La certificazione, si sa, porta molti vantaggi in termini di fiducia, reputazione e competitività. Per dispiegare al meglio i suoi effetti, è necessario che, a sua volta, l’intero processo di certificazione sia controllato da enti indipendenti e che sia assicurata la medesima validità a certificati rilasciati da organismi distinti: per questo sono stati stabiliti meccanismi di accreditamento degli organismi di certificazione e dei laboratori.
C’è da premettere, però, che il meccanismo di accreditamento non è uguale per tutti i tipi di certificazione. Analizziamoli, dunque, nel dettaglio, iniziando da quello relativo agli accreditamenti per le certificazioni dei sistemi di gestione.
Indice degli argomenti
Accreditamento per la certificazione dei sistemi di gestione
Le norme ISO 9001 e ISO/IEC 27001 stabiliscono i requisiti di sistemi di gestione (per la qualità e per la sicurezza delle informazioni). Esse non sono le uniche di questo tipo: sono note le norme ISO 14001 (per i sistemi di gestione ambientali), ISO 45001 (per i sistemi di gestione per la salute e sicurezza dei lavoratori), ISO/IEC 20000-1 (per i sistemi di gestione dei servizi), ISO 22301 (per i sistemi di gestione per la continuità operativa); una delle ultime nate è la ISO/IEC 27701 per i sistemi di gestione per la privacy.
Queste norme sono applicabili da organizzazioni e il loro rispetto è certificabile da organismi di certificazione.
Gli organismi di certificazione (OdC o, in inglese, Conformity Assessment Body o CAB), a loro volta, devono fornire assicurazioni sulla qualità del processo di certificazione. Per operare nel campo delle certificazioni dei sistemi di gestione, questi devono applicare la norma ISO/IEC 17021-1. Essa riporta i requisiti per soddisfare i principi di imparzialità, competenza, responsabilità, trasparenza e riservatezza.
La ISO/IEC 17021-1 stabilisce anche alcune caratteristiche dei processi di certificazione; per esempio, richiede riesami interni per tutti gli audit di certificazione e ri-certificazione, la suddivisione in due stage degli audit di certificazione e specifica le caratteristiche degli audit di mantenimento e ri-certificazione.
In generale, l’insieme delle regole che deve seguire un OdC per certificare un’organizzazione rispetto ad una norma è detto schema di certificazione. Questo prevede anche, per semplificare molto, che un OdC, per essere accreditato rispetto alla ISO/IEC 17021-1, debba sottoporsi ad un audit da parte dell’organismo di accreditamento che verifica i processi di certificazione (inclusi quelli di vendita e anche affiancando gli auditor durante gli audit), i processi di monitoraggio, le competenze degli auditor, le modalità con cui è assicurata l’indipendenza e la trasparenza). In caso di esito positivo, l’OdC si dice accreditato.
Le norme di accreditamento sono, quindi, applicabili da organismi di certificazione e il loro rispetto è verificato da organismi di accreditamento. In questo modo, un certificato emesso da un OdC accreditato deve essere considerato come equivalente ad un certificato emesso da un altro OdC accreditato dallo stesso organismo di accreditamento.
Per alcuni schemi, l’OdC deve rispettare altre norme rispetto alla ISO/IEC 17021-1. Per esempio, per la ISO/IEC 27001, l’OdC deve rispettare i requisiti della ISO/IEC 27006 (che, in realtà, è la ISO/IEC 17021-1 con l’aggiunta di requisiti specifici).
Alcuni organismi di accreditamento hanno stretto degli accordi in modo da assicurare l’equivalenza dei certificati emessi sotto il loro accreditamento.
In Europa, il Regolamento europeo 765/2008 ha stabilito che ciascun Stato membro debba designare un unico organismo di accreditamento. In Italia, questo organismo è Accredia che, a sua volta, aderisce ad accordi multilaterali (MLA) e bilaterali (BLA), in particolare quelli promossi dalle associazioni EA (a livello europeo) e IAF (a livello internazionale) di cui è membro.
Questo vuol dire che un certificato ISO 9001 emesso da un OdC accreditato da Accredia va considerato come equivalente ad un certificato ISO 9001 emesso da un OdC accreditato da COFRAC (Francia) o DPA (Albania).
Qualche ulteriore appunto è necessario.
