/image%2F0122211%2F20230208%2Fob_158fc6_ob-dd851d-logo-irce-hd.jpg){kind=logo}
CERTIFICATION CYBER (ET AUTRES) : QUELLES SONT LES BONNES QUESTIONS ? ET REPONSES ENISA
La certification de produits ou services est une question de qualité mais également de confiance, dans le processus mais également les structures notamment institutionnelles ou désignées par elles, avec peut-être une notion d'indépendance qui devrait y être rajoutée.
Dans le cadre de nos travaux sur la cybersécurité, nous posons ici certaines questions à l'ENISA, que vous retrouverez dans "nos courriers aux institutions" suite à certaines remontées d'interrogation sur ce thème mais aussi suite à certains retours d'expériences dans d'autres domaines.
Je me permets de revenir vers vous sur le sujet de la certification, qui est votre tâche importante, et de par nos retours d’expérience dans d’autres domaines comme par exemple l’aéronautique avec le positionnement de l’AESA ou le marquage CE, afin notamment de comprendre, de communiquer, voire de vous aider à affiner votre mission pour éviter les risques d’impacts industriel, les failles de processus avec préjudices potentiels ou réels de certaines décisions institutionnelles pour les entreprises. Merci de bien vouloir nous orienter si certaines réponses sont déjà identifiables.
Aussi permettez-moi quelques questions dont certaines déjà portées à votre connaissance :
Visez-vous toujours une certification au niveau européen qui puisse être applicable à travers l’UE et exportable comme référentiel compétitif et de qualité ou proposerez-vous finalement à certains pays de l’UE qui n’en n’ont pas, ou de l’extérieur, un modèle particulier comme ceux de l’ANSSI et du BSI, certes qui se rejoignent sous le label mais qui apparaissent différents et complémentaires, l’un plutôt liée à une habilitation et l’autre sur les process industriels, l’un faisant la différence entre donnée personnelle et professionnelle, même issue d’un même ordinateur, l’autre se basant sur l’adresse IP. Pour mémoire, nous avons prévu d’organiser un événement sur ce label dans le cadre de notre cycle franco-allemand si les parties en sont toujours d’accord. Peut-être l‘ENISA pourra-t-elle être partenaire ?
Quels autres modèles de certification et de qualification existent en Europe ?
Prévoyez-vous une « smart » certification de plusieurs niveaux avec socle commun et minimal pour éviter une pollution numérique dans un pays qui pourrait se propager au sein de l’Union, mais sans forcément mettre tous les pays et leurs industries au même niveau ?
Existe-t-il une approche spéciale pour les PME, les collectivités ou certains domaines d’activité ?
Des organismes notifiés privés accrédités et certifiés sont-ils prévus en interface entre les agences nationales et les entreprises et combien par pays ?
Pour combien de temps sont attribuées les accréditations et avec quelles conditions de renouvellement ?
Les entreprises pourront-elles choisir un organisme accréditeur en dehors de leur pays, mais avec quelle agence nationale de contrôle et avec possible délégation de l’agence nationale d’origine ?
Quelles sont les conditions d’intervention des agences nationales pour les accréditations ou en cas de problème et quelles sont les degrés d’intervention de l’ENISA ?
En cas de problème de l’organisme certifié, notamment pour l’obtention d’un renouvellement, les clients de cet organisme peuvent-ils être orientés facilement vers d’autres organismes et par qui avec peut-être un délai supplémentaire accordé en fonction des réalités ?
Quels seront les accréditations de formations et existera-t-il des sites européens dédiés au-delà des solutions nationales ?
I would like to come back to you on the subject of certification, wich is your important task, and by our feedbacks in other areas such as aeronautics with the positioning of EASA or the CE marking, to understand, communicate and even help you to optimize your mission, notably to avoid risks of industrial impacts, process failures with potential or actual issues of certain institutional decisions for companies. Thank you for guidance if some answers are already identifiable
Also, allow me a few questions of which you have already been brought to your attention.
Are you still aiming for a certification at European level that can be applicable across the UE and exportable as a competitive and quality reference, or will you finally propose to some UE countries that do not have one, or to those outside, a particular model like those of the ANSSI and BSI, certainly which join under the label but which appear different and complementary, one rather related to an authorization and the other on the industrial processes, one making the difference personal and professional data, even from the same computer, the other based on the IP address ?
For the record, we have planned to organize an event on this label as part of our Franco-German cycle, if parties are still in agreement. Maybe ENISA could be a partner ?
What other certification and qualification models exist in Europe ?
Do you foresee a “smart” multi-level certification with a common and minimal base to avoid digital pollution in a country that could spread within the Union, but without necessarily putting all countries and their industries at the same level ?
Is there a special approach for SME’s, regions or for some fields of activity ?
Are accredited and certified private notified bodies provided as interfaces between national agencies and companies and how many per country ?
For how long are the accreditation granted and with what renewal conditions ?
Will companies be able to choose an accreditation body outside their country, but with which national control agency and with possible delegation from the national agency of origin ?
Which are the conditions of intervention of the national agencies for accreditations or in case of problem and what are the levels of intervention of ENISA ?
If there is a problem with the certification organization, especially for renewal, can the clients of this organization be easily referred to other organizations and by whom, perhaps with additional time according to realities ?
What will be the remedies ?
What training accreditations will there be and will be dedicated European sites beyond national solutions ?
Sincerely yours
I would like to thank you for questions related to the newly adopted EU cybersecurity certification framework under the Cybersecurity Act - Regulation (EU) 2019/881. As the Regulation has already entered in force, ENISA and all relevant stakeholders identified, directly and indirectly, seek to adhere to relevant provisions, processes and procedures.
The EU cybersecurity certification framework will provide EU-wide certification schemes as a comprehensive set of rules, technical requirements, standards and procedures. Such schemes, once adopted at EU level, for specific products, services or processes, will be valid and equally recognised across all EU Member States. Currently, the landscape of cybersecurity certification of ICT products and services in the EU is quite disperse as there is a number of national initiatives and also international ones, such as the so-called Common Criteria (CC) for Information Technology Security Evaluation. The most prominent example at EU level in this regard is the Senior Officials Group – Information Systems Security (SOG-IS) Mutual Recognition Agreement (MRA). Following a direct request of the European Commission to ENISA, a successor of SOG-IS MRA will be the first scheme to be drafted within the scope of the EU cybersecurity certification framework.
European cybersecurity certification schemes could allow for both conformity self-assessments and certifications, where evaluation will be performed by third party conformity assessment bodies. In total, three assurance levels are foreseen and each one of them provides a corresponding rigour and depth of the evaluation of the ICT product, ICT service or ICT process. Through conformity self-assessment only basic assurance level can be achieved, while for certifications basic, substantial or high assurance level can be achieved. The certification process, contrary to the conformity self-assessment, adheres to the provisions on Regulation (EC) 765/2008 which sets outs requirements on for accreditation and market surveillance.
Within the scope of the aforementioned Regulation, each Member State nominates one National Accreditation Body (NAB), which grants accreditation certificates to conformity assessment bodies (CABs). The accreditation can be issued to the conformity assessment bodies for specific cybersecurity certification scheme(s), for a maximum of five years and may be renewed afterwards.
For each European cybersecurity certification scheme, the national cybersecurity certification authorities shall notify the European Commission of the conformity assessment bodies that have been accredited. Given the EU-wide validated of both the EU cybersecurity certification framework and the issued certificates, a producer or manufacturer of an ICT product, ICT service or ICT process can request an assessment process by any accredited conformity assessment body across the EU.
I hope this helps.
Best regards,