Cybersecurity Act 2 : ce que les fabricants CRA doivent suivre

Le CSA2 reste une proposition. COM(2026) 11 final modifierait la certification, les chaînes TIC et le mandat de l’ENISA.

Équipe CRA Evidence Publié 19 février 2026 Mis à jour 8 mai 2026
Vignette de l'article sur le Cybersecurity Act 2 : titre à gauche, motif illustratif à droite, accent réglementaire indigo.
Dans cet article

Le Cybersecurity Act 2 (CSA2) n'est pas le règlement sur la cyberrésilience. Il s'agit d'une proposition distincte de la Commission, COM(2026) 11 final, publiée le 20 janvier 2026, qui abroge le règlement (UE) 2019/881 et introduit trois blocs opérationnels : un cadre européen révisé de certification de cybersécurité (titre III), un nouveau cadre horizontal de chaîne d'approvisionnement TIC assorti de pouvoirs de désignation des pays (titre IV) et un mandat renforcé pour l'ENISA (titre II). Trois mois après publication, le dossier en est à un examen précoce au Parlement et au Conseil, pas en trilogue.

Pourquoi un fabricant soumis au CRA devrait quand même lire ce texte. La certification au titre du cadre révisé est la voie que la Commission propose pour démontrer la conformité au CRA, à NIS2 et à d'autres actes de l'Union, dès lors qu'un schéma pertinent existe. Le cadre de chaîne d'approvisionnement recoupe les obligations de l'article 13 du CRA sur les composants tiers. Et l'article 100 du CSA2 interdit aux entités issues de pays tiers désignés d'agir comme organismes d'évaluation de la conformité, ce qui affecte directement les organismes notifiés que vous pouvez utiliser pour la conformité CRA.

L'articulation entre l'utilisation du futur schéma de posture cyber et la démonstration de conformité à NIS2 sera un point de discussion important avec les États membres.

Maika Fohrenbach, DG CONNECT · ENISA Certification Conference, 15 April 2026 (notes de terrain)

Synthèse

  • CSA2 est une proposition de la Commission, pas une loi. COM(2026) 11 final, 122 articles, 270 pages, abrogeant le règlement (UE) 2019/881 (le Cybersecurity Act de 2019). Actuellement en examen précoce au Parlement et au Conseil.
  • Trois blocs opérationnels : cadre européen de certification de cybersécurité révisé (titre III), cadre de sécurité de la chaîne d'approvisionnement TIC (titre IV), mandat ENISA renforcé (titre II).
  • Le périmètre de l'ECCF s'étend aux services de sécurité gérés et à la posture cyber des entités, et plus seulement aux produits, services et processus TIC (Article 81 ; considérant 92).
  • L'ENISA doit livrer les schémas candidats dans un délai de 12 mois après une demande de la Commission (Article 73).
  • Trois niveaux d'assurance demeurent : basic, substantial, high (considérant 101). La déclaration UE de conformité utilise uniquement le niveau basic.
  • Le cadre de chaîne d'approvisionnement permet à la Commission de désigner des pays tiers qui présentent des « risques non techniques sérieux et structurels » (Article 100). Les entités issues d'un pays désigné sont exclues de la fourniture d'actifs TIC clés, des marchés publics portant sur ces actifs, des financements de l'UE et des activités de certification et d'évaluation de la conformité.
  • La sortie progressive des télécoms, pour les composants de fournisseurs à haut risque dans les réseaux mobiles, est plafonnée à 36 mois à compter de l'entrée en vigueur (Article 110). Les sorties pour les réseaux fixes et satellitaires sont fixées ultérieurement par actes d'exécution de la Commission.
  • Les sanctions au titre de l'article 115 s'appliquent aux infractions au titre IV (chaîne d'approvisionnement) : 1 %, 2 % ou 7 % du chiffre d'affaires annuel mondial, selon la disposition enfreinte. Il n'y a pas de plafond fixe en EUR. Les sanctions au titre III (certification) sont fixées par les États membres sans plafond à l'échelle de l'UE (Article 97).
  • Économies estimées de mise en conformité pour les entreprises : 14.6 milliards EUR sur cinq ans dans l'option préférée C.2 (Analyse d'impact §4390).
  • Coût estimé de remplacement télécom : 3.4 à 4.3 milliards EUR par an sur trois ans pour les équipements non évolutifs issus de fournisseurs à haut risque (Analyse d'impact §4577, §4.4.1).
122
Articles
dans COM(2026) 11 final
36 mois
Plafond sortie télécom
réseaux mobiles, Article 110
14.6 Md€
Économies de conformité
sur 5 ans, option C.2
3.4–4.3 Md€
Remplacement télécom
par an sur 3 ans

Sources : COM(2026) 11 final (nombre d'articles et de pages) ; analyse d'impact d'accompagnement SWD(2026) 11 final, sections 4.3.3 et 4.4.1.

