, mais en amont conceptuellement.

    Présentation générale du Cybersecurity Act

    Le Cybersecurity Act n’est pas un texte qui impose à toutes les entreprises de se certifier. Sa logique est différente : il organise un marché européen de la certification cyber.

    Avant 2019, les certifications cyber étaient fragmentées entre schémas nationaux : CSPN en France, BSI en Allemagne, certifications sectorielles ailleurs. Une entreprise voulant vendre son produit dans plusieurs États membres devait obtenir plusieurs certifications, avec des référentiels techniques souvent différents. Le texte vise à mettre fin à ce patchwork via deux mécanismes.

    Premier mécanisme : un mandat permanent pour l’ENISA. L’agence devient un acteur central de la politique cyber européenne, avec des missions d’appui aux États membres, de coordination de la réponse aux incidents de grande échelle, de production de rapports sur l’état de la menace, de soutien aux politiques européennes, d’élaboration des schémas de certification. L’ENISA n’est pas un régulateur, c’est un pôle européen d’expertise et d’harmonisation.

    Second mécanisme : un cadre européen de certification cybersécurité. Chaque schéma européen définit précisément les produits, services ou processus concernés, les exigences de sécurité à respecter, les méthodes d’évaluation et le niveau d’assurance attendu (basic, substantial, high). Un certificat délivré par une autorité nationale dans un État membre est automatiquement reconnu dans les 26 autres.

    Le principe est celui de la certification volontaire, sauf si un autre texte européen ou national la rend obligatoire. C’est un point central pour les entreprises : le Cybersecurity Act crée le cadre, d’autres textes (CRA, eIDAS 2, exigences sectorielles, marchés publics) viennent ensuite rendre certains schémas nécessaires ou fortement attendus.

    Contexte et champ d’application

    Le texte s’inscrit dans une période où l’Union européenne cherche à structurer sa souveraineté numérique. L’augmentation des cyberattaques contre les services essentiels, la dépendance croissante à des produits et services numériques complexes, la difficulté pour les acheteurs d’évaluer le niveau de sécurité réel des solutions, le besoin de renforcer l’ENISA comme pôle européen d’expertise : tous ces éléments convergent vers la nécessité d’un langage commun de confiance cyber.

    Le règlement couvre deux blocs principaux. Premier bloc : l’ENISA, avec son mandat, ses missions, son organisation et sa coopération avec les États membres et les institutions européennes. Second bloc : la certification européenne de cybersécurité, avec la création des schémas, les niveaux d’assurance, le rôle des autorités nationales (ANSSI en France), les organismes d’évaluation de conformité, les mécanismes de reconnaissance mutuelle.

    Le texte concerne plusieurs catégories d’acteurs : la Commission européenne (adoption des schémas par actes d’exécution), l’ENISA (préparation des schémas candidats), les autorités nationales de certification, les organismes d’évaluation de conformité, les fabricants et fournisseurs de produits, services et processus TIC.

    Pour une PME ou une ETI, l’application est généralement indirecte mais réelle dans trois situations : quand l’entreprise achète des produits ou services critiques (et veut les évaluer), quand elle vend des produits ou services numériques (et peut chercher à se certifier), quand elle doit démontrer un niveau de confiance cyber à ses clients, assureurs, régulateurs ou partenaires.

    Mandat de l’ENISA. Le règlement confie à l’ENISA un mandat permanent renforcé : amélioration du niveau de cybersécurité dans l’Union, soutien aux États membres, appui à la coopération européenne, développement de la capacité de réponse aux crises, production d’analyses de menaces, développement des schémas européens de certification, sensibilisation et montée en compétence.

    Élaboration des schémas européens de certification (art. 46-65). L’ENISA prépare des schémas candidats à la demande de la Commission. Chaque schéma définit son objet, le périmètre des produits ou services concernés, les exigences de sécurité, les méthodes d’évaluation, le niveau d’assurance, les règles de délivrance et de maintien des certificats, les obligations du détenteur, la durée de validité.

    Trois niveaux d’assurance (art. 52). Le niveau basic repose principalement sur l’auto-évaluation par le fabricant et vise des risques faibles à modérés. Le niveau substantial implique une évaluation par un organisme tiers accrédité. Le niveau high requiert un organisme accrédité avec des tests de pénétration approfondis, pour des situations à fort impact potentiel. Un système de contrôle industriel utilisé dans une centrale électrique relève typiquement du niveau high ; un logiciel grand public peut se satisfaire d’une auto-déclaration au niveau basic.

