Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/Cybersécurité/Cybersecurity Act
🛡️Cybersécurité & IT

Règlement sur la cybersécurité (UE) 2019/881 — ENISA et certification de cybersécurité

Analyse du 7 juin 20260 sourcesVersion consolidée du 04.02.2025 intégrant le règlement (UE) 2025/37EUR-Lex Original

Mon produit TIC ou mon service de sécurité géré a-t-il besoin d'un certificat de cybersécurité européen pour rester sur le marché intérieur — et que se passe-t-il si je ne l'obtiens pas ?

Depuis le 27 juin 2019, le règlement sur la cybersécurité fournit un cadre européen de certification volontaire — étendu aux services de sécurité gérés depuis le 4 février 2025 par le règlement (UE) 2025/37 — et les États membres doivent prévoir des sanctions effectives, proportionnées et dissuasives pour toute violation [Art. 65].

Réponse courte

Le règlement (UE) 2019/881 confère à l'ENISA un mandat permanent en tant qu'agence de l'Union pour la cybersécurité et établit le cadre européen de certification de cybersécurité applicable aux produits TIC, services TIC, processus TIC et, depuis la modification par le règlement (UE) 2025/37, aux services de sécurité gérés [Art. 1er]. La certification est volontaire sauf disposition contraire d'un acte juridique de l'Union rendant un schéma obligatoire [Art. 56 par. 3]. Le cadre prévoit trois niveaux d'assurance — élémentaire, substantiel et élevé — chacun avec des exigences croissantes en matière de vérification, de tests d'intrusion et de résistance aux acteurs aux ressources significatives [Art. 52]. Les schémas européens de certification remplacent les schémas nationaux pour les mêmes catégories de produits ou services [Art. 57].

Concernés

Fabricants et fournisseurs de produits TIC, services TIC, processus TIC et services de sécurité gérés opérant sur le marché intérieur de l'UE et de l'EEE. Organismes d'évaluation de la conformité accrédités délivrant des certificats. Fournisseurs de services de sécurité gérés (traitement d'incidents, tests d'intrusion, audits de sécurité, conseil) au sens de l'article 2, point 14 bis, ajouté par le règlement (UE) 2025/37. Les entités essentielles et importantes au titre de la directive (UE) 2022/2555 (NIS 2) qui sélectionnent ces fournisseurs sont également concernées.

Échéance

Obligation permanente. Le règlement est directement applicable depuis le 27 juin 2019. Les articles 58, 60, 61, 63, 64 et 65 s'appliquent depuis le 28 juin 2021 [Art. 69 par. 2]. L'extension aux services de sécurité gérés par le règlement (UE) 2025/37 est applicable depuis le 4 février 2025. La Commission évalue au moins tous les deux ans si des schémas volontaires doivent devenir obligatoires [Art. 56 par. 3].

Risque

Aucune amende plafonnée au niveau de l'UE : le règlement renvoie aux États membres, qui doivent prévoir des sanctions effectives, proportionnées et dissuasives pour les violations du titre III et des schémas européens de certification de cybersécurité [Art. 65]. Risques concrets : retrait du certificat en cas de non-conformité par l'autorité nationale de certification [Art. 58 par. 8 point e)], suspension ou révocation de l'accréditation de l'organisme d'évaluation [Art. 60 par. 5], et perte de l'accès aux marchés publics et privés qui exigent la certification comme critère de sélection.

Preuves

Statut juridique

  • En vigueur
  • au 2026-06-07
  • Version consolidée du 04.02.2025 intégrant le règlement (UE) 2025/37

Sources primaires

    À faire maintenant

    Juridique / DPO

    • Vérifier si un schéma européen de certification de cybersécurité couvre vos produits TIC, services TIC ou services de sécurité gérés et si un acte sectoriel de l'Union rend cette certification obligatoire [Art. 56 par. 2 et 3].
    • Analyser le régime de sanctions transposé dans chaque État membre de commercialisation, car le règlement confie aux législateurs nationaux la définition des sanctions applicables aux violations du titre III [Art. 65].
    • Mettre en place une procédure de traitement des réclamations conformément au droit de réclamation des personnes physiques et morales, incluant l'information sur les voies de recours juridictionnelles [Art. 63].

