Souveraineté numérique européenne : la carte complète des textes qui redessinent la conformité cyber

19/7/26
👈 les autres actualités

Souveraineté numérique européenne : la carte complète des textes qui redessinent la conformité cyber

NIS 2, CER, CSA2, CRA, Cyber Solidarity Act, DORA, Space Act, Quantum Act, Chips Act 2.0 : depuis le paquet « souveraineté technologique » publié le 3 juin 2026 par la Commission européenne, l'UE assemble un empilement réglementaire dont peu d'organisations mesurent encore l'ampleur. Une analyse publiée le 15 juillet 2026 par le cabinet Covington en dresse la cartographie complète — et elle a de quoi occuper durablement les DPO et RSSI.

Ce qui s'est passé

Le paquet du 3 juin 2026 n'est que la partie visible d'un chantier bien plus ancien. Covington distingue deux familles de textes poursuivant la même ambition de « résilience tech » européenne.

La première vise la résilience cyber au sens strict : la directive NIS 2, dont la transposition était attendue pour octobre 2024 et reste inachevée dans plusieurs États membres ; la directive CER, qui complète NIS 2 en imposant aux entités critiques désignées des obligations de résilience élargies à tous les types d'incidents, pas seulement cyber ; le Cybersecurity Act et sa révision proposée (CSA2), qui doit simplifier les schémas de certification ; le Cyber Resilience Act (CRA), qui impose des obligations de sécurité par conception aux fabricants d'objets connectés ; et le Cyber Solidarity Act, qui organise le partage d'informations entre autorités nationales et crée une « réserve cyber » européenne.

La seconde famille vise la sécurité des chaînes d'approvisionnement technologiques : le CSA2 doit permettre à la Commission de désigner des « fournisseurs à haut risque » et d'imposer des mesures pouvant aller jusqu'à l'interdiction de certains produits, la restriction de transferts de données ou l'obligation de faire vérifier le personnel opérant les systèmes. Les opérateurs télécoms devront retirer les équipements de fournisseurs désignés à haut risque de leurs réseaux 5G sous trois ans. S'y ajoutent des textes sectoriels : le Critical Raw Materials Act, le Net-Zero Industry Act, l'Industrial Accelerator Act, le Chips Act 2.0, ou encore le projet d'EU Space Act et d'EU Quantum Act.

Pourquoi c'est important

Cette cartographie confirme un mouvement que Leto documente depuis plusieurs mois : la conformité cyber ne se limite plus à un texte isolé mais à un écosystème de régimes qui se chevauchent et s'activent en cascade. Notre guide sur les obligations croisées NIS 2 / RGPD montre déjà qu'un même incident peut déclencher simultanément une notification CNIL sous 72 heures et une notification NIS 2 auprès de l'ANSSI, avec des délais et des autorités différents.

Le retard français sur NIS 2 illustre concrètement le risque : la Commission européenne a saisi la CJUE contre la France pour défaut de transposition, tandis que la directive CER impose depuis le 17 juillet 2026 aux États membres d'avoir désigné leurs entités critiques — lesquelles deviennent automatiquement des entités essentielles au sens de NIS 2. Une organisation peut donc se retrouver rattrapée par des obligations de résilience alors même que le texte national de référence n'est pas stabilisé.

Ce que ça change pour les organisations

Pour un DPO ou un RSSI, cette cartographie appelle une revue d'exposition plutôt qu'une lecture texte par texte. Trois chantiers concrets se dégagent : vérifier si l'organisation entre dans le périmètre NIS 2 et/ou CER (secteur d'activité, taille, désignation « entité critique ») ; anticiper le calendrier du Cyber Resilience Act, dont les obligations de signalement des vulnérabilités s'appliquent dès le 11 septembre 2026 ; et cartographier les fournisseurs technologiques susceptibles d'être un jour qualifiés « à haut risque » au titre du futur CSA2, en particulier pour les organisations dépendantes de prestataires cloud ou télécoms non européens.

Les entreprises du secteur financier, déjà soumises à DORA, et celles opérant des infrastructures critiques (énergie, transport, santé, numérique) sont les premières concernées, mais le mouvement de fond — réduire la dépendance de l'UE à des acteurs technologiques extra-européens — a vocation à s'étendre à la chaîne de sous-traitance de bien d'autres secteurs.

Ce que Leto pense de cette décision

Cette cartographie a le mérite de nommer ce que beaucoup d'organisations vivent sans le formaliser : la conformité numérique européenne n'est plus un empilement de textes indépendants mais un système. Le risque, pour les équipes DPO/RSSI déjà sous tension, est de traiter chaque nouvelle directive comme un projet isolé alors qu'une bonne partie des obligations — cartographie des actifs, gestion des incidents, gouvernance des sous-traitants — sont mutualisables entre RGPD, NIS 2 et CRA. La vraie urgence n'est pas de tout lire, mais de construire une gouvernance des risques numériques suffisamment modulaire pour absorber les textes encore à venir.

Sources : Covington Inside Privacy, « Looking beyond the tech sovereignty package », 15 juillet 2026

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo