5. Cybersécurité 5.3. Sécurité informatique et de l'information

Règlement (UE) 2025/37 du Parlement européen et du Conseil du 19 décembre 2024 modifiant le règlement (UE) 2019/881 en ce qui concerne les services de sécurité gérés

Version consolidée au 4 février 2025

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

• vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,
• vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

• vu l’avis du Comité économique et social européen (1),

après consultation du Comité des régions,

statuant conformément à la procédure législative ordinaire (2),

considérant ce qui suit:

(1) Le règlement (UE) 2019/881 du Parlement européen et du Conseil (3) fixe un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits des technologies de l’information et de la communication (TIC), des services TIC et des processus TIC dans l’Union, ainsi que dans le but d’éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l’Union.

(2) Afin de garantir la résilience de l’Union face aux cyberattaques et de prévenir toute vulnérabilité sur le marché intérieur, le présent règlement vise à compléter le cadre réglementaire horizontal établissant des exigences complètes en matière de cybersécurité pour les produits comportant des éléments numériques en vertu du règlement (UE) 2024/2847 du Parlement européen et du Conseil (4) en prévoyant des objectifs de sécurité pour les services de sécurité gérés, ainsi que l’application et la fiabilité desdits services.

(3) Les services de sécurité gérés sont fournis par des fournisseurs de services de sécurité gérés tels qu’ils sont définis à l’article 6, point 40), de la directive (UE) 2022/2555 du Parlement européen et du Conseil (5). Par conséquent, la définition des services de sécurité gérés figurant dans le présent règlement devrait être cohérente avec la définition des fournisseurs de services de sécurité gérés figurant dans la directive (UE) 2022/2555. Lesdits services consistent à effectuer des activités liées à la gestion des risques en matière de cybersécurité de leurs clients, ou à fournir une assistance dans le cadre de ces activités, et ont gagné en importance en ce qui concerne la prévention et la limitation des incidents. En conséquence, les fournisseurs de tels services sont considérés comme étant des entités essentielles ou importantes appartenant à un secteur hautement critique au titre de la directive (UE) 2022/2555. Comme le précise le considérant 86 de ladite directive, les fournisseurs de services de sécurité gérés dans des domaines comme la réaction aux incidents, les tests d’intrusion, les audits de sécurité et le conseil jouent un rôle particulièrement important s’agissant de soutenir les efforts mis en oeuvre par les entités pour prévenir et détecter les incidents, y réagir ou se rétablir après ceux-ci. Toutefois, des fournisseurs de services de sécurité gérés ont été eux-mêmes la cible de cyberattaques et, du fait de leur grande intégration dans les activités des opérateurs, ils représentent un risque particulier. Il est donc important que les entités essentielles et importantes au sens de la directive (UE) 2022/2555 fassent preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services de sécurité gérés.

(4) La définition des services de sécurité gérés au titre du présent règlement comprend une liste non exhaustive de services de sécurité gérés qui pourraient remplir les conditions requises pour les schémas européens de certification de cybersécurité, tels que le traitement des incidents, les tests d’intrusion, les audits de sécurité et le conseil, liés à l’assistance technique. Les services de sécurité gérés pourraient englober les services de cybersécurité qui soutiennent la prévention, la détection, l’analyse et l’atténuation des incidents, ainsi que la préparation et la réaction à ces incidents et le rétablissement à la suite de ceux-ci. La fourniture de renseignements sur les cybermenaces et l’évaluation des risques liés à l’assistance technique pourraient également être considérées comme des services de sécurité gérés. Il pourrait y avoir des schémas européens de certification de cybersécurité séparés pour différents services de sécurité gérés. Les certificats de cybersécurité européens délivrés conformément à ces schémas devraient faire référence à des services de sécurité gérés spécifiques d’un fournisseur spécifique desdits services.

(5) Les fournisseurs de services de sécurité gérés peuvent également jouer un rôle important en ce qui concerne les actions de l’Union visant à soutenir la réaction et le rétablissement initial en cas d’incidents importants et d’incidents de cybersécurité de grande ampleur, en s’appuyant sur les services fournis par des fournisseurs de confiance privés et sur le test des entités critiques pour détecter d’éventuelles vulnérabilités sur la base des évaluations coordonnées au niveau de l’Union des risques. La certification des services de sécurité gérés pourrait jouer un rôle dans la sélection des fournisseurs de services de sécurité gérés de confiance tels qu’ils sont définis dans le règlement (UE) 2025/38 du Parlement européen et du Conseil (6).

(6) La certification des services de sécurité gérés est non seulement pertinente dans le processus de sélection de la réserve de cybersécurité de l’UE établie par le règlement (UE) 2025/38, mais elle constitue également un indicateur de qualité essentiel pour les entités privées et publiques qui ont l’intention d’acheter de tels services. Compte tenu de la criticité des services de sécurité gérés et du caractère sensible des données traitées, la certification pourrait fournir aux clients potentiels des orientations et une assurance importantes quant à la fiabilité de ces services. Les schémas européens de certification de cybersécurité pour les services de sécurité gérés sont destinés à contribuer à éviter la fragmentation du marché intérieur. Le présent règlement vise donc à améliorer le fonctionnement du marché intérieur.

(7) Les schémas européens de certification de cybersécurité pour les services de sécurité gérés devraient conduire à l’adoption de ces services et à une concurrence accrue entre les fournisseurs de services de sécurité gérés. Sans préjudice de l’objectif consistant à garantir des niveaux suffisants et appropriés de connaissances techniques pertinentes et d’intégrité professionnelle de ces fournisseurs, de tels schémas de certification devraient donc faciliter l’entrée sur le marché et l’offre de services de sécurité gérés, en simplifiant, dans la mesure du possible, la charge réglementaire, administrative et financière potentielle que les fournisseurs, en particulier les petites et moyennes entreprises (PME), y compris les microentreprises, pourraient rencontrer lorsqu’ils proposent des services de sécurité gérés. En outre, afin d’encourager l’adoption de services de sécurité gérés et d’en stimuler la demande, les schémas européens de certification de cybersécurité devraient contribuer à leur accessibilité, en particulier pour les petits acteurs, tels que les PME, y compris les microentreprises, ainsi que pour les collectivités locales et régionales qui disposent de capacités et de ressources limitées, mais qui sont plus exposées aux atteintes à la cybersécurité ayant des implications financières, juridiques, de réputation et opérationnelles.

