Cybersecurity Act

Cybersecurity Act : Règlement relatif à l'ENISA et à la certification de cybersécurité

Le Cybersecurity Act renforce le mandat de l'ENISA (qui devient une agence permanente) et crée un cadre européen de certification de cybersécurité volontaire pour les produits, services et processus TIC, avec trois niveaux d'assurance (élémentaire, substantiel, élevé).

Consulter le texte officiel sur EUR-Lex

Contexte

Avant le Cybersecurity Act, il n'existait pas de cadre européen unifié pour la certification de cybersécurité. Chaque État membre avait ses propres schémas nationaux (CSPN en France, BSI en Allemagne), créant une fragmentation coûteuse pour les entreprises.

Champ d'application

Il s'applique aux fabricants et fournisseurs de produits, services et processus TIC (technologies de l'information et de la communication) mis sur le marché de l'UE qui souhaitent obtenir une certification européenne de cybersécurité. Les organismes nationaux d'accréditation et d'évaluation de la conformité sont également concernés, ainsi que les entreprises qui utilisent ces certifications pour démontrer leur niveau de sécurité à leurs clients.

Acteurs concernés

ENISA (rôle central dans la préparation des schémas et la coordination)Commission européenne (adoption des schémas par actes d'exécution)Autorités nationales de certification (ANSSI en France)Organismes d'évaluation de la conformitéFabricants et fournisseurs de produits/services TIC