Bruxelles vient de dévoiler une nouvelle version de son Cybersecurity Act. Le texte introduit un cadre juridique dédié à la supply chain. Il prévoit des évaluations des risques, l’identification d’actifs critiques et la possibilité de restreindre l’usage de composants issus de fournisseurs jugés à risque. Huawei et ZTE sont en première ligne.
La Commission européenne a présenté le 20 janvier 2026 un nouveau paquet cybersécuritédans un contexte d’accroissement des menaces. Le coût mondial de la cybercriminalité a dépassé 9000 milliards d’euros en 2025, plaçant les ransomwares au sommet. Le secteur public, les transports et le numérique sont les trois secteurs les plus touchés.
Encadrer la supply chain
Si Bruxelles veut dépoussiérer les anciens textes, c’est notamment pour s’intéresser au cadre autour de la chaîne d’approvisionnement. Les attaques sur la supply chain figurent parmi les sept principales menaces cyber, indique la Commission.
Jusqu’à présent, la sécurité des chaînes d’approvisionnement des technologies de l’information et de la communication (ICT) – l’ensemble des technologies nécessaires au fonctionnement des réseaux, systèmes d’information et services numériques critiques – était abordée secteur par secteur ou de manière indirecte.
C’est ainsi que la directive NIS 2 impose aux entités essentielles et importantes d’identifier et de gérer les risques liés à leurs fournisseurs. Or, elle ne prévoit pas de mécanisme centralisé d’évaluation au niveau européen.
La 5G Toolbox – la boîte à outils de l’UE pour la cybersécurité des réseaux 5G – a introduit une approche coordonnée sur les réseaux mobiles mais sous la forme de recommandations politiques sans cadre juridique contraignant.
Evaluer les risques…
Le nouveau cadre, présenté par la Commission, repose sur trois piliers. Le premier introduit des évaluations de risques coordonnées au niveau de l’UE. L’exécutif européen et les Etats membres pourront lancer des évaluations de risques pour des chaînes d’approvisionnement ICT spécifiques.
Ces évaluations viseront à identifier les vulnérabilités et les risques, y compris ceux liés à des facteurs non techniques, comme l’environnement juridique ou politique dans lequel opèrent certains fournisseurs.
… et les actifs clés
Le deuxième pilier concerne l’identification des actifs ICT clés (key ICT assets). A l’issue des analyses, des actifs clés pourront être définis dans les chaînes d’approvisionnement concernées. Il s’agit des composants, équipements ou services jugés critiques pour le fonctionnement des secteurs considérés comme essentiels ou importants, selon la terminologie de NIS 2.
Le troisième pilier repose sur des mesures d’atténuation ciblées. Sur la base des évaluations de risques et de l’identification de ces actifs clés, la Commission européenne pourra proposer des mesures pour réduire les risques. Celles-ci peuvent inclure l’interdiction d’utiliser des composants fournis par des fournisseurs qualifiés de “high-risk suppliers” dans les actifs IT critiques.
Ces décisions devront s’appuyer sur une analyse de marché et une évaluation de l’impact économique.
Bruxelles pourra exclure des pays
Le texte prévoit également un mécanisme qui permet à la Commission européenne de désigner un pays comme présentant “des préoccupations en matière de cybersécurité” pour les chaînes d’approvisionnement ICT.
L’évaluation ne repose pas uniquement sur des critères mais aussi sur des facteurs non techniques, comme le cadre juridique et institutionnel du pays concerné, tels que l’existence de lois pouvant obliger les entreprises à coopérer avec les autorités, les risques d’ingérence ou encore l’absence de garanties effectives en matière d’Etat de droit.
Si un pays est ainsi désigné, les entités qui y sont établies ou qui sont contrôlées par ce pays, par ses autorités ou ses ressortissants, peuvent se voir interdire certaines activités dans les chaînes d’approvisionnement ICT critiques.
Prenons le cas d’un opérateur télécom européen qui utilise des équipements réseau fournis par une entreprise liée à un pays que la Commission a désigné comme présentant des “préoccupations en matière de cybersécurité”. Si ces équipements sont classés comme des “actifs ICT clés”, l’opérateur ne pourra plus en acheter de nouveaux auprès de ce fournisseur. S’il en a déjà en service, il pourra être obligé de les remplacer dans un délai fixé par la Commission.
Huawei et ZTE dans le viseur
Henna Virkkunen, commissaire européenne à la souveraineté technologique, l’a assumé clairement : après l’échec des recommandations volontaires, l’Union veut passer à une obligation juridique. Jusqu’ici, Bruxelles appelait les États membres à écarter les fournisseurs jugés à risque, comme Huawei ou ZTE, mais sans pouvoir les y contraindre, ce qui a conduit à une application très inégale.
Le nouveau Cybersecurity Act change cette logique en donnant à la Commission un cadre légal pour identifier les “pays tiers posant des préoccupations en matière de cybersécurité”, lister les entités qui en dépendent et imposer leur exclusion des actifs ICT critiques.
Ce projet de réglementation intervient dans un contexte international explosif avec des relations particulièrement tendues entre la France et les Etats-Unis. L’occasion pour l’UE d’envoyer un signal : l’accès à ses infrastructures critiques n’est plus uniquement une question de performance technologique, mais de confiance politique et stratégique.