Il primo appunto riguarda le norme aggiuntive. Accredia è molto prolifica sotto questo punto di vista, a differenza degli altri organismi. Per alcuni questo è segno di attenzione, per altri è un ulteriore esempio di ansia normativa di antica origine per il nostro Paese (si ricordano qui le “grida manzoniane”).
Il secondo appunto è che non tutti gli schemi di certificazione e accreditamento sono regolamentati da norme ISO o ISO/IEC e dagli organismi regolamentati dal Regolamento 765 o da accordi promossi da EA o IAF. Gli esempi virtuosi più noti sono quelli relativi alle norme OHSAS 18001 (pubblicata al di fuori dei comitati ISO; dal 2018 però sostituita dalla ISO 45001) e SA 8000 sulla responsabilità sociale (sviluppata dal SAI, al di fuori dei comitati ISO, e accreditata dall’organismo SAAS, dedicato a questo tipo di accreditamento e non aderente agli accordi di cui sopra).
Sono molti e numerosi gli esempi non virtuosi, visto che nulla vieta l’uso dei termini “certificazione” e “accreditamento” al di fuori dei canali ufficiali. Sono addirittura presenti organismi di certificazione e organismi di accreditamento al di fuori degli accordi EA o IAF che operano nel mercato delle certificazioni ISO 9001, ISO/IEC 27001, eccetera.
Il terzo appunto riguarda i certificati non accreditati. Alcuni organismi di certificazione emettono certificati al di fuori delle regole di accreditamento. Esempi virtuosi nascono dalla necessità di avviare uno schema di certificazione in assenza di regole di accreditamento. Per esempio, a cavallo del 2000, in Italia furono emessi certificati BS 7799 (la norma che divenne la ISO/IEC 27001) da alcuni OdC senza che fossero ancora disponibili le regole di accreditamento; appena si resero disponibili, questi OdC fecero domanda di accreditamento all’organismo pertinente e convertirono i certificati.
Al contrario, esempi negativi sono relativi a OdC accreditati per alcuni schemi che emettono certificati su altri schemi per cui non sono stati accreditati e senza avvisare chiaramente i clienti.
Certificazione e accreditamento dei laboratori
Il Regolamento europeo 765/2008 tratta anche dei laboratori. I requisiti da soddisfare per essere accreditati sono molto simili a quelli della ISO 9001. Molti laboratori, anzi, richiedono l’accreditamento all’organismo di accreditamento e la certificazione ISO 9001 accreditata ad un OdC.
In questo caso, quindi, è improprio parlare di “certificazione dei laboratori” perché si tratta anche e soprattutto di “accreditamento dei laboratori”.
Le norme di riferimento sono:
- ISO/IEC 17025 per i laboratori di prova e i laboratori di taratura;
- ISO 15189 e ISO 22870 per i laboratori medici;
- ISO/IEC 17043 per le organizzatori di prove valutative interlaboratorio;
- ISO/IEC 17025 e ISO 15195 per i laboratori di misura di riferimento nell’area della medicina di laboratorio.
Non si vuole qui approfondire questo tipo di accreditamento, ma è opportuno osservare che è applicabile anche ai laboratori che erogano servizi di vulnerability assessment dei sistemi informatici, secondo uno schema promosso da Accredia[1].
Accredia raccomanda alle organizzazioni che erogano servizi fiduciari (per esempio, i servizi di Certification authority, TSA, conservazione, PEC e SPID) di richiedere a laboratori accreditati di effettuare vulnerability assessment sui propri sistemi. Al momento questa è ancora una raccomandazione, ma si prevede che, per alcuni servizi, diventi un obbligo entro giugno 2020.
Per quanto riguarda i rapporti internazionali, a livello europeo si fa riferimento a EA, come per gli accreditamenti relativi ai sistemi di gestione; a livello internazionale non si fa riferimento a IAF, ma a ILAC.
Certificazione dei prodotti, servizi e processi
La certificazione dei prodotti, servizi e processi segue un percorso simile a quello per i sistemi di gestione. In particolare, la catena di verifica tra organizzazioni, OdC, organismi di accreditamento e accordi internazionali rimane la stessa.
