Cybersecurity: il ruolo dell’accreditamento per lo schema di certificazione EUCC
Il sistema europeo di certificazione della cibersicurezza basato sui Common Criteria (CC) e denominato EUCC è stato introdotto dal Regolamento di Esecuzione UE 2024/482. La collaborazione tra Accredia e ACN.
Il Regolamento di Esecuzione UE 2024/482 si inserisce nel quadro del Regolamento UE 2019/881 (Cybersecurity Act), che disciplina la certificazione della cibersicurezza nell’Unione europea e punta a creare un approccio armonizzato per garantire la sicurezza delle tecnologie dell’informazione e della comunicazione in tutta la UE. Pubblicato il 7 febbraio 2024, sarà applicabile dal 27 febbraio 2025.
In questo contesto, già dalla pubblicazione del Cybersecurity Act, Accredia coopera con le Autorità nazionali, inizialmente con la Direzione Generale per le Tecnologie delle Comunicazioni e della Sicurezza Informatica del Ministero dello Sviluppo Economico e ora con l’Agenzia per la Cybersicurezza Nazionale (ACN), che ne ha rilevato le attività a partire dal giugno del 2021.
L’obiettivo della collaborazione è dare attuazione in Italia al Cybersecurity Act. Accredia, infatti, è il soggetto incaricato di accreditare gli organismi per la gestione degli specifici schemi di valutazione e certificazione di prodotti e servizi che l’Unione europea emette progressivamente, avvalendosi, per gli aspetti tecnici, dell’attività dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA).
Il quadro legislativo UE
Il Regolamento di Esecuzione UE 2024/482 si inserisce, dunque, all’interno del Cybersecurity Act che costituisce una parte fondamentale della nuova strategia europea per rafforzare la resilienza dell’UE agli attacchi informatici e creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi ICT.
Il Cybersecurity Act, che si affianca ed è in parte complementare alla Direttiva UE 2016/1148 (Network and Information Systems – NIS), nasce con un duplice obiettivo: rafforzare il ruolo di ENISA e creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali.
A cascata, l’Unione europea ha poi pubblicato la Direttiva UE 2022/2555 (NIS 2) in abrogazione della precedente NIS, recepita in Italia con il D.Lgs. 138/2024. La NIS 2 ha modernizzato il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce alla cibersicurezza, di fatto estendendo l’ambito di applicazione delle norme a nuovi settori e entità.
L’adozione dello schema EUCC e i SoA
L’adozione dell’EUCC – Sistema europeo di certificazione della cibersicurezza basato sui criteri comuni rappresenta un passo significativo verso l’armonizzazione delle certificazioni di cybersecurity nell’UE, facilitando il riconoscimento reciproco delle certificazioni tra gli Stati Membri e promuovendo una maggiore fiducia nei prodotti ICT sul mercato europeo.
Di fatto, le certificazioni EUCC sostituiscono quelle emesse nell’ambito dell’accordo di mutuo riconoscimento SOG-IS, istituito nel 1997 per dare attuazione alla Raccomandazione 97/489/CE del 30 luglio 1997 della Commissione europea.
Per supportare tale adozione, l’ENISA pubblica i relativi documenti sullo stato dell’arte (SoA) con lo scopo di chiarire i requisiti per ambiti specifici di valutazione.
Come indicato nell’Atto di Esecuzione, un “documento sullo stato dell’arte” costituisce una sorta di linea guida che specifica metodi di valutazione, tecniche e strumenti applicabili alla certificazione di prodotti ICT o ai requisiti di sicurezza di una categoria generica di prodotti ICT.
Il percorso di accreditamento per organismi e laboratori
Accredia collabora con l’ACN per l’accreditamento degli organismi di certificazione. Il Regolamento di Esecuzione UE 2024/482 richiede, infatti, che gli organismi di certificazione siano accreditati in conformità alla norma UNI CEI EN ISO/IEC 17065:2012. Oltre all’accreditamento, gli organismi necessitano dell’autorizzazione dell’ACN per rilasciare certificati EUCC.
In particolare, i certificati per i prodotti ricadenti nel livello di affidabilità “elevato” saranno certificati esclusivamente dall’Organismo di Certificazione della Sicurezza Informatica (OCSI) divisione di ACN.
Lo stesso OCSI dovrà essere accreditato a fronte della norma ISO/IEC 17065. Per tutti gli altri prodotti la certificazione potrà essere emessa da altri soggetti, anche di diritto privato, sotto il medesimo schema di accreditamento.
La certificazione, tuttavia, vede il suo fulcro negli esiti delle prove condotte dai Laboratori di Valutazione della Sicurezza Informatica (Information Technology Security Evaluation Facilities – ITSEF). Anch’essi devono essere valutati attraverso l’accreditamento in accordo alla norma UNI CEI EN ISO/IEC 17025:2018.
SCHEDA
Organismi di certificazione di prodotti e servizi
L’organismo di certificazione di prodotto è responsabile della verifica della conformità del prodotto ai requisiti fissati per la certificazione, alle norme tecniche volontarie o ad altri riferimenti normativi.
SCHEDA
Laboratori di prova
Un laboratorio di prova è una struttura, pubblica o privata, che opera con ragione sociale propria o all’interno di un’azienda o di una struttura pubblica, per effettuare analisi, prove e diagnosi in una molteplicità di settori, in funzione degli specifici clienti a cui si rivolge.