Glossaire · Cadre européen de cybersécurité Règlement européen sur la cybersécurité (Cybersecurity Act) (Règlement européen sur la cybersécurité (Règlement UE 2019/881))
Règlement de l'UE de 2019 établissant le cadre fondamental de la certification de cybersécurité européenne — sous lequel sont adoptés l'EUCC (produits), l'EUCS (services cloud) et d'autres schémas de certification sectoriels. Il a également transformé l'ENISA en agence européenne permanente de cybersécurité. C'est la couche constitutionnelle sous-jacente à toute l'architecture de certification de cybersécurité de l'UE.
## Ce qu'est réellement le Règlement européen sur la cybersécurité
Le Règlement européen sur la cybersécurité (Règlement UE 2019/881, souvent abrégé CSA pour Cybersecurity Act) est le règlement européen fondateur qui établit le cadre de la certification de cybersécurité européenne pour les produits, services et processus TIC. Adopté en 2019 et en vigueur depuis juin 2019, il fait deux choses essentielles :
1. **Établit le cadre européen de certification de cybersécurité** — la base juridique sous laquelle des schémas de certification spécifiques ([EUCC](/fr/glossary/eucc/) pour les produits, [EUCS](/fr/glossary/eucs/) pour les services cloud, d'autres à venir) sont adoptés via règlement d'exécution.
2. **Institue durablement l'ENISA** comme agence européenne de cybersécurité — la faisant passer d'un mandat à durée limitée à un statut institutionnel européen permanent, avec des responsabilités élargies incluant la gestion du cadre de certification.
Sans le Règlement européen sur la cybersécurité, ni l'EUCC, ni l'EUCS, ni aucun autre travail européen sectoriel de certification de cybersécurité n'aurait de base juridique. Il constitue la couche constitutionnelle de toute l'architecture.
## Ce que le Cybersecurity Act établit
Le règlement crée le cadre opérationnel autour de trois piliers.
### Pilier 1 : cadre européen de certification de cybersécurité
Le CSA définit :
- **Schémas de certification** — programmes de certification spécifiques adoptés via les règlements d'exécution de la Commission sous le cadre du CSA
- **Niveaux d'assurance** — élémentaire, substantiel, élevé (le niveau élevé exigeant la supervision d'une autorité nationale de certification)
- **Organismes d'évaluation de la conformité (CAB)** — laboratoires accrédités réalisant les évaluations
- **Autorités nationales de certification de cybersécurité (NCCA)** — autorités des États membres supervisant la certification
- **Groupe européen de certification de cybersécurité (ECCG)** — instance de coordination des autorités des États membres
- **Reconnaissance mutuelle** — validité à l'échelle de l'UE des certifications délivrées sous les schémas fondés sur le CSA
### Pilier 2 : mandat élargi de l'ENISA
Avant le CSA, l'ENISA opérait sous des mandats à durée limitée. Le CSA a rendu le rôle de l'ENISA permanent et a élargi ses responsabilités :
- **Coordination opérationnelle** — rôle central dans la mise en œuvre de la politique européenne de cybersécurité
- **Développement des schémas de certification** — préparation des schémas candidats en vue de l'adoption par la Commission
- **Renforcement des capacités** — soutien au développement des capacités cybersécurité des États membres
- **Gestion des crises cyber** — coordination de la réponse au niveau de l'UE en cas d'incidents à grande échelle
- **Normes et politique** — engagement direct dans l'élaboration de la politique européenne de cybersécurité
- **Sensibilisation** — activités éducatives et de communication au niveau de l'UE
### Pilier 3 : processus d'adoption des certifications de cybersécurité
Le CSA établit un processus structuré pour adopter de nouveaux schémas de certification :
1. **Demande de la Commission** — la Commission demande à l'ENISA de préparer un schéma candidat
2. **Préparation par l'ENISA** — consultation multi-acteurs, élaboration du schéma (généralement 18 à 36 mois)
3. **Adoption par la Commission** — la Commission adopte le schéma via règlement d'exécution
4. **Mise en œuvre par les États membres** — les NCCA opérationnalisent le schéma au niveau national
5. **Évolution continue** — revues et mises à jour périodiques
Ce processus est aujourd'hui opérationnel pour l'EUCC (adopté en 2024), l'EUCS (en cours, contesté) et des schémas émergents pour la 5G, l'IA et d'autres domaines technologiques.
## Schémas adoptés sous le Règlement européen sur la cybersécurité
En 2026, les schémas suivants se trouvent à différents stades dans le cadre du CSA :
| Schéma | Objet | Statut |
|--------|---------|--------|
| **EUCC** | Produits TIC (fondés sur les Critères communs) | Adopté en février 2024 |
| **EUCS** | Services cloud | En cours, politiquement contesté |
| **Certification cybersécurité UE 5G** | Réseaux et composants 5G | Phase de préparation |
| **Certification cybersécurité UE IA** | Systèmes d'IA | En discussion |
| **Certification UE IoT** | Produits IoT | Phase de préparation |
Chaque schéma est adopté via règlement d'exécution de la Commission dans le cadre du CSA. Le CSA lui-même ne précise pas le contenu des schémas — il précise le cadre dans lequel les schémas opèrent.
## Pourquoi le Cybersecurity Act compte
### 1. Couche constitutionnelle pour la certification de cybersécurité européenne
Sans le CSA, la certification de cybersécurité européenne n'existerait pas au niveau de l'UE ou opérerait sans cadre cohérent. Le CSA fournit la structure constitutionnelle qui rend l'EUCC et l'EUCS juridiquement possibles.
