Le Règlement (UE) 2019/881 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, plus connu sous le nom de « Cybersecurity Act - CSA », est en vigueur depuis le 27 juin 2019.
En vue de renforcer la résilience de l’Europe face aux cybermenaces, les institutions européennes poursuivent leurs efforts législatifs en matière de cybersécurité avec l’entrée en vigueur du Cybersecurity Act. Ce règlement vise à assurer le bon fonctionnement du marché intérieur en apportant un niveau élevé de cybersécurité et de confiance aux produits, services et processus des Technologies de l'information et de la communication (TIC).
Le Cybersecurity Act traite en particulier deux sujets :
- Le renforcement du rôle de l’ENISA dans le domaine de la cybersécurité. Elle dispose désormais d’un mandat permanent visant à effectuer différentes tâches, comprenant notamment la mise en place et le maintien d’un cadre européen de certification de cybersécurité.
- La définition d’un cadre européen de certification de cybersécurité, qui fixe des règles horizontales pour le développement de schémas de certification de cybersécurité pour différentes catégories de produits, services et processus des TIC. Chaque schéma de certification spécifiera, entre autres, le type ou les catégories de produits, services et processus TIC couverts, l’objet, les normes et les méthodes d’évaluation. Ces schémas indiqueront également la période de validité des certificats délivrés.
Pour soutenir la Commission européenne et l’ENISA dans leurs activités stratégiques et de gouvernance du Cybersecurity Act et des schémas de certification, les deux groupes d’experts suivants ont été créés :
- Le GECC - Groupe Européen de Certification de Cybersécurité (Eng : ECCG – European Cybersecurity Certification Group), composé de représentants des États membres et d’autres autorités nationales compétentes ;
- Le Groupe des Parties Prenantes pour la Certification de Cybersécurité (Eng : SCCG – Stakeholder Cybersecurity Certification Group), composé par des experts de différents secteurs.
Les activités opérationnelles sont assurées par les ANCC – Autorités Nationales de Certification de Cybersécurité (Eng : NCCA – National Cybersecurity Certification Authority) dans les Etat membre, qui, dans des conditions spécifiques, délivrent des certificats, ou encore qui assurent la supervision et le contrôle de la bonne application des règles par les différents acteurs.
La coordination des activités est assurée par la Commission européenne avec le support de l’ENISA.
L’application du Cybersecurity Act au Luxembourg
Le Cybersecurity Act est un acte juridique applicable au niveau de l’Union européenne. La mise en œuvre des dispositions est donc obligatoire par tous les Etats membres. De plus, les Etats membres devront définir des règles spécifiques dans leur droit national pour assurer la bonne application du règlement, par exemple concernant les sanctions ou le retrait de certificats.
Le Cybersecurity Act vise à renforcer la confiance dans le secteur des TIC du marché intérieur de l’Union européenne. Au Luxembourg, le secteur des TIC joue un rôle majeur dans la société, contribuant tant au développement de l’économie qu’à la sécurité et au bien-être des citoyens. Il a par ailleurs un impact important sur d’autres secteurs qui assurent le bon fonctionnement du pays, tels que l’éducation, la santé, les transports, les finances, ou encore l’énergie.
A noter que les services de certification des produits, services ou processus TIC, selon un schéma de certification, pourront débuter vingt jours suite à la publication de l’acte d’exécution relatif à ce schéma de certification au journal officiel de l’Union européenne.
Les acteurs du processus de certification
Les acteurs qui interviennent dans le processus de certification sont définis dans le Cybersecurity Act :
- Les fabricants et fournisseurs de produits, services et processus TIC ;
- L’autorité nationale de certification de cybersécurité, ayant les missions de certification ;
- Les organismes d’évaluation de la conformité privés et publics ;
- Les laboratoires de test ;
- L’autorité nationale d’accréditation (OLAS au Luxembourg).
Les activités de certification sont supervisées par l’autorité nationale de certification de cybersécurité qui est responsable pour la mission de supervision. Au Luxembourg, l’autorité compétente pour exécuter cette mission de supervision est le Service de l’autorité nationale de certification de cybersécurité de l’ILNAS.
Les rôles et responsabilités exactes de chaque acteur seront spécifiés dans chaque schémas de certification.
Qu’est-ce qu’un schéma européen de certification de cybersécurité ?
Chaque domaine technique pertinent pour le bon fonctionnement et la sécurité du marché intérieur de l’UE, comme le « Cloud » ou la 5G, est soumis à une évaluation de la part de la Commission européenne pour déterminer si un schéma européen de certification de cybersécurité pourra contribuer à l’évolution du marché existant.
Un schéma est, selon le Cybersecurity Act, « un ensemble complet de règles, d’exigences techniques, de normes et de procédures qui sont établies à l’échelon de l’Union et qui s’appliquent à la certification ou à l’évaluation de la conformité de produits TIC, services TIC ou processus TIC spécifiques ». De plus, chaque schéma défini des objectifs de sécurité en se basant sur les critères de sécurité, c’est-à-dire la confidentialité, la disponibilité, l’intégrité et l’authenticité. D’une manière générale, chaque schéma répond aux dispositions de l’article 54 du Cybersecurity Act.
L'ENISA, à la demande de la Commission européenne ou du ECCG, est en charge de la préparation des schémas de certification, qui seront ensuite adoptés par la Commission au moyen d'actes d'exécution. Le processus prévoit, pour la préparation de chaque schéma de certification, qu’un nouveau groupe de travail « ad hoc » soit mis en place par l’ENISA. Ils sont composés d’experts qui ont une expérience significative dans le domaine du schéma de certification concerné.