    Conformité

    • Cartographier les schémas européens de certification en vigueur et les schémas nationaux encore applicables pour identifier les obligations actuelles et anticiper le remplacement des schémas nationaux par les schémas européens [Art. 57].
    • Documenter l'autoévaluation de la conformité lorsque le schéma l'autorise au niveau d'assurance 'élémentaire', en conservant la documentation technique à disposition des autorités nationales et de l'ENISA [Art. 53 par. 2 et 3].
    • Intégrer les exigences de diligence renforcée dans la sélection des fournisseurs de services de sécurité gérés, en tenant compte du certificat de cybersécurité européen comme indicateur de qualité [considérant 6 du règlement (UE) 2025/37].

    IT / Sécurité

    • S'assurer que les produits TIC certifiés respectent les objectifs de sécurité du schéma applicable : protection des données stockées, transmises ou traitées contre l'accès, la destruction ou la modification non autorisés, et vérification de l'absence de vulnérabilités connues [Art. 51].
    • Pour les services de sécurité gérés, garantir que le personnel dispose de compétences, d'expertise et d'expérience suffisantes et que les procédures internes assurent un niveau de qualité adéquat, conformément aux objectifs de sécurité spécifiques [Art. 51 bis, ajouté par le règlement (UE) 2025/37].
    • Mettre en œuvre les mécanismes de mise à jour sécurisés et le principe de sécurité par défaut exigés par les objectifs de sécurité, en rendant publiques les orientations pour la configuration et la maintenance sécurisées [Art. 51 et Art. 55].

    Produit / Ingénierie

    • Déterminer le niveau d'assurance requis — élémentaire, substantiel ou élevé — pour chaque produit TIC ou service TIC en fonction du profil de risque et du schéma européen applicable, sachant que le niveau 'élevé' nécessite l'intervention de l'autorité nationale de certification [Art. 52 et Art. 56 par. 6].
    • Publier les informations supplémentaires en matière de cybersécurité prévues à l'article 55 : orientations de configuration sécurisée, période de support des mises à jour de sécurité, contacts pour le signalement des vulnérabilités et références aux répertoires en ligne de vulnérabilités [Art. 55].
    • Anticiper l'évaluation périodique par la Commission de l'opportunité de rendre des schémas obligatoires et planifier la transition de la certification volontaire vers une éventuelle certification obligatoire [Art. 56 par. 3].

    Contrôles interactifs pour cet acte juridique

    Évaluation préalable basée sur le règlement. Pas un conseil juridique.

    Lancer le contrôle CBAM

    Termes clés

    ENISA
    Agence de l'Union européenne pour la cybersécurité, dotée d'un mandat permanent par le règlement (UE) 2019/881, servant de centre de compétences et de référence pour la cybersécurité dans l'Union.
    Schéma européen de certification de cybersécurité
    Ensemble de règles, exigences techniques, normes et procédures établies au niveau de l'Union pour la certification ou l'évaluation de la conformité de produits TIC, services TIC, processus TIC ou services de sécurité gérés [Art. 2 point 9)].
    Certificat de cybersécurité européen
    Document délivré par un organisme compétent attestant qu'un produit TIC, service TIC, processus TIC ou service de sécurité géré satisfait aux exigences de sécurité d'un schéma européen de certification [Art. 2 point 11)].
    Niveau d'assurance
    Fondement permettant de garantir qu'un produit ou service satisfait aux exigences de sécurité d'un schéma spécifique, indiquant le niveau d'évaluation sans mesurer la sécurité intrinsèque du produit ou service [Art. 2 point 21)].
    Autoévaluation de la conformité
    Action effectuée par un fabricant ou fournisseur évaluant si ses produits TIC, services TIC, processus TIC ou services de sécurité gérés satisfont aux exigences d'un schéma européen de certification, applicable uniquement au niveau 'élémentaire' [Art. 2 point 22) et Art. 53].
    Service de sécurité géré
    Service fourni à un tiers consistant à effectuer des activités de gestion des risques de cybersécurité ou à fournir une assistance, telles que le traitement des incidents, les tests d'intrusion et les audits de sécurité [Art. 2 point 14 bis), ajouté par le règlement (UE) 2025/37].
    GECC
    Groupe européen de certification de cybersécurité, composé de représentants des autorités nationales de certification, conseillant la Commission et l'ENISA sur la mise en œuvre du cadre de certification [Art. 62].
    ?

