Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC)
JOUE Série L du 7 février 2024
Ce texte établit le schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC).
Il s’applique à :
– tous les produits des technologies de l’information et de la communication (TIC), y compris leur documentation, qui sont présentés pour certification dans le cadre de l’EUCC ;
– tous les profils de protection qui sont présentés pour certification dans le cadre du processus TIC menant à la certification des produits TIC.
Il définit les normes s’appliquant aux évaluations réalisées dans le cadre du schéma EUCC à savoir ;
– les critères communs ;
– la méthode d’évaluation commune.
Il précise que les organismes de certification délivrent des certificats EUCC de niveau d’assurance « substantiel » ou « élevé ».
Les certificats EUCC de niveau d’assurance « substantiel » couvrent les niveaux AVA_VAN 1 ou 2. 3. Les certificats EUCC de niveau d’assurance « élevé » couvrent les niveaux AVA_VAN 3, 4 ou 5. 4.
Le niveau d’assurance confirmé dans un certificat EUCC fait la distinction entre l’utilisation conforme et l’utilisation renforcée des composants d’assurance tels que spécifiés dans les critères communs conformément à l’annexe VIII.
Les organismes d’évaluation de la conformité appliquent les composants d’assurance dont dépend le niveau AVA_VAN sélectionné en se conformant aux normes précitées.
Dans ce cadre, ce texte réglemente principalement :
– la certification des produits TIC (normes et exigences spécifiques pour l’évaluation, délivrance, renouvellement et retrait des certificats EUCC) ;
– la certification des profils de protection (normes et exigences spécifiques pour l’évaluation, délivrance, renouvellement et retrait des certificats EUCC pour les profils de protection) ;
– les organismes d’évaluation de la conformité ;
– le contrôle, la non-conformité et le non-respect des règles ;
– la gestion et la divulgation des vulnérabilités (procédures de gestion des vulnérabilités, analyse d’impact des vulnérabilités, rapports d’analyses associés, résolution des vulnérabilités, divulgation de celles-ci) ;
– la conservation, la divulgation et la protection des informations ;
– le maintien du schéma.
Ces dispositions entrent en vigueur le 27 février 2024 et s’appliquent à partir du 27 février 2025. Néanmoins, les exigences relatives aux organismes d’évaluation de la conformité, au contrôle, à la non-conformité et au non-respect des règles s’appliquent dès le 27 février 2024.
Les plus lus…
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Dans quelles conditions, un lieu de travail n’est-il pas soumis à l’obligation de disposer de places de stationnement aménagées…
-
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Redoutées par tous, les défaillances de la sécurité privée ne se sont pas produites durant les Jeux olympiques. Bien…
La Dreal Normandie (Direction régionale de l'environnement, de l'aménagement et du logement) a adressé deux mises en demeure le…
À lire également
