Avis CEPD 4/2026 sur le Cybersecurity Act 2 : ce que les entreprises NIS 2 doivent preparer maintenant

— Le contexte : une annee cle pour la conformite cyber

Apres deux annees d'adoption et de transposition, 2026 est l'annee ou les entreprises europeennes doivent demontrer leur conformite NIS 2. La Commission a lance en janvier un projet de Cybersecurity Act 2 (CSA2) destine a moderniser le cadre reglementaire et harmoniser les exigences de certification. L'avis CEPD 4/2026, adopte conjointement par le Comite europeen de la protection des donnees et le Controleur europeen de la protection des donnees le 18 mars 2026, est la premiere reaction officielle d'une autorite europeenne a cette proposition.

L'avis est publiquement disponible sur le site du CEPD et fait 34 pages. Il est structure en trois grandes sections : gouvernance de l'ENISA, mecanisme de notification unique, et articulation avec le RGPD. C'est ce dernier point qui cristallise les tensions, car la proposition CSA2 autorise un partage etendu d'informations entre autorites nationales et l'ENISA qui pourrait inclure des donnees personnelles.

— Les trois apports majeurs du CSA2

1. Renforcement du role de l'ENISA

L'Agence europeenne de cybersecurite (ENISA) devient le guichet de certification principal pour les schemas europeens de certification (EUCC, EUCS, etc.). Concretement, les entreprises n'auront plus a se conformer a 27 declinaisons nationales differentes pour prouver qu'un produit ou service est securise. Pour un CIO qui gere des operations multi-pays, c'est un allegement administratif significatif.

2. Point d'entree unique pour les notifications d'incident

Aujourd'hui, une entreprise victime d'un incident transfrontalier doit notifier chaque autorite nationale competente (en France l'ANSSI, en Allemagne le BSI, etc.). Le CSA2 introduit un point d'entree unique auprès de l'ENISA, qui redistribue ensuite l'information. Gain de temps estime : 40 a 60% du temps actuellement passe sur les notifications multi-pays.

3. Harmonisation des exigences techniques

Le CSA2 prevoit des standards techniques communs sur les sujets les plus sensibles : chiffrement post-quantique, supply chain software, vulnerability disclosure, et SOC managed services. Chaque Etat membre peut ajouter des exigences nationales, mais un socle commun europeen devient obligatoire.

— Les reserves du CEPD : confidentialite et proportionnalite

L'avis CEPD 4/2026 soutient globalement la proposition CSA2 mais exprime trois reserves principales.

Premierement, le partage de donnees avec l'ENISA doit etre encadre par un principe de minimisation. Les autorites regrettent que le projet initial permette de transmettre des donnees personnelles sans limitation claire sur la finalite ou la duree de conservation. Elles recommandent l'ajout d'un regime de retention maximale (proposition : 12 mois par defaut, 36 mois en cas de procedure en cours).

Deuxiemement, la confidentialite des notifications d'incident doit etre garantie. Les entreprises victimes craignent que des notifications tardivement rendues publiques aggravent le prejudice reputationnel. Le CEPD recommande une periode de confidentialite minimale de 6 mois apres l'incident, sauf interet public imperieux.

Troisiemement, la proportionnalite des obligations pour les PME. L'avis souligne que le texte risque d'imposer des obligations equivalentes a toutes les entites NIS 2, alors que les capacites d'une ETI et d'un groupe du CAC40 sont incomparables. Les autorites recommandent un regime simplifie pour les entreprises de moins de 250 salaries.

— Timeline : que va-t-il se passer en 2026-2027 ?

— Notre avis d'expert : 4 actions a lancer des maintenant

Meme si le CSA2 n'entrera en vigueur qu'en 2028, les entreprises doivent des a present renforcer leur maturite cybersecurite. Quatre actions a prioriser :

• Realiser un audit ReCyF ANSSI : le nouveau referentiel francais structure la mise en conformite NIS 2 avec des niveaux de maturite et un calendrier clair. Faire l'audit maintenant vous donne 18 a 24 mois pour combler les ecarts.
• Cartographier vos systemes d'information critiques : inventaire des actifs, dependances fournisseurs, flux de donnees. Sans cette cartographie, aucune reponse a incident n'est efficace.
• Formaliser votre plan de reponse aux incidents : runbook par typologie (ransomware, exfiltration, DoS, compromission AD), procedures de notification, matrice de decision.
• Former le COMEX aux obligations NIS 2 : le management doit comprendre les risques personnels (sanctions individuelles) et les obligations de governance IT. Sans buy-in executif, aucun plan de conformite ne se deploie.

L'avis CEPD 4/2026 n'est pas un texte contraignant, mais il prefigure les arbitrages qui seront faits dans la version finale du CSA2. Les entreprises qui s'alignent des a present sur ses recommandations (minimisation, proportionnalite, confidentialite) auront une longueur d'avance au moment de l'entree en vigueur.

— Articulation avec les autres regulations 2026

Le CSA2 ne s'applique pas en silo. Il interagit avec trois autres textes importants :

• DORA (finance et fintech) : les entreprises couvertes par DORA ont des exigences plus strictes que NIS 2, qui restent prioritaires.
• Cyber Resilience Act (CRA) : s'applique aux produits numeriques mis sur le marche. Les editeurs de logiciels doivent aligner CRA et CSA2.
• AI Act : pour les systemes d'IA a haut risque, des obligations de cybersecurite specifiques s'ajoutent.

Pour les grands groupes, la complexite croissante justifie un pilotage unifie cybersecurite-conformite-risque, plutot que des silos qui se contredisent.

Notre avis d'expert : anticiper le trilogue

Les negociations en trilogue vont durer jusqu'a l'automne 2026. Pendant cette periode, les CIO et RSSI doivent rester vigilants sur trois parametres : le seuil de declaration d'incident (actuellement 24 heures, certains Etats voudraient reduire a 12), le contenu du point d'entree unique (quelles donnees exactement seront partagees), et la gouvernance des chaines logicielles. Notre equipe publie des updates hebdomadaires sur ces sujets.

— FAQ : CEPD avis 4/2026 et CSA2

Qu'est-ce que l'avis CEPD 4/2026 ?

Avis conjoint adopte le 18 mars 2026 par le Comite europeen de la protection des donnees (CEPD) et le Controleur europeen de la protection des donnees, sur la proposition de reglement Cybersecurity Act 2 (CSA2) et les amendements a la directive NIS 2.

Quelles sont les implications du CSA2 pour les entreprises ?

Renforcement du role de l'ENISA, point d'entree unique pour les notifications d'incidents, harmonisation des exigences de cybersecurite a l'echelle europeenne.

Quand le CSA2 entrera-t-il en vigueur ?

Adoption attendue Q3 2026, application differee de 18 mois, soit debut 2028.

Que faire maintenant pour se preparer ?

Audit ReCyF ANSSI, cartographie SI, plan de reponse aux incidents, formation COMEX NIS 2.