5. Cybersécurité 
5.3. Sécurité informatique et de l'information
5.3. Sécurité informatique et de l'information
Règlement d'exécution (UE) 2024/3143 de la Commission du 18 décembre 2024 établissant les circonstances, formats et procédures pour les notifications en application de l’article 61, paragraphe 5, du règlement (UE) 2019/881 du Parlement européen et du Conseil relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications
| Date de signature : | 18/12/2024 | Statut du texte : | En vigueur |
| Date de publication : | 19/12/2024 | Emetteur : | |
| Consolidée le : | Source : | JOUE Série L du 18 décembre 2024 | |
| Date d'entrée en vigueur : | 08/01/2025 |
Règlement d'exécution (UE) 2024/3143 de la Commission du 18 décembre 2024 établissant les circonstances, formats et procédures pour les notifications en application de l’article 61, paragraphe 5, du règlement (UE) 2019/881 du Parlement européen et du Conseil relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications
LA COMMISSION EUROPÉENNE,
(1) En application de l’article 61, paragraphe 1, du règlement (UE) 2019/881 (règlement sur la cybersécurité), les autorités nationales de certification de cybersécurité (ANCC) sont chargées de notifier à la Commission l’identité des organismes d’évaluation de la conformité qui ont été accrédités et, le cas échéant, autorisés à délivrer des certificats de cybersécurité européens aux niveaux d’assurance déterminés, et de l’informer de toute modification ultérieure. En outre, conformément à l’article 61, paragraphe 2, du règlement (UE) 2019/881, la Commission est tenue de publier au Journal officiel de l’Union européenne une liste des organismes d’évaluation de la conformité notifiés au titre d’un schéma européen de certification de cybersécurité un an après l’entrée en vigueur dudit schéma. Pour assurer une approche harmonisée des notifications et faciliter le processus de notification par les ANCC, le présent règlement devrait préciser les circonstances, formats et procédures pour les notifications. Il importe de clarifier ces aspects en vue de l’application du premier schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) établi par le règlement d’exécution (UE) 2024/482 de la Commission (2).
(2) Le présent règlement reconnaît les synergies entre le règlement (UE) 2019/881 et la législation d’harmonisation pertinente de l’Union, notamment le règlement (UE) 2024/2847 du Parlement européen et du Conseil (règlement sur la cyberrésilience) (3). Il est donc proposé que les ANCC informent la Commission au moyen de l’outil de notification électronique, mis au point et géré par la Commission, visé dans la décision n°768/2008/CE du Parlement européen et du Conseil (4). Indépendamment de l’obligation de la Commission de publier au Journal officiel de l’Union européenne la liste des organismes d’évaluation de la conformité qui ont fait l’objet d’une notification, cette liste devrait également être mise à la disposition du public sur l’outil de notification électronique mis au point et géré par la Commission.
(3) La notification d’organismes d’évaluation de la conformité accrédités et, le cas échéant, autorisés signifie que ces organismes sont considérés comme fiables pour réaliser des activités d’évaluation et de certification conformément au règlement (UE) 2019/881, contribuant ainsi à asseoir la réputation globale des schémas européens de certification de cybersécurité. Il est donc essentiel de veiller à ce que les organismes d’évaluation de la conformité qui ont été notifiés continuent à satisfaire aux exigences imposées et à remplir leurs obligations dans le temps. La liste publiée des organismes d’évaluation de la conformité notifiés devrait être exacte et tenue à jour, afin de refléter la conformité desdits organismes aux exigences énoncées dans le règlement (UE) 2019/881 et, le cas échéant, aux exigences spécifiques ou supplémentaires prévues par un schéma européen de certification de cybersécurité. À cette fin, il est nécessaire que les ANCC notifient sans retard indu à la Commission toute modification apportée aux informations notifiées, conformément à l’article 61, paragraphe 1, du règlement (UE) 2019/881.
