Règlement d’exécution (UE) 2025/2462 de la Commission du 8 décembre 2025 modifiant le règlement d’exécution (UE) 2024/482 en ce qui concerne les définitions, la certification de séries de produits TIC, la continuité de l’assurance et les documents de référence

JOUE Série L du 9 décembre 2025

Le règlement 2024/482 du 31 janvier 2024 définit les rôles, les règles et les obligations ainsi que la structure du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC).
Afin notamment de préserver la fiabilité des produits certifiés, ce texte apporte plusieurs modifications au sein du règlement 2024/482 du 31 janvier 2024 en ce qui concerne les définitions, la certification de séries de produits TIC, la continuité de l’assurance et les documents de référence.
Dans ce cadre et en premier lieu, il définit ce qui constitue une modification majeure ou mineure de la cible d’évaluation ou de son environnement. Ainsi, les modifications mineures se caractérisent par leur incidence limitée sur la déclaration d’assurance produit fournie par le certificat EUCC délivré. Celles-ci doivent être gérées dans le cadre de procédures de maintenance et ne nécessitent pas de réévaluation des fonctionnalités de sécurité du produit (exemples : modifications rédactionnelles, modifications de l’environnement de la cible d’évaluation qui ne modifient pas la cible d’évaluation certifiée). Une modification majeure désigne toute modification de la cible d’évaluation certifiée ou de son environnement qui est susceptible d’avoir une incidence négative sur l’assurance indiquée dans le certificat EUCC faisant qu’elle implique la réalisation d’une réévaluation (exemple : modifications de la cible d’évaluation visant à remédier à une vulnérabilité exploitable).
En deuxième lieu, ce texte aborde la question de l’incidence des modifications de l’environnement de menaces d’un produit TIC certifié inchangé. Cela pourrait nécessiter une réévaluation. Les résultats possibles d’un tel processus de réévaluation, en particulier son incidence sur le certificat EUCC, sont clairement établis : confirmation du certificat ou délivrance d’un nouveau certificat avec une nouvelle date d’expiration si une réévaluation est concluante ; à défaut, retrait du certificat et délivrance éventuelle d’un nouveau certificat avec un champ d’application différent.
En troisième lieu, ce texte met à jour les documents de référence applicables pour l’évaluation des produits TIC et des profils de protection fixés à l’annexe I du règlement 2024/482 du 31 janvier 2024. Cette actualisation tient compte des dernières évolutions, telles que celles liées aux technologies, au panorama des cybermenaces, aux pratiques du secteur ou aux normes internationales. Il y ajoute notamment les documents de référence nouveaux ou mis à jour après leur approbation par le groupe européen de certification de cybersécurité (GECC).
Par ailleurs, il ajoute le document de référence intitulé « ADV_SPM.1 interpretation for [CC:2022] transition » au schéma afin de veiller à ce que les processus de certification reposant sur des profils de protection spécifiques puissent continuer à utiliser la modélisation formelle (ADV_SPM.1) jusqu’à ce que les profils de protection correspondants soient mis à jour, par exemple avec l’ajout d’une configuration de profils de protection multiassurance conformes aux CC:2022 qui prend en charge l’ADV_SPM.1.
En quatrième lieu, il prévoit des règles transitoires appropriées pour permettre aux vendeurs, aux centres d’évaluation de la sécurité des technologies de l’information (CESTI), aux organismes de certification et aux autres parties prenantes de procéder aux adaptations nécessaires. Les documents de référence nouveaux et mis à jour applicables concernent, ainsi, les demandes de certification, y compris les demandes de réévaluation. Il reste possible de recourir à des versions antérieures des documents de référence pour les processus de certification en cours.
En cinquième lieu, il actualise les annexes II et III du règlement 2024/482 du 31 janvier 2024, lesquelles énumèrent respectivement les profils de protection certifiés au niveau AVA_VAN 4 ou 5 et les profils de protection recommandés.
En sixième lieu, il précise que l’annexe IV s’applique, avec les modifications nécessaires, au réexamen des certificats EUCC pour les profils de protection.
En septième lieu, il invite l’Agence de l’Union européenne pour la cybersécurité (ENISA) à publier sur son site internet la cible de sécurité correspondant à chaque certificat EUCC. Il précise que les organismes de certification doivent fournir à l’ENISA une version anglaise de la cible de sécurité et du rapport de certification afin que l’agence puisse mettre à disposition ces informations en anglais sur le site internet correspondant. En conséquence, les candidats à la certification sont tenus de fournir aux organismes de certification une version anglaise de la cible de sécurité chaque fois que cela leur est demandé.
En dernier lieu, il supprime la référence au nom de l’organisme de certification au sein de l’identifiant unique du certificat, étant donné que le numéro d’identification de l’organisme de certification est suffisant pour identifier cet organisme de manière unique. La mention du mois de délivrance est également abandonnée. Dans la mesure où l’année de délivrance du certificat correspond à la délivrance du premier certificat, cette même date est désormais incluse dans l’identifiant unique qui figure sur les certificats délivrés après un réexamen afin de garantir la traçabilité.
Ces dispositions entrent en vigueur le 29 décembre 2025.