Dans le cadre du règlement sur la cybersécurité (Cybersecurity act, ou CSA), la Commission européenne a publié un programme de travail glissant de l'Union (« Union Rolling Work Programme », ci-après « URWP ») concernant la certification européenne de cybersécurité. En outre, l'article 47, paragraphe 2, du CSA exige que l’URWP comprenne notamment une liste de produits TIC, de services TIC et de processus TIC ou de catégories de ceux-ci qui sont susceptibles de bénéficier d'une inclusion dans le champ d'application d'un schéma européen de certification de cybersécurité.
Ce premier URWP souligne les domaines dans lesquels des schémas européens de certification de cybersécurité sont envisagés en raison des évolutions législatives ainsi que les domaines de réflexion future concernant la certification de cybersécurité, qui pourraient éventuellement conduire à des demandes de nouveaux schémas lorsque cela est nécessaire et approprié. En outre, il présente les priorités stratégiques à prendre en compte lors de l’élaboration de tout schéma européen de certification de cybersécurité. À cette fin, des initiatives législatives ont été prises en compte. En particulier, tout futur schéma européen de certification de cybersécurité devrait pleinement prendre en compte les exigences et règles essentielles du « Cyber Security Resilience Act » (« CRA »), ainsi que les travaux d’élaboration de normes connexes. De même, tout futur projet lié aux portefeuilles européens d’identité numérique devrait s’appuyer sur les normes et spécifications techniques développées dans le cadre du règlement européen sur l’identité numérique.
Les aspects ci-dessous sont développés plus en détail dans l’URWP :
- Priorités stratégiques pour les futurs schémas européens de certification de cybersécurité
- Standardisation
- Sécurité dès la conception, sécurité du cycle de vie et sécurité par défaut
- Assurance de cybersécurité basée sur les risques
- Cohérence, « composabilité » et processus communs
- Coopération internationale
- Mesure de l’efficacité du schéma de certification et de son amélioration au fil du temps
- Domaines de future certification européenne de cybersécurité
- Demandes éventuelles liées aux évolutions législatives
- Certification des portefeuilles européens d’identité numérique
- Certification des services de sécurité managés
- Autres pistes de réflexion concernant la certification cybersécurité
- Axes de réflexion liés au « CRA »
- Internet des objets, systèmes de contrôle d'automatisation industrielle
- Cycle de vie de développement sécurisé
- Mécanismes cryptographiques
- Évaluations à temps fixe
- Axes de réflexion liés au « CRA »
- Demandes éventuelles liées aux évolutions législatives