(4) Les ANCC sont chargées de veiller à ce que les organismes d’évaluation de la conformité respectent le règlement (UE) 2019/881 et les schémas européens de certification de cybersécurité et, dans ce cadre, elles assurent l’exactitude des notifications. Ces activités font l’objet d’un examen par les pairs, dont les résultats devraient contribuer à déterminer les changements à y apporter pour les rendre plus efficaces. Les ANCC peuvent constater qu’un organisme d’évaluation de la conformité ne satisfait plus aux exigences applicables sur la base de préoccupations portées à leur connaissance dans des circonstances différentes. Le cas échéant, les résultats des mécanismes d’évaluation par les pairs devraient aider les ANCC à contrôler que les organismes d’évaluation de la conformité notifiés disposent toujours des compétences requises. Par ailleurs, des préoccupations concernant le maintien des compétences d’un organisme d’évaluation de la conformité notifié peuvent être communiquées à l’ANCC notifiante par d’autres ANCC, la Commission ou des parties prenantes.
(5) Lorsqu’elle décide de suspendre, soumettre à des restrictions ou retirer la notification d’un organisme d’évaluation de la conformité, l’ANCC notifiante doit coopérer avec l’organisme national d’accréditation désigné en application du règlement (CE) n°765/2008 du Parlement européen et du Conseil(5). Cette procédure est conforme au règlement (UE) 2019/881, qui prévoit que les ANCC devraient assister et soutenir activement les organismes nationaux d’accréditation dans leurs activités de contrôle et de supervision et coopérer avec eux. La restriction de la notification devrait faire référence à une situation dans laquelle le champ d’application de l’accréditation ou, le cas échéant, le champ d’application de l’autorisation et, partant, celui de la notification, sont réduits.
(6) En application de l’article 54, paragraphe 1, point n), du règlement (UE) 2019/881, un schéma européen de certification de cybersécurité doit inclure, le cas échéant, les règles relatives à la conservation des archives par les organismes d’évaluation de la conformité. Il est donc nécessaire qu’en cas de restriction, de suspension ou de retrait de la notification, ou lorsque l’organisme d’évaluation de la conformité notifié a cessé ses activités, l’ANCC notifiante veille à ce que les archives dudit organisme d’évaluation de la conformité soient stockées de manière sécurisée et conservées pendant la durée nécessaire, comme le prévoit un schéma européen de certification de cybersécurité.
(7) Les mesures prévues par le présent règlement sont conformes à l’avis du comité établi par l’article 66 du règlement (UE) 2019/881,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet
Le présent règlement établit les circonstances, formats et procédures applicables aux notifications d’organismes d’évaluation de la conformité par les autorités nationales de certification de cybersécurité (ANCC) en application de l’article 61, paragraphe 1, du règlement (UE) 2019/881.
Article 2
Procédure de notification
1. Conformément à l’article 61, paragraphe 1, du règlement (UE) 2019/881, les ANCC notifient à la Commission les organismes d’évaluation de la conformité qui ont satisfait aux exigences énoncées dans le règlement (UE) 2019/881 et, le cas échéant, aux exigences spécifiques ou supplémentaires fixées par un schéma européen de certification de cybersécurité.
2. L’autorité nationale compétente informe la Commission au moyen de l’outil de notification électronique mis au point et géré par la Commission, visé dans la décision n°768/2008/CE.
3. La notification comporte les renseignements indiqués à l’annexe.
Article 3
Numéros d’identification et liste des organismes d’évaluation de la conformité
1. La Commission attribue un numéro d’identification à chaque organisme d’évaluation de la conformité notifié. Elle attribue un numéro d’identification unique à un même organisme, même si celui-ci est notifié au titre de plusieurs schémas européens de certification de cybersécurité ou actes de l’Union.
2. Lorsqu’elle met à disposition la liste des organismes d’évaluation de la conformité notifiés via l’outil de notification électronique mis au point et géré par la Commission, cette dernière indique les numéros d’identification qui ont été attribués aux organismes d’évaluation de la conformité notifiés et les activités pour lesquelles ils ont été notifiés.
3. L’ENISA met à disposition les informations relatives aux organismes d’évaluation de la conformité notifiés sur son site web consacré aux schémas européens de certification de cybersécurité mentionné à l’article 50, paragraphe 1, du règlement (UE) 2019/881.
Article 4
Modifications apportées aux notifications
1. Les ANCC notifient à la Commission, sans retard indu, toute modification ultérieure de la notification visée à l’article 2 au moyen de l’outil de notification électronique mis au point et géré par la Commission, conformément à l’article 61, paragraphe 1, du règlement (UE) 2019/881.