(8) Il est important d’aider les microentreprises et les PME, y compris les microentreprises, à mettre en oeuvre le présent règlement et à se doter des compétences et de l’expertise spécialisées en matière de cybersécurité nécessaires pour fournir des services de sécurité gérés conformément aux exigences définies dans le présent règlement. Le programme pour une Europe numérique établi par le règlement (UE) 2021/694 du Parlement européen et du Conseil (7) et d’autres programmes pertinents de l’Union prévoient que la Commission met en place un soutien financier et technique permettant à ces entreprises de contribuer à la croissance de l’économie de l’Union et au renforcement du niveau commun de cybersécurité dans l’Union, y compris en rationalisant le soutien financier du programme pour une Europe numérique et d’autres programmes pertinents de l’Union et en soutenant les PME, y compris les microentreprises.

(9) Les schémas européens de certification de cybersécurité pour les services de sécurité gérés devrait contribuer à la disponibilité de services sûrs et de haute qualité qui garantissent une transition numérique sûre et à la réalisation des objectifs fixés dans le programme d’action pour la décennie numérique à l’horizon 2030 établi par la décision (UE) 2022/2481 du Parlement européen et du Conseil (8), en particulier en ce qui concerne l’objectif consistant à ce que 75 % des entreprises de l’Union commencent à utiliser les services d’informatique en nuage, les mégadonnées ou l’intelligence artificielle ou, à ce que plus de 90 % des PME, y compris les microentreprises, atteignent au moins un niveau élémentaire d’intensité numérique et à ce que les services publics essentiels soient accessibles en ligne.

(10) Par rapport au déploiement de produits TIC, services TIC ou processus TIC, les services de sécurité gérés offrent en outre souvent des fonctionnalités de service supplémentaires qui dépendent des compétences, de l’expertise et de l’expérience du personnel des fournisseurs de tels services. Afin de garantir la très grande qualité des services de sécurité gérés qui sont fournis, il convient de prévoir, dans le cadre des objectifs de sécurité, un très haut niveau de compétences, d’expertise et d’expérience ainsi que des procédures internes appropriées. Pour faire en sorte que tous les aspects des services de sécurité gérés puissent être couverts par un schéma européen de certification de cybersécurité spécifique, il est par conséquent nécessaire de modifier le règlement (UE) 2019/881. Il convient de tenir compte des résultats et des recommandations de l’évaluation et du réexamen prévus par le règlement (UE) 2019/881.

(11) Afin de faciliter la croissance d’un marché intérieur fiable, tout en créant des partenariats avec des pays tiers partageant les mêmes valeurs, le processus de certification établi dans le cadre européen de certification de cybersécurité prévu par le règlement (UE) 2019/881 devrait être mis en oeuvre d’une manière qui facilite la reconnaissance internationale et l’alignement sur les normes internationales.

(12) L’Union est confrontée à une pénurie de talents, caractérisée par un manque de professionnels qualifiés et par l’évolution rapide des menaces, comme l’a reconnu la Commission dans sa communication du 18 avril 2023 intitulée «Remédier à la pénurie de talents dans le secteur de la cybersécurité pour renforcer la compétitivité, la croissance et la résilience de l’UE (“l’Académie des compétences en matière de cybersécurité”)». L’offre de ressources éducatives et de formations de nature formelle varie et les connaissances peuvent être acquises de diverses manières: de manière formelle, par exemple par le biais de l’université ou de cours, ou de manière informelle, par exemple par le biais d’une formation sur le lieu de travail ou d’une expérience professionnelle dans le domaine concerné. Par conséquent, afin de faciliter l’émergence de services de sécurité gérés de haute qualité et de disposer d’une meilleure vue d’ensemble de la composition de la main-d’oeuvre de l’Union dans le domaine de la cybersécurité, il est important de renforcer la coopération entre les États membres, la Commission, l’Agence de l’Union européenne pour la cybersécurité établie par le règlement (UE) 2019/881 (ENISA) et les parties prenantes, y compris du secteur privé et du monde universitaire, par le développement de partenariats public-privé, le soutien aux initiatives de recherche et d’innovation, le développement et la reconnaissance mutuelle de normes communes et la certification des compétences en matière de cybersécurité, y compris par l’intermédiaire du cadre européen pour les compétences en matière de cybersécurité. Cette coopération faciliterait également la mobilité des professionnels de la cybersécurité au sein de l’Union ainsi que l’intégration des connaissances et de la formation en matière de cybersécurité dans les programmes éducatifs, tout en garantissant l’accès aux apprentissages et aux stages pour les jeunes, y compris pour les personnes vivant dans des régions défavorisées, telles que les îles et les régions peu peuplées, rurales et isolées. Il est important que cette coopération vise à attirer davantage de femmes et de filles dans ce domaine et contribue à combler l’écart entre les hommes et les femmes dans les domaines des sciences, des technologies, de l’ingénierie et des mathématiques, et que le secteur privé ait pour objectif de dispenser des formations sur le lieu de travail portant sur les compétences les plus recherchées, en associant l’administration publique et les jeunes pousses, ainsi que les PME, y compris les microentreprises. Il est aussi important que les fournisseurs et les États membres collaborent et contribuent à la collecte de données sur la situation et l’évolution du marché du travail de la cybersécurité.

