FAQ – Cybersecurity Act

Le réseau des officiers de liaisons nationaux (NLO) servira à renforcer les échanges entre les autorités nationales et l’agence européenne ; il permettra d’informer les États membres des activités de l’ENISA.Pour la France, l’officier de liaison sera un agent de l’ANSSI.

Sans se substituer aux capacités nationales, elle pourra accompagner les Etats dans le développement de leurs capacités nationales de prévention et de réaction aux attaques informatiques ciblant leur territoire. L’ENISA pourra être amenée à fournir, exclusivement sur requête d’un Etat membre, une assistance en vue :

• d’évaluer si un incident a un impact substantiel et à faciliter la gestion technique d’un tel incident,
• dans le cadre d’incidents transfrontières de grande ampleur afin de faciliter leur gestion technique.

Chaque Etat membre dispose de deux ans, suite à l’entrée en vigueur du règlement (i.e. le jour de sa publication au journal ofiiciel de l’UE) pour désigner officiellement une autorité nationale de certification de cybersécurité. En tant qu’autorité nationale de cybersécurité et de cyberdéfense, l’ANSSI a vocation à remplir ces missions.

Le règlement prévoit l’adoption de schémas de certification couvrant aussi bien des produits que des services ou des processus.La Commission européenne va piloter la rédaction d’un programme de travail afin de définir les priorités européennes en matière de certification. Ces priorités pourraient aussi bien porter sur des sujets encore peu matures en termes d’évaluation de sécurité (IoT, Cloud), que sur des secteurs critiques (santé) ou encore sur des schémas existants nécessitant d’être transposés à l’échelle européenne (SOG-IS).

L’accord européen de reconnaissance mutuelle selon les critères communs (SOG-IS) réunit aujourd’hui 17 Etats européens pour la reconnaissance des certificats. Cet accord couvre l’évaluation de tout produit IT selon les Critères Communs jusqu’au niveau EAL7.
L’accord européen de reconnaissance mutuelle du S OG-IS de 2010 permet la reconnaissance entre les États signataires de l’accord, des certificats délivrés par leur autorité de certification.
Aujourd’hui, deux domaines techniques sont couverts par le présent accord jusqu’au niveau EAL7 : celui des « microcontrôleurs sécurisés et produits similaires » et celui des « équipements matériels avec boîtiers sécurisés ». Pour en savoir plus : /entreprise/produits-certifies/cc/les-accords-de-reconnaissance-mutuelle/

N’importe quel Etat membre de l’Union européenne pourra décider de certifier aux trois niveaux d’assurance définis par le règlement.Deux mécanismes seront mis en place pour vérifier que les autorités nationales appliquent uniformément le règlement au sein de l’Union européenne :

• un mécanisme d’évaluation des pairs, établi au cas par cas pour les schémas prévoyant la délivrance de certificats au niveau d’assurance élevé ;
• une revue par les pairs transverse, pour vérifier la conformité des autorités nationales avec les dispositions prévues par le règlement. Les résultats de la revue par les pairs ne sont pas contraignants mais peuvent être rendus publics.

Chaque Etat membre aura la possibilité de déléguer les tâches attribuées à l’autorité nationale de certification à l’autorité d’un autre Etat membre. Un Etat sera libre de décider de ne pas émettre de certificat.

La Commission européenne définit un programme de travail après avoir consulté les Etats membres et les parties prenantes (secteur privé, associations de consommateurs, secteur universitaire, organismes de normalisation, organismes d’accréditation et organismes d’évaluation de la conformité, CNIL et ses homologues).Chaque représentant de parties prenantes peut donc s’adresser à l’autorité nationale du pays où il est établi ou à la Commission afin de faire valoir ses priorités.

Dans des cas dûment justifiés, la Commission ou le groupe des autorités nationales peuvent confier à l’ENISA la rédaction d’un schéma qui ne figurerait pas au programme de travail.

Tout au long des négociations, l’ANSSI a fait valoir l’expertise nationale en matière de certification de cybersécurité et les exigences de sécurité qui en découlent, notamment pour un niveau d’assurance élevé. Choisir d’obtenir une certification au niveau d’assurance les plus élevés possibles en France, c’est donc choisir de soumettre son produit, service ou processus à des évaluateurs et certificateurs forts d’une expérience de plus de vingt ans.

Le règlement n’interdit pas à des laboratoires étrangers d’exercer dans un autre Etat membre. Il devra toutefois être notifié, et au besoin autorisé (pour le niveau d’assurance élevé), par l’autorité nationale de certification de l’Etat dans lequel il souhaite mener des évaluations.

Lorsqu’un schéma européen remplace un schéma national, les certificats émis dans le cadre national resteront soumis aux règles de validité déterminées par ce schéma. Par exemple, pour les Critères Communs (CC), la durée de validité est fixée par les accords de reconnaissance (Common Criteria Recognition Agreement et SOG-IS) : les certificats sont automatiquement archivés après cinq ans.Certains schémas de certification ont vocation à être transposés au niveau européen. Si un schéma permettait l’obtention du Visa de Sécurité, il le permettra toujours après transposition.

Tout schéma national ou privé déjà établi restera valide, si aucun équivalent n’est adopté à l’échelle de l’UE.

En France, l’ANSSI continuera à émettre gratuitement les certificats au niveau d’assurance élevé. Les activités d’évaluation par les laboratoires autorisés seront quant à elle toujours payantes. L’émission de certificats par les organismes d’évaluation de la conformité (CAB) aux niveaux d’assurance élémentaire et substantiel sera en toute probabilité payante.

La certification s’effectuera sur une base volontaire, afin que différents donneurs d’ordre (privés comme publics) puissent y avoir recours selon leurs besoins.Il faut noter toutefois que le législateur européen ou national est lui-même un donneur d’ordre. De la même manière qu’un réseau bancaire peut imposer la certification à ses fournisseurs de cartes, il est possible que la législation rende la certification obligatoire sur un sujet donné.

Le règlement prévoit la reconnaissance mutuelle pour des certificats liés à des produits, services ou processus.

Le règlement prévoit que lorsqu’un schéma européen remplace un schéma national, les certificats émis dans le cadre national resteront valides jusqu’à leur date d’expiration. Après expiration, le donneur d’ordre devra par la suite se référer au schéma européen pour la certification d’un produit, service ou processus.