Diversa è la norma con cui l’organismo di accreditamento verifica gli OdC. Infatti, la norma di riferimento è la ISO/IEC 17065. Essa è molto simile alla ISO/IEC 17021-1, ma richiede la presenza di protocolli di verifica da parte dell’OdC molto più precisi. Questo implica, per esempio, l’uso di liste di riscontro molto precise ed esaustive.
Tra i prodotti più noti e per cui è richiesta una certificazione vi sono i dispositivi medici. In Europa, a seconda del livello di rischio per la vita umana, essi possono essere immessi in commercio autonomamente dal produttore senza una verifica preliminare (classe I) o devono essere verificati da un OdC accreditato (in questo caso, si parla di organismo notificato).
L’organismo notificato verifica la conformità a requisiti di sicurezza descritti nel regolamento applicabile, tramite la verifica di applicazione di norme armonizzate, sia per il sistema di gestione sia per le specifiche del prodotto.
Meccanismi simili si usano per le macchine, i prodotti elettrici ed elettronici, gli ascensori, le caldaie, eccetera. Il risultato positivo della verifica porta all’apposizione della marcatura CE sul prodotto. Per ciascuno di essi sono seguite norme diverse, in alcuni casi pubblicate dall’ISO o ISO/IEC, in altri da enti di normazione riconosciuti a livello internazionale come ANSI, CENELEC (EN) o UNI e CESI.
Le norme che forniscono presunzione di conformità ai requisiti europei di sicurezza prodotto sono dette norme armonizzate e riportano la sigla EN.
L’enorme numero di tipi di prodotti ha portato alla proliferazione di questi schemi. In Italia, sono accreditati organismi per la certificazione, per esempio, della sicurezza degli alimenti e degli imballaggi recuperabili.
Lo stesso meccanismo vale per processi e servizi e infatti la ISO/IEC 17065 ha titolo “Requirements for bodies certifying products, processes and services”. Alcuni processi o servizi oggetto di certificazione accreditata da parte di Accredia sono i procedimenti di saldatura, i servizi di contact centre (norme ISO 18295) e i servizi di erogazione di corsi professionali e di svolgimento delle relative prove di esame per alcune materie.
Di particolare interesse per chi si occupa di informatica sono le certificazioni dei servizi informatici fiduciari, ossia quelli oggetto del Regolamento europeo eIDAS (p.e. Certification authority e TSA) e quelli di conservazione e SPID.
In questo caso, i risultati della certificazione (da parte di OdC accreditati) sono valutati anche da AgID per includere i fornitori di servizi informatici fiduciari negli appositi registri pubblicati sul sito di AgID. Nel caso di PEC e SPID, si parla di fornitori accreditati (per quelli eIDAS si parla di prestatori di servizi fiduciari qualificati), introducendo un ulteriore uso del termine “accreditamento”.
Certificazione della sicurezza informatica, Common Criteria e Cybersecurity Act
Per la sicurezza dei prodotti informatici, lo schema di certificazione attualmente utilizzato è quello per cui un prodotto è valutato sulla base delle norme della serie ISO/IEC 15408 (i cosiddetti Common criteria). Questi potrebbero anche essere usati per la certificazione dei sistemi informatici, ma al momento non è diffusa.
Lo schema di certificazione per i Common Criteria è un po’ diverso da quello sopra descritto.
Gli OdC non effettuano direttamente le prove, ma si avvalgono di laboratori (Licensed laboratories, che non devono essere necessariamente accreditati come sopra descritto), che sottopongono i risultati all’OdC che può provvedere all’emissione del certificato.
Per quanto riguarda i rapporti internazionali, gli Stati aderenti sottoscrivono i Common Criteria Recognition Arrangement (CCRA), che assicurano il mutuo riconoscimento dei certificati. I CCRA prevedono la presenza di un unico OdC per Stato aderente e in Italia questo è l’OCSI.
Con il Regolamento europeo 2019/881 (ossia il Cybersecurity Act) in Europa è stata introdotta la certificazione dei prodotti informatici in modo da estendere gli schemi e da allineare, per quanto possibile, il meccanismo di certificazione della sicurezza dei prodotti e servizi informatici a quello degli altri prodotti e servizi.
È ancora in corso la discussione su quali requisiti potranno essere usati per valutare i prodotti e i servizi (in questo caso si prevede che saranno approvate più norme tra loro alternative o specifiche per determinate tipologie di prodotti o servizi).