(13) L’ENISA joue un rôle important dans la préparation des schémas européens de certification de cybersécurité candidats. La Commission devrait évaluer les ressources budgétaires nécessaires pour le tableau des effectifs de l’ENISA, conformément à la procédure prévue à l’article 29 du règlement (UE) 2019/881, lorsqu’elle élaborera le projet de budget général de l’Union.

(14) Le présent règlement prévoit des modifications ciblées du règlement (UE) 2019/881 afin de permettre la mise en place de schémas européens de certification de cybersécurité pour les services de sécurité gérés. Ce faisant, il précise et clarifie également certaines dispositions dudit règlement concernant la préparation et le fonctionnement de tous les schémas européens de certification de cybersécurité en vue de garantir leur transparence et leur ouverture. Ces dernières modifications, qui se limitent à préciser ou à clarifier le règlement (UE) 2019/881, en particulier les modifications concernant les informations que l’ENISA doit fournir lorsqu’elle transmet un schéma candidat, les groupes de travail ad hoc établis pour chaque schéma candidat, ainsi que les informations et la consultation en ce qui concerne les schémas européens de certification de cybersécurité ne devraient en aucune manière porter préjudice à l’évaluation et du réexamen plus larges dudit règlement requis en vertu de son article 67 dudit règlement, en particulier, de l’évaluation de l’impact, de l’efficacité et de l’efficience du titre dudit règlement relatif au cadre de certification de cybersécurité. L’évaluation et le réexamen concernant ledit titre devraient se fonder sur une large consultation des parties prenantes et sur une analyse complète et approfondie des procédures concernées.

(15) Étant donné que l’objectif du présent règlement, à savoir permettre la mise en place de schémas européens de certification de cybersécurité pour les services de sécurité gérés, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison de sa dimension et de ses effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(16) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (9) et a rendu un avis le 10 janvier 2024,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier
Modifications du règlement (UE) 2019/881

Le règlement (UE) 2019/881 est modifié comme suit:

1) À l’article 1er, paragraphe 1, premier alinéa, le point b) est remplacé par le texte suivant:

• «b) un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits TIC, services TIC, processus TIC et services de sécurité gérés dans l’Union, ainsi que dans le but d’éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l’Union.».

2) L’article 2 est modifié comme suit:

• a) les points 9), 10) et 11) sont remplacés par le texte suivant:
  • «9) “schéma européen de certification de cybersécurité”, un ensemble complet de règles, d’exigences techniques, de normes et de procédures qui sont établies à l’échelon de l’Union et qui s’appliquent à la certification ou à l’évaluation de la conformité de produits TIC, services TIC, processus TIC ou services de sécurité gérés spécifiques;
  • 10) “schéma national de certification de cybersécurité”, un ensemble complet de règles, d’exigences techniques, de normes et de procédures élaborées et adoptées par une autorité publique nationale et qui s’appliquent à la certification ou à l’évaluation de la conformité des produits TIC, services TIC, processus TIC ou services de sécurité gérés relevant de ce schéma spécifique;
  • 11) “certificat de cybersécurité européen”, un document délivré par un organisme compétent attestant qu’un produit TIC, service TIC, processus TIC ou service de sécurité géré donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité;»;
• b) le point suivant est inséré:
  • «14 bis) “service de sécurité géré”, un service fourni à un tiers consistant à effectuer des activités liées à la gestion des risques en matière de cybersécurité, ou à fournir une assistance dans le cadre de ces activités, telles que le traitement des incidents, les tests d’intrusion, les audits de sécurité et le conseil, y compris les conseils d’experts, liés à l’assistance technique;»;
• c) les points 20), 21) et 22) sont remplacés par le texte suivant:
  • «20) “spécification technique”, un document qui établit les exigences techniques auxquelles un produit TIC, service TIC, processus TIC ou service de sécurité géré doit répondre ou des procédures d’évaluation de la conformité afférentes à un produit TIC, service TIC, processus TIC ou service de sécurité géré;
  • 21) “niveau d’assurance”, le fondement permettant de garantir qu’un produit TIC, service TIC, processus TIC ou service de sécurité géré satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité spécifique, indique le niveau auquel un produit TIC, service TIC, processus TIC ou service de sécurité géré a été évalué mais, en tant que tel, ne mesure pas la sécurité du produit TIC, service TIC, processus TIC ou service de sécurité géré concerné;
  • 22) “autoévaluation de la conformité”, une action effectuée par un fabricant ou un fournisseur de produits TIC, services TIC, processus TIC ou services de sécurité gérés, qui évalue si ces produits TIC, services TIC, processus TIC ou services de sécurité gérés satisfont aux exigences fixées dans un schéma européen de certification de cybersécurité spécifique.».

3) À l’article 4, le paragraphe 6 est remplacé par le texte suivant:

• «6.L’ENISA favorise le recours à la certification européenne de cybersécurité en vue d’éviter la fragmentation du marché intérieur. L’ENISA contribue à l’établissement et au maintien d’un cadre européen de certification de cybersécurité, conformément au titre III du présent règlement, en vue de rendre plus transparente la cybersécurité des produits TIC, services TIC, processus TIC et services de sécurité gérés et, partant, de rehausser la confiance dans le marché intérieur numérique et la compétitivité de ce dernier.».

4) L’article 8 est modifié comme suit:

• a) le paragraphe 1 est modifié comme suit:
  • i) la phrase introductive est remplacée par le texte suivant:
    • «1. L’ENISA soutient et favorise l’élaboration et la mise en oeuvre de la politique de l’Union en matière de certification de cybersécurité des produits TIC, services TIC, processus TIC et services de sécurité gérés, telle qu’elle est établie au titre III du présent règlement:»;
  • ii) le point b) est remplacé par le texte suivant:
    • «b) en préparant des schémas européens de certification de cybersécurité candidats (ci-après dénommés “schémas candidats”) pour des produits TIC, services TIC, processus TIC et services de sécurité gérés, conformément à l’article 49;»;
• b) le paragraphe 3 est remplacé par le texte suivant:
  • «3. L’ENISA compile et publie des lignes directrices et met au point des bonnes pratiques en ce qui concerne les exigences de cybersécurité de produits TIC, services TIC, processus TIC et services de sécurité gérés, en coopération avec les autorités nationales de certification de cybersécurité et les entreprises du secteur d’une façon formelle, structurée et transparente.»;
• c) le paragraphe 5 est remplacé par le texte suivant:
  • «5. L’ENISA facilite l’établissement et l’adoption de normes européennes et internationales en matière de gestion des risques et de sécurité des produits TIC, services TIC, processus TIC et services de sécurité gérés.».

