L'Agence européenne pour la cybersécurité (ENISA) a publié son premier schéma candidat, développé dans le cadre du règlement (UE) 2019/881 sur la cybersécurité (« Cybersecurity Act – CSA »). Ce dernier, intitulé EUCC (Common Criteria based European candidate cybersecurity certification scheme), concerne la certification de la cybersécurité des produits TIC.
Le nouveau schéma de certification de cybersécurité EUCC vise à succéder aux schémas existants fonctionnant dans le cadre du SOG-IS MRA. Il concerne la certification de cybersécurité des produits TIC tels que les pare-feux, les dispositifs de signature électronique, les smartphones, les cartes bancaires et se base sur les critères communs, la méthodologie commune d'évaluation de la sécurité des technologies de l'information et les normes correspondantes, respectivement ISO/IEC 15408 et ISO/IEC 18045. Il s’agit du premier schéma candidat développé dans le cadre du Cybersecurity Act.
L’EUCC entend améliorer la cybersécurité des produits TIC du marché intérieur de l'Union Européenne (UE), et impacter positivement l’ensemble des services et processus TIC qui reposent sur ces produits. Les principales caractéristiques de l’EUCC sont les suivantes :
Il est basé sur le SOG-IS MRA et les critères communs et intègre des règles de transition ;
Il est applicable aux produits TIC ;
Il couvre les niveaux d'assurance « substantiel » et « élevé » ;
La validité du certificat est de cinq ans et peut être renouvelée ;
Il permet une certification composite (c’est-à-dire la réutilisation de certifications pour une évaluation de cybersécurité des différentes composantes d’un produit TIC, par exemple une certification d’une composante matérielle pourra être réutilisée pour une évaluation d’une composante logicielle qui y est associée) ;
Il bénéficie d’une reconnaissance dans tous les États membres de l'UE ;
Il s’agit d’un schéma à caractère volontaire ;
Il propose des conditions harmonisées pour le traitement et la divulgation des vulnérabilités ;
Il établit des règles claires en matière de surveillance et de traitement des cas de non-conformité ;
Il introduit un nouveau mécanisme de gestion des correctifs pour soutenir le traitement des vulnérabilités ;
Il utilise un label basé sur un cadre et un QR code pour garantir un accès facile à des informations précises sur la certification.
L’ILNAS a été désigné autorité nationale de certification de cybersécurité (NCCA – National Cybersecurity Certification Authority) au Luxembourg dans le cadre du Cybersecurity Act. L’ILNAS est également membre du groupe européen de certification de cybersécurité (ECCG) qui a participé au développement de l’EUCC.