Cadre de certification européen pour la cybersécurité | Agoria

Cadre de certification européen pour la cybersécurité

Image
Publié le 17/06/19 par Marc Cumps
Avec la publication du règlement sur la cybersécurité ('Cybersecurity Act'), l'Europe crée un cadre pour la mise en place d'une certification en cybersécurité pour des produits, services et processus TIC spécifiques. 

Le règlement sur la cybersécurité ('Cybersecurity Act') – (UE)2019/881 – est un des instruments grâce auxquels l'Europe entend accroître sa cyber-résilience. 

Le règlement comprend deux volets. Dans le premier, les objectifs, les missions et l'organisation de l'ENISA, l'Agence européenne pour la cybersécurité, sont définis. Le deuxième porte sur la création d'un cadre de certification européen pour les produits, services et processus TIC. 

Ce cadre prévoit la publication par la Commission européenne d'un programme de travail progressif définissant les priorités pour les futurs systèmes de certification dans le domaine de la cybersécurité, en ce compris une liste de produits, services et processus TIC. Le premier programme de travail sera publié au plus tard le 28 juin 2020 et sera mis à jour au moins tous les trois ans. 

Dans un système de certification de la cybersécurité, un ou plusieurs niveaux de sécurité peuvent être spécifiés pour les produits, services et processus TIC, à savoir: sécurité de " base ", " substantielle " ou " élevée ". Le niveau de sécurité sera lié au niveau de risque de l'utilisation visée du produit, service ou processus TIC, en ce qui concerne la probabilité et les conséquences d'un incident. Pour un système de certification avec un niveau de sécurité de " base ", une auto-évaluation de la conformité est permise.  

La certification de la cybersécurité s'effectue sur base volontaire, à moins qu'il en soit prévu autrement dans la législation de l'Union ou des États membres. Au plus tard le 31 décembre 2023 - et ensuite au moins tous les deux ans - la Commission européenne évaluera si certains produits, services et processus TIC doivent faire l'objet d'une certification obligatoire. 

Consultez le règlement sur la cybersécurité (UE)2019/881

Cet article était-il utile ?