5) L’article 46 est remplacé par le texte suivant:

«Article 46
Cadre européen de certification de cybersécurité

1. Le cadre européen de certification de cybersécurité est établi afin d’améliorer les conditions de fonctionnement du marché intérieur en renforçant le niveau de cybersécurité au sein de l’Union et en permettant de disposer, au niveau de l’Union, d’une approche harmonisée en ce qui concerne les schémas européens de certification de cybersécurité, en vue de créer un marché unique numérique pour les produits TIC, services TIC, processus TIC et services de sécurité gérés.

2. Le cadre européen de certification de cybersécurité prévoit un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie. En outre, il atteste que les services de sécurité gérés qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité des données qui sont consultées, traitées, stockées ou transmises dans le cadre de la fourniture de ces services, et que ces services sont fournis en permanence avec la compétence, l’expertise et l’expérience requises par un personnel possédant un niveau suffisant et approprié de connaissances techniques pertinentes et d’intégrité professionnelle.».

6) L’article 47 est modifié comme suit:

• a) le paragraphe 2 est remplacé par le texte suivant:
  • «2. Le programme de travail glissant de l’Union inclut notamment une liste de produits TIC, services TIC, processus TIC et services de sécurité gérés ou de catégories de ceux-ci, qui sont susceptibles de bénéficier d’une inclusion dans le champ d’application d’un schéma européen de certification de cybersécurité.»;
• b) le paragraphe 3 est modifié comme suit:
  • i) la phrase introductive est remplacée par le texte suivant:
    • «3. L’inclusion, dans le programme de travail glissant de l’Union, de produits TIC, services TIC, processus TIC ou de services de sécurité gérés spécifiques ou de catégories spécifiques de ceux-ci, doit se justifier sur la base de l’un ou de plusieurs des motifs suivants:»;
  • ii) le point a) est remplacé par le texte suivant:
    • «a) la disponibilité et le développement de schémas nationaux de certification de cybersécurité couvrant toute catégorie spécifique de produits TIC, services TIC, processus TIC ou services de sécurité gérés et, en particulier, en ce qui concerne le risque de fragmentation;»;
  • iii) le point suivant est ajouté:
    • «c bis) les évolutions technologiques ainsi que la disponibilité et le développement de schémas internationaux de certification de cybersécurité et de normes internationales et de normes utilisées par l’industrie;».

7) L’article 49 est modifié comme suit:

• a) les paragraphes 1 à 4 sont remplacés par le texte suivant:
  • «1. À la suite d’une demande formulée par la Commission en vertu de l’article 48, l’ENISA prépare un schéma candidat qui satisfait aux exigences applicables énoncées aux articles 51, 51 bis, 52 et 54.
  • 2. À la suite d’une demande formulée par le GECC en vertu de l’article 48, paragraphe 2, l’ENISA peut préparer un schéma candidat qui satisfait aux exigences applicables énoncées aux articles 51, 51 bis, 52 et 54. Si l’ENISA rejette une telle demande, elle doit motiver son refus. Toute décision de rejeter une telle demande est prise par le conseil d’administration.
  • 3. Lors de la préparation d’un schéma candidat, l’ENISA consulte en temps utile toutes les parties prenantes concernées au moyen d’un processus de consultation formel, ouvert, transparent et inclusif. Lorsqu’elle transmet le schéma candidat à la Commission en vertu du paragraphe 6, l’ENISA fournit des informations sur la manière dont elle s’est conformée au présent paragraphe.
  • 4. Pour chaque schéma candidat, l’ENISA crée un groupe de travail ad hoc, conformément à l’article 20, paragraphe 4, afin qu’il lui fournisse des conseils et des compétences spécifiques. Ces groupes de travail ad hoc comprennent, le cas échéant et sans préjudice des procédures et de la marge d’appréciation prévues à l’article 20, paragraphe 4, des experts des administrations publiques des États membres, des institutions, organes et organismes de l’Union et du secteur privé.»;
• b) le paragraphe 7 est remplacé par le texte suivant:
  • «7. La Commission peut, sur la base du schéma candidat préparé par l’ENISA, adopter des actes d’exécution prévoyant un schéma européen de certification de cybersécurité pour les produits TIC, services TIC, processus TIC et services de sécurité gérés qui satisfont aux exigences pertinentes des articles 51, 51 bis, 52 et 54. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 66, paragraphe 2.».

8) L’article suivant est inséré:

«Article 49 bis
Information et consultation sur les schémas européens de certification de cybersécurité

1. La Commission rend publiques les informations relatives à sa demande à l’ENISA de préparer un schéma candidat ou de réexaminer un schéma européen de certification de cybersécurité existant visé à l’article 48.

2. Au cours de la préparation d’un schéma candidat par l’ENISA, en vertu de l’article 49, le Parlement européen, le Conseil ou les deux peuvent demander à la Commission, en sa qualité de président du groupe GECC, et à l’ENISA, de présenter tous les trimestres des informations pertinentes sur un projet de schéma candidat. À la demande du Parlement européen ou du Conseil, l’ENISA, en accord avec la Commission, et sans préjudice de l’article 27, peut mettre à la disposition du Parlement européen et du Conseil des parties pertinentes d’un projet de schéma candidat d’une manière adaptée au niveau de confidentialité requis et, le cas échéant, de manière restreinte.