    Questions fréquentes

    La certification de cybersécurité européenne est-elle obligatoire ?
    Non, la certification est volontaire sauf si un acte juridique de l'Union rend un schéma européen spécifique obligatoire. La Commission évalue au moins tous les deux ans si des schémas volontaires doivent devenir obligatoires [Art. 56 par. 2 et 3].
    Quels sont les trois niveaux d'assurance prévus par le cadre de certification ?
    Le niveau 'élémentaire' vise des risques basiques avec un examen documentaire, le niveau 'substantiel' couvre les risques d'acteurs aux compétences limitées avec vérification de l'absence de vulnérabilités publiques, et le niveau 'élevé' cible les attaquants compétents disposant de ressources significatives avec des tests d'intrusion approfondis [Art. 52].
    Qu'est-ce qu'un service de sécurité géré au sens du règlement modifié ?
    Un service fourni à un tiers consistant à effectuer des activités liées à la gestion des risques en matière de cybersécurité, telles que le traitement des incidents, les tests d'intrusion, les audits de sécurité et le conseil, y compris les conseils d'experts liés à l'assistance technique [Art. 2 point 14 bis, inséré par le règlement (UE) 2025/37].
    Que se passe-t-il lorsqu'un schéma européen de certification entre en vigueur pour une catégorie de produits déjà couverte par un schéma national ?
    Les schémas nationaux de certification et les procédures connexes pour les produits, services ou processus TIC couverts par un schéma européen cessent de produire leurs effets à la date fixée dans l'acte d'exécution adoptant le schéma européen. Les États membres ne peuvent pas créer de nouveaux schémas nationaux pour ces mêmes catégories [Art. 57].
    Quel rôle joue l'ENISA dans le cadre de certification ?
    L'ENISA prépare les schémas candidats à la demande de la Commission, tient un site internet dédié aux certificats et déclarations de conformité, participe aux examens par les pairs des autorités nationales et compile des lignes directrices sur les exigences de cybersécurité [Art. 8, Art. 49, Art. 50].
    Une entreprise peut-elle effectuer une autoévaluation de la conformité ?
    Oui, lorsque le schéma européen l'autorise pour le niveau d'assurance 'élémentaire', le fabricant ou fournisseur peut délivrer une déclaration de conformité de l'Union européenne sous sa seule responsabilité, sans faire appel à un organisme d'évaluation tiers [Art. 53].
    Quelles sanctions s'appliquent en cas de violation ?
    Le règlement ne fixe pas de montant plafond au niveau de l'UE. Chaque État membre détermine son propre régime de sanctions, qui doit être effectif, proportionné et dissuasif [Art. 65]. Les autorités nationales peuvent également retirer les certificats non conformes [Art. 58 par. 8 point e)].
    3

    Facteurs d’évaluation et liste de contrôle

    Premium
    Vérifier gratuitement
    4

    Questions pour votre avocat

    Premium
    Vérifier gratuitement
    5

    Conclusion et résumé

    Premium
    Vérifier gratuitement

    Analyse détaillée avec liens sources.

    Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. Kostenlos prüfen mit Scout.

    Vérifier gratuitement

    Keine Kreditkarte. 50 Recherchen + 5 KI-Analysen frei.