    Reconnaissance mutuelle (art. 56). Un certificat délivré dans un État membre est automatiquement reconnu dans les 26 autres. C’est l’avantage majeur du cadre pour les fournisseurs européens : une certification, un marché de 450 millions d’habitants.

    Obligations du détenteur d’un certificat. Maintien des conditions de certification dans le temps, gestion des vulnérabilités, signalement à l’autorité de certification de toute évolution significative du produit ou du service, coopération aux contrôles. Un certificat n’est pas une garantie absolue : c’est une preuve bornée, datée et associée à un périmètre précis.

    Pour les organismes d’évaluation de conformité. Accréditation par l’organisme national d’accréditation (Cofrac en France), respect des règles d’impartialité, qualification du personnel évaluateur, traçabilité des évaluations.

    Services de sécurité managés. Une évolution récente du cadre vise à permettre la certification des managed security services (réponse à incident, tests d’intrusion, audits, supervision, détection et réponse). C’est une rupture : la logique de certification se déplace du produit ou du logiciel vers la qualité du service rendu. Le schéma EUMSS est en cours de préparation.

    Schémas adoptés ou en développement.

    • EUCC (European Common Criteria-based scheme) : premier schéma adopté, règlement d’exécution (UE) 2024/482 du 31 janvier 2024. Couvre les produits TIC évalués selon les Common Criteria (cartes à puce, composants matériels et logiciels, produits de sécurité formels). Opérationnel.
    • EUCS (European Cybersecurity Certification Scheme for Cloud Services) : schéma de certification cloud, en développement depuis 2020. Toujours pas adopté à mai 2026. Sujet politiquement très sensible (voir ci-dessous).
    • EU5G : schéma pour les réseaux 5G, en cours.
    • EUDI Wallet : schéma de certification pour les portefeuilles d’identité numérique européens, lié au déploiement d’eIDAS 2.
    • EUMSS : schéma pour les services de sécurité managés, en cours.

    Le cas EUCS : pourquoi c’est bloqué. Le projet de schéma cloud a été plusieurs fois remanié. La question centrale : doit-on inclure dans le niveau « high » des exigences de souveraineté (localisation des données dans l’UE, immunité face aux lois extraterritoriales type US Cloud Act ou FISA 702) ? Les versions de 2023 incluaient ces exigences, alignées sur le référentiel français SecNumCloud. Les versions 2024 les ont retirées sous la pression de plusieurs États membres et d’acteurs économiques. Le débat n’est pas tranché début 2026, et le sujet est devenu emblématique de la tension entre approche technique et approche stratégique de la cybersécurité européenne.

    Articulation avec les normes internationales. Les schémas européens s’appuient autant que possible sur des standards existants (ISO 17065 pour les organismes de certification, ISO 27001 pour le management de la sécurité, Common Criteria pour l’évaluation produit). L’objectif est de favoriser l’interopérabilité mondiale et d’éviter de créer un cadre européen complètement autonome qui pénaliserait les fournisseurs européens à l’international.

    Bases de données et registres. L’ENISA tient un site web central recensant les certifications délivrées sous les schémas européens, accessible aux acheteurs et aux régulateurs. C’est un outil clé pour la diligence raisonnable côté acheteur.

    DateÉtape
    17 avril 2019Adoption du Règlement (UE) 2019/881
    27 juin 2019Entrée en vigueur
    2020Premier draft du schéma EUCS publié par l’ENISA
    2021-2023Structuration progressive du cadre, préparation des premiers schémas
    31 janvier 2024Adoption du règlement d’exécution (UE) 2024/482 : schéma EUCC opérationnel
    2024-2025Évolution du Cybersecurity Act pour intégrer les services de sécurité managés
    2024-2026Schémas en cours : EUCS, EU5G, EUDI Wallet, EUMSS
    20 janvier 2026Publication par la Commission de la proposition de Cybersecurity Act 2 (CSA2)
    2026-2027Trilogue Conseil / Parlement sur CSA2
    Fin 2026 / 2027Adoption attendue du CSA2

    Le Cybersecurity Act est un texte « horizontal » qui fournit l’outil de certification à utiliser par d’autres règlements verticaux. L’articulation est donc dense.

