EDPB-EDPS Joint Opinion [4/​2026]

CSA2 et modi­fi­ca­tions de NIS2

La mise en œuvre du Règlement sur la cyber­sé­cu­rité (Cybersecurity Act, CSA), en vigueur depuis 2019, est confron­tée à plusieurs obstacles : un déca­lage entre la poli­tique de cyber­sé­cu­rité de l’UE et les besoins des parties prenantes dans un envi­ron­ne­ment où les cyber­me­naces sont toujours plus hostiles et complexes, des freins dans la mise en œuvre du cadre euro­péen de certi­fi­ca­tion en matière de cyber­sé­cu­rité, la complexité et la diver­sité des poli­tiques natio­nales de cyber­sé­cu­rité influen­çant la posture de l’UE et les risques crois­sants pour la sécu­rité des chaînes d’approvisionnement dans le domaine des tech­no­lo­gies de l’information et des commu­ni­ca­tions (TIC).

Par consé­quent, une propo­si­tion de CSA2 (P‑CSA2) prévoit de renfor­cer le rôle opéra­tion­nel de l’Agence euro­péenne pour la cyber­sé­cu­rité (ENISA) et la coopé­ra­tion en matière de cyber­sé­cu­rité dans l’UE. Le projet vise égale­ment une amélio­ra­tion régle­men­taire pour le cadre euro­péen de certi­fi­ca­tion en matière de cyber­sé­cu­rité, et crée un cadre pour les risques non tech­niques liés à la chaîne d’approvisionnement des TIC.

Le P‑CSA2 s’accompagne d’une propo­si­tion de modi­fi­ca­tions ciblées de la Directive NIS2 (P‑NIS2). Les modi­fi­ca­tions consistent notam­ment en des clari­fi­ca­tions du champ d’application de la direc­tive, en des amélio­ra­tions du lien entre NIS2 et le cadre euro­péen de sché­mas de certi­fi­ca­tion de cyber­sé­cu­rité, en la prise en compte de la cryp­to­gra­phie post-quan­tique dans les poli­tiques d’États-membres ou en l’introduction d’un système harmo­nisé de collecte de données sur les attaques par rançongiciels.

Opinion du CEPD et de l’EDPS

Dans l’ensemble, le Comité euro­péen de la protec­tion des données (CEPD) et le Contrôleur euro­péen de la protec­tion des données (EDPS) accueillent favo­ra­ble­ment le P‑CSA2.

En parti­cu­lier, les deux enti­tés soutiennent les objec­tifs géné­raux de renfor­ce­ment du rôle, du soutien et de la coopé­ra­tion d’ENISA, la simpli­fi­ca­tion de l’adoption de sché­mas de certi­fi­ca­tion et le trai­te­ment dans le règle­ment des risques non tech­niques rela­tifs aux chaînes d’approvisionnement critiques dans le domaine des TIC.

Déjà exprimé dans leur avis sur la propo­si­tion de règle­ment omni­bus numé­rique (pour plus d’information, voir : swiss​pri​vacy​.law/​3​96/), le CEPD et l’EDPBS rappellent leur soutien à la créa­tion, par ENISA, d’un guichet unique pour le signa­le­ment de cybe­rin­ci­dents (art. 15 P‑CSA2 et propo­si­tion d’art. 23bis NIS2 dans la propo­si­tion de règle­ment omni­bus numé­rique), mais égale­ment selon d’autres régle­men­ta­tions, prin­ci­pa­le­ment le RGPD.

Dans le cadre des modi­fi­ca­tions de la Directive NIS2, le CEPD et l’EDPS saluent en parti­cu­lier l’adoption de méca­nismes permet­tant de faci­li­ter la confor­mité avec ses exigences et la dési­gna­tion des four­nis­seurs de porte­feuilles euro­péens d’identité numé­rique comme enti­tés essentielles.