Ce que le CSA2 propose réellement

La Commission articule la proposition autour de quatre objectifs. Trois sont des réformes d'instruments existants, un est nouveau.

SujetCe qui changePourquoi les équipes CRA sont concernéesRéférence
Cadre de certificationTitre III Le périmètre s'étendrait au-delà des produits, services et processus TIC, vers les services de sécurité gérés et la posture cyber des entités. De futurs schémas pourraient devenir une partie du parcours de preuve pour la conformité CRA. Article 73 ; 12 mois pour l'ENISA.
Chaîne d'approvisionnement TICTitre IV Les évaluations des risques pourraient mener à la désignation de pays tiers et à des exclusions sur les actifs TIC clés, les marchés publics et les financements UE. Des organismes d'évaluation, fournisseurs ou sources de composants peuvent devenir indisponibles pour des clients réglementés. Articles 99-100.
Posture cyberSimplification NIS2 Un schéma de posture cyber pourrait soutenir une certification utilisable pour plusieurs actes de l'Union. Utile pour la planification, mais le lien avec NIS2 dépend encore de la négociation. Orientation politique, pas droit arrêté.
Mandat ENISATitre II L'ENISA aurait des rôles plus clairs sur les schémas, le signalement, la réserve, les vulnérabilités et l'attestation. L'infrastructure européenne de signalement et de vulnérabilités serait plus centralisée. Single Entry Point ; réserve UE ; EUVD.

Paysage des schémas : où en sont les quatre voies

Le CSA2 n'est qu'une partie du paysage européen de certification. Cette vue distingue les schémas déjà opérationnels ou en consultation du schéma de posture cyber, qui reste une proposition CSA2 et dépend encore de la négociation avec les États membres.

EUCCOpérationnel
Produits

29 certificats, 28 OEC, tous au niveau CC-1.

EUDI WalletConsultation
Services + eID

Lancé le 3 avr. 2026. Texte final attendu en sept.-oct.

EU MSSProjet v4
Services de sécurité gérés

v4 publiée le 9 avr. 2026. Consultation publique en juillet.

Posture cyberNégociation
Entités · proposition CSA2

Le lien certification-NIS2 reste ouvert avec les États membres.

Le cadre de chaîne d'approvisionnement, étape par étape

C'est la partie politiquement la plus chargée de la proposition. Le mécanisme se déroule de manière séquentielle, chaque étape s'appuyant sur un article précis. Les numéros d'article ci-dessous renvoient à COM(2026) 11 final.

  1. Évaluation des risques (Article 99). La Commission, ou au moins trois États membres, peuvent demander une évaluation coordonnée des risques d'une chaîne d'approvisionnement TIC. L'évaluation doit être finalisée dans un délai de six mois. Une procédure d'urgence est prévue lorsqu'une intervention immédiate est justifiée.
  2. Désignation de pays (Article 100). Lorsqu'un pays tiers présente des « risques non techniques sérieux et structurels » pour les chaînes d'approvisionnement TIC, la Commission peut le désigner. Les entités établies dans un tel pays ou contrôlées par lui sont exclues de la fourniture de composants TIC pour les actifs TIC clés, des marchés publics afférents, des programmes de financement de l'UE et de l'exercice d'activités d'organisme d'évaluation de la conformité.
  3. Mesures d'atténuation (Articles 101 à 103). La Commission peut, par acte d'exécution, exiger des entités appartenant aux secteurs hautement critiques l'application de mesures d'atténuation spécifiques, notamment l'interdiction d'utiliser des composants issus de fournisseurs à haut risque listés.
  4. Identification des actifs TIC clés (Articles 102 et 103). La Commission identifie, par acte d'exécution, les actifs TIC qui comptent comme « clés » par secteur. L'annexe II prédéfinit déjà les actifs TIC clés pour les réseaux mobiles, fixes et satellitaires de communications électroniques.
  5. Listes de fournisseurs à haut risque (Article 104). La Commission publie des listes de fournisseurs à haut risque, fondées sur l'évaluation de l'établissement, de la propriété et du contrôle, après consultation des fournisseurs concernés et des autorités compétentes. Les articles 105 à 107 prévoient une procédure d'exemption et un registre public des décisions d'exemption.
Les télécoms sont le premier secteur visé