    NIS2. Articulation forte. Les entités essentielles et importantes au sens de NIS2 doivent gérer leurs risques cyber, y compris ceux liés à leur chaîne d’approvisionnement. Les certifications européennes deviennent un élément de preuve utilisable pour démontrer le niveau de sécurité de leurs fournisseurs et de leurs propres produits ou services. La certification ne remplace pas la gestion des risques NIS2, elle l’appuie.

    CRA (Cyber Resilience Act). Articulation directe et structurante. Le CRA impose des exigences de sécurité aux produits comportant des éléments numériques mis sur le marché européen. Le Cybersecurity Act fournit les schémas européens permettant de présumer la conformité à certaines exigences du CRA. Concrètement : un produit certifié EUCC pourra, sous conditions, être considéré comme conforme à certaines obligations du CRA sans évaluation supplémentaire. La logique : le CRA dit ce qu’il faut faire, le Cybersecurity Act dit comment le prouver.

    DORA. Les entités financières peuvent utiliser les certifications pour qualifier la confiance dans leurs fournisseurs critiques TIC, dans la sélection d’un prestataire, dans l’évaluation du risque de concentration, dans la documentation des contrôles. Mais DORA exige une gouvernance continue du risque qui dépasse largement une certification ponctuelle.

    AI Act. Articulation sur la cybersécurité des systèmes d’IA à haut risque (art. 15 de l’AI Act). Les schémas européens peuvent fournir des références utiles pour évaluer la sécurité de composants IA, en particulier lorsque l’IA est intégrée dans un produit, une infrastructure critique ou un service de sécurité.

    eIDAS 2. Articulation naturelle. Le schéma de certification pour les portefeuilles EUDI Wallet est précisément en cours d’élaboration sous le cadre du Cybersecurity Act. Identité numérique et certification cyber sont deux dimensions d’une même infrastructure de confiance européenne.

    RGPD. Articulation prévue par l’article 42 du RGPD, qui ouvre la voie à des mécanismes de certification en matière de protection des données. Une certification cyber ne remplace pas les obligations RGPD (base légale, analyse d’impact, information des personnes), mais peut contribuer à démontrer que les mesures de sécurité de l’article 32 sont en place.

    REC (Critical Entities Resilience). Pour les entités critiques, la certification cyber peut contribuer à la confiance dans les produits et prestataires utilisés. REC traite cependant plus largement la résilience physique et organisationnelle.

    Data Act, DGA. Articulation indirecte. Les certifications cyber peuvent renforcer la confiance dans les services qui permettent l’accès, le partage ou l’intermédiation de données.

    Digital Omnibus Package. Articulation à venir via le guichet unique de notification d’incidents (SEP), géré par l’ENISA, qui sera intégré dans le CSA2. Le SEP permettra à une entreprise de notifier un incident une seule fois pour couvrir ses obligations RGPD, NIS2, DORA, eIDAS et CER.

    DSA, DMA, ePrivacy, 3CF. Pas d’articulation directe structurante avec le Cybersecurity Act au-delà de la cohérence générale du cadre numérique européen.

    Le Cybersecurity Act n’est pas directement modifié par le paquet Digital Omnibus principal (qui touche RGPD, NIS2, DORA, eIDAS, CER). En revanche, il est l’objet d’une révision propre, parallèle au Digital Omnibus : la proposition de Cybersecurity Act 2 (CSA2) publiée par la Commission le 20 janvier 2026.

    Articulation avec le SEP (Single Entry Point). Le guichet unique de notification d’incidents, prévu par le Digital Omnibus et géré par l’ENISA, est intégré dans la proposition CSA2. C’est l’ENISA qui opèrera ce point d’entrée unique permettant à une entreprise de notifier un même incident une seule fois pour couvrir RGPD, NIS2, DORA, eIDAS et CER. Pour les entreprises, c’est une simplification attendue, même si plusieurs associations professionnelles relèvent que des notifications parallèles subsisteront probablement en pratique.