2. Lorsqu’une ANCC a constaté, en coopération avec l’organisme national d’accréditation, conformément au règlement (UE) 2019/881, qu’un organisme d’évaluation de la conformité notifié ne satisfait plus aux exigences ou obligations auxquelles il est soumis, l’ANCC soumet la notification à des restrictions, la suspend ou la retire, en fonction de la gravité du non-respect de ces exigences ou de ces obligations. Elle en informe la Commission sans retard indu, au moyen de l’outil de notification électronique mis au point et géré par la Commission.
3. En cas de restriction, de suspension ou de retrait de la notification, ou lorsque l’organisme d’évaluation de la conformité notifié a cessé ses activités, l’ANCC notifiante prend les mesures appropriées pour que les archives dudit organisme d’évaluation de la conformité soient stockées de manière sécurisée et conservées pendant la durée nécessaire, comme le prévoit un schéma européen de certification de cybersécurité.
Article 5
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 18 décembre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 151 du 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/ 482/oj).
(3) Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) n°168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience) (JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/ 2024/2847/oj).
(4)Décision n°768/2008/CE du Parlement européen et du Conseil du 9 juillet 2008 relative à un cadre commun pour la commercialisation des produits et abrogeant la décision 93/465/CEE du Conseil (JO L 218 du 13.8.2008, p. 82, ELI: http://data.europa.eu/eli/dec/ 2008/768(1)/oj).
(5) Règlement (CE) n°765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n°339/93 du Conseil (JO L 218 du 13.8.2008, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
ANNEXE
Renseignements à inclure dans la notification d’un organisme d’évaluation de la conformité au titre d’un schéma européen de certification de cybersécurité en application de l’article 61, paragraphe 1, du règlement (UE) 2019/881, tels que prévus à l’article 2, paragraphe 3, du présent règlement
1. Renseignements généraux:
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n°526/2013 (règlement sur la cybersécurité)(1), et notamment son article 61, paragraphe 5,
(1) En application de l’article 61, paragraphe 1, du règlement (UE) 2019/881 (règlement sur la cybersécurité), les autorités nationales de certification de cybersécurité (ANCC) sont chargées de notifier à la Commission l’identité des organismes d’évaluation de la conformité qui ont été accrédités et, le cas échéant, autorisés à délivrer des certificats de cybersécurité européens aux niveaux d’assurance déterminés, et de l’informer de toute modification ultérieure. En outre, conformément à l’article 61, paragraphe 2, du règlement (UE) 2019/881, la Commission est tenue de publier au Journal officiel de l’Union européenne une liste des organismes d’évaluation de la conformité notifiés au titre d’un schéma européen de certification de cybersécurité un an après l’entrée en vigueur dudit schéma. Pour assurer une approche harmonisée des notifications et faciliter le processus de notification par les ANCC, le présent règlement devrait préciser les circonstances, formats et procédures pour les notifications. Il importe de clarifier ces aspects en vue de l’application du premier schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) établi par le règlement d’exécution (UE) 2024/482 de la Commission (2).
(2) Le présent règlement reconnaît les synergies entre le règlement (UE) 2019/881 et la législation d’harmonisation pertinente de l’Union, notamment le règlement (UE) 2024/2847 du Parlement européen et du Conseil (règlement sur la cyberrésilience) (3). Il est donc proposé que les ANCC informent la Commission au moyen de l’outil de notification électronique, mis au point et géré par la Commission, visé dans la décision n°768/2008/CE du Parlement européen et du Conseil (4). Indépendamment de l’obligation de la Commission de publier au Journal officiel de l’Union européenne la liste des organismes d’évaluation de la conformité qui ont fait l’objet d’une notification, cette liste devrait également être mise à la disposition du public sur l’outil de notification électronique mis au point et géré par la Commission.
(3) La notification d’organismes d’évaluation de la conformité accrédités et, le cas échéant, autorisés signifie que ces organismes sont considérés comme fiables pour réaliser des activités d’évaluation et de certification conformément au règlement (UE) 2019/881, contribuant ainsi à asseoir la réputation globale des schémas européens de certification de cybersécurité. Il est donc essentiel de veiller à ce que les organismes d’évaluation de la conformité qui ont été notifiés continuent à satisfaire aux exigences imposées et à remplir leurs obligations dans le temps. La liste publiée des organismes d’évaluation de la conformité notifiés devrait être exacte et tenue à jour, afin de refléter la conformité desdits organismes aux exigences énoncées dans le règlement (UE) 2019/881 et, le cas échéant, aux exigences spécifiques ou supplémentaires prévues par un schéma européen de certification de cybersécurité. À cette fin, il est nécessaire que les ANCC notifient sans retard indu à la Commission toute modification apportée aux informations notifiées, conformément à l’article 61, paragraphe 1, du règlement (UE) 2019/881.
