Cybersecurity Act 2 de l'UE : Interdictions dans la Chaîne d'Approvisionnement, Refonte de la Certification et Ce Que les Fabricants Doivent Surveiller

Le 20 janvier 2026, la Commission européenne a publié COM(2026) 11 final, une proposition pour ce qui est désormais appelé le Cybersecurity Act 2. Il ne s'agit pas d'une mise à jour mineure. La Commission propose d'abroger et de remplacer intégralement le Règlement (UE) 2019/881, le Cybersecurity Act original de 2019.

La proposition couvre plus de 120 articles répartis en six titres. Nous avons lu l'intégralité du texte, les annexes et l'étude d'impact pour que vous n'ayez pas à le faire. Cet article présente ce qui est réellement nouveau, ce qui compte pour les fabricants de produits et les points d'intersection avec la conformité CRA.

Quatre Piliers de la Proposition

Le CSA2 s'articule autour de quatre axes. Deux sont des extensions de cadres existants, et deux sont entièrement nouveaux.

1. Réforme du Mandat d'ENISA

ENISA, l'Agence de l'Union européenne pour la cybersécurité, bénéficie d'une montée en puissance significative. Depuis 2019, de nouvelles législations (NIS2, CRA, Cyber Solidarity Act) ont accumulé de nouvelles missions sans actualiser le mandat ni les ressources de l'agence.

La proposition corrige cela avec :

• Budget : EUR 341 millions sur sept ans (2028-2034), soit une augmentation de 81,5 % par rapport au niveau de 2025
• Effectifs : 118 nouveaux postes à temps plein chez ENISA, plus 50 à la Commission
• Service d'assistance rançongiciels : ENISA devra désormais assurer des capacités dédiées de réponse et de récupération face aux rançongiciels
• Base de données européenne des vulnérabilités : Enrichie avec un système de notation de sévérité, des listes de produits et un catalogue de vulnérabilités activement exploitées
• Cryptographie post-quantique : ENISA reçoit un mandat explicite pour l'évaluation des algorithmes post-quantiques
• Académie des compétences en cybersécurité : Formalisée dans la loi avec des certifications portables à l'échelle de l'UE pour les professionnels de la cybersécurité, délivrées via les portefeuilles d'identité numérique européens

2. Refonte du Cadre de Certification

Le cadre européen de certification de cybersécurité (ECCF) fait l'objet d'une expansion significative.

Ce qui change :

Le changement le plus déterminant : la certification de la posture cyber. Les organisations (en particulier les entités NIS2) peuvent désormais faire certifier l'ensemble de leurs mesures de gestion des risques de cybersécurité. Une seule certification pourrait remplacer de multiples contrôles de conformité dans les États membres, créant une présomption de conformité avec les exigences NIS2.

Pour les fabricants de produits, cela signifie qu'une certification obtenue sous l'ECCF pourrait potentiellement démontrer la conformité aux exigences de cybersécurité du CRA, de NIS2, de DORA et des règles sectorielles simultanément.

3. Simplification de la Conformité

La Commission estime que les entreprises pourraient économiser jusqu'à EUR 15,3 milliards sur cinq ans grâce à une conformité rationalisée.

Les mécanismes clés :

• Une certification, plusieurs réglementations : Une certification européenne de cybersécurité peut servir de preuve de conformité à travers plusieurs textes législatifs, notamment NIS2, CRA, DORA, exigences de sécurité du GDPR et règles sectorielles
• Harmonisation maximale : Lorsque la Commission adopte des actes d'exécution au titre de NIS2, ils deviennent une harmonisation maximale. Les États membres ne peuvent pas ajouter d'exigences supplémentaires
• Plateforme de signalement unique : ENISA doit développer un point d'entrée unique pour le signalement des incidents satisfaisant simultanément plusieurs réglementations

Ce dernier point est important. Aujourd'hui, un seul incident peut déclencher des obligations de signalement au titre du CRA (vers ENISA), de NIS2 (vers les autorités nationales), et potentiellement de DORA ou de règles sectorielles, chacune avec des formulaires et des destinataires différents. La plateforme de signalement unique vise à mettre fin à cette situation.

4. Cadre de Sécurité de la Chaîne d'Approvisionnement ICT : Le Volet Majeur

Il s'agit de la partie entièrement nouvelle et politiquement la plus significative de la proposition. Elle crée un cadre horizontal et technologiquement neutre pour traiter ce que la Commission appelle les « risques non techniques de cybersécurité » dans les chaînes d'approvisionnement ICT. En pratique, c'est le mécanisme juridique permettant de restreindre l'accès des fournisseurs à haut risque aux infrastructures critiques.

