Le 7 juillet 2026, la Commission européenne a présenté un plan d'action de l'UE sur la cybersécurité et l'intelligence artificielle. Cette communication non contraignante (IP/26/1544) articule l'AI Act, le Cyber Resilience Act (CRA) ainsi que les règles de cybersécurité NIS2 et RED autour d'une feuille de route opérationnelle unique, destinée aux équipes de conformité des produits connectés. Ce plan intervient 26 jours avant l'entrée en application, le 2 août 2026, des obligations de l'AI Act relatives à l'IA à usage général (GPAI) et de la plupart des dispositions concernant les systèmes à haut risque. Il indique également où l'ENISA, le Bureau de l'IA et le Centre commun de recherche (JRC) concentreront leurs capacités de supervision et de test jusqu'en 2027.
Pour les fabricants d'équipements radioélectriques, de télécommunications et d'équipements électriques qui s'adaptent déjà aux exigences de cybersécurité de l'article 3.3(d)-(f) de la directive RED, en vertu du règlement délégué (UE) 2022/30 et de la norme harmonisée EN 18031, ce plan d'action constitue un signal prospectif et non une nouvelle obligation légale. Il précise aux équipes chargées de l'évaluation de la conformité quels contrôles liés à l'IA, quels canaux d'évaluation et quelles infrastructures de test sécurisées seront privilégiés par les autorités de contrôle entre 2026 et 2027, et où la Commission attend des investissements immédiats de la part de l'industrie.
Ce que le plan d'action change concrètement pour la conformité des produits connectés
La communication n'introduit aucune nouvelle règle contraignante. Sa portée est avant tout opérationnelle : elle engage la Commission, l'ENISA et le JRC à fournir quatre livrables concrets que les équipes de conformité des produits connectés doivent suivre et, le cas échéant, intégrer à leurs programmes de préparation à l'AI Act et au CRA.
- Une capacité d'évaluation de l'UE pour la cybersécurité de l'IA, établie via un appel dédié et censée être opérationnelle en 2027. Elle alimentera l'évaluation par des tiers, menée par le Bureau de l'IA, des capacités et des risques des modèles avancés, en complément du Code de bonnes pratiques GPAI qui devient contraignant le 2 août 2026.
- Un schéma directeur européen (Blueprint) de l'ENISA pour un accès structuré aux capacités d'IA avancées, offrant aux organisations européennes publiques et privées des conditions transparentes pour accéder aux modèles les plus performants dans le cadre de cas d'usage liés à la cybersécurité.
- Une plateforme de test sécurisée JRC-ENISA dédiée à la cybersécurité de l'IA, incluant des environnements simulés, destinée aux opérateurs des secteurs critiques (finance, énergie, santé, transports, administration publique).
- Un grand défi de l'UE (Grand Challenge) sur l'IA pour la cybersécurité, ainsi que des partenariats facilités par l'ENISA entre les autorités, les entreprises et les communautés open source, comprenant notamment une campagne de sécurisation des logiciels open source critiques.
Aucun de ces éléments ne remplace une évaluation de la conformité pour le marquage CE au titre de la directive RED ou du CRA. Il s'agit des capacités du secteur public sur lesquelles les autorités de surveillance s'appuieront lors de l'évaluation des fonctionnalités basées sur l'IA intégrées aux produits connectés, et avec lesquelles les fournisseurs peuvent interagir volontairement avant que les obligations ne deviennent contraignantes.
Qui est concerné, et pour quand
Les responsables de la conformité et les responsables de la cybersécurité des produits chez les fabricants européens d'équipements radioélectriques, de télécommunications et d'équipements électriques connectés constituent le principal public industriel visé, aux côtés des entités essentielles et importantes au titre de la directive NIS2. Les échéances contraignantes autour desquelles s'articule le plan d'action restent inchangées mais sont très rapprochées :
| Date | Obligation en vigueur | Instrument |
|---|---|---|
| 2 août 2026 | Entrée en application des obligations GPAI et de la plupart des dispositions de l'AI Act relatives aux systèmes à haut risque ; conformité attendue au Code de bonnes pratiques GPAI | Règlement (UE) 2024/1689 (AI Act) |
| 2 août 2026 | Exigences de cybersécurité de l'article 3.3(d)-(f) de la directive RED déjà applicables depuis le 1er août 2025 ; présomptions de conformité via la norme EN 18031 | Règlement délégué (UE) 2022/30 |
| Fin 2027 | Application intégrale du Cyber Resilience Act : sécurité dès la conception, signalement des vulnérabilités et des incidents, conformité pour le marquage CE des produits comportant des éléments numériques | Règlement (UE) 2024/2847 (CRA) |
| 2027 | Capacité d'évaluation de l'UE pour la cybersécurité de l'IA opérationnelle | Engagement du plan d'action (non contraignant) |
Pour un fournisseur d'équipements radioélectriques ou d'appareils connectés mettant sur le marché de l'UE une fonctionnalité basée sur l'IA, la séquence pratique est la suivante : conformité à l'AI Act pour le composant à haut risque à partir du 2 août 2026, conformité à la cybersécurité RED pour l'interface radio déjà en vigueur, et conformité au CRA pour les éléments numériques du produit d'ici la fin 2027. Le plan d'action ne modifie pas ces dates ; il vous indique quels organismes de l'UE seront disponibles pour vous accompagner à chaque étape.
Ce que les équipes de conformité doivent faire dès maintenant
Premièrement, cartographiez chaque fonctionnalité basée sur l'IA de votre portefeuille de produits radioélectriques, de télécommunications ou électriques par rapport aux niveaux de risque de l'AI Act et aux exigences essentielles de cybersécurité de l'article 3.3(d)-(f) de la directive RED. Lorsqu'une fonctionnalité est qualifiée de haut risque, l'évaluation de la conformité et la documentation relative à la gestion des risques doivent être prêtes avant le 2 août 2026, et non après. Deuxièmement, préparez votre dossier de préparation au CRA le plus tôt possible : les processus de signalement des vulnérabilités et des incidents, la rigueur de la nomenclature logicielle (SBOM) et les preuves de sécurité dès la conception seront tous examinés dans le cadre de l'entrée en application du CRA en décembre 2027, et la plateforme de test du Bureau de l'IA et de l'ENISA est conçue pour interroger ces preuves pour les composants intégrant de l'IA. Troisièmement, suivez le schéma directeur (Blueprint) de l'ENISA et l'appel relatif à la capacité d'évaluation de l'UE à mesure qu'ils passent du stade d'engagement à celui de livrable, et envisagez de solliciter votre laboratoire d'essais ou votre organisme notifié en amont, car les capacités seront limitées à l'approche de 2027.
La veille réglementaire continue par juridiction d'Obsidian fait remonter les communications de la Commission, les orientations de l'ENISA et les mises à jour des normes harmonisées dès leur publication, permettant ainsi à une équipe de conformité des produits connectés d'intégrer chaque nouveau livrable dans son dossier de préparation sans avoir à répéter manuellement les mêmes vérifications quotidiennes.
Profitez de cette veille en temps réel
Prochaines étapes pour les responsables de la conformité : confirmez votre posture de conformité à l'AI Act pour le 2 août 2026 concernant chaque fonctionnalité à haut risque, informez votre organisme notifié et votre partenaire de test en cybersécurité des quatre livrables du plan d'action, et intégrez dès maintenant l'échéance de décembre 2027 du CRA dans les revues de votre feuille de route produit, sans attendre la rentrée de septembre.