(4) Les ANCC sont chargées de veiller à ce que les organismes d’évaluation de la conformité respectent le règlement (UE) 2019/881 et les schémas européens de certification de cybersécurité et, dans ce cadre, elles assurent l’exactitude des notifications. Ces activités font l’objet d’un examen par les pairs, dont les résultats devraient contribuer à déterminer les changements à y apporter pour les rendre plus efficaces. Les ANCC peuvent constater qu’un organisme d’évaluation de la conformité ne satisfait plus aux exigences applicables sur la base de préoccupations portées à leur connaissance dans des circonstances différentes. Le cas échéant, les résultats des mécanismes d’évaluation par les pairs devraient aider les ANCC à contrôler que les organismes d’évaluation de la conformité notifiés disposent toujours des compétences requises. Par ailleurs, des préoccupations concernant le maintien des compétences d’un organisme d’évaluation de la conformité notifié peuvent être communiquées à l’ANCC notifiante par d’autres ANCC, la Commission ou des parties prenantes.
(5) Lorsqu’elle décide de suspendre, soumettre à des restrictions ou retirer la notification d’un organisme d’évaluation de la conformité, l’ANCC notifiante doit coopérer avec l’organisme national d’accréditation désigné en application du règlement (CE) n°765/2008 du Parlement européen et du Conseil(5). Cette procédure est conforme au règlement (UE) 2019/881, qui prévoit que les ANCC devraient assister et soutenir activement les organismes nationaux d’accréditation dans leurs activités de contrôle et de supervision et coopérer avec eux. La restriction de la notification devrait faire référence à une situation dans laquelle le champ d’application de l’accréditation ou, le cas échéant, le champ d’application de l’autorisation et, partant, celui de la notification, sont réduits.
(6) En application de l’article 54, paragraphe 1, point n), du règlement (UE) 2019/881, un schéma européen de certification de cybersécurité doit inclure, le cas échéant, les règles relatives à la conservation des archives par les organismes d’évaluation de la conformité. Il est donc nécessaire qu’en cas de restriction, de suspension ou de retrait de la notification, ou lorsque l’organisme d’évaluation de la conformité notifié a cessé ses activités, l’ANCC notifiante veille à ce que les archives dudit organisme d’évaluation de la conformité soient stockées de manière sécurisée et conservées pendant la durée nécessaire, comme le prévoit un schéma européen de certification de cybersécurité.
(7) Les mesures prévues par le présent règlement sont conformes à l’avis du comité établi par l’article 66 du règlement (UE) 2019/881,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet
Le présent règlement établit les circonstances, formats et procédures applicables aux notifications d’organismes d’évaluation de la conformité par les autorités nationales de certification de cybersécurité (ANCC) en application de l’article 61, paragraphe 1, du règlement (UE) 2019/881.
Article 2
Procédure de notification
1. Conformément à l’article 61, paragraphe 1, du règlement (UE) 2019/881, les ANCC notifient à la Commission les organismes d’évaluation de la conformité qui ont satisfait aux exigences énoncées dans le règlement (UE) 2019/881 et, le cas échéant, aux exigences spécifiques ou supplémentaires fixées par un schéma européen de certification de cybersécurité.
2. L’autorité nationale compétente informe la Commission au moyen de l’outil de notification électronique mis au point et géré par la Commission, visé dans la décision n°768/2008/CE.
3. La notification comporte les renseignements indiqués à l’annexe.
Article 3
Numéros d’identification et liste des organismes d’évaluation de la conformité
1. La Commission attribue un numéro d’identification à chaque organisme d’évaluation de la conformité notifié. Elle attribue un numéro d’identification unique à un même organisme, même si celui-ci est notifié au titre de plusieurs schémas européens de certification de cybersécurité ou actes de l’Union.
2. Lorsqu’elle met à disposition la liste des organismes d’évaluation de la conformité notifiés via l’outil de notification électronique mis au point et géré par la Commission, cette dernière indique les numéros d’identification qui ont été attribués aux organismes d’évaluation de la conformité notifiés et les activités pour lesquelles ils ont été notifiés.
