La révision du règlement sur la cybersécurité, présentée par la Commission européenne le 20 janvier 2026, intègre une dimension de souveraineté. Cette révision ajuste également la directive NIS2 (sécurité des réseaux et des systèmes d'information) dont l'objectif est de renforcer le niveau de cybersécurité des économies et des administrations des pays membres de l'Union européenne (UE). Entrée en vigueur en 2022, cette dernière directive est toujours en attente de transposition en France.
Contrer les dépendances économiques et les risques internationaux
La Commission a donné la priorité à la sécurisation des chaînes d'approvisionnement des 18 secteurs critiques définis par NIS2 (transports, santé, énergie, télécoms…) afin de mieux protéger les infrastructures critiques des attaques organisées par des États et des groupes criminels.
La Commission cite, par exemple, le stockage et les systèmes d’approvisionnement en électricité, ainsi que les semi-conducteurs, le cloud ou encore, les dispositifs médicaux. Les câbles sous-marins entrent explicitement dans le champ de la directive. Le texte permet d’évaluer les risques sécuritaires – espionnage, désactivation à distance (kill switch) ou dépendances stratégiques – pesant sur certains "maillons clés" au sein des chaînes de valeurs critiques, c'est-à-dire des acteurs situés en amont et en aval des entreprises.
Au-delà des évaluations des risques et de l’identification d’actifs critiques, le texte fournit aussi la possibilité de restreindre l’usage de composants issus de fournisseurs jugés à risque. Huawei et ZTE sont en première ligne. Les fournisseurs à risque seraient dès lors exclus d’office des marchés publics, des programmes européens, des instances de standardisation cyber ou des certificatons cyber. La Commission pourrait enfin prendre une série de mesures pour interdire l’usage et l’intégration de composants de ces fournisseurs dans les maillons clés préalablement identifiés.
Renforcement du rôle de l'Agence de l'Union européenne pour la cybersécurité
La proposition de la Commission élargit les missions de l'Agence de l’Union européenne pour la cybersécurité (Enisa) : alertes précoces sur les menaces, soutien aux entreprises victimes de rançongiciels, coordination avec Europol et les équipes de réponse aux incidents, ou encore gestion d’un point d’entrée unique pour le signalement des incidents.
L’Enisa pourrait dès lors agir comme force unificatrice, en favorisant le partage transfrontalier d’informations sur les menaces et en établissant un socle commun de bonnes pratiques à adopter à l’échelle régionale. De cette façon, la révision du règlement prône aussi l’harmonisation et la collaboration au sein de l'UE.
