A vos certifications de cybersécurité ! Un nouveau règlement européen arrive
Publié le 7 juin 2019 au Journal Officiel de l’UE, ce nouveau règlement n°2019/881 remplacera le règlement n°526/2013 et est d’application directe. Comme tout Etat membre, la France aura jusqu’au 28 juin 2021 pour mettre en conformité sa législation nationale, le cas échéant.
Ayant pour objectifs à la fois de mettre en place un cadre européen de certification de cybersécurité pour les produits, processus et service TIC afin d’harmoniser le marché unique numérique et de renforcer le rôle de l’Agence de l’Union Européenne pour la cybersécurité (ENISA), ce nouveau règlement a pour principale avancée d’unifier les méthodes d’évaluation et les différents niveaux d’assurance de certification de cybersécurité, bénéficiant ainsi d’une reconnaissance mutuelle au sein de l’Union Européenne.
Outre son rôle de coordinateur entre les autorités compétentes et les Etats membres, l’ENISA sera notamment chargée en tant qu’expert de missions de conseils techniques pour l’élaboration et mise en œuvre de la politique de l’Union Européenne relative à l’identification électronique et aux services de confiance.
Le règlement fixe les exigences auxquelles doivent répondre les organismes d’évaluation, délivrant des certificats de cybersécurité, ainsi que les niveaux d’assurance. Ceux-ci correspondent à un niveau de risques, établi en fonction de la probabilité et de la répercussion de l’incident, associé à l’utilisation prévue du produit, service ou processus TIC :
- Niveau d’assurance « élémentaire » : évaluation à un niveau visant à minimiser les risques élémentaires d’incidents et de cyberattaques, comprenant au moins un examen de la documentation technique
- Niveau d’assurance « substantiel » : évaluation à un niveau visant à minimiser les risques élémentaires d’incidents et de cyberattaques pratiquées par des acteurs aux moyens et aptitudes limitées, comprenant au moins un examen visant à démontrer l’absence de vulnérabilités connues du public et que le produit, service ou processus met en œuvre les fonctionnalités de sécurité nécessaires.
- Niveau d’assurance « élevé » : évaluation à un niveau visant à minimiser les risques élémentaires d’incidents et de cyberattaques réalisées par des acteurs aux moyens et ressources importantes, comprenant une évaluation de la résistance du produit, service ou processus TIC à des attaques menées par des acteurs compétents via des tests de pénétration, et ce en supplément des évaluations réalisées pour l’obtention du certificat de niveau d’assurance « substantiel ».
Les fabricants ou fournisseurs de produits, services ou processus TIC certifiés devront mettre à disposition du public notamment les informations suivantes :
- Recommandations pour aider les utilisateurs finaux à assurer de manière sécurisée la configuration, installation, fonctionnement et maintenance du produit ou service.
- Période d’assistance offerte en matière de sécurité pour les utilisateurs finaux, ainsi que la disponibilité des mises à jour liées à la cybersécurité
- Une mention relative aux répertoires en ligne recensant les vulnérabilités du produit, service ou processus déjà divulguées ainsi que tout conseil pertinent en matière de cybersécurité.
La certification en matière de cybersécurité reste volontaire, sauf si une législation européenne ou d’un Etat européen la requiert.
L’ENISA tiendra à disposition un site internet dédié fournissant l’ensemble des informations relatives aux schémas de certification, certificats et déclaration de conformité européens.
