🎯 Pourquoi cet article ?
Depuis deux ans, les DSI et RSSI naviguent dans un empilement réglementaire de plus en plus dense : NIS2, Cybersecurity Act, DORA, cadres ANSSI, référentiels maison… Avec, côté français, une crainte bien connue : la sur‑transposition.
En janvier 2026, la Commission européenne a publié une proposition de directive visant à simplifier certaines mesures et à aligner NIS2 avec le Cybersecurity Act. Derrière ce titre un peu austère se cache un message clair : rendre la cybersécurité réglementaire plus cohérente, plus applicable, et moins kafkaïenne.
Cet article décrypte :
- ce que dit réellement cette proposition,
- ce que cela change pour la transposition en droit français,
- et surtout, ce que devient le CS178, référentiel bien connu (et parfois redouté) des RSSI français.
🌍 Le problème européen : trop de règles, pas assez d’alignement
🔹 NIS2 : nécessaire mais complexe
NIS2 a considérablement élargi le périmètre des organisations concernées et renforcé les obligations :
- gouvernance cyber,
- gestion du risque,
- notification d’incidents,
- responsabilité des dirigeants.
Sur le papier, le texte est solide. Sur le terrain, il se heurte à :
- des interprétations nationales divergentes,
- des autorités multiples,
- des obligations parfois redondantes avec d’autres textes européens.
Pour ceux qui ont oublié : NIS2 : La cybersécurité devient (enfin) sérieuse… et obligatoire !
🔹 Cybersecurity Act : la certification dans son couloir
De son côté, le Cybersecurity Act structure la certification des produits, services et processus (schémas européens, rôle d’ENISA), mais sans toujours être clairement articulé avec les obligations NIS2.
Résultat : 👉 les entreprises doivent gérer le risque d’un côté, la conformité produit de l’autre — sans lien explicite entre les deux.
🧩 La proposition européenne : simplifier sans affaiblir
🧭 Objectif officiel
La directive de janvier 2026 poursuit trois objectifs clairs :
- simplifier certaines obligations NIS2,
- aligner juridiquement NIS2 avec le Cybersecurity Act,
- réduire la charge administrative, notamment pour les organisations multi‑États.
Contrairement à certaines craintes, il ne s’agit pas d’un recul réglementaire, mais d’un nettoyage structurel.
A lire ici : Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act
🔧 Concrètement, qu’est-ce qui change ?
- Clarification des rôles entre autorités nationales et européennes
- Harmonisation des concepts clés (risque, incident majeur, supervision)
- Rationalisation de certaines obligations de reporting (ex. ransomware)
- Renforcement de la coordination via ENISA
👉 En clair : moins de doublons, plus de cohérence.
🇫🇷 Transposition française : enfin un terrain plus stable
⚠️ Le risque historique de la France
La France a historiquement tendance à :
- ajouter des exigences nationales,
- maintenir des cadres parallèles,
- complexifier la lecture pour les acteurs économiques.
Avec NIS2, le risque était réel de voir apparaître :
- des obligations NIS2 « + ANSSI »,
- des contrôles redondants,
- un empilement CS178 / guides / exigences sectorielles.
✅ Ce que change l’alignement européen
La proposition européenne offre à l’ANSSI :
- un cadre juridique plus clair,
- moins de zones d’interprétation,
- une base solide pour éviter la sur‑transposition.
👉 Pour les DSI et RSSI, cela signifie :
- une transposition plus lisible,
- moins de surprises réglementaires,
- une meilleure défendabilité juridique.
📘 Et le CS178 dans tout ça ?
🔍 Rappel : ce qu’est (et n’est pas) le CS178
Le CS178 est un référentiel français de bonnes pratiques :
- largement utilisé dans les audits,
- souvent cité dans les appels d’offres,
- apprécié pour sa granularité…
Mais : ❌ ce n’est pas une norme européenne ❌ ce n’est pas une obligation légale ❌ ce n’est pas un texte réglementaire
A lire : Amendement CS178 : la bombe à retardement qui change tout pour la cybersécurité en France
🔄 Ce que la directive change pour le CS178
🟢 Ce qui ne change pas
- Le CS178 ne disparaît pas
- Il reste un outil reconnu
- Il continue d’être utilisé comme cadre opérationnel
🟡 Ce qui évolue profondément
🔹 1. Fin du CS178 comme exception française
Avec un NIS2 clarifié et aligné au niveau européen, il devient difficile de maintenir :
- des exigences purement nationales,
- des audits déconnectés du cadre UE,
- des interprétations locales trop spécifiques.
👉 Le CS178 doit s’aligner, ou devenir marginal.
🔹 2. Le CS178 devient un guide d’implémentation
Le scénario le plus probable est le suivant :
- NIS2 = obligation légale
- CS178 = moyen recommandé de mise en œuvre
Exactement comme :
- ISO 27001
- guides ANSSI
- référentiels sectoriels
🔹 3. Convergence avec les standards internationaux
Pour rester pertinent, le CS178 devra :
- converger vers ISO 27001 / 27002
- parler le langage du Cybersecurity Act
- être compréhensible hors du périmètre français
🧠 Lecture stratégique pour DSI et RSSI
🎯 Ce que vous pouvez anticiper
- Moins de textes, mais plus d’exigence réelle
- Moins de formalisme inutile, mais plus de gouvernance
- Une attente forte sur :
- la gestion du risque
- la traçabilité
- l’implication de la direction
🚀 Opportunité à saisir
Ce nouveau cadre permet enfin de :
- structurer une cybersécurité cohérente,
- relier gouvernance, technique et conformité,
- sortir du « checkbox compliance ».
🧾 Conclusion
La proposition européenne de janvier 2026 marque un tournant :
👉 moins de complexité juridique, plus de cohérence opérationnelle.
Pour la France, c’est l’occasion :
- de réussir une transposition NIS2 mature,
- de repositionner le CS178 comme un outil utile et non punitif,
- et de donner enfin aux DSI et RSSI un cadre lisible, défendable et applicable.
La cybersécurité européenne ne devient pas plus simple. Elle devient enfin compréhensible.
📚 Sources (sélection)
- Commission européenne – Proposal for a Directive regarding simplification measures and alignment with the Cybersecurity Act
- Directive (UE) 2022/2555 – NIS2
- Règlement (UE) 2019/881 – Cybersecurity Act
- ANSSI – Référentiels et guides de cybersécurité
