Conférence européenne sur la certification de cybersécurité, 15 avril 2026

Le 15 avril 2026, l'ENISA a tenu sa conférence européenne sur la certification de cybersécurité à Ayia Napa, à Chypre, coorganisée avec la présidence chypriote et la Commission européenne. Une journée, au format hybride, six thèmes : l'EUCC après un an d'exploitation, la proposition de CSA2 et la refonte du cadre européen de certification de cybersécurité (ECCF), le rôle de la certification au titre du CRA, une nouvelle voie NIS2 via le schéma « cyber posture », le schéma de l'EU Digital Identity Wallet désormais en consultation publique, et le schéma des Managed Security Services (MSS) de l'UE en version v4.

La préoccupation qui a dominé la journée côté salle, d'après les votes des Q&R en ligne, ne concernait aucun schéma en particulier. Elle portait sur la question de savoir si les résultats de certification peuvent, ou doivent, servir à inférer la conformité NIS2, sachant que la supervision NIS2 relève d'autorités distinctes. Cinq des sept questions les plus votées tournaient autour de cette même tension. Nous y consacrons une section dédiée plus bas.

Ce qui suit est une synthèse structurée de ce qui a été réellement dit, avec attribution aux orateurs lorsque le programme et les transcriptions concordent.

Synthèse

• CSA2 est un projet de règlement qui révise le cadre européen de certification de cybersécurité et modifie la directive NIS2. Longueur du projet : 271 pages, d'après les panélistes.
• ECCF remplace le cadre actuel par des dispositions types, des mécanismes formels de maintenance et un calendrier par défaut de 12 mois pour l'élaboration d'un schéma candidat.
• Chiffres EUCC en production (Juhan Lepassaar, directeur exécutif de l'ENISA) : 29 certificats délivrés, 28 organismes d'évaluation de la conformité dans l'UE, l'Europe représente plus de 60 % des quelque 350 certificats Common Criteria délivrés dans le monde chaque année, et tous les certificats CC européens sont au niveau CC-1 depuis février 2026.
• Infrastructure de conformité CRA : c'est le jalon CRA le plus important de l'année selon Maika Fohrenbach (DG CONNECT). Les États membres doivent désigner leurs autorités compétentes d'ici juin 2026, et un nombre suffisant d'organismes notifiés doit être en place d'ici décembre 2026, soit un an avant la pleine application du CRA.
• Schéma EUDI Wallet : la consultation publique a été lancée le 3 avril 2026 ; les prochaines échéances vont de la validation du projet par l'AHWG les 16-17 avril 2026 à la finalisation en ECCG en septembre-octobre 2026.
• Schéma EU MSS : en projet v4, transmis au groupe de travail ad hoc le 9 avril 2026 ; le projet v3 (envoyé le 20 mars 2026) a reçu 250 commentaires répartis sur neuf thèmes. La consultation publique est prévue pour début juillet 2026.
• Réaction de l'industrie face à la prolifération : vive. Steffen Zimmermann (VDMA) a posé des chiffres : environ 80 % des membres du VDMA sont des PME, dont près de 90 % sont concernés par NIS2 et le CRA.
• La priorité de la salle ne portait sur aucun schéma particulier. Elle portait sur la tension entre l'utilisation des résultats de certification pour inférer la conformité NIS2 et le fait que la supervision NIS2 est obligatoire et revient à des autorités distinctes (cinq des sept questions les plus votées).

Source : Juhan Lepassaar, directeur exécutif, ENISA, discours d'ouverture.

CSA2 et le nouveau ECCF

Maika Fohrenbach (DG CONNECT) a présenté la proposition de la Commission. Elle s'articule autour de quatre piliers :

1. Un cadre harmonisé de gestion des risques de la chaîne d'approvisionnement TIC, pour la première fois au niveau de l'UE.
2. Un cadre européen de certification de cybersécurité (ECCF) révisé.
3. Des mesures de simplification NIS2 organisées autour d'un nouveau schéma cyber posture (section dédiée plus bas).
4. Un renforcement du mandat de l'ENISA (soutien aux États membres, connaissance de la situation, leadership en normalisation, attestation des compétences).