L'annexe II prédéfinit les actifs TIC clés pour les réseaux mobiles, fixes et satellitaires de communications électroniques. La sortie progressive des composants de fournisseurs à haut risque dans les réseaux mobiles est plafonnée à 36 mois à compter de l'entrée en vigueur (Article 110). Les durées de sortie pour les réseaux fixes et satellitaires sont laissées aux actes d'exécution de la Commission. L'analyse d'impact estime un coût ponctuel de remplacement de 3.4 à 4.3 milliards EUR par an sur trois ans pour les équipements non évolutifs, dérivé des niveaux d'investissement 5G dans l'UE depuis 2019 et d'une part d'actifs à haut risque comprise entre 32 et 40 % (IA §4577, §4.4.1).

Sanctions : plafonds en pourcentage, pas de montant fixe en EUR

La structure des sanctions est l'un des points où les lectures du CSA2 dérapent souvent. L'article 115 fixe les niveaux maximaux de sanction pour les infractions au titre IV (cadre de chaîne d'approvisionnement). Le plafond est uniquement un pourcentage du chiffre d'affaires annuel mondial ; il n'existe pas de plafond fixe en EUR.

Disposition enfreinteSanction maximaleSource
Article 103(2)(a) · coopération avec la Commission1 % du chiffre d'affaires annuel mondialArticle 115(5)
Article 103(2)(b)–(g) · obligations de mesures d'atténuation2 % du chiffre d'affaires annuel mondialArticle 115(6)
Article 103(1) · obligations primaires d'atténuation ; Article 111 · interdictions télécom7 % du chiffre d'affaires annuel mondialArticle 115(7)
Titre III · infractions au cadre de certificationFixées par chaque État membre ; « effectives, proportionnées et dissuasives » ; pas de plafond à l'échelle de l'UEArticle 97

Le palier de 7 % est celui qui concerne le plus directement les opérateurs télécoms, puisqu'il couvre l'article 111 (l'interdiction propre aux télécoms d'installer ou d'intégrer des composants TIC issus de fournisseurs à haut risque).

Là où cela recoupe le CRA

Le CSA2 ne modifie pas le CRA. Il change toutefois trois choses autour de lui.

Diligence sur les composants au titre de l'article 13

L'article 13 du CRA exige déjà des fabricants une diligence raisonnable sur les composants tiers. Le CSA2 augmente le coût d'une erreur. Si votre produit intègre des composants d'un fournisseur ultérieurement désigné comme à haut risque, et si votre client opère dans un secteur couvert par les annexes I ou II de la directive (UE) 2022/2555 (NIS2), votre client peut se voir imposer par acte d'exécution le remplacement de ces composants. Cela cascade dans votre feuille de route. Pour la lecture pratique de la diligence sur les composants au titre du CRA, voir le guide de vérification de l'importateur.

Les organismes d'évaluation de la conformité ne peuvent pas relever de pays désignés

L'article 100(2) interdit aux entités issues de pays tiers désignés d'exercer une activité d'évaluation de la conformité. Si vous prévoyez de recourir à un organisme notifié dont la structure de propriété ou de contrôle pourrait le placer du mauvais côté d'une future décision de désignation, le choix de l'organisme notifié fait désormais partie de votre risque chaîne d'approvisionnement. Pour le choix du module pendant que les schémas adossés au CSA sont encore en cours de rédaction, voir le guide de décision de l'évaluation de la conformité.

Single Entry Point pour le signalement d'incidents

La proposition de la Commission charge l'ENISA de maintenir et d'étendre la plateforme unique de signalement existante (la plateforme mise en place au titre de l'article 16(1) du règlement (UE) 2024/2847) pour en faire un Single Entry Point qui consolide le signalement d'incidents au titre de NIS2, du CRA, de DORA et d'autres actes de l'Union. Il s'agit d'une extension d'un outil CRA existant, pas d'une invention propre au CSA2. Les fabricants qui conçoivent déjà leur flux de signalement CRA gagnent à le concevoir d'emblée comme indépendant du règlement applicable.

