En avril 2025 dans le cadre de ses travaux législatifs, la commission européenne à lancée une consultation, préalable à la révision du règlement sur la cybersécurité (Cyber Security Act ou CSA) un texte adopté en 2019 par le parlement. A l'origine, ce règlement adoptait un mandat permanent pour l'ENISA, l'agence de l'Union européenne pour la cybersécurité. 

Cette instance contribue à la politique de l'Union en matière de cybersécurité et travaille principalement dans l'intérêt des organismes publics, mais pas seulement. L’agence collabore avec des organisations et des entreprises pour renforcer la confiance dans l’économie numérique, accroître la résilience des infrastructures de l’UE et, à terme, préserver la sécurité numérique des citoyens de l’UE. Elle veille au partage de connaissances, au développement des structures et à la formation du personnel, et mène des actions de sensibilisation.

L'EU Cybersécurité Act a également définit un cadre de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification, au sein duquel l’ENISA trouve toute sa place.

Seulement depuis 2019 plusieurs autres règlements sont venus s'ajouter au CSA qui lui-même venait compléter des textes existants comme par exemple, la directive ePrivacy de 2002 qui concerne les communications électroniques et vise à protéger la vie privée sur Internet.

Depuis 2019, nous pouvons ajouter le Cyber Resilience Act en vigueur depuis décembre 2024 qui vise à remédier à l'insuffisance de sécurité des produits numérique ou DORA qui vise à accroitre la résilientes des organisations face aux cyberattaques. Ou encore la directive NIS2 applicable depuis octobre 2024 et qui impose aux prestataires de services essentiels de garantir la sécurité de leurs chaînes d'approvisionnement. Sans oublier le RGPD depuis 2018 et le règlement sur l'intelligence artificielle IA Eu Act en vigueur depuis août 2024... et les règlementations nationales, LOPMI, loi sur la majorité numérique...

Autant d'évolutions règlementaires qui alourdit les obligations de conformité des entreprises...et des assureurs les obligeant à composer avec un paysage juridique complexe et fragmenté. C'est pour cette raison que la Fédération Européenne d'assurance et réassurance (Insurance Europe*) a accueilli favorablement en avril 2025 l'annonce d'une révision du règlement sur la cybersécurité.

Insurance Europe a salué la révision par la Commission européenne de la loi sur la cybersécurité (CSA) et la future initiative omnibus numérique**, soutenant l'objectif de simplification de la réglementation, de réduction des charges administratives et de garantie d'une approche proportionnée et fondée sur les risques.

Consultée dans le cadre de cette révision, la Fédération (de fédérations) soutient les efforts visant à rationaliser les exigences en matière de reporting sur la cybersécurité et à éliminer les chevauchements et les doublons inutiles engendrés par les directives et les règlements européens successifs.

Insurance Europe souligne la nécessité d'une clarté juridique et réglementaire dans toute l'UE, notant que dans certains cas, des lignes directrices nationales obsolètes restent en vigueur malgré leur remplacement par la législation européenne. Cela pose un défi particulier aux opérateurs transfrontaliers qui doivent se conformer à des règles divergentes et parfois contradictoires.

En résumé, l'association européenne, demande que cette révision du règlement sur la cybersécurité aboutisse à un texte plus cohérent et comparable entre les juridictions nationales, la fin des redondances de déclarations (aux différentes autorités de surveillance) et une orientation claire et cohérente pour éviter des cadres nationaux contradictoires.

Sur le portail de la Commission Européenne, il est rappelé que la révision de la loi sur la cybersécurité a pour objet de clarifier le mandat de l'Agence européenne chargée de la cybersécurité (ENISA) et d'améliorer le cadre européen de certification en matière de cybersécurité afin de renforcer la résilience.

Elle vise également à rationaliser, simplifier et compléter la législation européenne afin de rendre la mise en œuvre du cadre européen en matière de cybersécurité plus conviviale pour les utilisateurs et les entreprises, et à donner la priorité aux mesures visant à soutenir les objectifs de l'UE en matière de développement d'une chaîne d'approvisionnement sûre et résiliente, y compris la base industrielle européenne dans le domaine de la cybersécurité.

"Seule une révision du CSA au niveau de l’UE permettra de mettre clairement l'accent sur la rationalisation, la hiérarchisation et la simplification des mesures présentes dans l’ensemble des actes législatifs liés au cyber espace." *** Cela semble aller dans le bon sens donc.

A l'issue de la consultation publique (terminée le 20 juin 2025) et de l'audition des parties prenantes, la Commission (européenne) envisage 4 options qui vont du statu quo à l'abrogation du règlement existant (ce qui signifie un nouveau). Cependant, la commission se réserve la possibilité de mesures non législatives ou d'interventions règlementaires ciblées.

Quoiqu'il en soit, la Commission espère que cette initiative aura des retombées économiques positives à long terme tout en permettant une rationalisation et une simplification des tâches administratives pesant sur les entreprises. En ce point elle rejoint les observations de Insurance Europe qui a été consultée en tant que partie prenante.

Une analyse d'impact sera menée à l'issue de la consultation publique et des entretiens avec les parties prenantes. Elle sera alimentée par des consultations déjà menées en 2024 et 2023.

Espérons que cette initiative débouchera sur une harmonisation à tous les niveaux bénéfiques aux acteurs économiques et à un ajustement du mandat de l'ENISA pour répondre au mieux à un monde numérique qui a rapidement évolué depuis 2019.

Le retour de la Commission est attendu au quatrième trimestre 2025, nous vous en reparlerons dans un prochain article.

*Insurance Europe réunit des fédérations/associations/syndicats nationaux des Assureurs à travers les pays d'Europe. Son Président est Frédéric de Courtois, Directeur Général d'AXA et France Assureurs en est membre.

** La Commission européenne a proposé le 26 février 2025 une directive dite « Omnibus » visant à alléger les charges administratives des entreprises en matière de finance durable et de devoir de vigilance (par exemple, exempter les PME de l'obligation de tenue du registre des traitements de données personnelles).

*** Source European Commission : Appel à contribution pour une analyse d'impact (Ref. Ares(2025)2970891 - 11/04/202)