Trois évolutions de l'ECCF comptent pour les fabricants :

Côté maintenance et outillage des parties prenantes, CSA2 reconnaît formellement l'ENISA comme gestionnaire de schéma, avec un sous-groupe ECCG dédié à chaque schéma. Le texte remplace l'actuel Stakeholder Cybersecurity Certification Group (SCCG) et l'Union Rolling Work Programme par une Assemblée européenne de certification de cybersécurité, assortie de portails d'information de la Commission et de l'ENISA. La base juridique pour les spécifications techniques rédigées par l'ENISA, dans le prolongement des documents « state of the art » de l'EUCC, est inscrite dans la proposition.

Les réactions du panel ont été franches. Helge Kreutzmann (BSI) a pointé deux lacunes du projet. D'abord, CSA2 conserve la scission autorisation puis notification actuelle au lieu de passer pleinement au mécanisme de notification du cadre législatif harmonisé. Ensuite, le champ n'a pas été étendu assez fort : le projet certifie les services mais pas les prestataires, alors que plusieurs États membres certifient déjà les prestataires et le personnel clé, et que le Cyber Solidarity Act le demande. Kreutzmann : « We think this should carry over on the European level, that we can actually certify the providers. » (« Nous pensons que cela devrait être repris au niveau européen, afin que nous puissions effectivement certifier les prestataires. »)

Suzana Pavlidou (NCCA Chypre) et Apostolos Malatras (chef d'unité pour la certification de cybersécurité, ENISA) ont rejoint Philippe Blot à la modération. Goran Gotov (Zscaler) a soulevé une inquiétude structurelle depuis la salle : l'Assemblée se réunit une fois par an et les groupes ad hoc sont spécifiques à chaque schéma, ce qui réduit l'apport macro de l'industrie par rapport à avant. Richard Skalt (TIC Council ; cybersecurity advocacy manager chez TÜV SÜD) a demandé un engagement ferme sur un délai de 12 mois pour l'élaboration des schémas par l'ENISA, et a interrogé sur l'intégration, par CSA2, de l'ISO/IEC 27001 et du schéma belge « Cyber Fundamentals » dans la voie de simplification NIS2. Aucun engagement ferme n'a été pris sur scène à ce sujet.

Cyber posture et NIS2 : ce que la salle a réellement demandé

Le fil des Q&R a rendu la priorité de la salle sans ambiguïté. Les sept questions les plus votées de la journée (14 à 19 votes chacune) ne portaient ni sur le volume de l'EUCC ni sur la capacité des CAB. Elles tournaient toutes autour de la même inquiétude structurelle, formulée de sept manières différentes : les résultats de certification peuvent-ils légitimement servir à inférer la conformité NIS2, alors que la supervision NIS2 est obligatoire et confiée à des autorités distinctes ?

La réponse de Fohrenbach s'est déployée sur sa présentation et sur les Q&R. Trois éléments méritent d'être distingués :

Sur les deux questions de la salle restées sans réponse sur scène, nous ne comblons pas les trous. Nous les signalons :

Pour les lecteurs qui planifient autour de NIS2, la lecture honnête est la suivante. Le schéma cyber posture est la voie privilégiée par la Commission. Les mécaniques juridiques qui rendraient cette voie robuste (règlement d'exécution d'harmonisation maximale, accord des États membres sur le lien) sont des sujets de négociation actifs. Si vous bâtissez une stratégie de conformité aujourd'hui, ne considérez pas « certifier sous cyber posture et NIS2 est traité » comme un acquis pour votre juridiction. Suivez le trilogue.

Là où la certification rencontre le CRA

Le volet CRA de Fohrenbach a été le signal le plus clair pour les fabricants ce jour-là. Priorité 2026 : construire l'infrastructure d'évaluation de la conformité. Les normes harmonisées arriveront plus tard, et de manière inégale.

