Le Règlement (UE) 2019/881 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, plus connu sous le nom de « Cybersecurity Act », est entré en vigueur le 27 juin 2019.
Renommée « Agence de l’Union européenne pour la cybersécurité », l’ENISA voit son rôle dans le domaine de la cybersécurité renforcé par le Cybersecurity Act. Elle dispose désormais d’un mandat permanent visant à effectuer différentes tâches, comprenant notamment la mise en place et le maintien d’un cadre européen de certification de cybersécurité.
Dans le cadre, plusieurs schémas de certification seront créés pour différentes catégories de produits, processus et services des Technologies de l’Information et de la Communication (TIC). Chaque schéma spécifiera, entre autres, le type ou les catégories de produits, services et processus TIC couverts, l’objet, les normes de sécurité à respecter et les méthodes d’évaluation. Les schémas indiqueront également la période de validité des certificats délivrés.
Pour répondre aux demandes de la Commission Européenne pour l’élaboration de schémas de certification, l’ENISA a mis en place une structure de gouvernance comprenant la création de groupes d'experts :
- Le groupe européen de certification de cybersécurité (ECCG), composé de représentants des États membres ;
- Le groupe des parties prenantes pour la certification de cybersécurité (SCCG), qui sera chargé de conseiller la Commission et l'ENISA.
L'ENISA, à la demande de la Commission Européenne ou du ECCG, préparera les schémas de certification qui seront ensuite adoptés par la Commission au moyen d'actes d'exécution. Ces derniers seront évalués au moins tous les cinq ans par l’ENISA, qui informera le public sur les schémas de certification et les certificats délivrés via un site Internet dédié, qui fournira également une liste des schémas qui ne sont plus valables et des certificats retirés ou expirés.
Parallèlement à la certification par des tiers, une autoévaluation de la conformité, sous la seule responsabilité du fabricant ou du fournisseur de produits, services ou processus TIC, sera également possible pour les produits présentant un niveau de risque faible.
En novembre l’ILNAS a été nommé membre du groupe européen de certification de cybersécurité (ECCG) qui a comme tâche d’assister l’ENISA et la Commission européenne.