    Le CSA2 va au-delà du Digital Omnibus. Trois changements structurants supplémentaires :

    • Cadre horizontal de sécurité des chaînes d’approvisionnement TIC. La Commission pourrait identifier des fournisseurs à haut risque et des actifs TIC critiques utilisés par les entités NIS2. Les fournisseurs à haut risque pourraient être exclus de certains domaines critiques. C’est une première en droit européen : intégrer dans la cybersécurité des considérations « non techniques » (origine du fournisseur, contexte géopolitique, dépendance stratégique).
    • Sanctions financières inédites. Le CSA2 introduit des amendes pouvant atteindre 7 % du chiffre d’affaires mondial total, ce qui aligne le régime du Cybersecurity Act sur les plus dures sanctions du droit européen du numérique (AI Act, RGPD).
    • Renforcement de l’ENISA. Mandat élargi, ressources accrues, rôle de référent unique au niveau européen pour la cybersécurité, capacité de coordination opérationnelle entre États membres, soutien à la lutte contre les rançongiciels, support à la Cybersecurity Skills Academy.

    Adoption attendue. Trilogue en cours, adoption probable fin 2026 ou plus vraisemblablement courant 2027. Tant que le CSA2 n’est pas adopté et publié, le règlement (UE) 2019/881 actuel reste pleinement applicable.

    Pour une PME ou une ETI, le Cybersecurity Act ne se traduit pas par une obligation directe du type « vous devez être certifié ». Il devient important dans trois usages : mieux acheter, mieux vendre, mieux démontrer.

    Mieux acheter. Intégrer la certification dans la politique d’achat. Pour les composants critiques (solution de sécurité, service cloud, outil IAM, prestataire de supervision, produit embarqué, solution de signature, prestataire de confiance numérique), demander :

    • le produit ou service est-il certifié ?
    • selon quel schéma européen ?
    • à quel niveau d’assurance ?
    • par quel organisme évaluateur ?
    • pour quel périmètre exact ?
    • avec quelle durée de validité ?
    • avec quelles exclusions ?

    L’objectif n’est pas d’exiger systématiquement le niveau « high ». Il est d’aligner le niveau de certification attendu avec le risque réel du service acheté. Un certificat se lit comme une preuve bornée : périmètre, version, niveau, date, organisme.

    Mieux vendre. Pour une PME qui édite un logiciel, opère un SaaS, vend des objets connectés ou fournit un service cyber, la certification peut devenir un argument commercial ou une exigence marché. À mesure que NIS2, DORA et le CRA montent en puissance, les donneurs d’ordre demandent de plus en plus des preuves de maîtrise cyber. La démarche impose alors de structurer la documentation technique, la sécurité par conception, la gestion des vulnérabilités, la traçabilité, la gestion des changements, les preuves de tests, la gouvernance de la sécurité, le maintien en condition de sécurité.

    Mieux démontrer. Vis-à-vis des clients, des régulateurs, des assureurs cyber, des partenaires, des donneurs d’ordre dans les marchés publics. La certification devient un langage commun de confiance, utilisable dans les appels d’offres, les audits clients, les questionnaires sécurité, la cyber-assurance, la preuve de diligence raisonnable.

    Ne pas confondre certification et sécurité réelle. Trois erreurs à éviter :

    • croire qu’un certificat dispense d’une analyse de risque ;
    • croire qu’un certificat couvre tous les usages ou toutes les configurations ;
    • croire qu’un produit certifié reste sûr sans exploitation et configuration sécurisées.

    La certification est un outil de confiance dans une approche plus large : architecture, configuration, supervision, gestion des accès, sauvegardes, journalisation, gestion des vulnérabilités, continuité.

    Charge réelle pour une PME-ETI. L’effort dépend du rôle.

    • Acheteur. Quelques semaines d’intégration de la dimension certification dans la grille d’évaluation fournisseur, puis maintien continu lors des renouvellements de contrats.
    • Vendeur visant une certification basic. 3 à 6 mois de préparation documentaire et d’auto-évaluation.
    • Vendeur visant un niveau substantial. 9 à 18 mois en intégrant l’évaluation par un organisme tiers accrédité, coût significatif.
    • Vendeur visant un niveau high. 18 mois et plus, investissement lourd, généralement réservé à des produits stratégiques avec un retour sur investissement clair.

    Anticiper le CSA2. Pour les ETI ou les fournisseurs critiques au sens NIS2, la perspective du Cybersecurity Act 2 doit entrer dans la veille stratégique dès 2026. Les nouvelles obligations de sécurité des chaînes d’approvisionnement et la possibilité d’identification de fournisseurs à haut risque sont des sujets qui peuvent demander de revoir, à terme, certains contrats fournisseurs stratégiques.

