Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC)

JOUE Série L du 7 février 2024

Ce texte établit le schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC).
Il s’applique à :
– tous les produits des technologies de l’information et de la communication (TIC), y compris leur documentation, qui sont présentés pour certification dans le cadre de l’EUCC ;
– tous les profils de protection qui sont présentés pour certification dans le cadre du processus TIC menant à la certification des produits TIC.
Il définit les normes s’appliquant aux évaluations réalisées dans le cadre du schéma EUCC à savoir ;
– les critères communs ;
– la méthode d’évaluation commune.
Il précise que les organismes de certification délivrent des certificats EUCC de niveau d’assurance « substantiel » ou « élevé ».
Les certificats EUCC de niveau d’assurance « substantiel » couvrent les niveaux AVA_VAN 1 ou 2. 3. Les certificats EUCC de niveau d’assurance « élevé » couvrent les niveaux AVA_VAN 3, 4 ou 5. 4.
Le niveau d’assurance confirmé dans un certificat EUCC fait la distinction entre l’utilisation conforme et l’utilisation renforcée des composants d’assurance tels que spécifiés dans les critères communs conformément à l’annexe VIII.
Les organismes d’évaluation de la conformité appliquent les composants d’assurance dont dépend le niveau AVA_VAN sélectionné en se conformant aux normes précitées.
Dans ce cadre, ce texte réglemente principalement :
– la certification des produits TIC (normes et exigences spécifiques pour l’évaluation, délivrance, renouvellement et retrait des certificats EUCC) ;
– la certification des profils de protection (normes et exigences spécifiques pour l’évaluation, délivrance, renouvellement et retrait des certificats EUCC pour les profils de protection) ;
– les organismes d’évaluation de la conformité ;
– le contrôle, la non-conformité et le non-respect des règles ;
– la gestion et la divulgation des vulnérabilités (procédures de gestion des vulnérabilités, analyse d’impact des vulnérabilités, rapports d’analyses associés, résolution des vulnérabilités, divulgation de celles-ci) ;
– la conservation, la divulgation et la protection des informations ;
– le maintien du schéma.
Ces dispositions entrent en vigueur le 27 février 2024 et s’appliquent à partir du 27 février 2025. Néanmoins, les exigences relatives aux organismes d’évaluation de la conformité, au contrôle, à la non-conformité et au non-respect des règles s’appliquent dès le 27 février 2024.