Le CRA couvre les produits logiciels, matériels, et les composants mis séparément sur le marché. La répartition énoncée par Fohrenbach :

Au titre de l'Annexe VIII du CRA, les modules NLF disponibles sont Module B + C (examen UE de type) et Module H (certification du système qualité). La Commission entend préciser, avant la fin 2026, comment l'EUCC pourra servir à démontrer la conformité au CRA ; l'ENISA pilote 18 pilotes sur la présomption de conformité EUCC-vers-CRA, avec un atelier prévu à Athènes.

La montée en charge jusqu'à la pleine application du CRA, en une vue :

Le travail d'harmonisation se mène dans un groupe de travail informel de la Commission réunissant les autorités notifiantes, avec comme question ouverte centrale : comment notifier tant que les normes harmonisées ne sont pas disponibles. Fohrenbach a cité CENELEC comme moteur des travaux de normalisation harmonisée. Hypothèse de travail partagée entre États membres : s'appuyer sur les CAB déjà accrédités au titre de l'acte délégué de la directive RED (RED DA) et sur l'écosystème EUCC, et les fast-tracker pour la notification CRA.

Pour l'état actuel du choix de module pendant que les schémas CSA restent en préparation, voir notre guide de décision sur l'évaluation de la conformité.

La pénurie de capacité des CAB

Le panel sur la capacité des CAB a été la session la plus chargée opérationnellement de la journée. Modération par Eric Vetillard ; au panel : Christin Hartung-Kümmerling (BSI, en ligne), Xenia Kyriakidou (cheffe de la NCCA de Chypre, autorité notifiante et de surveillance du marché pour le CRA à Chypre, et vice-présidente du comité ADCO CRA), Richard Skalt (TIC Council / TÜV SÜD) et Nikolaos Soumelidis (Q-CERT).

Quelques faits issus du panel à retenir :

• Les deux tiers des pays européens ne disposent pas encore d'un organisme national d'accréditation eIDAS, selon Soumelidis. La Grèce elle-même n'en a pas.
• Le BSI prépare la notification du Module H comme voie la plus « scalable » pour le CRA, d'après Hartung-Kümmerling. Le BSI ne priorise pas le Module B pour le CRA ; elle a reconnu que d'autres États membres prennent la voie du Module B, sans les nommer.
• Chypre, l'Allemagne et la plupart des autres États membres s'appuieront sur leurs organismes nationaux d'accréditation pour l'accréditation CRA. Le fast-track via RED DA ou l'accréditation EUCC reste sur la table.
• Enquête interne TIC Council (Skalt) : deux tiers des membres du TIC Council prévoient d'avoir plus de 50 experts cybersécurité dédiés d'ici fin 2026, et 40 % des membres sont déjà notifiés pour l'EUCC.
• ADCO CRA est le groupe de coopération administrative des autorités de surveillance du marché des États membres pour le CRA ; Kyriakidou en est la vice-présidente.

Stefan Zimmermann (VDMA) a demandé depuis la salle à Hartung-Kümmerling quels États membres préparent la notification du Module B. Elle a refusé de les nommer sur scène. La question est vive, car elle conditionne la disponibilité d'un organisme notifié dans le pays d'origine d'un fabricant qui souhaite emprunter la voie de l'examen UE de type au 11 décembre 2027.

Du point de vue d'un fabricant, trois conséquences en découlent. D'abord, si votre catégorie de produit vous conduit vers une évaluation par tiers, vérifiez dès à présent le plan de votre État membre d'origine. « Suffisamment d'organismes notifiés d'ici décembre 2026 » est une ambition politique, pas une garantie par juridiction. Ensuite, le fast-track RED DA / EUCC CAB est la voie d'expansion de capacité la plus plausible, mais cela signifie que votre vivier probable de CAB est façonné par les organismes qui servent déjà les marchés des équipements radio ou des Common Criteria. Enfin, le Module H (système qualité) monte en puissance plus vite que le Module B (examen de type) dans au moins un grand État membre, avec des implications sur la façon de préparer vos preuves.