    Pour les entités essentielles ou importantes au sens NIS2, la certification européenne devient un levier de preuve dans la gestion des risques cyber et de la chaîne d’approvisionnement : voir Conformité NIS2. Pour les entités financières soumises à DORA, elle alimente directement la qualification des fournisseurs critiques TIC : voir Conformité DORA.

    Dans sa version actuelle, le Cybersecurity Act ne fixe pas de plafonds harmonisés d’amendes. Les sanctions sont renvoyées aux régimes nationaux de supervision et aux règles applicables à chaque schéma européen.

    Conséquences possibles dans le cadre actuel. Refus, suspension ou retrait d’un certificat. Interdiction de se prévaloir d’une certification (usage abusif ou frauduleux d’un logo, d’un certificat expiré, d’un périmètre non couvert). Sanctions nationales spécifiques fixées par chaque État membre. Exclusion de certains marchés publics ou contrats privés exigeant la certification. Responsabilité contractuelle vis-à-vis des clients.

    En pratique, le risque le plus immédiat n’est pas l’amende administrative. Le risque le plus concret pour une entreprise est de ne plus pouvoir démontrer un niveau de confiance suffisant face à un client, un régulateur, un assureur ou un donneur d’ordre. C’est-à-dire : perte de marché, exclusion d’appels d’offres, dégradation de la couverture cyber-assurance, perte de crédibilité commerciale.

    Évolution attendue avec le CSA2. La proposition du 20 janvier 2026 introduit pour la première fois un régime harmonisé de sanctions financières dans le Cybersecurity Act, pouvant atteindre 7 % du chiffre d’affaires mondial total en cas d’infraction. Cela alignerait le Cybersecurity Act sur les régimes les plus durs du droit européen du numérique. À cela s’ajoute la possibilité d’exclusion de fournisseurs à haut risque de certains domaines critiques, ce qui constitue une sanction commerciale potentiellement plus structurante encore que l’amende.

    À ce stade, ces dispositions ne sont qu’une proposition. Tant que le CSA2 n’est pas adopté, le régime de sanctions actuel reste celui décrit ci-dessus. Les premières sanctions sous le futur CSA2 ne devraient pas intervenir avant 2028.

    Le Cybersecurity Act est parfois perçu comme un texte abstrait sur la certification. En réalité, il prépare une transformation beaucoup plus profonde : la capacité à démontrer un niveau de confiance numérique reconnu à l’échelle européenne.

    Les entreprises utilisent déjà des certifications dans leurs processus d’achat, leurs audits fournisseurs ou leurs réponses à appels d’offres. Le cadre européen cherche à harmoniser cette logique et à éviter une multiplication de schémas nationaux incompatibles.

    Le sujet devient particulièrement important pour :

    • les fournisseurs cloud ;
    • les éditeurs logiciels ;
    • les prestataires de cybersécurité ;
    • les services numériques critiques ;
    • les produits connectés ;
    • les services managés.

    Une certification ne garantit jamais qu’un produit est “sûr”. Elle fournit un niveau d’assurance borné, associé à un périmètre précis, une version donnée et un référentiel défini.

    Les entreprises doivent donc éviter deux erreurs fréquentes :

    • considérer qu’une certification remplace une analyse de risque ;
    • considérer qu’un produit certifié restera sécurisé sans supervision, correctifs ou configuration adaptée.

    Dans la pratique, le Cybersecurity Act rejoint des problématiques très opérationnelles : gestion des tiers, supply chain logicielle, sécurité cloud, confiance fournisseur, conformité produit et gouvernance des risques numériques.

    Où en êtes-vous sur la certification et la confiance numérique ?

    Radical-SSI vous accompagne pour :

    • La gestion des risques fournisseurs ;
    • L’analyse des certifications cyber ;
    • L’évaluation des prestataires critiques ;
    • La gouvernance de la supply chain numérique ;
    • L’articulation entre Cybersecurity Act, NIS2, DORA et CRA ;
    • Les enjeux de confiance dans les services numériques.
    Prenons rendez-vous pour une consultation sans engagement.

    Partagez cette page via :