Comment cela fonctionne, étape par étape :

ÉTAPE 1 : ÉVALUATION DES RISQUES
Le Groupe de Coopération NIS ou la Commission lance
une évaluation coordonnée des risques de chaînes
d'approvisionnement ICT spécifiques
Délai : 6 mois pour la finalisation
                    │
                    ▼
ÉTAPE 2 : DÉSIGNATION DE PAYS
La Commission évalue si un pays tiers présente
des « risques non techniques graves et structurels »
Critères : lois sur la divulgation des vulnérabilités,
recours judiciaires, activité d'acteurs malveillants,
volonté de coopération
                    │
                    ▼
ÉTAPE 3 : CONSÉQUENCES
Les entités des pays désignés sont INTERDITES de :
- Fournir des composants ICT dans les actifs clés
- Participer aux marchés publics pour les actifs ICT clés
- Accéder aux programmes de financement de l'UE
- Participer à la certification et à l'évaluation de conformité
                    │
                    ▼
ÉTAPE 4 : IDENTIFICATION DES ACTIFS ICT CLÉS
La Commission identifie, par actes d'exécution,
quels actifs ICT sont « clés » par secteur
                    │
                    ▼
ÉTAPE 5 : LISTES DE FOURNISSEURS À HAUT RISQUE
La Commission publie des listes de fournisseurs à haut risque
Basées sur des évaluations de propriété et de contrôle

Les télécommunications sont touchées en premier. L'annexe II prédéfinit les actifs ICT clés pour les réseaux mobiles, fixes et satellites : fonctions cœur de réseau, réseaux d'accès radio, systèmes de gestion réseau, réseaux de transport, produits cryptographiques. Les opérateurs mobiles disposent d'un délai de 36 mois à compter de l'entrée en vigueur pour le retrait progressif. Le coût annuel pour les opérateurs mobiles lié au retrait des équipements à haut risque est estimé entre EUR 3,4 et 4,3 milliards.

Un mécanisme d'exemption existe. Les entités de pays désignés peuvent demander à démontrer qu'elles disposent de mesures efficaces traitant les risques non techniques. La Commission tient un registre public des décisions d'exemption.

Ce Que Cela Signifie pour les Produits Couverts par le CRA

Le CSA2 ne modifie pas directement le Cyber Resilience Act, mais il crée de nouvelles dynamiques que les fabricants couverts par le CRA doivent comprendre.

La Due Diligence sur la Chaîne d'Approvisionnement Se Complexifie

Le CRA exige déjà des fabricants qu'ils exercent une due diligence lors de l'intégration de composants tiers. Le CSA2 ajoute une couche supplémentaire : si votre produit intègre des composants d'un fournisseur ultérieurement désigné comme à haut risque, et que votre produit est utilisé dans une infrastructure critique, vos clients pourraient être contraints de remplacer ces composants.

Cela crée une pression concrète pour :

• Cartographier votre chaîne d'approvisionnement de composants dès maintenant, y compris le pays d'origine des composants clés
• Identifier lesquels de vos clients opèrent dans des secteurs hautement critiques (énergie, transports, banque, santé, infrastructure numérique)
• Évaluer des fournisseurs alternatifs pour les composants provenant de pays susceptibles d'être désignés

La Certification Pourrait Simplifier Votre Conformité CRA

L'ECCF élargi signifie qu'une certification européenne de cybersécurité pour votre produit pourrait servir de preuve de conformité au CRA. Cela est particulièrement pertinent pour les produits Important Classe I et Classe II soumis à des exigences d'évaluation de conformité par un tiers.

Les trois niveaux d'assurance demeurent : Élémentaire (auto-évaluation à ce niveau), Substantiel et Élevé. Si un schéma de certification de cybersécurité est adopté couvrant les exigences essentielles du CRA, les fabricants pourraient utiliser cette certification au lieu de passer par un processus d'évaluation de conformité CRA distinct.

Le Signalement des Incidents Se Consolide

La plateforme de signalement unique est une bonne nouvelle. Le CRA exige de signaler les vulnérabilités activement exploitées à ENISA sous 24 heures. NIS2 exige de signaler les incidents significatifs aux autorités nationales. Le point d'entrée unique du CSA2 permettrait de déposer une seule déclaration acheminée vers tous les destinataires requis.