3. Afin de renforcer le dialogue entre les institutions de l’Union et de contribuer à un processus de consultation formel, ouvert, transparent et inclusif, le Parlement européen, le Conseil ou les deux peuvent inviter la Commission et l’ENISA à examiner des questions concernant le fonctionnement des schémas européens de certification de cybersécurité pour les produits TIC, services TIC, processus TIC ou services de sécurité gérés.

4. La Commission tient compte, le cas échéant, des éléments découlant des avis exprimés par le Parlement européen et par le Conseil sur les questions visées au paragraphe 3 du présent article lors de l’évaluation du présent règlement en vertu de l’article 67.».

9) L’article 51 est modifié comme suit:

• a) le titre est remplacé par le texte suivant:
  • «Objectifs de sécurité des schémas européens de certification de cybersécurité pour les produits TIC, services TIC et processus TIC»;
• b) la phrase introductive est remplacée par le texte suivant:
  • «Un schéma européen de certification de cybersécurité pour les produits TIC, services TIC ou processus TIC est conçu de façon à réaliser, selon le cas, au moins les objectifs de sécurité suivants:».

10) L’article suivant est inséré:

«Article 51 bis
Objectifs de sécurité des schémas européens de certification de cybersécurité pour les services de sécurité gérés

Un schéma européen de certification de cybersécurité pour les services de sécurité gérés est conçu de façon à réaliser, selon le cas, au moins les objectifs de sécurité suivants:

• a) que les services de sécurité gérés soient fournis avec la compétence, l’expertise et l’expérience requises, y compris que le personnel chargé de fournir ces services possède un niveau de compétence et de connaissances techniques suffisant et approprié dans le domaine spécifique, une expérience suffisante et appropriée et la plus haute intégrité professionnelle;
• b) que le fournisseur ait mis en place des procédures internes appropriées pour garantir que les services de sécurité gérés sont fournis à tout moment à un niveau de qualité suffisant et approprié;
• c) que les données consultées, stockées, transmises ou traitées de toute autre façon dans le cadre de la fourniture de services de sécurité gérés soient protégées contre l’accès, le stockage, la diffusion, la destruction ou tout autre traitement accidentels ou non autorisés, ou contre la perte ou l’altération ou l’indisponibilité;
• d) que la disponibilité des données, services et fonctions ainsi que l’accès à ceux-ci soient rétablis dans les plus brefs délais en cas d’incident physique ou technique;
• e) que les personnes autorisées, les programmes ou les machines ne puissent accéder qu’aux données, services ou fonctions concernés par leurs droits d’accès;
• f) qu’un registre soit tenu et disponible pour l’évaluation des données, services ou fonctions qui ont été consultés, utilisés ou traités de toute autre façon, du moment où ils l’ont été et par qui, et faire en sorte qu’il soit possible d’évaluer ces éléments;
• g) que les produits TIC, services TIC et processus TIC déployés dans le cadre de la fourniture des services de sécurité gérés soient sécurisés dès la conception et par défaut, et le cas échéant, comprennent les dernières mises à jour de sécurité et ne contiennent pas de vulnérabilités connues du public.».

11) L’article 52 est modifié comme suit:

• a) le paragraphe 1 est remplacé par le texte suivant:
  • «1. Un schéma européen de certification de cybersécurité peut préciser un ou plusieurs des niveaux d’assurance suivants pour les produits TIC, services TIC, processus TIC et services de sécurité gérés: “élémentaire”, “substantiel” ou “élevé”. Le niveau d’assurance correspond au niveau de risque associé à l’utilisation prévue du produit TIC, service TIC, processus TIC ou service de sécurité géré, en termes de probabilité et de répercussions d’un incident.»;
• b) le paragraphe 3 est remplacé par le texte suivant:
  • «3. Les exigences de sécurité correspondant à chaque niveau d’assurance sont fournies dans le schéma européen de certification de cybersécurité concerné, y compris les fonctionnalités de sécurité correspondantes ainsi que la rigueur et l’ampleur correspondantes de l’évaluation à laquelle le produit TIC, service TIC, processus TIC ou service de sécurité géré doit être soumis.»;
• c) les paragraphes 5, 6 et 7 sont remplacés par le texte suivant:
  • «5. Un certificat de cybersécurité européen ou une déclaration de conformité de l’Union européenne qui se réfère au niveau d’assurance dit “élémentaire” offre l’assurance que les produits TIC, services TIC, processus TIC ou services de sécurité gérés pour lesquels ce certificat ou cette déclaration de conformité de l’Union européenne est délivré(e) satisfont aux exigences de sécurité correspondantes, y compris les fonctionnalités de sécurité, et qu’ils ont été évalués à un niveau qui vise à minimiser les risques élémentaires connus d’incidents et de cyberattaques. Les activités d’évaluation à entreprendre comprennent au moins un examen de la documentation technique. Lorsqu’un tel examen n’est pas approprié, des activités d’évaluation de substitution ayant un effet équivalent sont entreprises.
  • 6. Un certificat de cybersécurité européen qui se réfère au niveau d’assurance dit “substantiel” offre l’assurance que les produits TIC, services TIC, processus TIC ou services de sécurité gérés pour lesquels ce certificat est délivré satisfont aux exigences de sécurité correspondantes, y compris des fonctionnalités de sécurité, et qu’ils ont été évalués à un niveau qui vise à minimiser les risques liés à la cybersécurité connus, et le risque d’incidents et de cyberattaques émanant d’acteurs aux aptitudes et aux ressources limitées. Les activités d’évaluation à entreprendre comprennent au moins: un examen visant à démontrer l’absence de vulnérabilités connues du public et des vérifications tendant à démontrer que les produits TIC, services TIC, processus TIC ou services de sécurité gérés mettent correctement en oeuvre les fonctionnalités de sécurité nécessaires. Lorsque de telles activités d’évaluation ne sont pas appropriées, des activités d’évaluation de substitution ayant un effet équivalent sont entreprises.
  • 7. Un certificat de cybersécurité européen qui se réfère au niveau d’assurance dit “élevé” offre l’assurance que les produits TIC, services TIC, processus TIC ou services de sécurité gérés pour lesquels ce certificat est délivré satisfont aux exigences de sécurité correspondantes, y compris des fonctionnalités de sécurité, et qu’ils ont été évalués à un niveau qui vise à minimiser le risque que des cyberattaques de pointe soient menées par des acteurs aux aptitudes solides et aux ressources importantes. Les activités d’évaluation à entreprendre comprennent au moins: un examen démontrant l’absence de vulnérabilités connues du public, des vérifications tendant à démontrer que les produits TIC, services TIC, processus TIC ou services de sécurité gérés mettent correctement en oeuvre les fonctionnalités de sécurité nécessaires, au niveau de l’état de l’art et une évaluation de leur résistance à des attaques menées par des acteurs compétents, au moyen de tests d’intrusion. Lorsque de telles activités d’évaluation ne sont pas appropriées, des activités d’évaluation de substitution ayant un effet équivalent sont entreprises.».

