Recours aux schémas européens de certification de cybersécurité

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

1. Afin de démontrer la conformité à certaines exigences visées à l’article 21, les États membres peuvent prescrire aux entités essentielles et importantes d’utiliser des produits TIC, services TIC et processus TIC particuliers qui, mis au point par l’entité essentielle ou importante ou acquis auprès de tiers, sont certifiés dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881. En outre, les États membres encouragent les entités essentielles et importantes à utiliser des services de confiance qualifiés.

2. La Commission est habilitée à adopter des actes délégués, conformément à l’article 38, pour compléter la présente directive en précisant quelles catégories d’entités essentielles et importantes sont tenues d’utiliser certains produits TIC, services TIC et processus TIC certifiés ou d’obtenir un certificat dans le cadre d’un schéma européen de certification de cybersécurité adopté conformément à l’article 49 du règlement (UE) 2019/881. Ces actes délégués sont adoptés lorsque des niveaux insuffisants de cybersécurité ont été constatés et ils prévoient une période de mise en œuvre.

Avant d’adopter de tels actes délégués, la Commission procède à une analyse d’impact et mène des consultations conformément à l’article 56 du règlement (UE) 2019/881.

3. Lorsqu’il n’existe pas de schéma européen de certification de cybersécurité approprié aux fins du paragraphe 2 du présent article, la Commission peut, après consultation du groupe de coopération et du groupe européen de certification de cybersécurité, demander à l’ENISA de préparer un schéma candidat conformément à l’article 48, paragraphe 2, du règlement (UE) 2019/881.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025) transpose l'article 24 et confie a l'ILR le pouvoir de vérifier, lors de ses inspections, que les operateurs essentiels et importants utilisent des produits TIC certifies lorsque la criticite du traitement le justifie. L'ILR coopere avec l'ANSSI luxembourgeoise (au sein du Haut-Commissariat a la Protection nationale) pour la qualification des produits sensibles et avec ILNAS pour les aspects normatifs.

Pratique Luxgap : pour les entités supervisees par la CSSF en plus de l'ILR (banques, PSF, fintech), documentez la double conformité article 24 NIS 2 et circulaire CSSF 22/806 sur l'externalisation TIC, en privilegiant les fournisseurs cloud certifies EUCS et hebergeant au Luxembourg (eBRC, LuxConnect, POST Telecom).

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 24 semble inoffensif : il autorise les Etats membres a exiger des produits TIC certifies (schemas EUCC, EUCS cloud, EU5G). Le piège n'est pas la certification elle-meme, mais la gestion de l'argumentaire : quand l'ILR contrôle une entité essentielle au Luxembourg, l'inspecteur demande la liste des produits TIC critiques utilises (EDR, pare-feu, HSM, cloud) et la justification de chaque choix au regard de l'article 21. Les organisations qui ne peuvent pas démontrer pourquoi elles ont retenu un produit non certifie alors qu'une alternative certifiee EUCC existait s'exposent a un constat de manquement aux mesures techniques appropriees, requalifie en violation article 21.

Les pièges en pratique

Confondre ISO 27001 et certification européenne : ISO 27001 certifie un SMSI, pas un produit. EUCC certifie un produit TIC. L'article 24 vise uniquement les schemas adoptes au titre de l'article 49 du règlement Cybersecurity Act 2019/881.
Ignorer les services de confiance qualifiés eIDAS : l'article 24(1) impose aux Etats membres d'encourager leur usage (signature electronique qualifiée, horodatage qualifié, cachet electronique). Ne pas les utiliser pour les communications critiques avec l'ILR ou les notifications d'incident est un signal negatif.
Cloud non-EUCS : si vous hebergez des données relevant d'une entité essentielle chez un fournisseur cloud non certifie EUCS (lorsque le schema sera pleinement applicable), vous devrez documenter une analyse de risque comparative justifiant le choix.
Acts délégués a venir : la Commission peut, par acte délégué article 24(2), rendre certaines certifications obligatoires pour des catégories d'entités. Une veille réglementaire est indispensable.
Chaîne d'approvisionnement : l'article 21(2)(d) sur la sécurité de la supply chain se lit en combinaison avec l'article 24. Vos sous-traitants critiques doivent eux-memes utiliser des produits certifies ou justifier l'absence.

Comment Luxgap automatise ce risque

Notre Luxgap Certification Compass transforme la question "mes produits TIC sont-ils certifies au sens de l'article 24 ?" en un tableau de bord vivant qui se met a jour tout seul. L'outil se connecte a votre inventaire technique (Microsoft Intune, CrowdStrike, Azure Resource Graph, AWS Config, Wazuh, vos CMDB ServiceNow ou GLPI) pour extraire automatiquement la liste reelle des produits TIC en production, puis croise chaque référence avec les bases ENISA EUCC, EUCS, EU5G et la liste eIDAS des services de confiance qualifiés publiee par la Commission européenne.

Detecte chaque produit TIC effectivement deploye sur votre parc et le rapproche automatiquement de la liste officielle ENISA des produits certifies EUCC, par numéro de certificat et niveau d'assurance (basic, substantial, high).
Alerte en temps reel sur Teams ou email des qu'un nouveau schema européen est adopte au titre de l'article 49 du règlement 2019/881, ou des qu'un acte délégué article 24(2) impose une catégorie de certification a votre secteur.
Genere pour chaque produit non certifie une fiche de justification documentaire prete a presenter a l'ILR, expliquant l'absence d'alternative certifiee, l'analyse de risque comparative et les mesures compensatoires article 21.
Vérifié automatiquement que vos signatures, horodatages et cachets electroniques utilises pour les notifications d'incident a l'ILR sont bien qualifiés eIDAS, avec validation cryptographique des certificats.
Suit la chaîne d'approvisionnement : croise vos sous-traitants critiques avec leurs propres certifications declarees et detecte les expirations a 90 jours.
Produit un rapport PDF horodate, scelle cryptographiquement, opposable lors d'une inspection ILR, qui materialise votre conformité article 24 et la coherence avec l'article 21(2)(d) sur la supply chain.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre inventaire reel, avec un scan gratuit sous 48h pour identifier les produits TIC critiques non certifies de votre parc avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Recours aux schémas européens de certification de cybersécurité

Ils nous font confiance

Avant de discuter