### 2. Permanence institutionnelle de l'ENISA
L'élévation de l'ENISA, par le CSA, d'un statut d'agence à durée limitée à un statut permanent est matériellement importante. L'ENISA peut désormais réaliser des investissements stratégiques de long terme, recruter du personnel spécialisé permanent et opérer comme une agence européenne établie de plein droit.
### 3. Mécanisme de reconnaissance mutuelle
Les dispositions du CSA en matière de reconnaissance mutuelle signifient qu'une certification délivrée sous un schéma fondé sur le CSA dans un État membre a une validité juridique automatique dans toute l'UE. C'est opérationnellement significatif — avant le CSA, les schémas nationaux de certification ne se transposaient pas automatiquement.
### 4. Architecture de coordination
L'ECCG crée un mécanisme de coordination pour les autorités de certification de cybersécurité des États membres. C'est l'équivalent du Comité européen de la protection des données pour la certification de cybersécurité — et il fonctionne de manière similaire.
### 5. Fondement de souveraineté
Le CSA permet, implicitement, les dimensions de souveraineté de la certification de cybersécurité européenne — y compris les critères de souveraineté contestés de l'EUCS. Sans le cadre du CSA, ces débats ne se situeraient pas au niveau de l'UE.
## Comment le Cybersecurity Act influence les achats de technologie
### Pour les fournisseurs technologiques européens
Les certifications fondées sur le CSA (EUCC, EUCS à venir, schémas sectoriels) fournissent des signaux d'achat crédibles. Obtenir la certification ouvre des opportunités dans le secteur public et les industries régulées auxquelles les prestataires non certifiés n'ont pas accès.
### Pour les acheteurs publics européens
Les certifications fondées sur le CSA sont de plus en plus obligatoires ou préférées pour les achats sensibles. Plusieurs États membres ont intégré des schémas CSA spécifiques dans leurs cadres d'achat.
### Pour les fournisseurs américains
Les fournisseurs américains peuvent viser une certification fondée sur le CSA mais se heurtent à des défis spécifiques :
- **EUCC** : techniquement atteignable (aucune exigence de souveraineté pour les fournisseurs)
- **EUCS niveau élevé** : les exigences de souveraineté peuvent exclure la participation directe des fournisseurs américains
- **Schémas sectoriels** : le positionnement de souveraineté varie
Pour les fournisseurs américains cherchant à accéder aux marchés régulés européens, la certification fondée sur le CSA est de plus en plus un prérequis stratégique.
### Pour les équipes achats
Le statut de certification fondée sur le CSA est un critère d'achat de plus en plus standard aux côtés d'ISO 27001, SOC 2 et des certifications spécifiques à chaque pays. Le cadre du CSA apporte un langage structuré pour les achats européens en cybersécurité.
## Cybersecurity Act vs autres réglementations européennes de cybersécurité
| Réglementation | Objet | Relation |
|------------|---------|--------------|
| **Règlement européen sur la cybersécurité** | Cadre de certification + ENISA | Fondateur |
| **NIS2** | Obligations de cybersécurité au niveau des entités | Bâtit sur les capacités du CSA |
| **Cyber Resilience Act** | Exigences de cybersécurité au niveau des produits | Renvoie aux certifications CSA |
| **Cyber Solidarity Act** | Réponse collective européenne en cybersécurité | Coordonné avec l'ENISA (habilitée par le CSA) |
| **Directive CER** | Résilience des entités critiques (hors cyber) | Cadre parallèle |
| **DORA** | Résilience opérationnelle des services financiers | Sectoriel |
Le CSA est la couche fondamentale ; les autres bâtissent dessus ou opèrent à ses côtés.
## Cybersecurity Act 2.0 (en discussion en 2026)
La Commission européenne a commencé à réfléchir à une mise à jour du Règlement européen sur la cybersécurité (informellement CSA 2.0) pour :
- **Rationaliser les processus** d'adoption des certifications
- **Élargir davantage le mandat de l'ENISA** au vu de l'expérience opérationnelle
- **Répondre aux besoins émergents de certification** (IA, post-quantique, IoT à grande échelle)
- **Renforcer les mécanismes** de reconnaissance mutuelle
- **S'aligner sur l'expérience** de mise en œuvre de NIS2
Le CSA 2.0 est à un stade précoce de discussion en 2026 ; le processus législatif a peu de chances d'aboutir avant 2027-2028.
## Implications pratiques
- **Pour les fournisseurs technologiques européens** : les certifications fondées sur le CSA sont de plus en plus pertinentes pour les achats ; suivez la disponibilité des schémas pour votre catégorie de produit
- **Pour les achats du secteur public** : les certifications du cadre CSA offrent des critères d'évaluation structurés
- **Pour les fournisseurs américains servant les marchés européens** : la certification fondée sur le CSA devient un prérequis pour les achats des industries régulées et du secteur public
- **Pour les équipes politique et conformité** : comprenez le CSA comme la couche constitutionnelle sous-jacente aux schémas sectoriels
- **Pour l'engagement avec l'ENISA** : le CSA donne à l'ENISA une autorité institutionnelle qui rend matériellement significatif son travail politique
Le Règlement européen sur la cybersécurité est la réglementation unique la plus structurante de l'architecture européenne de certification de cybersécurité. Ses dispositions précises comptent moins que le cadre qu'il établit — sous lequel l'écosystème opérationnel de certification de cybersécurité (EUCC, EUCS, schémas sectoriels) fonctionne réellement.
Cela vous a-t-il été utile ?
Merci pour votre retour !