12) À l’article 53, les paragraphes 1, 2 et 3 sont remplacés par le texte suivant:

• «1. Un schéma européen de certification de cybersécurité peut permettre la réalisation d’une autoévaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur de produits TIC, services TIC, processus TIC ou services de sécurité gérés. L’autoévaluation de la conformité n’est autorisée que pour les produits TIC, services TIC, processus TIC ou services de sécurité gérés qui présentent un risque faible correspondant au niveau d’assurance dit “élémentaire”.
• 2. Le fabricant ou le fournisseur de produits TIC, services TIC, processus TIC ou services de sécurité gérés peut délivrer une déclaration de conformité de l’Union européenne indiquant que le respect des exigences énoncées dans le schéma a été démontré. En délivrant une telle déclaration, le fabricant ou fournisseur de produits TIC, services TIC, processus TIC ou services de sécurité gérés assume la responsabilité du respect par le produit TIC, service TIC, processus TIC ou service de sécurité géré des exigences fixées dans ce schéma.
• 3. Le fabricant ou fournisseur de produits TIC, services TIC, processus TIC ou services de sécurité gérés garde à la disposition de l’autorité nationale de certification de cybersécurité désignée en vertu de l’article 58 la déclaration de conformité de l’Union européenne, la documentation technique et toutes les autres informations pertinentes relatives à la conformité des produits TIC, services TIC, processus TIC ou services de sécurité gérés avec le schéma pendant la durée prévue dans le schéma européen de certification de cybersécurité correspondant. Une copie de la déclaration de conformité de l’Union européenne est transmise à l’autorité nationale de certification de cybersécurité et à l’ENISA.».

13) À l’article 54, le paragraphe 1 est modifié comme suit:

• a) le point a) est remplacé par le texte suivant:
  • «a) l’objet et le champ d’application du schéma de certification, notamment le type ou les catégories de produits TIC, services TIC, processus TIC ou services de sécurité gérés couverts;»;
• b) le point g) est remplacé par le texte suivant:
  • «g) les critères et méthodes d’évaluation spécifiques qui doivent être utilisés, notamment les types d’évaluation, afin de démontrer que les objectifs de sécurité applicables visés à l’article 51 et à l’article 51 bis sont atteints;»;
• c) le point j) est remplacé par le texte suivant:
  • «j) les règles relatives au contrôle du respect par les produits TIC, services TIC, processus TIC ou services de sécurité gérés des exigences liées aux certificats de cybersécurité européens ou aux déclarations de conformité de l’Union européenne, notamment les mécanismes permettant de démontrer le respect constant des exigences de cybersécurité qui ont été définies;»;
• d) le point l) est remplacé par le texte suivant:
  • «l) les règles relatives aux conséquences pour les produits TIC, services TIC, processus TIC ou services de sécurité gérés qui ont été certifiés ou pour lesquels une déclaration de conformité de l’Union européenne a été délivrée, mais qui ne respectent pas les exigences du schéma;»;
• e) le point o) est remplacé par le texte suivant:
  • «o) l’identification des schémas nationaux ou internationaux de certification de cybersécurité couvrant le même type ou les mêmes catégories de produits TIC, services TIC, processus TIC ou services de sécurité gérés, d’exigences de sécurité, de critères et méthodes d’évaluation et de niveaux d’assurance;»;
• f) le point q) est remplacé par le texte suivant:
  • «q) la période de disponibilité de la déclaration de conformité de l’Union européenne, de la documentation technique et de toutes les autres informations pertinentes qui doivent être mises à disposition par le fabricant ou le fournisseur de produits TIC, services TIC, processus TIC ou services de sécurité gérés;».

14) L’article 56 est modifié comme suit:

