Après avoir été nommé membre du groupe européen de certification de cybersécurité (ECCG – European Cybersecurity Certification Group) en novembre 2019, l’ILNAS a été désigné comme autorité nationale de certification de cybersécurité (NCCA – National Cybersecurity Certification Authority) au Luxembourg dans le cadre du règlement (UE) 2019/881 sur la cybersécurité (« Cybersecurity Act »). Pour s’adapter à ces changements, l’ILNAS effectuera des analyses et mettra à jour son système de management de la qualité pour offrir les meilleurs services aux parties intéressées et pour assurer l’exécution de ses nouvelles missions conformément à ce règlement.
Quelles sont les missions d’une autorité nationale de certification de cybersécurité ?
Les missions d’une autorité nationale de certification de cybersécurité sont spécifiées dans l’Article 58 du règlement sur la cybersécurité. Les missions principales de ce règlement se composent comme suit :
- Appliquer, superviser et faire respecter les règles en relation avec les différents schémas européens de certification de cybersécurité (cf. Art. 53 et Art. 54) ;
- Coopérer avec d’autres organismes de la surveillance du marché ;
- Collaborer activement avec l’organisme national d’accréditation (OLAS) pour superviser et contrôler les activités des organismes d’évaluation de la conformité (CAB) ;
- Collaborer avec la Commission européenne et avec les autres autorités nationales de certification de cybersécurité pour l’amélioration continue des schémas de certification ; et
- Participer au groupe européen de certification de cybersécurité (ECCG) d’une manière active et efficace.
Une autre mission d’envergure de l’autorité nationale de certification de cybersécurité est la délivrance des certificats pour le niveau d’assurance « élevé ». Celle-ci pourra, néanmoins, être déléguée vers un organisme d’évaluation de la conformité sous les conditions spécifiées dans l’Art. 56-6.
Quels types de schémas de certification seront disponibles ?
Actuellement, l’ENISA travaille en collaboration avec des experts de différents secteurs sur deux schémas de certification de cybersécurité différents, concernant notamment les critères communs (« Common Criteria ») et les services « cloud ». D’autres propositions de schémas de certification seront publiées dans un programme de travail glissant de l’Union européenne le 28 juin 2020 au plus tard. L’ILNAS, à travers son département de la Confiance Numérique, participe activement dans le groupe de travail pour le développement du schéma de certification des services « cloud ».
Mon entreprise offre des services qui sont couverts par un schéma de certification. Ces services doivent-ils obligatoirement être certifiés ?
A ce jour, une certification ou une déclaration de conformité reste volontaire, sauf disposition contraire du droit de l’Union européenne ou du droit d’un État membre. Toutefois, la Commission européenne évaluera régulièrement les schémas de certification en place pour les services, produits ou processus de technologies de l’information et de la communication (TIC), afin de vérifier s’ils doivent être rendus obligatoires (la première évaluation interviendra au plus tard le 31 décembre 2023).
Quand est-ce que le règlement sur la cybersécurité entrera en vigueur ?
Bien que ce règlement soit déjà entré en vigueur le 27 juin 2019, les parties liées aux schémas de certification ne seront applicables qu’à partir du 28 juin 2021.
En tant qu’autorité nationale de certification de cybersécurité, l’ILNAS suit activement le développement des travaux effectués dans le cadre de ce règlement afin de répondre aux besoins et aux attentes des parties intéressées de manière effective et efficiente. Si vous souhaitez davantage d’informations ou si vous êtes intéressés pour faire certifier vos produits, services et processus TIC, n’hésitez pas à nous envoyer un e-mail à l’adresse confiance-numerique@ilnas.etat.lu.