Les Organismes d'Évaluation de Conformité Font Face à de Nouvelles Règles

Si vous faites appel à des organismes notifiés pour l'évaluation de conformité CRA, notez que le CSA2 ajoute des exigences pour ces organismes. L'annexe I de la proposition précise que les organismes d'évaluation de conformité ne doivent pas être eux-mêmes des fournisseurs à haut risque et ne peuvent pas utiliser de composants ICT de fournisseurs à haut risque dans leurs activités d'évaluation.

Chiffres Clés en un Coup d'Œil

La Suite du Processus

Il s'agit d'une proposition législative. Elle doit encore passer par le Parlement européen et le Conseil dans le cadre de la procédure législative ordinaire. Le calendrier n'est pas fixé, mais compte tenu de la portée politique des dispositions sur la chaîne d'approvisionnement, des débats sont à prévoir.

Étapes clés à surveiller :

• Attribution en commission au Parlement européen, probablement ITRE (Industrie, Recherche et Énergie)
• Discussions en groupe de travail au Conseil, où les positions des États membres façonneront le texte final
• Négociations en trilogue, où Parlement, Conseil et Commission trouvent un compromis
• Entrée en vigueur, généralement 20 jours après la publication au Journal officiel
• Démarrage du compte à rebours pour le retrait mobile, soit 36 mois à compter de l'entrée en vigueur

Pour la conformité CRA, le CSA2 ne modifie pas vos obligations ni votre calendrier actuels. Les obligations de signalement CRA débutent toujours en septembre 2026 et la conformité complète reste requise pour décembre 2027. Toutefois, le CSA2 pourrait créer de nouveaux outils, notamment autour de la certification, susceptibles de faciliter la démonstration de la conformité CRA une fois qu'il entrera en vigueur.

Ce Que Vous Devriez Faire Maintenant

Vous n'avez pas besoin d'agir immédiatement sur le CSA2. Il s'agit d'une proposition, pas d'une loi. Mais certaines démarches sont pertinentes, indépendamment de la date ou de la forme de son adoption :

1. Auditez votre chaîne d'approvisionnement de composants. Sachez d'où viennent vos composants clés. C'est déjà une bonne pratique CRA et cela devient critique si le cadre de la chaîne d'approvisionnement est adopté.

2. Suivez l'évolution du paysage de la certification. Si un schéma de certification européenne de cybersécurité est adopté couvrant les exigences essentielles du CRA, il pourrait considérablement simplifier votre processus d'évaluation de conformité.

3. Préparez-vous au signalement consolidé. Si vous êtes soumis à la fois au CRA et à NIS2, la plateforme de signalement unique finira par consolider vos obligations. Concevez vos processus de réponse aux incidents de manière indépendante de la réglementation.

4. Surveillez votre base de clients. Si vos produits sont utilisés dans des secteurs hautement critiques (énergie, transports, santé, banque, infrastructure numérique), les dispositions sur la chaîne d'approvisionnement pourraient créer des pressions supplémentaires sur vos choix de composants.

Info : Le Cybersecurity Act 2.0 propose des schémas de certification à l'échelle de l'UE pour les chaînes d'approvisionnement TIC. Cela complète les exigences au niveau produit du CRA.

Guides Connexes

• Calendrier d'Implémentation du CRA 2025-2027
• Guide de Classification des Produits CRA

Comment CRA Evidence Vous Aide

CRA Evidence suit déjà les éléments de la chaîne d'approvisionnement que le CSA2 rendra plus importants :

• Gestion des SBOM cartographie vos dépendances de composants, y compris les origines des fournisseurs
• Surveillance des vulnérabilités suit les vulnérabilités activement exploitées à travers votre portefeuille de produits
• Tableau de bord de conformité affiche votre état de préparation CRA et les lacunes
• Signalement d'incidents prend en charge le workflow de notification sous 24 heures requis par le CRA
• Documentation maintient votre dossier technique et votre déclaration de conformité

Commencez à constituer vos preuves de conformité sur craevidence.com.

Le texte intégral de la proposition (COM(2026) 11 final) ses annexes et l'étude d'impact sont disponibles sur la bibliothèque Stratégie numérique de la Commission européenne. Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des orientations de conformité spécifiques, consultez un conseiller juridique qualifié.