L’Union européenne prépare un durcissement majeur de son Cybersecurity Act. Derrière l’objectif affiché de renforcer la sécurité des infrastructures critiques, la réforme introduit une logique plus politique, susceptible de rebattre les cartes du marché des équipements numériques en Europe. Sont visés par ce bouleversement stratégique des équipementiers chinois déjà controversés, au premier rang desquels Huawei et ZTE.
Un changement d’échelle pour le Cybersecurity Act
La révision en cours du Cybersecurity Act marque une rupture nette avec l’esprit initial du texte. Jusqu’ici centré sur la certification volontaire et l’harmonisation des pratiques, le cadre européen évolue vers des obligations plus contraignantes, en particulier pour les secteurs jugés critiques. L’approche retenue vise à renforcer la résilience globale des réseaux européens, mais elle étend aussi le périmètre d’intervention de la Commission, qui ne se limite plus à définir des standards techniques. Le texte ouvre désormais la voie à des restrictions d’accès au marché fondées sur l’évaluation des risques liés aux fournisseurs eux-mêmes.
La notion de « fournisseur à risque » devient structurante
L’un des points les plus sensibles de la réforme concerne l’introduction d’une catégorisation explicite des fournisseurs dits « à haut risque ». Sans désignation formelle de pays ou d’entreprises, le dispositif vise clairement certains acteurs extra-européens déjà ciblés par des recommandations antérieures dans les télécoms et les réseaux 5G. Ce glissement transforme un cadre de cybersécurité en instrument de pilotage stratégique des chaînes d’approvisionnement. Il pose aussi une question de gouvernance : qui définit le risque, selon quels critères, et avec quel degré de transparence pour les acteurs concernés ?
Sans être explicitement nommés dans les textes, certains acteurs sont clairement ciblés. Les équipementiers chinois Huawei et ZTE apparaissent en filigrane de la réforme, dans la continuité des restrictions déjà mises en place par plusieurs États membres sur les réseaux 5G. La Commission européenne cherche désormais à transformer ces positions nationales disparates en une doctrine commune, avec la perspective d’un retrait progressif obligatoire de leurs équipements des infrastructures jugées sensibles.
Sécurité numérique ou protection du marché intérieur
En renforçant les contraintes sur les équipements et logiciels utilisés dans les infrastructures critiques, l’Union européenne assume une approche plus défensive de sa politique numérique. Cette orientation alimente toutefois le débat sur une possible confusion entre impératif de sécurité et logique de protection du marché intérieur. Pour les opérateurs et intégrateurs, la réforme pourrait se traduire par des arbitrages complexes tels que le renouvellement accéléré d’équipements, la réduction du nombre de fournisseurs disponibles, la hausse potentielle des coûts ou encore la dépendance accrue à un nombre limité d’acteurs certifiés. La question se pose d’autant plus vivement que les fournisseurs européens capables de remplacer Huawei ou ZTE à grande échelle restent limités sur certains segments technologiques.
Une tension persistante entre ambition réglementaire et réalité industrielle
Le durcissement du Cybersecurity Act met en lumière cette fragilité structurelle de l’écosystème européen, de cet écart entre ambitions réglementaires et capacités industrielles réelles. En l’absence d’alternatives européennes robustes dans certains segments critiques, la mise à l’écart de fournisseurs jugés à risque pourrait créer de nouvelles dépendances plutôt que les réduire. Cette dynamique interroge aussi la cohérence globale du cadre européen, alors que d’autres textes structurants comme NIS2 ou le règlement sur la résilience opérationnelle numérique viennent déjà renforcer les obligations pesant sur les organisations.
