Que révèle le programme 2026-2028 de l’ENISA pour la révision stratégique des PSSI ?

L’ENISA (European Union Agency for Cybersecurity) est l’agence européenne dédiée à la cybersécurité. Elle a été créée en 2004 et bénéficie depuis 2019 d’un statut renforcé par le Cybersecurity Act. Cette agence joue un rôle central dans la coordination, l’expertise et l’harmonisation des politiques de cybersécurité au sein de l’Union européenne. L’ENISA accompagne les institutions européennes, les États membres, les entreprises et les citoyens. Son but est de sécuriser le marché unique numérique et la souveraineté technologique européenne en se plaçant comme l’interlocuteur privilégié en matière de cybersécurité.

L’ENISA publie régulièrement des Single programming Documents. Ce sont des documents de planification stratégique, opérationnelle et budgétaire qui permettent de définir une feuille de route interne et externe validée par le Management Board de l’ENISA pour structurer son activité à court et moyen terme.

Depuis la mise en place du Cybersecurity Act en 2019, l’ENISA s’est vue confier des missions plus larges. Depuis, la planification stratégique et opérationnelle a gagné en importance mais aussi en formalisme. Dès lors, le SPD n’est pas un simple document informatif, mais une réelle doctrine opérationnelle européenne en matière de cybersécurité. Au-delà de fixer une direction générale européenne en matière de cybersécurité, une lecture indirecte du texte peut permettre aux acteurs de déterminer ce qui sera surveillé, ce qui sera attendu et ce qui a vocation à devenir un standard pratique. En bref, le SPD permet d’anticiper et d’être agile dans son approche stratégique à moyen terme de la cybersécurité, au plan réglementaire et opérationnel. 

La double utilité du Single Programming Document 2026-2028

Le Single Programming Document 2026-2028 n’est pas un simple document informatif ou une synthèse des actions à venir de l’ENISA mais un instrument central pour le pilotage stratégique de la cybersécurité dans l’Union européenne. Bien que ce texte ne soit pas obligatoire juridiquement, il permet d’orienter les actions en prévoyant à la fois un programme sur plusieurs années et des actions à mener pour l’année à venir. Ainsi donc le SPD 2026-2028 a une double fonction : il organise l’action d’ENISA tout en révélant la manière dont l’Union européenne entend concrètement mettre en œuvre, coordonner et informer sur la cybersécurité. Le SPD est à la fois un outil de coordination à l’échelle européenne et un mécanisme de soutien opérationnel aux États membres (production de cadres méthodologiques, de dispositifs de coopération et de capacités communes de gestion des risques et des crises cyber).

“Le document unique de programmation définit le cadre stratégique et opérationnel qui guide les travaux de l’ENISA. Il constitue avant tout un outil de planification et de gestion permettant d’aligner les objectifs stratégiques de l’agence avec la stratégie globale de l’Union européenne en matière de cybersécurité. Dans le cadre de la mise en œuvre des missions qui lui sont confiées par le Cybersecurity Act, l’ENISA agit comme centre d’expertise en cybersécurité. À ce titre, elle fournit des conseils et assistance techniques aux États membres ainsi qu’aux institutions, organes, offices et agences de l’Union. Le document présente également le programme de travail annuel de l’ENISA, détaillant les activités prévues et les indicateurs de performance. Les évolutions récentes de la législation européenne en matière de cybersécurité orientent les actions et les priorités fixées pour les années à venir.” — Point presse de l’ENISA

Au fil du temps, la structure du SPD s’est formalisée et on observe une évolution doctrinale dans la manière de le rédiger. 

• En effet, la partie consacrée à la Multiannual Programming 2026-2028 ne se limite pas à l’énoncé de priorités stratégiques : elle précise également les ressources humaines, financières et organisationnelles mobilisées, donnant à voir les domaines dans lesquels l’Union entend investir durablement.
  
• Le Work Programme 2026 – quant à lui – décline ensuite ces orientations en actions concrètes.
  