La session matinale de Steffen Zimmermann (VDMA) a aiguisé la vision industrielle. Environ 80 % des membres du VDMA sont des PME de moins de 250 salariés, et près de 90 % d'entre elles sont concernées par NIS2 et le CRA. Sa critique en cinq points de la certification a été directe :

1. Not invented here. Les normes existantes IEC 62443, ISO/IEC 27001 et TISAX sont écartées au profit de schémas natifs UE.
2. Pas suffisant. La même IEC 62443 est ensuite jugée insuffisante dès que le CRA entre en jeu.
3. Certificat non fiable. Une méthodologie propriétaire pousse les parties prenantes à réclamer de nouveaux schémas qui présentent le même défaut de transparence.
4. « Créons une demande de marché ». Des schémas volontaires à faible adoption sont rendus obligatoires via la commande publique au lieu d'être repensés.
5. Illusion de conformité. Le certificat reste valide tandis que la sécurité se dégrade.

Sur les normes harmonisées au titre du CRA, sa formule à retenir : « Harmonised standards do not cover all functionalities. They are developed to address the core functionality listed in the annexes. So a product may be in conformance for the core functionality, but the CRA demands conformity for the entire product. » (« Les normes harmonisées ne couvrent pas toutes les fonctionnalités. Elles sont élaborées pour les fonctionnalités essentielles listées dans les annexes. Un produit peut donc être conforme pour la fonctionnalité essentielle, mais le CRA exige la conformité du produit entier. »)

Certification de l'EUDI Wallet

Evgenia Nikolouzou (ENISA) a retracé le parcours du schéma EUDI Wallet. La demande de la Commission est arrivée en mai 2024 ; un appel à manifestations d'intérêt a suivi en octobre 2024, avec 26 experts retenus pour le groupe de travail ad hoc ; l'AHWG s'est lancé en janvier 2025 et a tenu 7 plénières et 4 groupes thématiques jusqu'en février 2026 ; le schéma a été soumis pour revue en avril 2026 et la consultation publique a ouvert le 3 avril 2026.

Le schéma couvre le wallet ainsi que le schéma eID sous-jacent, et doit couvrir produits, services et processus en raison de la structure d'eIDAS. L'évaluation se fait en deux étapes : étape 1, revue d'architecture et dépendances ; étape 2, tests et analyse de vulnérabilités, suivis de la délivrance du certificat et de la surveillance. Deux niveaux d'assurance sont utilisés : la couche matérielle inviolable est prise en charge par l'EUCC à AVA_VAN.4 / .5, et la couche applicative par des schémas nationaux à AVA_VAN.3.

Le calendrier présenté par Nikolouzou s'articule autour de ces jalons : validation par l'AHWG du projet v0.4 les 16-17 avril 2026 ; clôture de la période de commentaires ECCG le 1er juin 2026 ; ouverture de la consultation publique début juillet 2026 ; finalisation en ECCG en septembre-octobre 2026. Pour une analyse détaillée de ce que le schéma wallet exige des candidats et de ce que cela signale pour les futurs schémas connexes au CRA, voir notre décryptage du schéma EUDI Wallet.

Schéma Managed Security Services

Vicente Gonzalez Pedros (ENISA) a ouvert la session de l'après-midi sur le schéma EU MSS, suivie d'un panel modéré par Georgia Bafoutsou (ENISA) avec Paloma Llaneza (Digital Trust Scheme Manager, CerteIDAS), Adrian Pauna (Oracle), Marios Ioannou (Columbia Group), Oscar Boizard (ANSSI) et Pablo Fernandez (Security Operations Centers Manager, CCN-CNI).

La demande de la Commission est parvenue à l'ENISA fin avril 2025. Elle portait initialement sur la verticale de gestion du cycle de vie des incidents ; l'ENISA l'a scindée en profils de service et a choisi la réponse à incident comme premier profil à bâtir. Au titre du Cyber Solidarity Act, dès qu'un schéma européen couvre un service contracté via l'acte, les prestataires doivent être certifiés deux ans après la mise en place du schéma.