• a) le paragraphe 1 est remplacé par le texte suivant:
  • «1. Les produits TIC, services TIC, processus TIC et services de sécurité gérés qui ont été certifiés dans le cadre d’un schéma européen de certification de cybersécurité adopté en vertu de l’article 49 sont présumés respecter les exigences de ce schéma.»;
• b) le paragraphe 3 est modifié comme suit:
  • i) le premier alinéa est remplacé par le texte suivant:
    • «La Commission évalue régulièrement l’efficacité et l’utilisation des schémas européens de certification de cybersécurité adoptés ainsi que la question de savoir si un schéma européen de certification de cybersécurité spécifique doit être rendu obligatoire, au moyen de dispositions pertinentes du droit de l’Union, pour garantir un niveau adéquat de cybersécurité des produits TIC, services TIC, processus TIC et, à compter du 4 février 2025, services de sécurité gérés dans l’Union, et améliorer le fonctionnement du marché intérieur. La première de ces évaluations est effectuée le 31 décembre 2023 au plus tard, et les évaluations suivantes sont effectuées au moins tous les deux ans par la suite. Sur la base des résultats de ces évaluations, la Commission recense les produits TIC, services TIC, processus TIC et services de sécurité gérés couverts par un schéma de certification existant qui doivent relever d’un schéma de certification obligatoire.»;
  • ii) le troisième alinéa est modifié comme suit:
    • — le point a) est remplacé par le texte suivant:
      • «a) tient compte de l’incidence des mesures, du point de vue des coûts, sur les fabricants ou fournisseurs de ces produits TIC, services TIC, processus TIC ou services de sécurité gérés et sur les utilisateurs, ainsi que des avantages sociétaux ou économiques résultant du renforcement escompté du niveau de sécurité des produits TIC, services TIC, processus TIC ou services de sécurité gérés ciblés;»,
    • — le point d) est remplacé par le texte suivant:
      • «d) prend en considération les délais de mise en oeuvre ainsi que les mesures et périodes transitoires, en ce qui concerne, en particulier, l’incidence éventuelle de la mesure sur les fabricants ou les fournisseurs de produits TIC, services TIC, processus TIC ou services de sécurité gérés, y compris les intérêts et les besoins spécifiques des PME, y compris des microentreprises;»;
• c) les paragraphes 7 et 8 sont remplacés par le texte suivant:
  • «7. La personne physique ou morale qui soumet des produits TIC, services TIC, processus TIC ou services de sécurité gérés à la certification met à la disposition de l’autorité nationale de certification de cybersécurité désignée en vertu de l’article 58, lorsque cette autorité est l’organisme délivrant le certificat de cybersécurité européen, ou de l’organisme d’évaluation de la conformité visé à l’article 60 toutes les informations nécessaires pour procéder à la certification.
  • 8. Le titulaire d’un certificat de cybersécurité européen informe l’autorité ou l’organisme visé au paragraphe 7 de toute vulnérabilité ou irrégularité détectée ultérieurement concernant la sécurité du produit TIC, service TIC, processus TIC ou service de sécurité géré certifié susceptible d’avoir une incidence sur son respect des exigences liées à la certification. Cette autorité ou cet organisme transmet ces informations sans retard injustifié à l’autorité nationale de certification de cybersécurité concernée.».

15) À l’article 57, les paragraphes 1 et 2 sont remplacés par le texte suivant:

• «1.Sans préjudice du paragraphe 3 du présent article, les schémas nationaux de certification de cybersécurité et les procédures connexes pour les produits TIC, services TIC, processus TIC et services de sécurité gérés couverts par un schéma européen de certification de cybersécurité cessent de produire leurs effets à partir de la date fixée dans l’acte d’exécution adopté en application de l’article 49, paragraphe 7. Les schémas nationaux de certification de cybersécurité et les procédures connexes pour les produits TIC, services TIC, processus TIC et services de sécurité gérés qui ne sont pas couverts par un schéma européen de certification de cybersécurité continuent à exister.
• 2. Les États membres s’abstiennent d’instaurer de nouveaux schémas nationaux de certification de cybersécurité pour les produits TIC, services TIC, processus TIC et services de sécurité gérés qui sont déjà couverts par un schéma européen de certification de cybersécurité en vigueur.».

16) L’article 58 est modifié comme suit:

• a) le paragraphe 7 est modifié comme suit:
  • i) les points a) et b) sont remplacés par le texte suivant:
    • «a) supervisent et font respecter les règles prévues dans les schémas européens de certification de cybersécurité, en application de l’article 54, paragraphe 1, point j), aux fins du contrôle du respect par les produits TIC, services TIC, processus TIC et services de sécurité gérés des exigences des certificats de cybersécurité européens délivrés sur leurs territoires respectifs, en coopération avec les autres autorités compétentes de surveillance du marché;
    • b) contrôlent le respect des obligations qui incombent aux fabricants ou fournisseurs de produits TIC, services TIC, processus TIC ou services de sécurité gérés qui sont établis sur leurs territoires respectifs et qui procèdent à une autoévaluation de conformité et font respecter ces obligations, et contrôlent, en particulier, le respect des obligations de ces fabricants ou fournisseurs visées à l’article 53, paragraphes 2 et 3, et dans le schéma européen de certification de cybersécurité correspondant, et font respecter ces obligations;»;
  • ii) le point h) est remplacé par le texte suivant:
    • «h) coopèrent avec les autres autorités nationales de certification de cybersécurité ou d’autres autorités publiques, notamment en partageant des informations sur l’éventuel non-respect par des produits TIC, services TIC, processus TIC ou services de sécurité gérés des exigences du présent règlement ou des exigences de schémas de certification de cybersécurité spécifiques; et;»;
• b) le paragraphe 9 est remplacé par le texte suivant:
  • «9. Les autorités nationales de certification de cybersécurité coopèrent entre elles et avec la Commission et échangent notamment des informations, expériences et bonnes pratiques en ce qui concerne la certification de cybersécurité et les questions techniques relatives à la cybersécurité des produits TIC, services TIC, processus TIC et services de sécurité gérés.».

17) À l’article 59, paragraphe 3, les points b) et c) sont remplacés par le texte suivant:

• «b) les procédures permettant de superviser et de faire respecter les règles relatives au contrôle du respect par les produits TIC, services TIC, processus TIC et services de sécurité gérés des certificats de cybersécurité européens, conformément à l’article 58, paragraphe 7, point a);
• c) les procédures permettant de contrôler et de faire respecter les obligations des fabricants et des fournisseurs de produits TIC, services TIC, processus TIC ou services de sécurité gérés, conformément à l’article 58, paragraphe 7, point b);».

