les certificats valides et publics précédemment délivrés “seront reconnus en France comme en Allemagne” dès l’entrée en vigueur de l’accord, indique l’ANSSI qui ne précise de date. Cela sera automatique pour les prochains “dès leur publication“.
L’accord a vocation à couvrir l’ensemble des certificats émis par les deux schémas “mais peuvent en être exclus s’ils sont, par exemple, soumis à une réglementation nationale spéciale“, précise l’ANSSI.
Vers une harmonisation des pratiques
“Outre la reconnaissance mutuelle des certificats, l’accord pose les bases d’une coopération renforcée entre les organismes de certification de l’ANSSI et du BSI. Les échanges techniques réguliers sur la poursuite de l’harmonisation CSPN et BSZ, ainsi que sur le développement de ces schémas, pourront bénéficier d’un cadre formalisé“.
Cet accord représente un pas supplémentaire “vers l’harmonisation globale des schémas de certification s’appuyant sur dans un délai d’évaluation prédéterminé“, alors que la norme européenne FiTCEM (Fixed Time Cybersecurity Evaluation Methodology for ICT products, prEN 17640), en cours d’élaboration, permettra d’étendre au niveau européen l’harmonisation des ces pratiques, “notamment via la création d’un système européen de certification basé sur le Cybersecurity Act“, est-il précisé.
En mars dernier, l’ANSSI fixait la période de validité d’un certificat CSPN à 3 ans, ensuite automatiquement archivé, se mettant ainsi cohérence avec les dispositions prises par le Cybersecurity Act, et cet accord prévu de reconnaissance des certificats CSPN et BSZ, ces derniers ayant une période de validité de 2 ans.