L'architecture du schéma comporte deux couches :

• Une couche horizontale d'exigences de base communes, agnostiques des normes et des services, applicables à tous les MSS.
• Une couche verticale d'exigences techniques spécifiques au service (gestion du cycle de vie, expertise, scénarios de réponse à incident, collaboration avec les parties prenantes, exigences de ressources).

Deux points de Gonzalez Pedros méritent d'être retenus. La couche horizontale n'est jamais certifiée seule : le certificat porte toujours sur le service, jamais sur le prestataire. Et la couche horizontale s'aligne sur NIS2 sans pour autant certifier la conformité NIS2. La couverture NIS2 relève du schéma cyber posture, pas du MSS.

Sur l'AHWG : plus de 200 candidatures ont été reçues via l'appel ouvert. Le groupe de travail « réponse à incident » a été constitué de 30 experts, avec une liste de réserve de 70 autres pour les futurs profils de service. L'AHWG a été officiellement désigné le 29 septembre 2025.

Progression des versions (d'après la diapositive AHWG) :

• Projet v3 du schéma principal transmis à l'AHWG le 20 mars 2026.
• 250 commentaires reçus, regroupés en neuf thèmes : articulation avec NIS2, niveaux d'assurance pour plusieurs profils, normes et méthodologies d'évaluation, supervision transfrontalière, alignement terminologique, périmètre de certification (spécifique au client vs général), coûts de répétition des évaluations, dialogues NCCA et CAB, et confidentialité des rapports de certification.
• Projet v4 du schéma principal transmis à l'AHWG le 9 avril 2026.

Une clarification structurelle de Gonzalez Pedros : le schéma MSS ne comporte pas d'ITSEF (à la différence de l'EUCC). CAB et CB seront réconciliés en un seul terme dans le prochain projet. L'accréditation des CAB se fait selon ISO/IEC 17065, et le schéma s'appuie sur la même méthodologie d'évaluation que celle utilisée par l'ENISA pour le European Wallet.

Le calendrier du schéma qu'il a exposé : validation du projet v4 les 16-17 avril 2026 ; premier projet envoyé à l'ECCG pour commentaires avec un mois de revue par les États membres ; traitement des commentaires en deux semaines environ ; consultation publique à partir de début juillet 2026 pour 1,5 mois ; réunion mi-septembre 2026 pour traiter les commentaires de la consultation ; validation du schéma en ECCG d'ici octobre 2026.

Ce que les panélistes ont apporté

Paloma Llaneza (CerteIDAS) a défendu l'intérêt central d'un schéma au niveau UE : sans lui, les prestataires se certifient séparément dans 27 États membres, et seuls les grands groupes peuvent se le permettre. Sa référence : eIDAS-2, où un règlement accompagné d'un acte d'exécution a remplacé 27 normes nationales par une norme européenne unique. Llaneza est l'éditrice de ETSI EN 319 401 (Policy and security requirements for Trust Service Providers), qu'elle a présentée comme le modèle de proportionnalité qui fonctionne : la couche horizontale sert de socle ponctuel, les verticales s'empilent dessus de façon modulaire.

Adrian Pauna (Oracle) a défendu la perspective multinationale : un schéma UE standardise la conformité entre juridictions, et les méthodologies de tests d'intrusion ont besoin d'une définition claire à l'intérieur du schéma. Il a pointé un problème structurel propre aux tests d'intrusion : aujourd'hui ils sont certifiés au niveau de la personne (OSCP, OSCE), ce qui rend une certification au niveau du service structurellement difficile tant que le marché n'a pas évolué. Sa recommandation pour les prochaines verticales : la détection d'abord, puis les tests d'intrusion.

Marios Ioannou (Columbia Group, Chypre) a présenté le « label » UE comme un ouvre-porte : reconnaissance sur l'ensemble du territoire et participation à la Réserve européenne de cybersécurité. Sur les incidents transfrontaliers, il a souligné qu'une réponse Espagne-Chypre-Malte est bien plus fluide quand toutes les parties partagent les mêmes capacités de base.

Oscar Boizard (ANSSI) a tracé la ligne la plus nette de la session, sur certification vs qualification :

Kreutzmann estime que CSA2 devrait rendre la qualification au niveau du prestataire possible au niveau UE, au-delà de la certification au niveau du service.

