Conformément à la directive NIS2, les États membres ont le pouvoir d’exiger que les entités essentielles et importantes utilisent des produits, services et processus TIC certifiés afin de démontrer leur conformité aux mesures spécifiques de gestion des risques de cybersécurité prévues à l’article 21. Cette exigence s’applique aux produits, services et processus TIC développés en interne par ces entités ou acquis auprès de fournisseurs externes. Pour les organisations qui entament ou consolident leur parcours de mise en conformité à la directive NIS2, comprendre quand et comment s’applique l’obligation de certification est l’une des étapes opérationnelles fondamentales.

La certification doit s’inscrire dans le cadre des systèmes européens de certification de cybersécurité établis conformément à l’article 49 du règlement (UE) 2019/881.

La directive encourage également l’utilisation de services de confiance qualifiés par les entités essentielles et importantes.

Directive NIS2 et TIC : quand la certification est-elle requise ?

Selon la directive NIS2, la Commission peut adopter des actes délégués pour spécifier les catégories d’entités essentielles et importantes tenues d’utiliser des produits, services et processus TIC certifiés ou d’obtenir une certification dans le cadre d’un système européen de certification de cybersécurité. Ces actes délégués seront adoptés si des niveaux insuffisants de cybersécurité sont identifiés et incluront une période de mise en œuvre. De plus, les modalités seront définies pour garantir une approche harmonisée entre les États membres, évitant ainsi les divergences dans l’application des mesures.

Évaluation et consultation avant les actes délégués

Avant d’adopter des actes délégués, la Commission procédera à une analyse d’impact et consultera les parties prenantes, comme le prévoit l’article 56 du règlement (UE) 2019/881. La consultation servira à recueillir les avis des opérateurs du secteur, des experts en cybersécurité et des institutions nationales, garantissant ainsi que les nouvelles dispositions soient efficaces et réalistes.

Gestion de l’absence de systèmes de certification adéquats

Dans le cas où aucun système européen de certification de cybersécurité adéquat n’est disponible, la Commission peut demander à l’ENISA d’élaborer une proposition pour un nouveau système conformément à l’article 48, paragraphe 2, du règlement (UE) 2019/881. Cette demande sera effectuée en consultation avec le groupe de coopération et le groupe européen pour la certification de la cybersécurité. Au cours de ce processus, les besoins spécifiques des entités concernées et l’efficacité des solutions existantes seront évalués, garantissant un système qui réponde aux défis émergents en matière de cybersécurité. Pour une vision plus large sur le périmètre et les objectifs de la directive NIS2, il est utile de partir du contexte général avant d’approfondir les obligations techniques individuelles.

[Callforaction-NIS2-Footer]