Le système EUCC a introduit une exigence très importante qui découle de la loi européenne sur la cybersécurité et qui vient s'ajouter au système CC. Il exige désormais de surveiller la conformité des produits TIC aux exigences liées aux dispositions du certificat délivré. Cela signifie que les fabricants doivent démontrer leur conformité continue aux exigences de cybersécurité spécifiées. Les NCCA sur leurs territoires respectifs et en coopération avec d'autres autorités de surveillance du marché compétentes doivent échantillonner chaque année au moins 5 % des produits et au moins un produit par an ayant reçu un certificat au cours de l'année précédente.
Examinons rapidement ces règles concernant les conséquences pour les produits TIC qui ont été certifiés ou pour lesquels une déclaration de conformité de l'UE a été délivrée mais ne répond pas aux exigences du système.
Deux règles très importantes liées à la non-conformité que vous devez connaître
Règle n°1.
- Pour les écarts ou irrégularités confirmés liés à une non-conformité dans l'application par un fabricant ou un fournisseur des exigences liées à un certificat délivré sur son produit TIC, les conséquences suivantes seront :
- L'organisme d'évaluation de la conformité (CAB) délivrant le certificat demandera au fabricant ou au fournisseur des affirmations et des modifications pour les certificats au niveau d'assurance « élevé » ou « substantiel » de la loi sur la cybersécurité (CSA), afin de rétablir la conformité
- Le CAB examinera les déclarations et les modifications fournies et les acceptera ou les refusera, et la décision sera envoyée au fabricant ou au fournisseur.
- Les violations continues de ces obligations entraîneront la suspension du certificat du produit TIC et la suspension temporaire des demandes de certificat auprès du CAB par le fabricant ou le fournisseur.
- Si le traitement est refusé ou si la suspension atteint 90 jours, le certificat sera retiré.
En cas d'écart confirmé par rapport aux exigences relatives aux obligations du titulaire du certificat en matière de maintien de la validité du certificat ou d'information des autorités compétentes de toute vulnérabilité détectée ultérieurement, les situations suivantes peuvent se produire :
- Une suspension immédiate du certificat débutant à la notification du propriétaire du certificat par l'émetteur, avec une période de suspension maximale de 14 à 30 jours pour les certificats de niveau « élevé » ou « substantiel ». Pendant cette période :
- La non-conformité sera vérifiée ou réfutée avec le soutien nécessaire du fabricant ou du fournisseur
- Lorsque la non-conformité est vérifiée comme ayant un impact sur un certificat, cela sera traité comme une non-conformité du produit TIC certifié
- Le fabricant ou le fournisseur du produit TIC acceptera ou refusera le traitement de la non-conformité vérifiée liée au produit et les activités de maintenance nécessaires
- Lorsque la période définie n'est pas suffisante, l'émetteur du certificat peut prolonger la période de suspension, au maximum trois fois.
- En cas de refus de prise en charge, le certificat sera retiré.
- Une fois le traitement accepté, le fabricant ou le fournisseur poursuivra les modifications nécessaires au produit TIC et à l'OC en fonction des modifications liées au statut du certificat.
- Si nécessaire, la BC peut décider de prolonger à nouveau la période de suspension pour une durée maximale d’un an.
Une fois la période de suspension commencée, le propriétaire du certificat doit être informé de la durée de la période, du motif de la suspension et des conséquences possibles.
Règle n°2.
En cas de non-conformité avérée aux conditions dans lesquelles se déroule la certification et qui ne concerne pas un produit TIC individuel, l'OC procédera, sous le contrôle de son Autorité Nationale de Certification de Cybersécurité (NCCA), aux opérations suivantes :
- L'identification des produits TIC certifiés potentiellement impactés
- Demander qu'une série de tâches d'évaluation soient effectuées sur un ou plusieurs produits par le laboratoire d'essais/l'installation d'évaluation (ITSEF) qui a effectué l'évaluation, ou par tout autre qui est dans une meilleure position technique pour soutenir cette identification
- L'analyse par l'OC des rapports d'évaluation, et/ou la réémission des certificats
Si le problème est résolu pendant cette période, le certificat sera soit reconduit, soit renouvelé, soit réédité. Mais si le problème ne peut être résolu, le certificat sera retiré.
Si vous souhaitez en savoir plus sur le programme EUCC et les règles de non-conformité, contactez les experts de l'EUCC .