La France exploite quatre schémas de qualification ANSSI alignés avec les catégories EU MSS (conseil, audit, détection, réponse), plus PAMS pour l'administration. PASSI est le plus ancien et compte la plus grosse base de prestataires qualifiés. L'introduction d'un niveau « substantiel » a réellement modifié le mix de fournisseurs : des PME de six à sept collaborateurs compétents y sont entrées. La recommandation de Boizard pour la prochaine verticale : l'audit, comme « quick win », parce que les normes existent déjà.

Pablo Fernandez (CCN-CNI) a apporté des chiffres tangibles sur l'approche espagnole. Le schéma MSS espagnol a démarré il y a environ quatre ans, bâti sur l'ENS (Esquema Nacional de Seguridad), qui lui-même cumule environ 16 ans d'historique. Le modèle MSS est la Guía CCN-STIC 896 empilée sur l'ENS, alignée avec NIS2, les amendements du Cyber Solidarity Act, et les futurs CSA2 et EU MSS. Les chiffres publiés sur la diapositive du CCN : 3 578 entités certifiées au titre de l'ENS, 25 services MSS certifiés délivrés par 5 MSSP, et 304 SOC intégrés dans le réseau national de SOC. Fernandez a précisé que la CCN-STIC 896 sera disponible en anglais « in a couple of weeks » (« d'ici quelques semaines »), ce qui est directement actionnable pour les lecteurs hors Espagne.

Verticale MSS à construire en priorité, selon les panélistes :

Détail utile venu de la salle : une question a soulevé la souveraineté comme facteur (prestataires MSS souverains nationaux vs multinationales). La réponse de Llaneza : une réglementation de niveau UE est nécessaire pour remplacer 27 schémas nationaux, sur le précédent d'eIDAS-2. Celle d'Ioannou : un socle partagé entre États membres est ce qui permet concrètement aux entreprises de travailler ensemble lors d'un incident transfrontalier.

Ce que cela implique pour les fabricants qui commercialisent au titre du CRA

Le jalon CRA à surveiller d'ici au 11 décembre 2027 est la capacité d'évaluation de la conformité, pas les normes harmonisées. Les normes harmonisées arriveront tard et inégalement. La désignation des autorités compétentes est une échéance de juin 2026. La disponibilité des organismes notifiés est une ambition pour décembre 2026. Si votre produit relève de la classe Important II, votre vivier de CAB est largement façonné par les organismes déjà notifiés pour l'EUCC ou accrédités au titre du RED DA.

Pour les fabricants Par défaut et Important Classe I, la conséquence pratique est que le choix du module compte plus que d'habitude cette année. Le Module H (système qualité) présente des signaux d'échelle plus clairs dans au moins un grand État membre ; la disponibilité du Module B (examen de type) est inégale et n'est pas publiquement cartographiée. Si vous pouvez légitimement vous qualifier sous normes harmonisées lorsqu'elles seront disponibles, cette voie élimine une dépendance à l'offre de CAB.

La présomption de conformité EUCC-vers-CRA via acte délégué n'est pas encore empruntable, mais c'est le bloc d'infrastructure le plus spécifique en cours de construction. Les 18 pilotes et l'objectif déclaré de fin 2026 de la Commission pour préciser la manière dont l'EUCC soutient la conformité au CRA sont les deux points à suivre sur les deux prochains trimestres.

Le schéma MSS n'est pas directement un sujet produit CRA. Il compte, car c'est le deuxième schéma CSA en rédaction active, après l'EUDI Wallet, et il sortira avant le premier schéma spécifique au CRA. Les choix de méthodologie que l'ENISA verrouille ici (accréditation CAB selon ISO/IEC 17065, méthodologie d'évaluation alignée sur celle du Wallet) se reporteront plus tard sur les schémas connexes au CRA.

Foire aux questions

Prochaines étapes

Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil juridique. Pour une analyse de conformité propre à votre situation, consultez un conseil juridique qualifié.