Le système EUCC succède au système CC existant, qui fonctionne dans le cadre de l'accord de reconnaissance mutuelle SOG-IS MRA (Senior Officials Group Information Systems Security Mutual Recognition Agreement). Ce système améliorera les conditions du marché intérieur de l'Union européenne pour les produits TIC et aura par conséquent des effets positifs pour les services TIC et les processus TIC qui s'appuient sur ces produits. Ce système comprend des conditions spécifiques pour la délivrance, le maintien, la poursuite et le renouvellement des certificats, ainsi que des conditions pour l'extension ou la réduction de la portée de la certification.
Dans cet article, nous discuterons des 3 principales conditions de délivrance d’un certificat, ainsi que des 3 principales conditions de maintien, de continuation et de renouvellement de celui-ci.
Les 3 principales conditions pour la délivrance d'un certificat
Un organisme de certification (OC) ne délivrera un certificat que lorsque :
1. le demandeur s'est engagé à respecter toutes les obligations requises pour obtenir le certificat
2. l'évaluation du produit TIC est conforme aux exigences d'évaluation du programme pour la sélection demandée des composants d'assurance (et est réussie)
3. l’examen par l’OC des résultats de l’évaluation est positif et conforme aux exigences de la norme ISO/IEC 17065.
Les 3 principales conditions pour conserver, poursuivre et renouveler un certificat
Pendant la période de validité d'un certificat, le produit TIC certifié peut rester stable et bénéficier d'un environnement de menaces inchangé. Dans ce cas, le certificat continuera à être valable jusqu'à sa date d'expiration. Dans tous les autres cas, le produit TIC certifié fera l'objet d'activités de maintenance en réponse aux changements affectant sa certification.
Les activités de maintenance peuvent être initiées à la demande du titulaire du certificat dans les conditions suivantes :
- Si la période de validité du certificat est expirée
- S'il y a eu un changement du produit ICT certifié
- Si le propriétaire a demandé une évaluation de vulnérabilité actualisée
La maintenance peut également être initiée dans les conditions suivantes :
- Si le produit TIC est sélectionné via la règle d'échantillonnage installée pour le suivi général des produits TIC certifiés
- S'il existe une non-conformité potentielle ou réelle aux exigences de sécurité
- Si une non-conformité aux exigences d’accréditation a été identifiée
Après examen et décision de l'OC, les activités de maintenance peuvent entraîner :
- Poursuite du certificat, sans changement
- Renouvellement du certificat avec une nouvelle période de validité
- Délivrance d'un certificat avec une portée étendue ou réduite ou un niveau d'assurance réduit
- Suspension du certificat en attendant la mesure corrective
- Retrait du certificat.
Si aucune maintenance n'a été demandée pour un certificat ayant atteint sa date d'expiration, le certificat sera archivé. Cela signifie que l'accès au certificat sera toujours assuré avec une indication claire qu'il a expiré. Si la maintenance est initiée sans qu'aucune mesure ne soit prise par une partie responsable dans les délais, le certificat sera retiré.
Si vous souhaitez en savoir plus sur le système EUCC et le processus du cycle de vie des certificats, contactez les experts de l'EUCC .