• Enfin, les annexes – organigrammes, budgets, partenariats internationaux, indicateurs de performance – participent à une forme de normalisation implicite des pratiques de cybersécurité, en rendant visibles les critères selon lesquels l’action cyber est conçue, pilotée et évaluée au niveau européen.

L’ENISA, au travers du SPD 2026-2028, nous montre un changement dans l’approche de la cybersécurité au sein du marché européen. En effet, la cybersécurité n’est plus une discipline technique, mais un environnement pluridisciplinaire où il faut concilier la partie technique avec le droit, la gouvernance, ou encore, la gestion de risque. Ce document, par l’approche pluridisciplinaire qu’il adopte, nous démontre que la priorité des acteurs de marchés doit être de décloisonner la cybersécurité et d’adopter une approche plus transversale pour sécuriser le marché. Ce décloisonnement inédit entre exigences juridiques et dispositifs techniques annonce une transformation profonde des pratiques des acteurs de marché : les politiques de sécurité, et en particulier les PSSI, sont appelées à devenir des instruments de gouvernance structurés, alignés sur les dynamiques européennes, plutôt que de simples catalogues de mesures techniques.

Dans un échange conduit avec le département Presse de l’ENISA, l’Agence nous informe que par ce document, l’ENISA a posé les priorités de son action pour les années à venir, elle aura – entre autres – le rôle de soutien aux États membres dans la mise en place des différentes politiques cyber européennes et dans l’amélioration de leur cybersécurité. Mais elle aura également un rôle clé dans la construction de liens forts entre les différentes expertises et de coordination notamment par des initiatives comme la “Single Reporting Plateform” (SRP) ou l’administration de “EU Cybersecurity Reserve”.

L’ENISA devient donc un acteur clé dont il faut suivre le travail pour comprendre la mise en place des différentes politiques de cybersécurité européennes.

Quelles sont les actions concrètes mises en œuvre par l’ENISA pour 2026-2028 ?

Le SPD 2026‑2028 ne se limite pas à poser des objectifs stratégiques : il décline également une série d’actions concrètes de l’ENISA, dont la portée dépasse largement le cadre institutionnel pour influencer directement la gouvernance de la cybersécurité au niveau des acteurs de marché. Parmi ces actions, la certification et la conformité encadrée constituent un exemple frappant. Loin d’être une simple liste de mesures techniques à appliquer, la certification européenne sert de repère légal et opérationnel, fournissant un cadre structurant pour les PSSI des entreprises et organisations. Elle définit ce qui est attendu en termes de sécurité des produits et services, guide la structuration des processus internes et crée des standards implicites qui deviennent progressivement des références de marché. Ainsi, la PSSI ne doit plus détailler chaque contrôle technique, mais aligner la gouvernance et les processus sur ce cadre légal et européen.

• Dans le domaine de la gestion des vulnérabilités et des incidents, ENISA met en place des mécanismes de signalement et de coordination qui combinent obligations légales et exigences opérationnelles. Pour les acteurs de marché, il ne s’agit pas de prescrire des configurations techniques spécifiques, mais de définir dans la PSSI qui fait quoi, comment et quand. La responsabilité de chaque acteur, la chaîne décisionnelle et le processus de traitement des incidents deviennent centraux, tandis que les détails techniques restent intégrés dans les procédures opérationnelles et les outils internes. Cette approche met en lumière la transition vers une cybersécurité où la conformité et l’opérationnel sont étroitement liés : les entreprises doivent pouvoir démontrer la gouvernance et la traçabilité de leurs actions, indépendamment des choix technologiques.

• La gestion de crise cyber, portée par le Cyber Blueprint, illustre une logique comparable. Les exercices, la coordination et la communication planifiés par ENISA fournissent un cadre structurant pour la gouvernance de crise, mais ne constituent pas un manuel technique. La PSSI doit définir les rôles, responsabilités et circuits de décision, permettant à l’organisation de réagir efficacement sans entrer dans le détail des réponses techniques. Les crises sont donc appréhendées comme un enjeu organisationnel et légal, plutôt que comme un problème exclusivement informatique.

