La Commission européenne a publié, le 7 février 2024, son premier programme de travail détaillant les priorités stratégiques de l’Union européenne en matière de certifications de cybersécurité. Prévu par le règlement (UE) 2019/881 du 17 avril 2019, ce document phare établit les grands principes qui guideront l’élaboration des prochains schémas européens de certification de cybersécurité, tout en évoquant les futurs produits et services TIC susceptibles d’entrer dans ce périmètre réglementaire.
Rédigé sous la direction de Claudie Boiteau, en partenariat avec le Master Droit et régulation des marchés de l’Université Paris Dauphine-PSL
Après une fin d’année 2023 marquée par l’adoption d’une position commune du Conseil de l’Union européenne et du Parlement européen sur le règlement relatif à la cyberrésilience (Cons. UE, Communiqué de presse, 30 nov. 2023), l’année 2024 débute par l’ouverture de nouveaux chantiers réglementaires en matière de cybersécurité.
Le 31 janvier, la Commission européenne a publié le premier schéma européen de certification de cybersécurité (EUCC) fondé sur des critères communs (Règl. (UE) 2024/482, 31 janv. 2024). Ce règlement d’exécution s’applique à l’ensemble des technologies de l’information et de la communication (TIC) commercialisées dans l’Union européenne, et pose notamment le cadre des règles d’évaluation et de certification qui s’imposeront aux composants et matériaux informatiques (hardware) et aux logiciels (software) utilisés dans le marché intérieur.
Ce schéma constitue l’une des premières incarnations des objectifs du règlement (UE) 2019/881 (dit règlement Cybersecurity Act ou CSA), qui poursuit une double finalité. Il s’agit, d’une part, de protéger les consommateurs européens en sécurisant les produits et services TIC utilisés dans l’Union tout au long de leur cycle de vie ; et d’autre part, de réduire la fragmentation du secteur au sein du marché intérieur.