L’adozione da parte della Commissione Europea del primo schema di certificazione della sicurezza informatica dei prodotti ICT segna un passo importante verso il miglioramento della postura cyber dell’Unione.
Lo European Cybersecurity Scheme on Common Criteria (EUCC) redatto dall’ENISA risponde, infatti, alla richiesta della Commissione Europea di definire regole e procedure valide in tutta l’Unione per la certificazione dei prodotti ICT durante l’intero ciclo di vita, al fine di renderli più affidabili.
In pratica, i prodotti che dovessero ricevere il “bollino blu” otterrebbero un riconoscimento formale sul livello di sicurezza sia dell’hardware sia del software.
Ddl cyber security, l’Italia potenzia la guerra al cybercrime ma non basta: ecco perché
Indice degli argomenti
Che c’è da sapere sul primo schema di certificazione cyber
Questo schema andrà a sostituire gli schemi di certificazione nazionali precedentemente previsti dall’accordo SOG-IS, redatto in risposta alla decisione del Consiglio dell’UE del 31 marzo 1992 (92/242/CEE) in materia di sicurezza dei sistemi informativi e alla successiva raccomandazione del Consiglio del 7 aprile (1995/144/CE) sui criteri comuni di valutazione della sicurezza delle tecnologie dell’informazione.
Secondo Juhan Lepassaar, direttore esecutivo dell’Agenzia europea per la sicurezza informatica, “l’adozione del primo schema di certificazione della sicurezza informatica segna una pietra miliare verso un mercato unico digitale dell’UE affidabile ed è un pezzo del puzzle del quadro di certificazione della sicurezza informatica dell’UE che è attualmente in fase di realizzazione”.
Il nuovo schema EUCC si inserisce perfettamente nel quadro di rafforzamento della sicurezza informatica di prodotti, servizi e processi ICT nel mercato UE previsto dal Cybersecurity Act e dell’attuazione della Direttiva Nis2.
È su base volontaria e permette ai fornitori di ICT che vorranno adottarlo di sottoporsi a un processo di valutazione per la certificazione dei prodotti ICT, tra cui componenti tecnologici, hardware e software.
Lo schema si basa sul collaudato quadro di valutazione dei criteri comuni SOG-IS, già utilizzato in 17 Stati membri dell’UE e propone due livelli di garanzia basati sul livello di rischio associato all’uso previsto del prodotto, servizio o processo, in termini di probabilità e impatto di un incidente.
In questo modo, le imprese europee potranno competere a livello nazionale, a livello europeo e a livello mondiale.
Lo schema entrerà in vigore 20 giorni dopo la pubblicazione in Gazzetta Ufficiale (che avverrà nei prossimi giorni) e a seguire verrà diffuso il primo Programma di Lavoro dell’Unione per la certificazione europea della cyber security.
Modalità di adozione dello schema di certificazione cyber
L’adozione da parte delle imprese del nuovo schema di sicurezza prevede un periodo di transizione in cui è consentito utilizzare le certificazioni esistenti nell’ambito di schemi nazionali in alcuni Stati membri. i certificati SOG-IS esistenti possono essere convertiti in certificati EUCC, una volta valutate le soluzioni rispetto ai requisiti aggiunti o aggiornati.
I certificati rilasciati nell’ambito dell’EUCC saranno pubblicati dall’ENISA. L’ENISA pubblica anche l’Atto di esecuzione e i documenti di supporto, quali allegati, documenti sullo stato dell’arte e linee guida, sul sito web dedicato alla certificazione.
L’Agenzia dell’Unione Europea per la Cybersecurity propone anche materiale di supporto, tra cui un video, sugli ultimi sviluppi dello schema e a sostegno della sua implementazione.
Lo schema di certificazione europeo EUCC: novità, punti di forza e problemi aperti
I prossimi schemi che verranno adottati
Come anticipato, l’ENISA sta già lavorando ad altri schemi di certificazione della cybersecurity, ossia EUCS sui servizi cloud e EU5G sul 5G, sta valutando i requisiti di certificazione della cyber sicurezza dell’Unione Europea per l’AI e collaborando con la Commissione europea e gli Stati membri nello studio di una strategia di certificazione per l’eIDAS/wallet.
Per uno schema per i servizi di sicurezza gestiti, MSSP, la stessa Commissione ha presentato un emendamento alla legge sulla cyber sicurezza.
Thierry Breton, Commissario per il Mercato Interno, ha dichiarato che “In un panorama di minacce alla cyber security altamente dinamico stiamo facendo passi avanti per aumentare la nostra resilienza cyber. Il quadro lanciato oggi garantirà che i prodotti che utilizziamo, come router e carte d’identità, siano cyber-sicuri. Vogliamo che i nostri cittadini, le imprese e il settore pubblico possano fidarsi delle soluzioni a cui si affidano per proteggere le loro reti e per fornire servizi pubblici”.
Più attenzione alle soluzioni di crittografia
Questo provvedimento prevede più sicurezza informatica legata alla legislazione dell’UE, in particolare ai servizi di sicurezza che includono i sistemi di controllo e automazione industriale e lo sviluppo del ciclo di vita della sicurezza sulla base dei requisiti dei meccanismi crittografici.
L’attuazione è coerente sulla sicurezza informatica e fa colloquiare meglio autorità nazionali di certificazione sulla cyber security per creare uno schema di certificazione unico.