FAQ (CCB-Certification)
- La certification des produits, services et processus ICT est-elle obligatoire?
-
Quels sont les différents niveaux de confiance repris dans la certification et que signifient-ils?
-
Existe-t-il déjà des organismes d'évaluation de la conformité accrédités actifs en Belgique?
-
Comment les schémas de certification de la cybersécurité de l'UE sont-ils élaborés?
-
Les certificats de cybersécurité de l'UE seront-ils reconnus dans tous les pays européens?
-
Quand peut-on demander de l'aide à l'équipe CCB-Certification?
-
En tant que NCCA, le CCB fait-il également l’objet de contrôles?
▷ La certification des produits, services et processus ICT est-elle obligatoire?
La certification a lieu sur base volontaire, sauf disposition contraire du droit de l'Union ou du droit national. Les fournisseurs qui souhaitent faire certifier leur solution ICT peuvent demander un certificat par l'intermédiaire d'un organisme d'évaluation de la conformité (CAB), conformément aux règles établies dans les systèmes de certification.
À l'avenir, la Commission évaluera régulièrement l'efficacité et l'utilisation des schémas européens établis si un schéma européen spécifique est requis par le droit pertinent de l'Union pour assurer un niveau approprié de cybersécurité des produits, services et processus ICT dans l'Union et pour améliorer le fonctionnement du marché intérieur.
▷ Quels sont les différents niveaux de confiance repris dans la certification et que signifient-ils?
Un niveau de confiance fournit une base pour avoir la certitude qu'un produit, un service ou un processus ICT répond aux exigences de sécurité d'un schéma spécifique. Il indique le niveau attribué au produit, service ou processus ICT après évaluation. Il ne s'agit pas d'une mesure de la sécurité du produit, du service ou du processus ICT.
▷ A partir de quand un producteur peut-il demander la certification de produits, services et processus ICT?
Ce calendrier dépend du processus décisionnel européen et peut changer :
- EUCC (certification des produits ICT) : à partir de fin 2024
- EUCS (services en Cloud) : à partir de début 2025
- EU5G (5G) : à déterminer.
▷ Existe-t-il déjà des organismes d'évaluation de la conformité accrédités actifs en Belgique?
Pour l’instant, aucune accréditation n'est possible pour les schémas européens, car aucun schéma définitif n'a encore été publié. Le calendrier prévu pour le début du processus d'accréditation des CAB est le suivant :
- EUCC (certification des produits IT) : à partir de la mi-2024
- EUCS (services en Cloud) : à partir de la fin 2024
- EU5G (5G) : À définir
Pour la certification des systèmes de gestion selon la norme ISO 27001, il existe plusieurs organismes d'évaluation de la conformité (CAB) accrédités en Belgique. BELAC publie la liste des CAB accrédités sur son site Internet.
▷ Comment les schémas de certification de la cybersécurité de l'UE sont-ils élaborés?
L'Agence de l’Union européenne pour la cybersécurité (ENISA) élabore des projets de schémas de certification à la demande de la Commission européenne ou des États membres de l'UE. L'ENISA est assistée par un groupe d'experts et travaille en étroite collaboration avec la Commission européenne, les États membres de l'UE et les parties prenantes concernées.
Le département de certification du CCB représente la Belgique au sein de l'organe consultatif GCEC, qui conseille la Commission européenne concernant les schémas.
▷ Comment les schémas de certification de la cybersécurité de l'UE peuvent-ils être utilisés dans la pratique?
La délivrance des certificats:
Chaque État membre peut choisir de délivrer des certificats de cybersécurité européens. Les autorités nationales de certification en matière de cybersécurité (NCCA) supervisent et contrôlent le respect du règlement des certificats délivrés par les Conformity Assessment Bodies (CAB) de leur État membre.
Pour être certifié:
Les fournisseurs qui souhaitent faire certifier leur solution ICT peuvent demander un certificat par l'intermédiaire d'un organisme d'évaluation de la conformité (CAB) accrédité, conformément aux règles établies dans les schémas de certification.
L’utilisation des certificats:
Les utilisateurs de solutions ICT peuvent considérer les certificats de cybersécurité comme la preuve qu'une solution spécifique répond à certaines exigences de sécurité.
▷ Que se passe-t-il si un nouveau schéma européen couvre le même domaine ICT qu'un schéma national existant?
Afin d'atteindre les objectifs du Cybersecurity Act et d'éviter la fragmentation du marché intérieur, la validité des schémas de certification nationaux devrait arriver à terme, à compter d'une date déterminée par la Commission. Chaque schéma de certification de la cybersécurité de l'UE prévoit une période de transition à l'issue de laquelle les schémas nationaux expireront.
En d'autres termes, les certificats émis dans le cadre de ces schémas ne seront plus valables. Une transition des schémas existants vers les schémas de l'UE est prévue, avec les instructions nécessaires pour les organismes d'évaluation de la conformité (CAB) opérant dans le cadre de schémas nationaux.
Ces CAB ne sont pas autorisés à cesser leurs activités reposant sur les régimes existants.
▷ Les certificats de cybersécurité de l'UE seront-ils reconnus dans tous les pays européens?
Les certificats de cybersécurité de l'UE délivrés par des Conformity Assessment Bodies (CAB) reconnus sont valables dans tous les pays de l'UE.
▷ Quand peut-on demander de l'aide à l'équipe CCB-Certification?
L'équipe CCB-Certification est opérationnelle offre des conseils et un soutien aux entreprises belges dans le cadre du processus de certification de cybersécurité de l'UE.
L'équipe CCB-Certification peut être sollicitée en cas de plaintes concernant la certification de produits ou l'utilisation abusive de celle-ci. L'équipe CCB-Certification peut informer et, si nécessaire, agir afin d’assurer le suivi de la réglementation. À cette fin, elle peut demander l'aide d'un autre NCCA si le certificat a été délivré dans un autre pays européen.
▷ En tant que NCCA, le CCB fait-il également l’objet de contrôles?
L'ENISA est chargée d'organiser une évaluation par les pairs (évaluation par des collègues européens) des NCCA. Le NCCA du CCB y participera afin d'améliorer son fonctionnement.