Cybersecurity Act

Le Règlement (UE) 2019/881 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, plus connu sous le nom de « Cybersecurity Act - CSA », est entré en vigueur le 27 juin 2019.

 

Après la directive (UE) 2016/1148 (directive NIS - Network and Informations System Security), qui a comme objectif d’apporter des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, les institutions européennes poursuivent leurs efforts législatifs en matière de cybersécurité avec l’entrée en vigueur du Cybersecurity Act.

Le Cybersecurity Act peut être divisé en deux parties :

  • D’un côté, l’ENISA voit son rôle dans le domaine de la cybersécurité renforcé. Elle dispose désormais d’un mandat permanent visant à effectuer différentes tâches, comprenant notamment la mise en place et le maintien d’un cadre européen de certification de cybersécurité.

  • D’un autre côté, ce règlement défini un cadre européen de certification de cybersécurité, qui fixe des règles pour le développement de schémas de certification de cybersécurité pour différentes catégories de produits, services et processus des Technologies de l’Information et de la Communication (TIC). Chaque schéma spécifiera, entre autres, le type ou les catégories de produits, services et processus TIC couverts, l’objet, les normes de sécurité à respecter et les méthodes d’évaluation. Ces schémas indiqueront également la période de validité des certificats délivrés.

Pour répondre aux demandes de la Commission Européenne pour l’élaboration de schémas de certification, une structure de gouvernance comprenant la création de groupes d'experts a été mis en place :

  • Le groupe européen de certification de cybersécurité (ECCG – European Cybersecurity Certification Group), composé de représentants des États membres ;

  • Le groupe des parties prenantes pour la certification de cybersécurité (SCCG – Stakeholder Cybersecurity Certification Group), qui conseille la Commission et l'ENISA.

L'ENISA, à la demande de la Commission Européenne ou du ECCG, est en charge de la préparation des schémas de certification qui seront ensuite adoptés par la Commission au moyen d'actes d'exécution. L’ENISA procédera à une évaluation de ces schémas au moins tous les cinq ans et pourra lancer un processus de révision si nécessaire. Un site Internet dédié sera mis en place par l’ENISA pour informer le public des schémas de certification existants et des certificats délivrés. Une liste des schémas qui ne seront plus applicables et des certificats retirés ou expirés sera également disponible sur ce site.

La certification de cybersécurité selon les schémas adoptés par la Commission pourra soit être réalisée par un organisme d’évaluation de la conformité, soit, pour les produits présentant un niveau de risque faible, faire l’objet d’une autoévaluation de la conformité, sous la seule responsabilité du fabricant ou du fournisseur de produits, services ou processus TIC.

 

L’impact du Cybersecurity Act au Luxembourg

Le Cybersecurity Act vise à renforcer la confiance dans le secteur des TIC dans le marché intérieur de l’Union européenne. Au Luxembourg, ce secteur joue un rôle majeur dans la société, contribuant tant au développement de l’économie qu’à la sécurité et au bien-être des citoyens. Il a par ailleurs un impact important sur d’autres secteurs qui assurent le bon fonctionnement du pays, tels que l’éducation, la santé, les transports, les finances ou encore l’énergie. L’exécution du Cybersecurity Act impacte directement les parties prenantes nationales suivantes :

  • Les fabricants et fournisseurs de produits, services et processus TIC ;

  • Les utilisateurs des produits, services et processus TIC (par exemple les citoyens, les entreprises, les organismes publiques) ;

  • Les organismes d’évaluation de la conformité ;

  • Les laboratoires de test ;

  • L’autorité nationale d’accréditation (OLAS) ; et

  • L’autorité de certification de cybersécurité nationale (Département de la confiance numérique de l’ILNAS).

 

Le rôle de l’ILNAS dans le cadre du Cybersecurity Act

L’ILNAS joue un rôle majeur dans l’exécution de ce nouveau règlement européen et est en train d’opérer les adaptations nécessaires pour satisfaire les nouvelles dispositions légales qu’il introduit.

  • Premièrement, l’OLAS, l’autorité nationale d’accréditation, offre des services d’accréditation aux organismes d’évaluation de la conformité, ainsi qu’aux laboratoires de test, pour que ceux-ci puissent effectuer des évaluations de conformité des fabricants et fournisseurs des produits, services et processus TIC selon le Cybersecurity Act.

  • Deuxièmement, le Département de la confiance numérique de l’ILNAS s’est vu attribuer des missions concernant l’exécution du Cybersecurity Act au plan national. Il a été nommé membre du groupe européen de certification de cybersécurité (ECCG) en novembre 2019 et a été désigné autorité nationale de certification de cybersécurité (NCCA – National Cybersecurity Certification Group) en avril 2020.

  • Troisièmement, le département normalisation de l’Agence pour la normalisation et l’économie de la connaissance (G.I.E. ANEC) offre un support technique au Département confiance numérique.

Le Cybersecurity Act exige aussi que l’autorité nationale de certification applique et supervise les règles liées aux schémas de certification de cybersécurité en coopération avec d’autres autorités nationales de la surveillance du marché.

 

Quels types de schémas de certification seront disponibles ?

L’ENISA a publié son premier schéma candidat le 2 juillet sur son site Internet. Ce schéma, intitulé EUCC (Common Criteria based European candidate cybersecurity certification scheme), concerne la certification de cybersécurité des produits TIC qui se basent sur les critères communs, tels que les pares-feux, les dispositifs de signature électronique, smartphones, cartes bancaires, etc. des critères communs. Le EUCC vise à succéder aux schémas existants fonctionnant dans le cadre du SOG-IS MRA.

Actuellement, l’ENISA travaille aussi en collaboration avec un groupe de travail ad hoc sur un schéma de certification de cybersécurité des services « cloud ». L’achèvement des travaux sur ce schéma est prévu pour la fin de l’année 2020. D’autres propositions de schémas seront publiées dans un programme de travail glissant de l’Union européenne en octobre 2020 par la Commission européenne.

L’ILNAS, à travers son Département de la confiance numérique, participe activement au groupe de travail ad hoc pour le développement du schéma de certification de cybersécurité des services « cloud ».

 

Mon entreprise offre des services qui sont couverts par un schéma de certification. Ces services doivent-ils obligatoirement être certifiés ?

A ce jour, une certification ou une déclaration de conformité reste volontaire, sauf disposition contraire du droit de l’Union européenne ou du droit nationale d’un État membre. Toutefois, la Commission européenne évaluera régulièrement les schémas de certification en place pour les services, produits ou processus TIC, afin de vérifier s’ils doivent être rendus obligatoires (la première évaluation interviendra au plus tard le 31 décembre 2023).

Si vous souhaitez davantage d’informations ou si vous êtes intéressés pour faire certifier vos produits, services et processus TIC, n’hésitez pas à nous envoyer un e-mail à l’adresse confiance-numerique@ilnas.etat.lu.

Dernière mise à jour