Règlement d’exécution (UE) 2024/3144 de la Commission du 18 décembre 2024 modifiant le règlement d’exécution (UE) 2024/482 en ce qui concerne les normes internationales applicables et rectifiant ledit règlement d’exécution

JOUE Série L du 19 décembre 2024

Le règlement 2024/482 du 31 janvier 2024 détermine les rôles, les règles et les obligations, ainsi que la structure du schéma européen de certification de cybersécurité (EUCC) fondé sur des critères communs.
Il repose sur des normes internationales établies, à savoir les critères communs et la méthode d’évaluation commune définis par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI).
Dans ce cadre, ce texte vient modifier ce règlement pour préciser notamment les versions des normes internationales applicables.
Les modifications consistent en particulier à :
– indiquer la version des normes ISO/CEI qui s’applique aux certificats délivrés au titre du schéma EUCC ;
– permettre l’utilisation des documents émanant des « Critères Communs dans le domaine de la sécurité informatique (CCRA) » comme base à la certification au titre du schéma EUCC ;
– associer aux nouvelles versions de normes internationales relatives aux critères communs des règles transitoires pour laisser suffisamment de temps aux acteurs concernés de s’approprier les adaptations nouvelles ;
– définir les circonstances dans lesquelles la version précédente des critères communs et de la méthode d’évaluation commune continue de s’appliquer et la façon dont la transition vers la version la plus récente des normes internationales doit s’effectuer ;
– accepter les cibles de sécurité fondées sur une version précédente des normes jusqu’au 31 décembre 2027 ;
– prévoir des règles transitoires spécifiques et autoriser la délivrance de certificats au titre du règlement 2024/482 du 31 janvier 2024 attestant la conformité avec les profils de protection qui sont fondés sur des versions antérieures des normes publiées par le CCRA lorsque l’utilisation de tels profils de protection est requise en vertu de la législation de l’Union européenne ;
– inclure, au sein de l’annexe I relative aux domaines techniques et documents de références, les documents de référence nouveaux ou mis à jour après leur approbation par le groupe européen de certification de cybersécurité (GECC). A ce titre, les exigences relatives à l’accréditation des centres d’évaluation de la sécurité des technologies de l’information (CESTI) doivent être mises à jour pour clarifier l’application des critères d’indépendance et d’impartialité, et un nouveau document de référence doit être élaboré pour l’accréditation des organismes de certification ;
– prévoir l’application du nouveau document de référence relatif à l’accréditation des CESTI aux accréditations délivrées à compter du 8 juillet 2025 (sauf pour les accréditations qui ont fait l’objet d’un réexamen, lesquelles devront satisfaire aux exigences du nouveau document avant cette échéance) ;
– mentionner, au sein de l’annexe I précitée, la version des documents de référence pour l’évaluation des produits TIC et des profils de protection qui s’applique aux certificats délivrés au titre du schéma EUCC ;
– harmoniser les règles relatives aux notifications des organismes d’évaluation de la conformité pour tous les schémas relevant du cadre européen de certification de cybersécurité (renvoi vers le règlement d’exécution 2024/3143 du 18 décembre 2024 à compter du 8 janvier 2024).