L’avis joint reflète égale­ment des aspects ques­tion­nés par les auto­ri­tés. Par exemple, elles soulèvent la néces­sité de préci­ser quels types d’informations sont amenés à être trai­tés par ENISA dans ses tâches de « central hub » en vertu des art. 10 et 11 P‑CSA2. En parti­cu­lier, les dispo­si­tions du P‑CSA2 devraient préci­ser si ces tâches d’ENISA requièrent le trai­te­ment de données person­nelles d’une ampleur substan­tielle (à l’instar d’adresse IP, logs d’utilisations ou détails de comptes compromis).

Si, au contraire, ENISA traite prin­ci­pa­le­ment des données agré­gées à carac­tère non person­nel, cela devrait être précisé, au moins par le biais d’un consi­dé­rant. Dans tous les cas, seuls les détails tech­niques peuvent être écar­tés du règle­ment et lais­sés à l’autonomie admi­nis­tra­tive du conseil d’administration d’ENISA (art. 66(2) P‑CSA2).

En outre, l’art. 19(2) P‑CSA2 propose l’élaboration par ENISA d’un cadre euro­péen pour les compé­tences en matière de cyber­sé­cu­rité (ECSF) établis­sant une vision commune aux exigences liées aux métiers de la cyber­sé­cu­rité. Le CEPD et l’EDPS estiment que le cadre devrait aussi inclure un profil « cyber­sé­cu­rité pour les géné­ra­listes » qui couvri­rait les compé­tences mini­males néces­saires que tout résident de l’UE en âge de travailler devrait possé­der pour inter­agir en toute sécu­rité au sein d’un marché numé­rique (devant exis­ter en paral­lèle du cadre DigComp 3.0). En outre, l’ECSF devrait inclure un module consa­cré à la confor­mité des mesures de cyber­sé­cu­rité avec la protec­tion des données.

Le CEPD et l’EDPS consi­dèrent que des syner­gies entre les sché­mas de certi­fi­ca­tion de cyber­sé­cu­rité et de protec­tion des données existent et que le lien entre la portée de l’art. 80(1)(w) P‑CSA2 et la certi­fi­ca­tion selon RGPD (art. 42 s. RGPD) devrait être clari­fié. Ils recom­mandent la consul­ta­tion du CEPD par ENISA avant l’adoption d’un schéma de certi­fi­ca­tion afin d’assurer un certain niveau de cohérence.

Finalement, et bien que le CEPD et l’EDPS saluent la commu­ni­ca­tion d’informations rela­tives aux rançon­gi­ciels prévue à l’art. 23(12) et (13) P‑NIS2, ils estiment que, compte tenu du carac­tère sensible des données commu­ni­quées, les garan­ties de protec­tion des données appli­cables devraient être préci­sées dans les actes d’exécution adop­tés par la Commission en vertu de l’actuel art. 23(11) P‑NIS2 et que l’EDPS devrait être consulté à ce sujet.

Remarques

Les P‑CSA2 et P‑NIS2 inter­viennent dans un contexte de chan­ge­ments au sein des régle­men­ta­tions tech­no­lo­giques euro­péennes, peu de temps après la propo­si­tion de règle­ment omni­bus numé­rique. Dans ces approches de simpli­fi­ca­tion et harmo­ni­sa­tion, nous pouvons parti­cu­liè­re­ment saluer d’une part l’adoption d’une section du P‑CSA2 dédiée à réduire les dépen­dances critiques et les risques liés aux chaînes d’approvisionnement critiques dans le domaine des TIC prove­nant de four­nis­seurs à haut risque.

D’autre part, la confor­mité avec les exigences, prin­ci­pa­le­ment de NIS2, devrait être faci­li­tée par deux méca­nismes. L’introduction du guichet unique d’ENISA déjà formu­lée dans le P‑NIS2 devrait contri­buer à simpli­fier la mise en œuvre d’obligations de signa­le­ment. En outre, l’amélioration du cadre euro­péen de certi­fi­ca­tion de cyber­sé­cu­rité et de son inter­ac­tion avec la Directive NIS2 devrait permettre une harmo­ni­sa­tion des pratiques, en parti­cu­lier dans les respon­sa­bi­li­tés liées aux chaînes d’approvisionnement (art. 21 NIS2).