Le 20 janvier 2026, la Commission européenne a dévoilé une nouvelle version de son Cybersecurity Act. Elle impose désormais un cadre juridique plus contraignant concernant la chaîne d’approvisionnement des technologies de l’information et de la communication (TIC).
QU’EST-CE QUE LE CYBERSECURITY ACT ?
Entré en vigueur le 27 juin 2019, le Cybersecurity Act est un acte juridique européen visant à améliorer la cybersécurité au sein de l’Union Européenne en répondant à plusieurs objectifs :
- Améliorer les compétences de l’ENISA1 (European Union Agency for Cybersecurity).
- Établir un cadre européen de certification pour les produits et services numériques.
- Promouvoirla recherche et l’innovation dans le domaine de la cybersécurité.
POURQUOI CE CHANGEMENT ?
Cette nouvelle version du Cybersecurity Act intervient dans un contexte où les menaces autour de la cybersécurité sont en pleine croissance. En effet, la Commission européenne indique que les attaques sur la chaîne d’approvisionnement figurent parmi les sept principales menaces en cybersécurité, trop d’équipements considérés comme à risque sont installés au cœur des réseaux.
De plus, toujours selon la Commission, le coût mondial de la cybercriminalité a dépassé 9000 milliards d’euros en 2025. Les attaques de type « ransomware » sont donc de plus en plus fréquentes notamment dans le secteur public, le numérique et les transports.
Ce changement est aussi l’occasion pour l’UE de montrer aux fournisseurs de pays tiers que l’accès à ses infrastructures critiques est désormais une question de confiance politique et stratégique, et non plus lié uniquement à la performance technologique.
CE QUI CHANGE CONCRÈTEMENT
La Commission européenne veut marquer un tournant en passant de simples recommandations à des obligations juridiques strictes avec plusieurs piliers majeurs.
Le passage du volontariat à l’obligation
Jusqu’ici, les mesures de la « 5G Toolbox »2 n’étaient que des incitations. La sécurité des réseaux dépendait surtout du libre arbitre des États membres ou des intérêts économiques des opérateurs.
« Je ne suis pas satisfaite de la manière dont les États membres ont appliqué la 5G Toolbox », déclare Henna VIRKKUNEN, Vice-présidente exécutive de la Commission européenne chargée de la Souveraineté technologique, de la Sécurité et de la Démocratie.
Le constat de la Commission est sans appel, la mise en œuvre de la 5G Toolbox est restée trop hétérogène, avec seulement 10 États membres sur 27ayant restreint ou exclu les fournisseurs jugés à haut risque de leurs réseaux.
La Commission dispose désormais du pouvoir d’imposer l’exclusion de ces acteurs critiques afin de garantir une protection uniforme des infrastructures vitales de l’UE.
Une identification élargie des actifs et secteurs critiques
La nouvelle architecture proposée par la Commission européenne repose sur une approche méthodique pour sécuriser ses infrastructures numériques. Tout d’abord, en instaurant des évaluations de risques coordonnées à l’échelle de l’Union, permettant à l’exécutif européen et aux États membres d’analyser conjointement des chaînes d’approvisionnement TIC spécifiques.
L’objectif est d’identifier précisément les vulnérabilités en intégrant désormais des facteurs non techniques.
Cette analyse débouche sur l’identification des actifs TIC clés, c’est-à-dire les composants, équipements ou services jugés essentiels au bon fonctionnement des secteurs critiques selon la terminologie de la directive NIS 23.
En se basant sur les risques identifiés, la Commission peut désormais proposer des restrictions allant jusqu’à l’interdiction totale de composants issus de fournisseurs qualifiés de « haut risque » au sein de ces actifs informatiques vitaux. A noter que ces décisions devront impérativement s’appuyer sur une analyse de marché approfondie et une évaluation de leur impact économique.
Et enfin, la vigilance ne se limite plus seulement aux réseaux mobiles 5G. Elle s’étend désormais à 18 secteurs clés, incluant l’énergie (notamment les panneaux solaires), la gestion de l’eau, la santé et les transports.
La simplification de la certification (ECCF)
Pour gagner en agilité, le cadre européen de certification de cybersécurité (ECCF) a été renouvelé. Les procédures sont simplifiées pour que les produits et services numériques soient certifiés plus rapidement (sous 12 mois).
Ce dispositif ne se contente pas de simplifier les démarches administratives, il offre une garantie de sécurité indispensable pour des chaînes d’approvisionnement de plus en plus complexes. Pour les acteurs européens, l’ECCF devient ainsi un gage de confiance majeur, assurant aux citoyens comme aux pouvoirs publics un niveau de protection élevé face aux menaces actuelles.
LE CAS HUAWEI ET ZTE
Bien que la Commission ne les ait pas nommés de façon explicite, cette révision cible en grande partie les géants technologiques chinois Huawei et ZTE considérés comme dangereux pour la sécurité des réseaux.
L’UE souhaite éliminer progressivement les équipements de fournisseurs issus de pays tiers dont la législation pourrait contraindre l’entreprise à collaborer avec des services de renseignement étrangers.
« Limiter ou exclure les fournisseurs non européens sur la base du pays d’origine, plutôt que sur des preuves factuelles et des normes techniques, viole les principes juridiques fondamentaux de l’UE que sont l’équité, la non-discrimination et la proportionnalité, ainsi que ses engagements auprès de l’OMC (Organisation Mondiale du Commerce) », a dénoncé un porte-parole de Huawei.
« Nous suivrons de près l’évolution de ce processus législatif et nous réservons tous les droits nécessaires pour défendre nos intérêts légitimes », annonce l’entreprise.
Un bannissement progressif et obligatoire est souhaité. Contrairement aux années précédentes où moins de la moitié des États membres avaient suivi les recommandations de bannissement, le nouveau texte prévoit un retrait obligatoire et planifié des équipements déjà installés dans les cœurs de réseaux.
L’objectif est aussi de favoriser une souveraineté technologique. En écartant ces acteurs, l’Europe cherche à favoriser des alternatives jugées plus sûres en interne afin de garantir une autonomie stratégique sur le long terme.
ET MAINTENANT ?
Le déploiement de ce nouveau cadre législatif s’articulera autour d’un calendrier précis visant à assurer une transition fluide pour les acteurs du secteur. Le règlement sur la cybersécurité deviendra ainsi directement applicable dès son adoption officielle par le Parlement européen et le Conseil de l’UE.
En parallèle, les modifications apportées à la directive NIS 2 seront également soumises à adoption pour renforcer la cohérence globale de la stratégie européenne. Une fois cette directive validée, les États membres bénéficieront d’un délai d’un an pour transposer ces nouvelles exigences dans leur droit national et communiquer les dispositions législatives correspondantes à la Commission.
POURQUOI EST-CE IMPORTANT ?
Cette évolution législative signifie que la gestion des risques ne sera plus seulement technique, mais aussi juridique et géopolitique. Comprendre la chaîne d’approvisionnement (supply chain) et les enjeux de souveraineté devient une compétence indispensable pour les futurs responsables de la sécurité des systèmes d’information.
- 1. L’ENISA contribue à la politique de l’UE en matière de cybersécurité. Elle élabore des schémas européens de certification de cybersécurité afin de renforcer la confiance dans les produits, services et processus numériques. Elle coopère avec les pays et organes de l’UE et aide l’UE à se préparer aux défis futurs en matière de cybersécurité. Source : european-union.europa.eu
- 2. La boîte à outils de l’UE pour la sécurité 5G est un ensemble de mesures robustes et complètes pour une approche coordonnée de l’UE visant à sécuriser les réseaux 5G. Source : digital-strategy.ec.europa.eu
- 3. La directive NIS 2 (ou SRI 2) établit un cadre juridique unifié pour préserver la cybersécurité dans 18 secteurs critiques dans l’ensemble de l’UE. Il invite également les États membres à définir des stratégies nationales en matière de cybersécurité et à collaborer avec l’UE pour la réaction et l’application transfrontières. Source : digital-strategy.ec.europa.eu
SOURCES
- https://www.protection-des-donnees.fr/quest-ce-que-le-cybersecurity-act
- https://cyber.gouv.fr/reglementation/reglementation-identite-confiance-numerique/cadre-de-certification-de-cybersecurite-europeen/
- https://www.bfmtv.com/tech/actualites/telecoms/l-ue-veut-rendre-obligatoire-de-bannir-les-geants-chinois-des-telecoms-d-ici-trois-ans-un-durcissement-de-ton-qui-pourrait-se-heurter-a-des-realites-economiques-et-legales_AD-202601210048.html
- https://ec.europa.eu/commission/presscorner/detail/fr/ip_26_105
- https://www.usine-digitale.fr/cybersecurite/cybersecurity-act-lue-place-la-chaine-dapprovisionnement-au-coeur-de-sa-strategie-de-cybersecurite.MYUNKZIH5FEZHISM62XN77U4EM.html
- https://www.journaldugeek.com/2026/01/24/la-patience-de-bruxelles-a-des-limites-face-a-huawei/
- https://digital-strategy.ec.europa.eu/fr/policies/cybersecurity-certification-framework
- https://digital-strategy.ec.europa.eu/fr/policies/nis2-directive#:~:text=La%20directive%20SRI%202%20%C3%A9tablit,’ensemble%20de%20l’UE
