Il s’agit du Règlement 2019/881 relatif à l’Agence de l’Union européenne pour la cybersécurité (« ENISA ») et à la certification de cybersécurité des technologies de l’information et des communications (aussi connu comme ‘Cybersecurity Act’).
Le règlement prévoit notamment :
- Le renforcement du rôle de l’ENISA, qui devient l’Agence Européenne pour la Cybersécurité, afin de mieux soutenir les États membres dans la lutte contre les menaces et les attaques en matière de cybersécurité ;
- L’établissement d’un cadre européen de certification de cybersécurité, renforçant la cybersécurité des services en ligne et des dispositifs accessibles au grand public.
Selon l’article 49 du règlement, l’ENISA sera responsable de la préparation des schémas de certification des candidats qui seront par la suite adoptés par la Commission Européenne.
Les schémas européens de certification de cybersécurité permettront aussi une autoévaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC (technologies de l’information et des communications (TIC)).
L’ENISA tiendra à jour un site internet dédié qui fournira des informations sur les schémas européens de certification de cybersécurité, y compris les schémas qui ne sont plus valables, les schémas retirés ou expirés.
La Commission Européenne, se fondant sur le schéma candidat préparé par l’ENISA, pourra adopter des actes d’exécution prévoyant un schéma européen de certification de cybersécurité.
L’évaluation des schémas sera assurée par ENISA au moins tous les 5 ans.