Cadre de certification de cybersécurité de l’UE

La certification joue un rôle crucial dans le renforcement de la confiance et de la sécurité dans les produits et services critiques pour le monde numérique. À l'heure actuelle, il existe un certain nombre de systèmes de certification de sécurité différents pour les produits TIC dans l'UE. Toutefois, en l’absence d’un cadre commun pour les certificats de cybersécurité valables à l’échelle de l’UE, il existe un risque croissant de fragmentation et d’obstacles entre les États membres.

Le cadre de certification

Le cadre de certification fournira des systèmes de certification à l’échelle de l’UE sous la forme d’un ensemble complet de règles, d’exigences techniques, de normes et de procédures. Le cadre reposera sur un accord au niveau de l’UE concernant l’évaluation des propriétés de sécurité d’un produit ou service spécifique fondé sur les TIC. Elle attestera que les produits et services TIC qui ont été certifiés conformément à un tel système sont conformes à des exigences spécifiques.

En particulier, chaque régime européen devrait préciser:

• les catégories de produits et services couverts;
• les exigences en matière de cybersécurité, telles que les normes ou les spécifications techniques;
• le type d’évaluation, telle que l’autoévaluation ou la tierce partie;
• Le niveau d'assurance prévu.

Les niveaux d'assurance sont utilisés pour informer les utilisateurs du risque de cybersécurité d'un produit et peuvent être basiques, substantiels et / ou élevés. Ils sont proportionnels au niveau de risque associé à l'utilisation prévue du produit, du service ou du procédé, en termes de probabilité et d'impact d'un accident. Un niveau d'assurance élevé signifierait que le produit certifié a passé les tests de sécurité les plus élevés.

Le certificat qui en résulte

Le certificat qui en résultera sera reconnu dans tous les États membres de l’UE, ce qui permettra aux entreprises de commercer plus facilement par-delà les frontières et aux acheteurs de comprendre les caractéristiques de sécurité du produit ou du service.

Pour en savoir plus sur les travaux réalisés en matière de certification de cybersécurité de l’UE, veuillez consulter la certification de cybersécurité de l’ENISA.

Le premier système de certification de cybersécurité de l’UE fondé sur des critères communs (EUCC)

Le premier système à être adopté en vertu du cadre de certification du règlement sur la cybersécurité repose sur la norme internationale renommée Critères communs, utilisée pour délivrer des certificats en Europe depuis près de 30 ans. Le système tire parti de la grande réputation des fournisseurs et des certificateurs européens utilisant la certification basée sur les critères communs dans le monde entier. Le régime sera mis à la disposition des vendeurs à partir du 27 février 2025.

Le système s’appliquera à l’échelle de l’UE, sur une base volontaire, et se concentrera sur la certification de la cybersécurité des produits TIC au cours de leur cycle de vie, notamment:

• Systèmes biométriques
• Pare-feu (matériel et logiciel)
• Plateformes de détection et de réponse
• Routeurs
• Commutateurs
• Logiciels spécialisés (tels que les systèmes SIEM et IDS/IDP)
• Diodes de données
• Systèmes d'exploitation (y compris pour appareils mobiles)
• Stockages cryptés
• Bases de données
• Cartes à puce et éléments sécurisés inclus dans toutes sortes de produits, comme dans les passeports utilisés quotidiennement par tous les citoyens. 

Pour en savoir plus sur l’EUCC, veuillez consulter le site web de l’ENISA consacré à la certification.

Un cadre européen renouvelé de certification de cybersécurité

Le 20 janvier 2026, la Commission a proposé un acte législatif révisé sur la cybersécurité renouvelant le cadre européen de certification de cybersécurité (ECCF). La proposition veillera à ce que les produits et services qui parviennent aux consommateurs de l’UE fassent l’objet de tests de sécurité plus efficaces. Le nouvel ECCF apportera plus de clarté et des procédures plus simples pour développer des régimes dans un délai de 12 mois par défaut. Elle introduira également une gouvernance plus souple et plus transparente afin de mieux associer les parties prenantes grâce à l’information et à la consultation du public.

Les systèmes de certification, gérés par l’ENISA, deviendront un outil pratique et volontaire pour les entreprises. Elles permettront aux entreprises de démontrer qu’elles respectent la législation de l’UE, ce qui réduira la charge et les coûts. Pour les citoyens, les entreprises et les pouvoirs publics de l’UE, il garantira un niveau élevé de sécurité et de confiance dans les chaînes d’approvisionnement complexes en TIC. 

Programme de travail glissant de l’Union pour la certification européenne de cybersécurité (URWP)

Le programme de travail glissant de l’Union sur la certification européenne de cybersécurité a été publié en même temps que le premier système de certification de cybersécurité à l’échelle de l’UE (EUCC). Le premier URWP définit les priorités stratégiques pour les futurs schémas européens de certification de cybersécurité, en tenant compte des évolutions récentes de la législation et du marché, telles que la législation sur la cyberrésilience (CRA) et le règlement européen sur l’identité numérique. Cela pourrait éventuellement conduire à des demandes de nouveaux régimes lorsque cela est nécessaire et approprié. En outre, il expose les priorités stratégiques à prendre en considération lors de l’élaboration de tout schéma européen de certification de cybersécurité. 

L’URWP souligne les domaines suivants pour la future certification européenne de cybersécurité liée à la législation de l’UE:

• Portefeuilles d'identité
• Services de sécurité gérés
• Systèmes industriels d'automatisation et de contrôle
• Développement du cycle de vie de la sécurité en s'appuyant sur les exigences de l'ARC
• Mécanismes cryptographiques

Le Groupe européen de certification de cybersécurité (ECCG)

Le groupe européen de certification de cybersécurité (ECCG) a été créé pour contribuer à assurer la mise en œuvre et l’application cohérentes du règlement sur la cybersécurité. Il est composé de représentants des autorités nationales de certification de cybersécurité ou d’autres autorités nationales compétentes. Le GCEC joue un rôle déterminant dans la préparation du système de certificat candidat et dans la mise en œuvre générale du cadre de certification.

Le groupe des parties prenantes pour la certification de cybersécurité (SCCG)

À la suite de l’entrée en vigueur du règlement sur la cybersécurité en 2019, le groupe des parties prenantes pour la certification de cybersécurité (SCCG) a été créé. 

Le SCCG est chargé de conseiller la Commission et l’ENISA sur les questions stratégiques relatives à la certification de cybersécurité et d’assister la Commission dans la préparation du programme de travail glissant de l’Union. Il s’agit du premier groupe d’experts des parties prenantes pour la certification de cybersécurité lancé par la Commission européenne.

Suivre les travaux du groupe