La révision du Cybersecurity Act face au défi de l'harmonisation
La Commission européenne veut renforcer la cybersécurité de l'UE avec le CSA2 et NIS2, mais la fragmentation réglementaire et les réflexes nationaux compliquent une véritable harmonisation.
Le 20 janvier 2026, la Commission européenne a présenté un nouveau paquet cybersécurité comprenant une révision majeure du Cybersecurity Act (CSA2) ainsi que des ajustements ciblés de la directive NIS2. L’objectif est de renforcer la résilience cyber de l’Union face à des menaces en constante progression.
Derrière cette ambition, une interrogation demeure : l’harmonisation européenne en matière de cybersécurité est-elle réellement atteignable ou restera-t-elle un objectif théorique ? Une question loin d’être abstraite puisqu’elle conditionne la capacité des entreprises à sécuriser leurs infrastructures tout en maîtrisant les coûts de conformité dans un marché qui reste encore largement fragmenté.
Les défis d’une harmonisation entre États membres
Un rapport de l’ENISA révèle des écarts significatifs entre les États membres. Si certains disposent de capacités cyber avancées, d’autres peinent encore à structurer des fonctions de base. Ces disparités alimentent des réflexes nationaux, parfois protectionnistes, qui freinent l’émergence d’une approche véritablement européenne.
Le CSA2 renforce le rôle de l’ENISA en lui attribuant un budget en forte hausse et de nouvelles missions opérationnelles. L’agence doit désormais gérer des référentiels de menaces, émettre des alertes, coordonner des exercices et piloter une plateforme unifiée de notification d’incidents. Toutefois, ces moyens devront compenser des décennies d’investissements inégaux.
Cette révision devra également surmonter un obstacle de taille : convaincre les États membres d’abandonner une part de leur souveraineté numérique. Ces derniers ont choisi des approches souveraines et continuent d’imposer des exigences spécifiques, en particulier dans les secteurs critiques. Le CSA2 tente de limiter ces pratiques en interdisant l’ajout d’exigences nationales lorsque des normes européennes existent, une mise en œuvre toujours incertaine dans le contexte actuel.
Une fragmentation persistante malgré les cadres européens
Parallèlement, l’UE a multiplié les textes réglementaires en matière de cybersécurité ces dernières années (NIS 2, le Cyber Resilience Act, DORA…) au point de rendre le cadre normatif difficilement lisible. Cette accumulation crée des zones d’incertitude et des chevauchements. Les organisations doivent alors répondre à des exigences multiples, parfois incohérentes.
La directive NIS 2 en fournit une parfaite illustration. Bien qu’elle vise une harmonisation, sa transposition varie fortement d’un État à l’autre. Chaque pays adapte les seuils, les secteurs concernés et les modalités de supervision selon ses priorités nationales, ce qui aboutit à une coexistence de régimes différents sous une apparence d’unité.
Besoin d’interopérabilité des outils et des standards
Cette fragmentation réglementaire se traduit directement par une fragmentation technique. Les standards d’échange d’informations sur les menaces ne sont pas uniformément adoptés, et chaque État ou secteur développe ses propres outils. Cette diversité empêche l’émergence d’une vision globale et cohérente des cybermenaces à l’échelle européenne. Ainsi, lors d’incidents majeurs impliquant plusieurs États, la coordination reste très difficile.
Le CSA2 introduit néanmoins certaines avancées, notamment en confiant à l’ENISA la gestion d’une base européenne des vulnérabilités. Pour être efficace, cette base devra impérativement s’articuler avec les systèmes internationaux existants afin d’éviter des divergences qui compliqueraient la gestion des vulnérabilités et des chaînes d’approvisionnement.
S’agissant de ces dernières, une autre innovation majeure concerne la sécurité des chaînes d’approvisionnement cyber, la Commission pouvant désormais désigner des fournisseurs ou des pays à haut risque et restreindre leur utilisation dans des infrastructures critiques. Mais l’Europe dispose-t-elle des alternatives technologiques nécessaires pour remplacer les solutions exclues ? Une harmonisation imposée sans solutions de substitution pourrait fragiliser la compétitivité des acteurs européens.
L’UE ne peut ignorer la dimension internationale de la cybersécurité. Les entreprises européennes opérant à l’échelle mondiale doivent pouvoir s’appuyer sur des standards reconnus globalement.