Cybersecurity Act 2 : la CSNP veut une meilleure prise en compte de la souveraineté

Dans un avis daté du 6 mai 2026, la Commission supérieure du numérique et des postes (CSNP) formule 23 recommandations sur la proposition de révision du Cybersecurity Act (CSA2) de la Commission européenne. 

Premier grief : l'empilement réglementaire. Le CSA2 s'ajoute à NIS2, DORA, le Cyber Resilience Act et au futur règlement Cloud et IA, sans que l'articulation entre ces textes soit claire. La CSNP redoute une "insécurité opérationnelle majeure" pour les entreprises et les administrations, contraintes de naviguer entre des obligations de certification, de reporting et de gestion des risques potentiellement contradictoires. Elle réclame une étude d'impact sur la charge cumulée et des clauses de présomption de conformité croisée.

Elle juge ensuite insuffisant le volet souveraineté. Le projet relègue l'exposition aux lois extraterritoriales au rang de risque "non technique", hors du champ de l'évaluation de conformité. Pour la CSNP, cette distinction est une fiction : une injonction d'un service de renseignement étranger rompt la confidentialité des données aussi sûrement qu'une cyberattaque. Et cette distinction pourrait mettre hors-jeu la qualification SecNumCloud de l'Anssi qui intègre ce critère de souveraineté. Aussi la CSNP conditionne-t-elle le soutien de la France au CSA2 à la garantie que cette qualification nationale soit maintenue. Elle propose, a minima, la création d'un label d'immunité optionnel, distinct des niveaux techniques de certification, que chaque entité pourrait activer selon la sensibilité de ses données.

La CSNP regrette enfin une centralisation excessive à l'échelle européenne. La certification de la "cyber posture" des entités au niveau européen, censée valoir conformité à NIS2 ou DORA, en lieu et place du contrôle continu des autorités nationales, est jugée inadaptée. Idem pour la centralisation des déclarations d'incidents au sein d'une plateforme gérée par l'Enisa.