Adopté le 17 avril 2019, le règlement sur la cybersécurité de l'UE est entré en vigueur le 27 juin 2019. Il vise à donner à l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) un mandat permanent pour mettre en œuvre un cadre de certification de cybersécurité établi. En adoptant des systèmes de certification de cybersécurité, l'objectif est de permettre aux fabricants et développeurs de TIC de servir plus facilement le marché européen et de faire des affaires au-delà des frontières. Grâce à des certificats de cybersécurité et des déclarations de conformité reconnus et utilisés dans tous les États membres, les organisations se conforment plus facilement grâce à une approche harmonisée, en particulier pour celles qui opèrent sur différents marchés.
La loi impose également aux États membres de désigner une autorité de cybersécurité chargée de garantir le respect de la loi. Pour établir la confiance, le cadre de certification comprend des systèmes de certification.
Explication des systèmes de certification de cybersécurité
Le système de certification de cybersécurité de l’UE est un « ensemble de règles, d’exigences techniques, de normes et de procédures établies au niveau de l’Union et qui s’appliquent à la certification ou à l’évaluation de la conformité de produits TIC, de services TIC ou de processus TIC spécifiques ».
Lorsqu'un produit, un service ou un processus TIC est certifié dans le cadre d'un système de certification de cybersécurité, il déclare qu'il est conforme aux exigences spécifiées par la loi et un organisme d'évaluation de la conformité (CAB) accrédité délivre le certificat au produit, au service ou au processus TIC qui est conforme au système. Étant donné que la certification est reconnue dans tous les États membres de l'UE, il devient plus facile pour l'entreprise de faire du commerce sur différents marchés.
Le certificat aide également les acheteurs à comprendre les caractéristiques de sécurité du produit, du service et du processus TIC. Le cadre permet des systèmes de certification européens personnalisés classés par niveau d'assurance. Le produit, le service ou le processus TIC peut être classé comme basique, substantiel ou élevé pour exprimer le risque de cybersécurité et le niveau d'assurance. Un produit TIC certifié avec un niveau d'assurance élevé signifie qu'il a réussi l'évaluation de sécurité la plus élevée.
Un rapport de l'Agence européenne pour la cybersécurité (ENISA) a exploré cinq domaines distincts qui peuvent être développés pour les systèmes de certification de cybersécurité candidats de l'UE. Il s'agit de :
Composantes essentielles du système de certification de cybersécurité
Un système de certification de cybersécurité se compose généralement de trois éléments fondamentaux, définis par les organismes de normalisation le cas échéant :
- Spécification technique des exigences de sécurité – un document qui contient les exigences fonctionnelles de sécurité du produit, du service ou du processus TIC ciblé et décrit le comportement attendu en matière de cybersécurité.
- Ensemble de procédures de validation – document qui valide que le produit TIC ciblé répond au niveau d’assurance de sécurité requis. L’ensemble de procédures de validation définit les activités d’évaluation, le concept de méthodologie de composition et les rapports d’évaluation attendus.
- Politiques et procédures du système de certification – document définissant les politiques et les processus régissant le système de certification, qui peuvent inclure la planification et la préparation, les procédures de demande et d'évaluation, la délivrance et la maintenance des certificats. La divulgation des vulnérabilités et le maintien des niveaux d'assurance peuvent également être inclus, ainsi que la gestion, les rôles et les responsabilités du programme.
La plateforme suivante ( https://www.cyberactcertification.eu/ ) vous guidera dans la certification de sécurité de vos produits, processus et services TIC dans le cadre de la loi européenne sur la cybersécurité. Elle vous fournira les dernières mises à jour sur les programmes candidats potentiels couvrant les domaines SOGIS CC, CLOUD, 5G, IoT, HEALTHCARE et AUTOMOTIVE. Restez à l'écoute...
Si vous souhaitez en savoir plus sur les systèmes de certification de la loi sur la cybersécurité de l'UE, vous pouvez lire l' article suivant ;