Un schéma devient officiel vingt jours suite à sa publication au journal officiel de l’Union européenne en tant qu’acte d’exécution. Avant cela, il est dénommé « schéma candidat », afin de différencier les schémas en cours de préparation des schémas officiels.
Le Cybersecurity Act prévoit que l’ENISA procède à une évaluation de ces schémas au moins tous les cinq ans et qu’elle lance un processus de révision si nécessaire. Un site internet dédié sera mis en place par l’ENISA pour informer le public, notamment de la publication des schémas de certification existants, des certificats délivrés et des déclarations de conformité. Une liste présentant les schémas de certification nationaux qui ont été remplacés par des schémas de certification européen, ou encore les certificats retirés ou expirés sera également disponible sur ce site internet.
Certifications obligatoires ou volontaires ?
A ce jour, une certification ou une déclaration de conformité reste volontaire, sauf disposition contraire du droit de l’Union européenne ou du droit national d’un État membre. La Commission européenne évaluera à des intervalles planifiés la nécessité de rendre des certificats obligatoires. Une première évaluation interviendra au plus tard le 31 décembre 2023.
Niveaux d’assurance des schémas européen de certification de cybersécurité
Le Cybersecurity Act définit 3 niveaux d’assurance, qui sont corrélés à des niveaux de risques différents. Les niveaux d’assurance sont les suivants :
- Le niveau « élémentaire »
- Le niveau « substantiel »
- Le niveau « élevé »
Ces 3 trois niveaux d’assurance correspondent à des niveaux de risques associés à l’utilisation d’un service, produit ou processus TIC en termes de probabilité d’occurrence et de conséquences d’un incident. Les niveaux d’assurance se différencient par leur rigueur et par la profondeur des mesures de sécurité à appliquer, ainsi que par l’évaluation de conformité à exécuter. A savoir, les mesures de sécurité du niveau « élémentaire » sont moins strictes que celles du niveau « substantiel » et beaucoup moins strictes que celles du niveau « élevé ». Le tableau suivant résume les trois niveaux d’assurance couverts par le Cybersecurity Act.
Niveau d’assurance |
Objectifs de sécurité |
Rigueur de l’évaluation |
Elémentaire |
Minimiser les risques élémentaires connus d’incidents et de cyberattaques |
Au moins un examen de la documentation technique |
Substantiel |
Minimiser les risques liés à la cybersécurité connus, et le risque d’incidents et de cyberattaques émanant d’acteurs aux aptitudes et aux ressources limitées |
Au moins un examen visant à démontrer l’absence de vulnérabilités connues du public et des vérifications tendant à démontrer que les produits TIC, services TIC ou processus TIC mettent correctement en œuvre les fonctionnalités de sécurité nécessaires |
Elevé |
Minimiser le risque que des cyberattaques de pointe soient menées par des acteurs aux aptitudes solides et aux ressources importantes |
Au moins un examen démontrant l’absence de vulnérabilités connues du public, des vérifications tendant à démontrer que les produits TIC, services TIC ou processus TIC mettent correctement en œuvre les fonctionnalités de sécurité nécessaires, au niveau de l’état de l’art ; et une évaluation de leur résistance à des attaques menées par des acteurs compétents, au moyen de tests de pénétration |
Chaque schéma de certification précise un ou plusieurs niveaux d’assurance. Les éléments indiqués dans le tableau ci-dessus y seront détaillés conformément au niveau d’assurance. A des fins de transparence, le niveau d’assurance évalué par l’organisme d’évaluation de conformité sera visible sur tous les certificats délivrés aux fournisseurs ou fabricants TIC.
Différence entre un certificat et une déclaration de conformité
Le Cybersecurity Act prévoit la possibilité de se faire certifier ou de procéder à une déclaration de conformité. Un certificat est délivré par un organisme d’évaluation de la conformité indépendant et accrédité selon les exigences correspondantes. Une déclaration de conformité est délivrée sous la responsabilité d’un fabricant ou fournisseur TIC lui-même, par le moyen d’une autoévaluation. Tout schéma de certification précise si une telle déclaration de conformité est permise ou pas.
Le Cybersecurity Act limite l’autoévaluation au niveau d’assurance « élémentaire ». Une autoévaluation est possible uniquement si les services, produits et processus TIC concernés sont de faible complexité et présentent un risque faible pour le public.
La normalisation
Les normes internationales, européennes ou nationales font partie des schémas et constituent une des clés fondamentales pour la réussite du Cybersecurity Act. Effectivement, les schémas devront se baser sur les normes existantes. Dans le cas où ces normes seraient inefficientes ou inexistantes, les schémas devront faire référence à d’autres spécifications techniques ou bien de nouvelles normes devront être développées les organismes de normalisation européens, en collaboration avec l’ENISA.
La réutilisation des normes existantes offre les avantages suivants :
- Appliquer des normes qui ont atteint une certaine maturité et qui sont acceptées par les acteurs de l’industrie
- Accélérer et faciliter le développement de schémas de certification
- Favoriser l’adoption de certificats ou déclaration de conformité auprès des acteurs de l’industrie
Une des missions des membres du ECCG est d’ailleurs de faciliter l’alignement entre les schémas de certification et les normes en fournissant des recommandations à l’ENISA. Pour des aspects de transparence, les certificats et les déclarations de conformité délivrés feront référence aux normes couvertes par le schéma de certification concerné.
Si vous souhaitez davantage d’informations, n’hésitez pas à nous envoyer un e-mail à l’adresse supervision-cybersecurite@ilnas.etat.lu.