Une certification de cybersécurité reconnue à l'échelle européenne garantira que l'Union est en phase avec la reconnaissance de l'importance des normes de cybersécurité, ce qui renforcera non seulement les consommateurs, mais aussi les vendeurs et les prestataires de services. Chaque État membre disposera d'une NCCA ou d'une autorité nationale de certification de cybersécurité désignée pour superviser, certifier et contrôler si la certification de cybersécurité est conforme aux normes nationales et européennes.
La certification des solutions TIC est facultative, sauf si la réglementation européenne le prévoit. Toutefois, le choix de demander une certification comporte des avantages. Grâce à la certification de cybersécurité de l'UE, les fournisseurs et prestataires de services peuvent démontrer leur conformité aux normes de cybersécurité et promouvoir la cybersécurité de leurs solutions tout en instaurant un niveau de confiance au sein de l'écosystème des TIC et du marché, ce qui attirera davantage d'opportunités, les aidera à atteindre davantage de consommateurs et stimulera l'innovation.
L'Agence de l'Union européenne pour la cybersécurité (ENISA) a pour mission de « contribuer de manière proactive au cadre émergent de l'UE pour la certification des produits et services TIC et de procéder à l'élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité, ainsi qu'à des services et tâches supplémentaires ».
L'ENISA jouera un rôle central dans le cadre de certification de cybersécurité de l'UE en tant qu'agence chargée d'élaborer des systèmes de certification de cybersécurité pour les produits, les services et les processus. L'agence collaborera avec les services publics, l'industrie et les organismes de normalisation pour élaborer un ensemble complet de normes, de procédures, de règles et d'exigences techniques et bénéficiera du soutien d'un groupe de travail ad hoc et des États membres.
Le système de certification que l'ENISA est en train d'élaborer prendra en compte les systèmes et normes existants, notamment la directive relative à un niveau élevé de cybersécurité dans l'Union (NIS2), qui met l'accent sur les infrastructures critiques. Les systèmes de certification sont en cours d'élaboration et se trouvent à différents stades de développement. Les systèmes de certification en cours d'élaboration sont également encouragés à démontrer leur conformité avec la législation proposée, notamment le règlement eIDAS, la loi sur la cyber-résilience (CRA) et la loi sur l'intelligence artificielle.
L'un des programmes en cours de développement est le système européen de certification de cybersécurité sur critères communs qui ciblera les produits TIC, notamment certains types de produits et composants matériels et logiciels IoT. Les autres programmes en cours de développement sont le système européen de certification des services cloud (EUCS) et le système européen de certification de cybersécurité (EU5G). Les produits, processus et services TIC seront évalués et ne se verront accorder des certificats de cybersécurité de l'UE que s'ils démontrent qu'ils résistent à certains niveaux d'attaques, qu'ils ont défini des processus de correction et qu'ils sont conformes aux exigences de cybersécurité spécifiées. Différents niveaux de cybersécurité peuvent être attribués et dépendront du risque de cybersécurité associé à l'utilisation prévue de la solution IoT spécifique. Les niveaux d'assurance de certification comprennent « de base », « substantiel » ou « élevé ».
La certification sera effectuée par un organisme d'évaluation de la conformité (OEC), qui sera habilité à procéder à des audits, des tests et des certifications. Les NCCA superviseront et surveilleront les certificats délivrés par les OEC dans les États membres. L'ENISA disposera d'un site Internet dédié sur lequel tous les certificats seront publiés.
Comment le projet A4CEF aide à comprendre et à mettre en œuvre les certifications de cybersécurité de l'UE ?

Le projet A4CEF a renforcé les capacités, contribuant notamment au cadre européen de certification de cybersécurité (ECCF) et au système de services cloud de l'UE (EUCS) .
Ce projet a été conçu pour répondre directement aux objectifs du texte de l’appel à propositions CEF-TC-2020-2 , au titre de l’objectif 4 – « Soutien à la coopération et au renforcement des capacités pour la certification en cybersécurité conformément à la loi sur la cybersécurité ». Les objectifs suivants ont été identifiés et seront traités :
- de tirer parti et d'étendre les résultats produits par le projet B4C existant (Action CEF 2019-EU-IA-0109 ),
- de renforcer les capacités internes de la National Standards Authority of Ireland (NSAI), qui est déjà un CAB établi et l'un des candidats envisagés pour la désignation comme NCCA en Irlande.
- d'améliorer les capacités internes de tous les partenaires du consortium, grâce à du matériel de formation nouvellement développé sur la certification du cloud computing, et grâce à l'application pratique des processus de certification précédemment définis et développés au NSAI, avec la conduite de certifications pilotes de cloud computing connexes.
- échanger (transfrontalièrement) les meilleures pratiques et les informations pertinentes liées aux activités d'évaluation de la conformité (y compris l'ensemble de la « chaîne de valeur » du cadre européen de certification de cybersécurité), grâce à un échange bidirectionnel structuré entre Chypre et l'Irlande.
- construire un modèle de référence complet pour soutenir directement l'ensemble des activités de certification de cybersécurité de A à Z, à travers le développement d'un modèle de référence complet pour toutes les parties prenantes, interactions et flux tels que définis dans le Cadre européen de certification de cybersécurité.
- diffuser efficacement les résultats de l’action proposée à un grand nombre de parties prenantes dans les pays concernés et également dans toute l’Europe, au moyen d’activités structurées de diffusion et de communication au sein de groupes de travail concernés et d’autres forums européens.
Si vous souhaitez en savoir plus sur le projet A4CEF et ses activités, veuillez visiter ce site Web : https://www.a4cef.eu