by HMI admin6255
on décembre 2, 2025
Partager cette article :

Le Cybersecurity Act de l’UE : panorama des certifications volontaires (EUCC, EUCS, EU5G)

Le Règlement (UE) 2019/881, dit “Cybersecurity Act”, publié le 7 juin 2019, renforce le rôle de l’Agence de l’UE pour la cybersécurité (ENISA) et établit un cadre européen de certification volontaire pour les produits, services et processus ICT.

Ce cadre poursuit deux objectifs principaux :

  • Donner un mandat permanent à l’ENISA pour faciliter la coopération entre États membres et développer les schémas de certification.
  • Harmoniser les méthodes d’évaluation et les niveaux d’assurance, afin que les certificats délivrés soient reconnus dans toute l’UE.

Les schémas publiés ou en développement incluent :

  • EUCC (Common Criteria pour produits ICT)
  • EUCS (Cloud Services)
  • EU5G (Réseaux mobiles)
  • D’autres profils sectoriels selon les besoins

Les certifications restent volontaires, mais elles constituent un levier de confiance pour les produits et services sur le marché européen.

Fondements et obligations du Cybersecurity Act

Mandat permanent de l’ENISA

Selon le Cybersecurity Act, l’ENISA a un mandat permanent pour :

  • Développer et maintenir les schémas de certification
  • Soutenir les États membres dans leur mise en conformité
  • Promouvoir la coopération en cas d’incidents majeurs

Cadre européen de certification

Chaque schéma définit :

  • Les exigences techniques
  • Les niveaux d’assurance : élémentaire, substantiel, élevé
  • Les types d’évaluation : auto-évaluation ou tiers de confiance
  • Les portées couvertes

Les certifications obtenues sont reconnues dans tous les États membres, limitant ainsi la fragmentation du marché (source ANSSI).

Application et portée

Le Cybersecurity Act est un règlement d’application directe : il s’applique immédiatement dans les États membres, sans délai de transposition.

Les schémas publiés par la Commission européenne restent volontaires.

Le règlement s’adresse à :

  • Les fabricants et fournisseurs de produits et services ICT
  • Les organismes d’évaluation de la conformité (CAB)
  • Les utilisateurs finaux et donneurs d’ordre, pour choisir des solutions sécurisées

Le schéma EUCC : état actuel et caractéristiques

Objectif et portée

L’EUCC (European Union Cybersecurity Certification Scheme on Common Criteria) est le premier schéma publié sous le cadre. Il s’applique aux produits ICT, composants matériels et logiciels, et s’appuie sur la norme Common Criteria.

Volontaire, mais structuré

La certification EUCC reste volontaire, mais elle fournit un cadre harmonisé permettant de démontrer la sécurité d’un produit sur l’ensemble du marché européen.

Mise en œuvre et accréditations

L’EUCC a été adopté via un règlement d’exécution en 2024 et repose sur l’héritage du cadre SOG-IS Common Criteria, utilisé dans 17 États membres, avec une transition conditionnée au respect des exigences EUCC. La certification EUCC est volontaire et permet aux fournisseurs ICT de démontrer la sécurité de leurs produits (composants, matériels, logiciels).

  • Acteurs : organismes de certification (CAB) et laboratoires ITSEF pour l’évaluation technique.
  • Niveaux d’assurance : deux niveaux selon le risque lié à l’usage du produit.
  • Durée : délivrée pour une période déterminée, renouvelable selon les mises à jour et l’évolution des risques.

L’EUCC fournit ainsi un processus européen harmonisé pour certifier les produits ICT et renforcer la confiance sur le marché unique.

EUCS, EU5G et autres schémas en projet

EUCS : cloud services

L’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) vise à couvrir les services cloud (IaaS, PaaS, SaaS). Conçu par l’ENISA, il a pour objectif d’harmoniser les exigences techniques, organisationnelles et juridiques applicables aux prestataires cloud opérant dans l’UE.

Le schéma prévoit plusieurs niveaux d’assurance (élémentaire, substantiel, élevé) adaptés à la criticité des usages, et intègre des critères tels que :

  • La transparence sur les sous-traitants
  • La localisation et la souveraineté des données
  • Ou encore la gestion des incidents de sécurité

Actuellement en phase de finalisation, le projet fait l’objet d’une consultation publique européenne afin de définir ses modalités d’application et le degré d’exigence attendu pour chaque niveau d’assurance.

EU5G : réseaux mobiles

Le schéma EU5G (European Union Cybersecurity Certification Scheme for 5G Networks) s’inscrit dans la continuité du cadre européen de certification prévu par le Cybersecurity Act. Il vise à renforcer la sécurité des équipements, infrastructures et services liés aux réseaux 5G sur l’ensemble du territoire de l’Union.

Conformément à l’article 48.2 du règlement, l’ENISA a mis en place un groupe de travail ad hoc (AHWG) associant experts industriels, organismes d’évaluation et représentants des États membres, chargé de préparer un schéma candidat fondé sur les pratiques existantes (NESAS, EUCC), auxquelles s’ajoutent les exigences spécifiques de sécurité prévues par le Cybersecurity Act et les besoins propres aux infrastructures 5G.

Le schéma EU5G reprendra la logique de niveaux d’assurance (élémentaire, substantiel, élevé) déjà appliquée à l’EUCC et à l’EUCS, avec une méthodologie d’évaluation adaptée à la complexité des infrastructures télécoms.

Articulation entre schémas

L’objectif est de permettre une interopérabilité entre les différents schémas européens (EUCC, EUCS, EU5G, etc.), afin qu’un même produit ou service, souvent composé d’éléments matériels, logiciels et cloud, puisse être évalué et certifié de manière cohérente selon ses différentes composantes et usages.

Niveaux d’assurance selon le Cybersecurity Act

  • Élémentaire : objets grand public (ex. IoT). L’auto-évaluation est possible si le schéma concerné la prévoit explicitement
  • Substantiel : risque médian, évaluation par CAB, certificat émis
  • Élevé : risques élevés nécessitant tests de pénétration par un tiers, certification délivrée par un organisme de certification (CAB) accrédité, sous supervision de l’ANSSI en tant qu’Autorité Nationale de Certification de Cybersécurité ou ANCC

Avantages et défis des certifications volontaires

Avantages

  • Réduction de la fragmentation nationale
  • Confiance accrue pour clients et utilisateurs
  • Différenciation sur le marché
  • Preuve de conformité possible pour d’autres réglementations

Défis

  • Coût et temps d’évaluation
  • Adoption inégale selon secteurs et États membres
  • Maintien de la conformité face aux évolutions des menaces

Rôle de l’ANSSI / ANCC

  • Supervise la bonne application des schémas en France
  • Supervise les organismes de certification (CAB) habilités à émettre les certificats de niveau élevé
  • Représente la France au niveau de l’ECCG

FAQ : Cybersecurity Act

Prenez de l’avance : parlez à un expert et sécurisez votre conformité ! 

Je sécurise ma conformité