Open navigation
Recherche
Recherche
Toutes nos expertises
Explorez l’ensemble de nos expertises.
Bureaux internationaux
Nous vous accompagnons dans votre développement à l’international grâce à nos experts dédiés par pays et par région.
Secteurs Tout consulter
Domaine de droit Tout consulter
Bureaux
Découvrez l’étendue de notre présence dans la juridiction.
Implantation mondiale
Découvrez l’étendue de notre expertise à l’international.
CMS France
Tous les insights
Tirez parti de nos analyses, de notre veille et de notre leadership pour renforcer votre stratégie.
Actualités personnalisées
Recevez des insights et des analyses sur mesure, adaptés aux enjeux de votre entreprise.
Offres Tout consulter
Actualités
CMS Actualités
Restez informé de notre développement, de notre évolution et de nos réussites
Contactez nous
Pour toute demande générale.
À propos de CMS
CMS Careers

Sélectionnez votre région

International Afrique Europe Moyen-Orient Asie-Pacifique Les Amériques
English Français
Legal Update

Encadrement du risque cyber : le chaud et le froid dans l’Union européenne

08 juin 2026 France 8 min de lecture

Dans le cadre de son paquet Omnibus VII (aussi appelé « Omnibus numérique »)1, la Commission européenne a annoncé, le 19 novembre 2025, diverses mesures de simplification en lien avec la cybersécurité. Alors que ce texte est encore loin d’être publié, l’exécutif européen a également présenté, le 20 janvier 20262, un « paquet cybersécurité », qui inclut quelques mesures de simplification, mais aussi de nouvelles obligations structurantes, notamment pour les entreprises soumises à la directive NIS II3.  

Ces textes devraient évoluer sensiblement d’ici leur publication, mais un état des lieux est d’ores et déjà possible. Il donne la mesure des vents contraires auxquels est exposée l’Union européenne, prise en étau entre un risque cyber toujours plus prégnant et la nécessité d’alléger la charge administrative des entreprises.  

Des allègements bienvenus 

Vers une unification des déclarations d’incidents cyber 

Dans sa proposition de règlement transversal (aussi appelé « règlement sur l’acquis numérique »), la Commission européenne propose deux réelles mesures de simplification de la réglementation cyber, qui ne peuvent aller l’une sans l’autre.  

L’objectif de celles-ci est de rationaliser le signalement des incidents de cybersécurité, en intégrant dans un mécanisme de signalement unique une large part des obligations de signalement existantes : les obligations de signalement imposées par les directives NIS II et CER, le RGPD, les règlements DORA et eIDAS II seraient à l’avenir concernées4.  

Un guichet unique de signalement devra ainsi être mis en place (après définition d’un cadre technique), puis maintenu, par l’Agence de l’Union européenne pour la cybersécurité (ENISA). En réalité, la création de cette plateforme était déjà prévue dans le règlement sur la cyber-résilience5 (CRA), mais ne concernait que les produits comportant des éléments numériques. Son usage serait ainsi élargi.  

Les informations à communiquer en cas d’incident seraient également harmonisées. Des modèles de signalement communs aux directives NIS et CER et au RGPD devront être préparés, en tenant compte de l’expérience acquise dans le cadre du déploiement du règlement DORA. Le nombre de champs de données à renseigner devra être réduit au minimum. Concernant les notifications au titre des règlements CRA et eIDAS, le texte en cours d’adoption n’inclut pas expressément les notifications exigées dans le dispositif d’harmonisation ; des convergences restent toutefois possible.  

Simplifications ciblées de la directive NIS II  

Dans le cadre du paquet cybersécurité, plusieurs mesures ont pour objectif de simplifier la vie des entreprises.  

Dans sa proposition de règlement6, appelée « Cybersecurity Act II », la Commission prévoit notamment d’introduire des mesures qui permettraient aux entreprises TIC de démontrer plus facilement leur conformité à la directive NIS II. Ces dernières pourraient ainsi obtenir un certificat unique reconnu automatiquement dans tous les Etats membres, dès lors qu’elles se soumettent aux schémas organisationnels de certification de cybersécurité qui leur sont applicables ; elles n’auraient alors plus à documenter une nouvelle fois leur conformité en matière de cybersécurité.  

Il est également envisagé que les entreprises puissent faire certifier, sur une base volontaire, leur « posture cyber » globale (notion déjà largement employée dans le monde professionnel). Cette certification viserait à attester la conformité d’une entité à des attentes de gestion des risques cyber, et pourrait créer une présomption de conformité aux exigences de certains textes.  

L’ENISA serait par ailleurs chargée d’élaborer un cadre de supervision spécifique pour les entités multinationales. Un régulateur national pourrait, dans ce type d’hypothèse, être désigné comme chef de file.  

Cadrage de l’application de NIS II pour les petites et moyennes structures 

La proposition de directive7 présentée le 20 janvier 2026 prévoit de soustraire au champ d’application de NIS II les petits et très petits fournisseurs de services DNS. Par ailleurs, la nouvelle catégorie des « petites entreprises à moyenne capitalisation » se verrait automatiquement qualifiée d’entité « importante », et non pas essentielle.  

Pour mémoire, cette nouvelle catégorie a été créée dans une recommandation du 21 mai 20258 ce qui permet d’adopter un certain nombre de mesures de simplification à leur bénéfice9

Mais des allègements pas sans contrepartie 

La proposition de règlement du 20 janvier 2026 prévoit la création d’un cadre horizontal contraignant pour la sécurité des chaînes d'approvisionnement en technologies de l'information et de la communication.  

