La révision du Cybersecurity Act face au défi de l’harmonisation
La Commission européenne a présenté le 20 janvier 2026 un nouveau paquet cybersécurité, incluant une révision majeure du Cybersecurity Act (CSA2) et des ajustements à la directive NIS2. L’objectif est de renforcer la résilience cyber de l’Union européenne face à des menaces en constante évolution.
Cependant, une question cruciale se pose : l’harmonisation européenne en matière de cybersécurité est-elle réellement atteignable ? Cette interrogation n’est pas anodine, car elle conditionne la capacité des entreprises à sécuriser leurs infrastructures tout en maîtrisant les coûts de conformité dans un marché encore largement fragmenté.
Les défis d’une harmonisation entre États membres
Un rapport de l’ENISA souligne des écarts significatifs entre les États membres. Certains pays disposent de capacités cyber avancées, tandis que d’autres ont du mal à structurer des fonctions de base. Ces disparités alimentent des réflexes nationaux qui freinent l’émergence d’une approche véritablement européenne.
Le CSA2 renforce le rôle de l’ENISA, lui attribuant un budget accru et de nouvelles missions, telles que la gestion des référentiels de menaces et la coordination des exercices. Toutefois, ces moyens doivent compenser des décennies d’investissements inégaux.
Convaincre les États membres d’abandonner une partie de leur souveraineté numérique demeure un obstacle majeur. Ces derniers continuent d’imposer des exigences spécifiques, en particulier dans les secteurs critiques, ce qui complique l’application des normes européennes.
Une fragmentation persistante malgré les cadres européens
L’Union européenne a multiplié les textes réglementaires en matière de cybersécurité ces dernières années, rendant le cadre normatif difficilement lisible. Cette accumulation crée des zones d’incertitude et des chevauchements. Par exemple, la directive NIS2, bien que visant l’harmonisation, est transposée de manière très variable d’un État à l’autre, chaque pays adaptant les seuils et les modalités de supervision selon ses priorités.
Besoin d’interopérabilité des outils et des standards
Cette fragmentation réglementaire entraîne également une fragmentation technique, où les standards d’échange d’informations sur les menaces ne sont pas uniformément adoptés. Chaque État ou secteur développe ses propres outils, ce qui complique la coordination lors d’incidents majeurs.
Le CSA2 introduit des avancées, notamment en confiant à l’ENISA la gestion d’une base européenne des vulnérabilités, qui devra s’articuler avec les systèmes internationaux existants pour éviter des divergences. De plus, la Commission a la capacité de désigner des fournisseurs ou des pays à haut risque, mais cela soulève des questions sur les alternatives technologiques disponibles.
L’Union européenne doit également tenir compte de la dimension internationale de la cybersécurité, les entreprises européennes devant pouvoir s’appuyer sur des standards reconnus mondialement.
Source : ENISA, Commission européenne.