18) À l’article 67, les paragraphes 2 et 3 sont remplacés par le texte suivant:

• «2. L’évaluation porte également sur les effets, l’efficacité et l’efficience des dispositions du titre III du présent règlement, y compris les procédures conduisant à l’adoption des schémas européens de certification de cybersécurité et leurs bases factuelles, au regard des objectifs consistant à garantir un niveau adéquat de cybersécurité des produits TIC, services TIC, processus TIC et services de sécurité gérés dans l’Union et à améliorer le fonctionnement du marché intérieur.
• 3. L’évaluation examine s’il est nécessaire de fixer des exigences essentielles en matière de cybersécurité comme condition d’accès au marché intérieur pour empêcher que des produits TIC, services TIC, processus TIC et services de sécurité gérés qui ne satisfont pas aux exigences de base en matière de cybersécurité entrent sur le marché intérieur.».

19) L’annexe est modifiée conformément à l’annexe du présent règlement.

Article 2

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 19 décembre 2024.

Par le Parlement européen
La présidente
R. METSOLA

Par le Conseil
Le président
BÓKA J.
              
(1) JO C 349 du 29.9.2023, p. 167.
(2) Position du Parlement européen du 24 avril 2024 (non encore parue au Journal officiel) et décision du Conseil du 2 décembre 2024.
(3) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n°526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
(4) Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) n°168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience) (JO L, 2024/2847, 20.11.2024, ELI: http://data.europa. eu/eli/reg/2024/2847/oj).
(5) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).
(6) Règlement (UE) 2025/38 du Parlement européen et du Conseil du 19 décembre 2024 établissant des mesures destinées à renforcer la solidarité et les capacités dans l’Union afin de détecter les cybermenaces et incidents, de s’y préparer et d’y réagir et modifiant le règlement (UE) 2021/694 (règlement sur la cybersolidarité) (JO L, 2025/38, 15.1.2025, ELI: http://data.europa.eu/eli/reg/2025/38/ oj).
(7) Règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240 (JO L 166 du 11.5.2021, p. 1).
(8) Décision (UE) 2022/2481 du Parlement européen et du Conseil du 14 décembre 2022 établissant le programme d’action pour la décennie numérique à l’horizon 2030 (JO L 323 du 19.12.2022, p. 4).
(9) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

ANNEXE
Modifiée par le rectificatif publié au JOUE Série L du 24 janvier 2025

L’annexe au règlement (UE) 2019/881 est modifiée comme suit:

1) Les points 2 à 5 sont remplacés par le texte suivant:

• «2. Un organisme d’évaluation de la conformité est un organisme tiers qui est indépendant de l’organisation ou des produits TIC, services TIC, processus TIC ou services de sécurité gérés qu’il évalue.
• 3. Un organisme appartenant à une association d’entreprises ou à une fédération professionnelle qui représente des entreprises participant à la conception, à la fabrication, à la fourniture, à l’assemblage, à l’utilisation ou à l’entretien des produits TIC, services TIC, processus TIC ou services de sécurité gérés qu’il évalue peut être considéré comme un organisme d’évaluation de la conformité, à condition que son indépendance et que l’absence de tout conflit d’intérêts soient démontrées.
• 4. Les organismes d’évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d’exécuter les tâches d’évaluation de la conformité ne peuvent être ni le concepteur, ni le fabricant, ni le fournisseur, ni l’installateur, ni l’acheteur, ni le propriétaire, ni l’utilisateur, ni le responsable de l’entretien du produit TIC, service TIC, processus TIC ou service de sécurité géré qui est évalué, ni le mandataire d’aucune de ces parties. Cette interdiction n’exclut pas l’utilisation des produits TIC évalués qui sont nécessaires au fonctionnement de l’organisme d’évaluation de la conformité ou l’utilisation de ces produits TIC à des fins personnelles.
• 5. Les organismes d’évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d’exécuter les tâches d’évaluation de la conformité ne peuvent intervenir, ni directement ni comme mandataires, dans la conception, la fabrication ou la construction, la fourniture, la commercialisation, l’installation, l’utilisation ou l’entretien des produits TIC, services TIC, processus TIC ou services de sécurité gérés qui sont évalués. Les organismes d’évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d’exécuter les tâches d’évaluation de la conformité ne peuvent participer à aucune activité qui peut entrer en conflit avec l’indépendance de leur jugement ou leur intégrité en ce qui concerne leurs activités d’évaluation de la conformité. Cette interdiction s’applique, en particulier, aux services de conseil.».

2) Le point 10 est modifié comme suit:

• a) la partie introductive est remplacée par le texte suivant:
  • «10. En toutes circonstances et pour chaque procédure d’évaluation de la conformité, ainsi que pour chaque type ou catégorie ou sous-catégorie de produits TIC, services TIC, processus TIC ou services de sécurité gérés, un organisme d’évaluation de la conformité dispose à suffisance:»;
• b) le point c) est remplacé par le texte suivant:
  • «c) de procédures pour accomplir ses activités qui tiennent dûment compte de la taille des entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, du degré de complexité de la technologie du produit TIC, service TIC, processus TIC ou service de sécurité géré en question et de la nature, en masse ou en série, du processus de production.».

3) Les points 19 et 20 sont remplacés par le texte suivant:

• «19. Les organismes d’évaluation de la conformité respectent les exigences de la norme harmonisée pertinente, telle qu’elle est définie à l’article 2, point 9), du règlement (CE) n°765/2008 en ce qui concerne l’accréditation des organismes d’évaluation de la conformité qui effectuent la certification de produits TIC, services TIC, processus TIC ou services de sécurité gérés.
• 20. Les organismes d’évaluation de la conformité veillent à ce que les laboratoires d’essai auxquels il est fait appel à des fins d’évaluation de la conformité respectent les exigences de la norme harmonisée pertinente telle qu’elle est définie à l’article 2, point 9), du règlement (CE) n°765/2008 en ce qui concerne l’accréditation de laboratoires qui réalisent des essais.».

Une déclaration a été faite en ce qui concerne le présent acte et figure au JO C, C/2025/309, 15.1.2025, ELI: http://data.europa.eu/eli/C/2025/309/oj.