Les entreprises opérant dans un secteur critique devraient ainsi évaluer les risques de cybersécurité liés à leurs fournisseurs, notamment ceux de pays tiers présentant des préoccupations en matière de sécurité.  

L’idée directrice est d’identifier, au niveau de l’Union européenne, les actifs TIC les plus sensibles et d’imposer, à terme, des mesures permettant de sortir de la dépendance et, le cas échéant, des interdictions d’usage de certains composants fabriqués hors UE. Dans ce cadre, la Commission européenne devra identifier les pays tiers susceptibles de générer des risques TIC ; les entités établies dans ou contrôlées par l’un de ces pays seraient alors qualifiées de « fournisseurs à haut risque ».  

Ce nouveau corpus réglementaire induira notamment pour les entreprises soumises à la directive NIS II des obligations de transparence nouvelles sur la chaîne de fournisseurs ainsi que des restrictions sur les transferts de données et les possibilités d’externalisation. La Commission devra adopter des lignes directrices, qui encadreront les exigences en matière de sécurité de la chaîne d’approvisionnement que les entités soumises à NIS II pourront imposer à leurs fournisseurs, afin d’éviter des transferts de responsabilité indus. 

Les entreprises devront diversifier leurs sources d’approvisionnement et devront pouvoir le prouver. Certaines se verront contraintes de mettre en place une stratégie de désengagement progressif des fournisseurs à haut risque, notamment dans le secteur des communications mobiles.  

Quel horizon d’adoption pour ces textes ? 

Le paquet Omnibus numérique est en cours d’examen en première lecture au Conseil de l’Union européenne et au Parlement. Lorsque les institutions auront chacune adopté leur position de négociation, des trilogues pourront débuter. Une adoption semble possible d’ici la fin de l’année 2026.  

L’examen n’est pas plus avancé pour le paquet cybersécurité, également encore en première lecture. Les textes ne devraient pas paraître avant mars 2027 au mieux.  

Points clés 

  • Plusieurs textes présentés par la Commission européenne depuis fin 2025 prévoient de modifier le cadre applicable en matière de cybersécurité. 
  • S’ils devraient (sous réserve d’une mise en œuvre adéquate) opérer de véritables simplifications administratives, ils créent également de nouvelles obligations.  
  • Ces textes ne devraient pas être adoptés avant de nombreux mois, et leur contenu pourrait encore évoluer. A surveiller, donc.  

 1 Proposition de règlement européen modifiant les règlements (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 et (UE) 2023/2854 ainsi que les directives 2002/58/CE, (UE) 2022/2555 et (UE) 2022/2557 en ce qui concerne la simplification du cadre législatif numérique, et abrogeant les règlements (UE) 2018/1807, (UE) 2019/1150 et (UE) 2022/868 ainsi que la directive (UE) 2019/1024, COM(2025) 837 final

2 Communiqué de la Commission européenne : « La Commission renforce la résilience et les capacités de l'UE en matière de cybersécurité », 20 janvier 2026, IP_26_105.

3 Directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union […]

4 D’autres exigences sectorielles pourraient également être couvertes par la suite (sans que les exigences spécifiques de la directive sur les services de paiement soient évoquées).

5 Règlement (UE) 2024/2847 du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques.

6 Proposition de règlement relatif à l'Agence de l'Union européenne chargée de la cybersécurité (ENISA), au cadre européen de certification en matière de cybersécurité et à la sécurité de la chaîne d'approvisionnement des TIC, et abrogeant le règlement (UE) 2019/881 (loi sur la cybersécurité 2), COM(2026) 11 final

7 Proposition de directive modifiant la directive (UE) 2022/2555 en ce qui concerne l’introduction de mesures de simplification et l’alignement sur [la proposition de règlement sur la cybersécurité 2], COM(2026) 13 final

8 Recommandation (UE) 2025/1099 de la Commission du 21 mai 2025 concernant la définition des petites entreprises à moyenne capitalisation

9 Sont pour l’heure concernées les entreprises comptant moins de 750 salariés et dont le chiffres d’affaires annuel ne dépasse pas 150 millions d’euros ou un total de bilan 129 millions d’euros. Ces seuils pourraient être réhaussés, le Parlement européen ayant proposé, dans le cadre de l’examen du paquet Omnibus IV, d’introduire des seuils qui seraient fixés à 1 000 salariés, un chiffre d'affaires ne dépassant pas 200 millions d'euros ou un total du bilan inférieur à 172 millions d'euros (communiqué du 11 mars 2026, n° 20260220IPR35906).

 

Plus d’insights
Technologie, média & communications RGPD

Voir plus

Newsletters France

Newsletter IA & Digital Pulse #4 | Novembre 2025

06 nov. 2025 3 min de lecture
Expert Guide International

Protection of Graphical User Interfaces as Registered Design Rights or Design Patents in France

13 min de lecture
Conférence France

Evénement hybride | IA, libertés fondamentales du salarié : une actualité à fort impact pour les entreprises | Jeudi 18 juin 2026

18 juin 2026
Retour en haut Retour en haut
Law-Now, RegZone, LEXplicite and Blogtt have moved to CMS.law. Law-Now a déménagé sur CMS.law RegZone a déménagé sur CMS.law LEXplicite a déménagé sur CMS.law Blogtt a déménagé sur CMS.law
En savoir plus En savoir plus En savoir plus En savoir plus
Si vous souhaitez utiliser les outils d’une tierce partie, merci d’activer les cookies de personnalisation dans vos préférences en matière de cookies. Vous pouvez modifier ce paramètre à tout moment à l’aide du bouton ci-dessous ou dans notre Politique relative aux cookies.