Posture cyber et conformité CRA, en toute honnêteté

Le schéma de posture cyber est le mécanisme phare que la Commission utilise pour soutenir l'idée qu'« une certification, plusieurs règlements » est atteignable. C'est une orientation politique, pas une disposition arrêtée. Deux points ne sont pas encore tranchés : l'acceptation par les États membres de l'articulation certification-NIS2 en négociation, et la manière dont le règlement d'exécution prévu pour l'harmonisation maximale s'articulera avec les transpositions nationales de NIS2. La même question conditionne le fait qu'un futur schéma CSA adossé au CRA dispense les fabricants des évaluations distinctes au titre des modules de l'annexe VIII, ou se contente de cohabiter avec elles. Nous suivons ce sujet dans les notes de terrain de la conférence ENISA.

Ce qui reste ouvert, hors calendrier

Le CSA2 sera-t-il adopté avant la pleine application du CRA ?

La pleine application du CRA est fixée au 11 décembre 2027. Le CSA2 a été publié le 20 janvier 2026 selon la procédure législative ordinaire (2026/0011 (COD)). Trois mois après, le dossier en est au stade de la commission et des groupes de travail du Conseil. Le trilogue est encore à plusieurs mois. Une adoption avant la pleine application du CRA est possible mais non garantie, et l'analyse d'impact ne s'engage sur aucune date.

Foire aux questions

Le CSA2 est-il identique au règlement sur la cyberrésilience ?

Non. Le CRA (règlement (UE) 2024/2847) régit les exigences de cybersécurité applicables aux produits comportant des éléments numériques mis sur le marché de l'UE. Le CSA2 (COM(2026) 11 final) révise le cadre de certification de cybersécurité de l'Union, crée un cadre horizontal de chaîne d'approvisionnement TIC et renforce le mandat de l'ENISA. Ce sont des instruments distincts. Le CSA2 ne modifie ni les obligations ni les échéances du CRA. Il modifie en revanche les voies de certification et les règles applicables aux fournisseurs qu'un fabricant soumis au CRA peut ou doit utiliser. Pour le calendrier de mise en œuvre du CRA, voir notre calendrier de mise en œuvre du CRA 2025-2027.

Quand le CSA2 entrera-t-il en vigueur ?

La proposition a été publiée le 20 janvier 2026 selon la procédure législative ordinaire. Trois mois après, le dossier en est à un examen précoce au Parlement et au Conseil. Le trilogue est, au mieux, à plusieurs mois, et l'adoption dépend des résultats des négociations. La Commission ne s'est engagée sur aucune date. Suivez l'avancement via le suivi de procédure d'EUR-Lex pour 2026/0011 (COD) et via notre compte rendu de la ENISA Certification Conference 2026.

Le CSA2 modifie-t-il mes obligations ou échéances CRA ?

Non. Les obligations de signalement au titre du CRA débutent en septembre 2026 et la pleine application reste fixée au 11 décembre 2027. Le CSA2, s'il est adopté, introduira des voies de certification supplémentaires qui pourraient être utilisées plus tard pour démontrer la conformité au CRA. Il introduira aussi des règles de chaîne d'approvisionnement qui affectent les organismes notifiés et les fournisseurs qu'un fabricant peut légalement utiliser. Tant que le CSA2 n'est pas adopté, planifiez par rapport au CRA tel qu'il est. Voir le guide de décision de l'évaluation de la conformité.

Une certification européenne unique de cybersécurité couvrira-t-elle CRA, NIS2 et DORA en même temps ?

C'est l'orientation politique affichée par la Commission. Ce n'est pas une disposition arrêtée. Fohrenbach (DG CONNECT), à la conférence ENISA du 15 April 2026, a qualifié l'articulation entre certification de posture cyber et conformité NIS2 de « subject to negotiation » avec les États membres. Pour les futurs schémas CSA, l'alignement avec la législation existante doit être pensé dès le stade de la demande ; pour l'EUCC, le travail se fait après coup. Traitez le sujet comme une orientation politique, pas comme un fait sur lequel bâtir un plan de conformité aujourd'hui.

Qu'est-ce que le schéma de posture cyber ?