In questo caso, i certificati saranno emessi dalla “autorità nazionale di certificazione della cyber sicurezza” (unica per ciascun Paese), sulla base delle analisi di uno degli “Organismi di valutazione della conformità”, che dovranno essere accreditati dall’organismo di accreditamento nazionale (in Italia, si ricorda, è Accredia) e approvati dalla stessa Autorità nazionale di certificazione della cyber sicurezza. Interessante osservare che l’Autorità potrà essere accreditata essa stessa come Organismo di valutazione.
Poiché i requisiti di certificazione non sono stati ancora stabiliti, gli schemi di accreditamento non sono stati ancora avviati.
Certificazione e perimetro di sicurezza nazionale
Sulla certificazione della sicurezza informatica è intervenuta anche la normativa sul “perimetro di sicurezza nazionale cibernetica” (DL 105 del 2019 convertito dalla Legge 133 del 2019). Questa normativa sarà completata nei prossimi mesi da alcuni decreti attuativi.
In tale contesto opererà il Centro di valutazione e certificazione nazionale (CVCN) che valuterà, in termini di sicurezza e secondo criteri dettati anche da valutazioni del rischio, le forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti delle pubbliche amministrazioni e altri enti.
Il CVCN potrà accreditare, secondo criteri stabiliti da un DPCM (ancora in fase di elaborazione), laboratori di cui avvalersi per condurre verifiche e test. Questo schema di accreditamento, pertanto, sarà probabilmente distinto da quelli già descritti. Come già accennato, la disciplina sarà stabilita da decreti attuativi ancora non approvati.
Certificazione di processo e il GDPR
Il GDPR promuove l’istituzione di meccanismi di certificazione della protezione dei dati personali. Questi meccanismi, per quanto stabilito dal GDPR, devono essere accreditati secondo la ISO/IEC 17065 e pertanto i processi di trattamento dei dati personali dovranno essere verificati con protocolli più precisi di quelli che sarebbero usati per la valutazione di un sistema di gestione.
Al momento, risulta approvato da Accredia un solo schema di certificazione della protezione dei dati personali con accreditamento ISO/IEC 17065. I requisiti di accreditamento sono stati sviluppati senza il supporto del Garante per la protezione dei dati personali, cosa richiesta dal GDPR. Il nostro Garante per la protezione dei dati personali, come gli altri garanti europei, si sta, giustamente, dimostrando molto prudente nell’affrontare questa materia.
La situazione è ambigua per molti motivi: è attivo un accreditamento non supportato dall’autorità garante, alcuni ambiti di certificazione sono troppo vaghi e altri riguardano prodotti e non processi di trattamento, la norma di riferimento non chiarisce bene se è applicabile ad un sistema di gestione, ai processi di trattamento, ai servizi o ai prodotti.
In effetti, il GDPR promuove certificazioni su cui, al momento della sua pubblicazione, mancava esperienza significativa: nel 2016 erano attivi solo due schemi per prodotti, processi e servizi con meno di 250 certificati in tutto. Oggi la situazione è quasi invariata (lo schema italiano risulta avere 2 organismi accreditati e 12 certificati rilasciati).
Infine, è da osservare che dovranno essere sviluppati i meccanismi di mutuo riconoscimento. Da una parte, gli schemi di certificazione potranno basarsi sulle decisioni dell’EDPB (al momento limitate a indicazioni generali), dall’altra gli organismi di accreditamento dovranno estendere gli accordi attuali perché tali certificazioni abbiano valore anche al di fuori dello Spazio economico europeo.
Più recentemente è stata pubblicata la norma ISO/IEC 27701, che però è relativa ai sistemi di gestione e, quindi, non in linea con quanto richiesto dal GDPR (in altre parole, l’attuazione della norma ISO/IEC 27701 può essere certificata solo con accreditamento basato sulla ISO/IEC 17021-1 e non sulla ISO/IEC 17065 come richiesto dal GDPR).
Ringraziamenti
Ringrazio per i consigli ricevuti da Franco Vincenzo Ferrari di DNV GL Business Assurance, Alice Ravizza di USE-ME-D e Stefano Ramacciotti. Gli errori sono invece tutti miei.
NOTE
- “Circolare informativa DL N° 01/2019 – Informazioni relative all’accreditamento di Laboratori di prova operanti nel settore dei Vulnerability Assessment (VA)”. ↑