Schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC)

SYNTHÈSE DU DOCUMENT:

Règlement d’exécution (UE) 2024/482 sur les modalités d’application du règlement (UE) 2019/881 en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs

QUEL EST L’OBJET DE CE RÈGLEMENT?

Ce règlement d’exécution définit les règles d’application du règlement (UE) 2019/881 (voir la synthèse) pour le schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC).

L’EUCC est un cadre pour l’évaluation et la certification de la cybersécurité des profils de protection et des produits des technologies de l’information et de la communication (TIC). Ce schéma vise à garantir que les produits TIC répondent à des normes de sécurité strictes par le biais d’un processus structuré, afin de renforcer la cybersécurité, de garantir la cohérence dans l’ensemble de l’Union européenne (UE) et de fournir une certification de confiance. L’EUCC s’appuie sur l’accord de reconnaissance mutuelle («ARM») des certificats de sécurité des technologies de l’information du groupe des hauts fonctionnaires pour la sécurité des systèmes d’information («SOG-IS»).

POINTS CLÉS

NORMES ET MÉTHODES D’ÉVALUATION

Le schéma utilise les critères communs (ISO/IEC 15408) et la méthodologie commune d’évaluation (ISO/IEC 18045) pour les évaluations.
Les organismes de certification délivrent des certificats EUCC à deux niveaux d’assurance: «substantiel» (niveaux AVA_VAN* 1 ou 2) et «élevé» (niveaux AVA_VAN 3 4 ou 5). Le niveau d’assurance détermine la profondeur et la rigueur de l’évaluation.
Les produits TIC sont certifiés par rapport à leurs cibles de sécurité, qui peuvent intégrer un profil de protection certifié s’il y a lieu.
L’autoévaluation de la conformité n’est pas autorisée dans le cadre du schéma EUCC.

CERTIFICATION DES PRODUITS TIC

Les évaluations doivent respecter les critères communs, la méthodologie commune d’évaluation et les documents de référence applicables.
La certification à des niveaux d’assurance plus élevés (niveaux AVA_VAN 4 ou 5) doit être effectuée en règle générale sur la base de domaines techniques ou de profils de protection adoptés comme documents de référence et énumérés à l’annexe I.
Les demandeurs doivent fournir une documentation complète, y compris les résultats précédents d’évaluation, le cas échéant, afin de faciliter le processus de certification.
Les organismes de certification délivrent des certificats si toutes les conditions sont remplies, et ces certificats comprennent les informations spécifiques décrites à l’annexe VII.
Les schémas nationaux de certification de cybersécurité doivent s’aligner sur l’EUCC et cesser de produire des effets dans les 12 mois qui suivent l’entrée en vigueur du règlement. Un processus national de certification mis en place au cours de cette période doit être achevé dans les 24 mois suivant l’entrée en vigueur.
Les certificats sont:
- valables pour une durée maximale de cinq ans, avec possibilité de prolongation sur approbation;
- réexaminés périodiquement pour s’assurer qu’ils sont toujours conformes aux exigences en matière de sécurité;
- retirés si le produit certifié ne répond plus aux normes requises ou s’il y a des non-conformités significatives.

CERTIFICATION DES PROFILS DE PROTECTION

Les profils de protection fixent les exigences de sécurité pour certaines catégories de produits TIC. Ces profils sont:

évaluées de la même manière que les produits TIC, en s’assurant qu’ils répondent aux exigences de sécurité nécessaires pour des catégories spécifiques de TIC;
certifiés par des autorités nationales de certification de cybersécurité ou des organismes publics accrédités, ou par un organisme de certification, sur approbation préalable.

MARQUAGE ET ÉTIQUETAGE

Les produits certifiés peuvent porter une marque et une étiquette indiquant leur statut de certification.
Celles-ci doivent être clairement visibles et contenir des informations telles que le niveau d’assurance, le numéro d’identification unique et un code QR reliant les informations relatives à la certification.

ORGANISMES D’ÉVALUATION DE LA CONFORMITÉ

Les organismes de certification et les centres d’évaluation de la sécurité des technologies de l’information (CESTI) doivent être accrédités conformément au règlement (CE) n^o 765/2008 (voir la synthèse) et, pour des niveaux d’assurance élevés, autorisés par les autorités nationales de certification de cybersécurité.
Les autorités nationales de certification de cybersécurité vérifient la conformité des organismes de certification, des CESTI et des titulaires de certificats. Ils traitent également les plaintes et mènent des enquêtes sur la non-conformité.
Les produits non conformes doivent faire l’objet de mesures correctives et les certificats peuvent être suspendus ou retirés si les problèmes ne sont pas résolus.
Les organismes de certification qui délivrent des certificats d’assurance de haute qualité doivent faire l’objet d’évaluations régulières par les pairs afin de garantir la cohérence et les normes élevées dans les pratiques de certification.
Le groupe européen de certification de cybersécurité joue un rôle crucial dans le maintien du schéma, l’adoption de documents de référence et la garantie d’une pertinence et d’une efficacité permanentes.

GESTION ET DIVULGATION DES VULNÉRABILITÉS

Les titulaires de certificats doivent mettre en place des procédures de gestion et de divulgation des vulnérabilités, effectuer des analyses d’impact de la vulnérabilité et signaler les vulnérabilités importantes aux organismes et autorités de certification.
Les certificats retirés doivent être divulgués dans les bases de données pertinentes, garantissant ainsi la transparence des vulnérabilités connues.

CONSERVATION ET PROTECTION DES INFORMATIONS

Les organismes de certification et les CESTI doivent conserver les enregistrements des évaluations et des certifications pendant au moins cinq ans après le retrait du certificat.
Toutes les parties impliquées dans le processus de certification doivent protéger les informations confidentielles et les secrets d’affaires.

ACCORDS DE RECONNAISSANCE MUTUELLE AVEC DES PAYS TIERS

Les pays tiers peuvent reconnaître les certifications EUCC par le biais d’accords de reconnaissance mutuelle, à condition qu’elles remplissent des critères de contrôle, de surveillance et de gestion de la vulnérabilité.

DEPUIS QUAND CE RÈGLEMENT S’APPLIQUE-T-IL?

Il s’applique à partir du 27 février 2025.

CONTEXTE

Pour de plus amples informations, veuillez consulter:

Certification de cybersécurité de l’Union européenne (Agence de l’Union européenne pour la cybersécurité)
Cadre de certification de cybersécurité (Agence de l’Union européenne pour la cybersécurité).

TERMES CLÉS

Niveau AVA_VAN. Un niveau d’analyse de la vulnérabilité de l’assurance qui indique le degré des activités d’évaluation de la cybersécurité menées pour déterminer le niveau de résistance à l’exploitabilité potentielle des failles ou des faiblesses de la cible d’évaluation dans son environnement opérationnel, conformément aux critères communs.

DOCUMENT PRINCIPAL

Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024).

DOCUMENTS LIÉS

Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80-152).

Les modifications successives de la directive (UE) 2022/2555 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.

Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n^o 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15-69).

Règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) n^o 765/2008 et (UE) n^o 305/2011 (JO L 169 du 25.6.2019, p. 1-44)

Voir la version consolidée.

Règlement (CE) n^o 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n^o 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30-47).

Voir la version consolidée.

Recommandation 95/144/CE du Conseil du 7 avril 1995 concernant des critères communs d’évaluation de la sécurité des technologies de l’information (JO L 93 du 26.4.1995, p. 27-28).

dernière modification 01.07.2024