Un schéma proposé par le CSA2 qui permet aux entités (et non aux produits) de certifier leurs mesures globales de gestion des risques de cybersécurité (considérants 92 à 94 de COM(2026) 11 final). C'est le cas d'usage phare de l'extension du périmètre de l'ECCF aux entités. La Commission le présente comme une voie permettant aux entités soumises à NIS2 de démontrer leur conformité aux obligations de gestion des risques, avec une harmonisation maximale via un règlement d'exécution venant se superposer aux transpositions nationales de NIS2. Les mécaniques qui rendraient ce dispositif robuste dans les 27 États membres sont des points de négociation ouverts.

Mon produit utilise des composants d'un fournisseur hors UE. Dois-je agir dès maintenant sur le cadre de chaîne d'approvisionnement ?

Oui, sur deux points précis, dont aucun ne dépend de l'adoption du CSA2. Premièrement, cartographiez le pays d'origine des composants dans vos SBOM. Le CRA l'exige déjà au titre de l'article 13 ; le CSA2 alourdit les conséquences si vous ne le faites pas. Deuxièmement, si vous vendez dans les télécoms ou tout secteur couvert par les annexes I ou II de NIS2, identifiez l'exposition à des fournisseurs susceptibles d'être désignés et lancez un plan de sources alternatives. Ne refondez pas votre stratégie de conformité CRA autour du CSA2 tant qu'il n'est pas adopté. Voir le guide de génération SBOM et le guide de vérification de l'importateur.

Le CSA2 affecte-t-il l'EUCC, et l'EUCC aide-t-il pour le CRA ?

Le CSA2 maintient l'EUCC et les autres schémas adoptés en vigueur. Par ailleurs, la Commission a annoncé son intention de préciser, avant la fin de 2026, comment l'EUCC peut être utilisé pour démontrer la conformité au CRA. L'ENISA conduit 18 pilotes sur la présomption de conformité EUCC vers CRA (Fohrenbach, DG CONNECT, conférence ENISA du 15 April 2026). Pour le travail de schéma adjacent au CRA le plus pertinent côté produit à ce jour, voir notre décryptage du schéma EUDI Wallet.

Quelles sont les sanctions au titre du CSA2 ?

L'article 115 fixe des plafonds de sanction pour les infractions au titre IV (chaîne d'approvisionnement) en pourcentage du chiffre d'affaires annuel mondial, sans plafond fixe en EUR : 1 % pour les manquements de coopération au titre de l'article 103(2)(a), 2 % pour les autres manquements aux mesures d'atténuation visées à l'article 103(2), et 7 % pour les manquements primaires d'atténuation au titre de l'article 103(1) et les interdictions propres aux télécoms au titre de l'article 111. Les infractions au titre III (cadre de certification) sont sanctionnées par les États membres sans plafond à l'échelle de l'UE ; l'article 97 exige seulement que les sanctions soient « effectives, proportionnées et dissuasives ».

Prochaines étapes

Ce qu'il faut faire ce trimestre

  1. Lisez la page de la proposition de la Commission pour COM(2026) 11 final ainsi que l'analyse d'impact d'accompagnement.
  2. Si vous vendez dans les télécoms (réseaux mobiles, fixes ou satellitaires), identifiez toute exposition aux composants de fournisseurs à haut risque visés à l'annexe II et lancez dès maintenant un plan de remplacement sur 36 mois, conditionné à l'adoption.
  3. Cartographiez le pays d'origine des composants dans vos SBOM. Le CRA l'exige déjà au titre de l'article 13 ; le CSA2 augmente le coût d'une erreur. Guide de génération SBOM.
  4. Ne refondez pas votre stratégie de conformité CRA autour d'un futur schéma de posture cyber ou EUCC vers CRA. Restez sur la voie des modules de l'annexe VIII. Guide de décision de l'évaluation de la conformité.
  5. Suivez le trilogue et le jalon EUCC vers CRA de fin 2026 via notre compte rendu de la ENISA Certification Conference 2026.

Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil juridique. Pour des recommandations de conformité spécifiques, consultez un conseil juridique qualifié. Sources primaires : COM(2026) 11 final et ses annexes, analyse d'impact d'accompagnement SWD(2026) 11 final, disponibles sur la bibliothèque Stratégie numérique de la Commission européenne.

CRA Conformité Chaîne d'Approvisionnement Certification
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du Cyber Resilience Act de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Classification des produits

Comment le CRA classe les produits par niveau de risque et ce que chaque catégorie implique pour les obligations.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide