L’ENISA (l’Agence de l’Union européenne pour la cybersécurité) a mis en ligne un nouveau mini-site portant sur les évolutions de la certification en cybersécurité dans le cadre du Règlement européen 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des Technologies de l’Information et des Communications (TIC), connu sous le nom de Cybersecurity Act, ou CSA. L’objectif du site est de promouvoir et de diffuser des informations sur la certification en cybersécurité, afin de tenir le marché au courant des opportunités à saisir en la matière.
Le mini-site fournit des informations portant notamment sur :
- L’intérêt de la certification non-seulement en général, mais aussi en soutien aux actes législatifs européens en vigueur (tel que la directive NIS 2) ou à venir (tels que la révision proposée du règlement eIDAS ou le Cyber Resilience Act) ;
- Les schémas de certification actuellement en développement ainsi que le processus de développement lui-même ; et
- Les évènements en lien organisés par l’ENISA.
Il indique également aux parties prenantes intéressées comment elles peuvent s’impliquer dans le processus d’élaboration des schémas, que cela soit en se proposant de faire partie des Ad Hoc Working Groups de l’ENISA, en commentant sur les projets de schémas en enquête publique, ou en contribuant à la normalisation technique sous-jacente.
A ce jour, trois schémas de certification sont en cours d’élaboration :
- Le European Cybersecurity Certification Scheme on Common Criteria (EUCC), qui cible tout produit TIC, et couvre les niveaux d’assurance ‘substantiel’ et ‘élevé’. Finalisé, mais en attente de l’acte d’implémentation le lançant, il se base sur la série de normes internationales ISO/IEC 15408 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security ;
- Le European Certification Scheme for Cloud Services (EUCS), pour les services d’informatique en nuage. Encore à l’état de projet, il proposerait des certifications aux niveaux d’assurance ‘élémentaire’, ‘substantiel’ et ‘élevé’ ; et
- Le European Cybersecurity Certification Scheme for 5G (EU5G), portant sur des équipements de télécommunication 5G. Une première version de ce schéma pour consultation publique est prévue pour l’été 2023.
A terme, le mini-site pointera également vers les actes d’implémentation des schémas, et listera également l’ensemble des produits, services et processus certifiés, ainsi que les certificats eux-mêmes.
Rappelons que dans le cadre du CSA, l’ILNAS a été désigné autorité nationale de certification de cybersécurité (ANCC) comme responsable des tâches de supervision au Luxembourg. Pour toute question relative au CSA ou aux schémas de certification associés, n’hésitez-pas à nous contacter à l’adresse suivante : supervision-cybersecurite@ilnas.etat.lu.