3. L’ENISA met à disposition les informations relatives aux organismes d’évaluation de la conformité notifiés sur son site web consacré aux schémas européens de certification de cybersécurité mentionné à l’article 50, paragraphe 1, du règlement (UE) 2019/881.
Article 4
Modifications apportées aux notifications
1. Les ANCC notifient à la Commission, sans retard indu, toute modification ultérieure de la notification visée à l’article 2 au moyen de l’outil de notification électronique mis au point et géré par la Commission, conformément à l’article 61, paragraphe 1, du règlement (UE) 2019/881.
2. Lorsqu’une ANCC a constaté, en coopération avec l’organisme national d’accréditation, conformément au règlement (UE) 2019/881, qu’un organisme d’évaluation de la conformité notifié ne satisfait plus aux exigences ou obligations auxquelles il est soumis, l’ANCC soumet la notification à des restrictions, la suspend ou la retire, en fonction de la gravité du non-respect de ces exigences ou de ces obligations. Elle en informe la Commission sans retard indu, au moyen de l’outil de notification électronique mis au point et géré par la Commission.
3. En cas de restriction, de suspension ou de retrait de la notification, ou lorsque l’organisme d’évaluation de la conformité notifié a cessé ses activités, l’ANCC notifiante prend les mesures appropriées pour que les archives dudit organisme d’évaluation de la conformité soient stockées de manière sécurisée et conservées pendant la durée nécessaire, comme le prévoit un schéma européen de certification de cybersécurité.
Article 5
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 18 décembre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 151 du 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.
(2) Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/ 482/oj).
(3) Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) n°168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience) (JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/ 2024/2847/oj).
(4)Décision n°768/2008/CE du Parlement européen et du Conseil du 9 juillet 2008 relative à un cadre commun pour la commercialisation des produits et abrogeant la décision 93/465/CEE du Conseil (JO L 218 du 13.8.2008, p. 82, ELI: http://data.europa.eu/eli/dec/ 2008/768(1)/oj).
(5) Règlement (CE) n°765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n°339/93 du Conseil (JO L 218 du 13.8.2008, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
ANNEXE
Renseignements à inclure dans la notification d’un organisme d’évaluation de la conformité au titre d’un schéma européen de certification de cybersécurité en application de l’article 61, paragraphe 1, du règlement (UE) 2019/881, tels que prévus à l’article 2, paragraphe 3, du présent règlement
1. Renseignements généraux:
- 1) Intitulé du schéma de certification de cybersécurité
- 2) Niveau(x) d’assurance, le cas échéant, et procédures d’évaluation de la conformité connexes (par exemple: niveau «élémentaire», «substantiel», «élevé»)
- 3) Champ d’application (par ex.: champ d’application de l’accréditation, catégories ou types de produits, services, processus)
- 1) Nom
- 2) Pays
- 3) Adresse postale
- 4) Adresse(s) électronique(s)
- 5) Numéro(s) de téléphone
- 6) Site web
- 1) Nom
- 2) Pays
- 3) Adresse postale
- 4) Adresse(s) électronique(s)
- 5) Numéro(s) de téléphone
- 6) Site web
- 1) Accréditation:
- a) Date de l’accréditation
- b) Numéro de référence de l’accréditation
- c) Champ d’application de l’accréditation
- d) Durée de validité de l’accréditation
- 2) Organisme national d’accréditation
- a) Nom
- b) Pays
- c) Adresse postale
- d) Adresse(s) électronique(s)
- e) Numéro(s) de téléphone
- f) Site web
- 1) Autorisation:
- a) Date de l’autorisation
- b) Numéro de référence de l’autorisation
- c) Champ d’application de l’autorisation
- d) Durée de validité de l’autorisation
- 2) Autorité nationale de chargée de la cybersécurité qui octroie l’autorisation (si elle diffère de l’autorité nationale de certification de cybersécurité notifiante):
- a) Nom
- b) Pays
- c) Adresse postale
- d) Adresse(s) électronique(s)
- e) Numéro(s) de téléphone
- f) Site web
- 1) Tout renseignement complémentaire requis dans un schéma européen de certification de cybersécurité spécifique
- 2) Pièces justificatives