• Enfin, la veille stratégique et prospective est conçue comme un instrument décisionnel et légal. ENISA encourage les acteurs de marché à intégrer la veille non pas comme un flux d’alertes techniques, mais comme un processus permettant d’anticiper les risques, d’aligner les décisions et de se conformer aux évolutions légales. Dans ce cadre, la PSSI devient le document qui formalise ce processus : identification des signaux faibles, priorisation des risques, responsabilité des décideurs et articulation avec les obligations européennes. L’ensemble de ces actions traduit une mutation fondamentale : la cybersécurité n’est plus uniquement une affaire de technique ou de conformité isolée, mais une discipline intégrée où les PSSI structurent la gouvernance, la conformité et la prise de décision, en cohérence avec les initiatives européennes et les standards émergents.

En outre, l’ENISA accueillera dans son agenda de travail et elle sera proactive concernant les travaux liés au Package Omnibus “Digital” et au Cybersecurity Act 2, nous informe le département Presse de l’ENISA dans les échanges en vue de la rédaction de cet article.

Les conséquences juridiques et techniques pour les acteurs de marché

Les enseignements du SPD 2026‑2028 et des initiatives européennes associées mettent en évidence une transformation profonde du rôle et de la portée des PSSI dans les entreprises et organisations. La première conséquence majeure est que la PSSI ne doit plus être conçue comme un catalogue détaillé de contrôles techniques, mais comme un cadre général et légal. Elle se limite aux principes opérationnels et juridiques essentiels, en définissant la gouvernance, les rôles et responsabilités, les processus décisionnels, et les liaisons avec les obligations légales et initiatives numériques européennes, telles que le SPD, ENISA, le Cyber Resilience Act ou d’autres directives sectorielles. La PSSI devient ainsi un instrument de structuration de la cybersécurité, garantissant que les décisions techniques sont intégrées dans un cadre organisationnel cohérent et conforme, plutôt qu’une juxtaposition de configurations IT.

L’alignement avec les initiatives numériques et européennes renforce cette approche. Le SPD, par sa structuration et ses priorités, sert de modèle de référence pour définir les processus de gouvernance et les obligations opérationnelles. D’autres initiatives comme le programme Cyber Solidarity, l’European Digital Identity ou le Cyber Resilience Act constituent des repères légaux et opérationnels supplémentaires qui permettent aux organisations de calibrer leurs PSSI de manière proactive et harmonisée. Cette convergence transforme la PSSI en un outil stratégique capable de relier la conformité réglementaire aux décisions opérationnelles, plutôt que de se limiter à un exercice de conformité bureaucratique.

Dans ce contexte, le rôle du RSSI évolue profondément. Il devient le pilote opérationnel et stratégique, agissant comme interface entre la technique et le juridique, coordonnant la veille, la réponse aux incidents et le reporting vers la direction et les autorités compétentes. La PSSI, en tant que document cadre, ne détaille pas les contrôles techniques, mais formalise la gouvernance, la chaîne de décision et la circulation de l’information. Elle permet ainsi au RSSI de traduire les obligations légales et les priorités stratégiques européennes en directives opérationnelles claires, tout en laissant la flexibilité nécessaire pour adapter les choix technologiques aux risques spécifiques de l’organisation.

Enfin, ces transformations dessinent plusieurs tendances majeures pour les acteurs de marché. La convergence entre juridique et technique signifie que les PSSI “IT-first” ou “compliance-first” appartiennent au passé : elles doivent désormais intégrer simultanément les dimensions légale, stratégique et opérationnelle. Le cadre général de la PSSI sera structuré par les initiatives numériques européennes, et la veille doit devenir un processus légal et décisionnel, plutôt qu’un simple flux technique. Les exercices et simulations de crise cyber doivent également être définis dans ce cadre légal et organisationnel, garantissant que l’entreprise est capable de réagir efficacement aux incidents tout en respectant les exigences réglementaires, sans transformer la PSSI en manuel opérationnel IT. Cette approche permet d’anticiper les évolutions futures, de renforcer la résilience organisationnelle et de transformer la cybersécurité en un levier stratégique, aligné sur les standards et orientations européennes.